航空維修專業者���,每天和你分享不一樣的飛機新鮮事�!
“解決方案陷阱”是筆者生造的詞匯��,是指機組面臨混亂�����、矛盾的信息時,遵循錯誤信息引導選擇解決方案�����,導致情況進一步惡化的現象����。
在閱讀法航447空難報告時,筆者注意到這樣一個現象。
機組最早注意到的是ECAM上的超速提示����。所以盡管后續處置中��,很多跡象表明空速偏低,只要飛行指引桿出現,機組就死追指引��;只要飛行指引桿消失�,機組就按超速處置。
這就是非常典型的機組喪失態勢感知能力,墜入“解決方案陷阱”的案例���。
過往的不安全事件表明�����,機組一旦落入“解決方案陷阱”����,其思維勢必陷入“管道效應”無法自拔,想要重新“跳”出來����,幾乎是不可能的��。
如何在特情初始,協助機組恢復態勢感知能力����,是避免“解決方案陷阱”的關鍵���。我們現有的處置程序�����、人機交互界面、機組訓練等都還有很大的改進空間。
在遭遇失效(特殊情況)時��,我們一般說機組的正確反應有:“首先控制飛機��,然后快速判斷故障���,之后在合適的條件下找到并執行正確的程序”����。然而實際情況是����,機組有可能遭遇到從未遇見甚至極端的(故障)條件�����,在思考時間有限的情況下���,機組有可能完全喪失理解力和判斷力����,我們的安全模式局限性就在于�����,如果機組一開始不能抓住“重點”�,那么后續的控制力和判斷力也就無從談起了�����。這種安全模式也只能是“一般失效模式”����。AF447在初期未能良好的控制好飛機最終導致事故也例證了這一點��。
——《法航447航班事故調查報告》
第一節 B737空速不可靠故障中的“解決方案陷阱”
以下一條或多條可證實空速或馬赫指示不可靠:
● 速度/姿態信息與俯仰姿態和推力調定不一致
● SPD 失效警告旗
● SPD LIM 失效警告旗
● IAS DISAGREE 警報
● 空速顯示空白或波動
● 機長和副駕駛空速顯示之間有差異
● 雷達天線罩損壞或丟失
● 超速警告
● 同時出現超速和失速警告����。
——《空速不可靠檢查單》
以上是《空速不可靠檢查單》所羅列出的9種空速不可靠現象����。
通常而言����,在B737飛機上越是危險或緊迫的特情,其警告方式也就越直接。
當B737的空速數據出現錯誤時�,可能觸發的諸如“airspeed low”�����、失速�����、超速、風切變等虛假警告����,均具備非常強烈的視覺�����、音響、抖桿刺激�。
反倒是最關鍵的“IAS DISAGREE”信息���,僅以琥珀色小字顯示在速度帶下方����,是所有警告信息中最不醒目的一項��。
更為雪上加霜的是���,錯誤的空速還會誤導自動飛行系統進行“偏差修正”���。機組略做遲疑,就可能進入復雜狀態��。人工操縱令機組工作量呈幾何倍數增加����,進一步削弱機組的態勢感知能力。
人工操縱飛機�����,飛行姿態異常����、飛行參數混亂,警告相互矛盾。機組應當何去何從?
失速改出�����?
超速改出�?
風切變改出?(空速異常可能誘發風切變警告。)
地形警告改出?(低空可能導致接近危險地形�����。)
安定面配平失控記憶項目�����?
空速不可靠記憶項目�?
事實證明�����,當面臨巨大的心理時,機組更傾向于遵從最直接�����、最強烈的警告采取措施�����,其陷入“解決方案陷阱”的概率是很高的�����。
在大量警告信息堆砌的背后,是B737飛機明顯的“人機功效”缺陷——警告指向性模糊���,無法識別和隔離錯誤數據��,必須通過機組的邏輯分析才能判定故障!
B737這樣一款有幾十年歷史的經典機型為什么會出現這樣的問題呢����?
這還要從B737的儀表數據架構缺陷說起�����。
第二節 B737的儀表數據架構
B737的儀表數據架構,可以大致分為四個部分:
(一)皮托靜壓系統
皮托靜壓系統�����,主要由空速管����、靜壓孔和全溫探頭組成。其探測數據經過ADR處理后����,可以提供空速、高度�����、高度變化率�����、全溫����、靜溫等參數����。
(二)慣性導航基準組件
慣性導航基準組件,主要由激光陀螺和加速度計組成�����,可以提供姿態�����、垂直速度���、地速�����,以及垂直軌跡角度等數據�����。
(三)迎角傳感器
B737安裝有兩個風標式迎角傳感器����,可以提供迎角數據���。迎角用于指示飛機翼弦與氣流的夾角�����。
(四)傳感器數據間的交叉修正
單一探測機理獲得的數據�����,都會存在誤差。所以系統會利用其它探測系統的數據進行交叉修正�����。
我們以垂直速度為例。
慣導通過加速度計數據,可以積分計算獲得垂直速度。這個“慣導垂直速度”,略超前于飛機實際的位置移動���,靈敏但易受顛簸等瞬時過載干擾。
皮托靜壓系統通過靜壓的變化率,也可以計算出垂直速度�。這個“靜壓垂直速度”略滯后于飛機實際位移���,但數據穩定�����。
如果在五邊飛CDFA,我會希望使用“慣導垂直速度”��。這樣可以及時發現和修正垂直剖面的偏差�。
如果在顛簸環境巡航��,那我更傾向于使用“靜壓垂直速度”���,避免不必要的俯仰操縱��。
B737NG飛機采用以“慣導垂直速度”為主,輔以“靜壓垂直速度”修正后的綜合數據。IRU故障會導致VS指示消失��,ADR故障則不會�����。而據說B777飛機則剛好相反���。
至于這個交叉修正是如何完成的����,那應該算是制造商的核心機密之一了�。至少從結果看,波音的交叉修正的算法是很成功的���。
好,現在問題來了��。
如果皮托靜壓數據出現錯誤�����,交叉修正會不會導致垂直速度不可靠呢����?
會��。
此時可否切斷傳感器數據間的修正呢?
不可以���。
因為波音737的儀表數據是在一個非常陳舊的架構下,漸次堆砌新技術構成的��。
三套傳感器獲得的數據����, 是分散在大氣數據基準組件(ADR)、慣性基準組件(IRU)�����、飛行管理計算機(FMC)��、飛行控制計算機(FCC)��、自動油門計算機、近地警告計算機(GPWC)等系統�����,分別按需處理的�����。
說地通俗一點�����,ADIRUS就像個菜市場大嬸���,把白菜幫子剝了�,豬肉毛剃干凈���,醬油裝瓶����,鹽裝袋����。
DEU就像個快遞小哥,把這些半成品打包送到各家各戶���。
至于各位計算機“大大”們是好咸口還是甜口,做川菜��、魯菜還是冒菜���,吃了會不會拉肚子——您自己看著辦�����。
有的系統有“潔癖”��,譬如EEC,只要發現數據比對不一致,就拒收全部數據�,自己蹲屋里泡面吃(EEC備用方式)�����。
有的系統信奉“不干不凈吃了沒病”,譬如自動油門計算機和這次出事兒的MCAS�����,吃壞了肚子就開始抽風胡來�����。
雖然每一代B737飛機都會引入當時最先進的設備,但其基礎的儀表數據架構與機械儀表時代并無二致。
它缺少一個集中采集���、處理、監控各個傳感器數據的“食堂大廚”。重集成�����,輕對比�����,無隔離�����,一旦某個傳感器數據出現錯誤,就會廣泛影響����。
找一輛“東方紅”拖拉機�����,發動機換成奔馳的,變速箱換成寶馬的,輪胎換成法拉利的����,這車能不能開���?
當然可以�����,但這樣并不能將子系統的優勢完全發揮出來。
第三節 “少數服從多數”原則的缺陷
我們仍然回到B737NG的空速不可靠故障����。受探測系統間交叉修正的影響���,空速��、高度、垂直速度�����、FPV��、靜溫等均被視作不可靠數據����。
QRH承認的四項數據可靠:姿態�、N1、地速和無線電高度。單純依靠這四項數據�,無法實現跨探測系統的交叉檢查����。
所以縱觀整個“空速不可靠”處置流程�,對比三塊速度表間的讀值差異是主要手段,輔以姿態和推力的檢查����。
筆者本人就曾經在航班上遇到過三塊速度表依次相差20節的情況����。按照B737的QRH又如何解決呢�����?
類似的問題在空客320飛機上也存在。在XL888T空難中��,結冰導致1號和2號迎角傳感器卡阻�。原本正常的3號迎角傳感器數據,因為與其他二者差異過大����,也被系統拒絕�。(When the real angle of attack increased, the blockage of AOA sensors 1 and 2 at similar values caused the rejection of the ADR 3 anemometric values, even though these were valid.——《XL888T空難調查報告》 )
對比同一探測機理的三個傳感器數據�,然后以“少數服從多數”的方式確定錯誤數據,從概率上講可以接受����,但從邏輯上講太過草率����。
第四節 “跨系統交叉檢查”的儀表架構設想
下面我們將機載傳感器分割為三個部分:皮托靜壓�、慣導和迎角,嘗試利用跨系統的交叉檢查�,識別和屏蔽錯誤數據��。
這個方法可以用于改良儀表數據架構,也可以用于改良人機交互界面���,但最終的目的還是幫助機組恢復態勢感知能力。
筆者選取了三個典型案例����,基于以下四點假設前提分析:
(1)使用B737NG標配的機載設備����。
(2)在起始階段����,機組不清楚哪個系統故障,但不盲從于任一系統的指示��。
(3)當數據發生異常時����,探測器間的集成修正會被切斷���。
(4)駕駛艙儀表具備FPV和AOA顯示,且每一個AOA數據均具備獨立指針。
案例一 法航447空難
A330飛機在巡航高度37000英尺進入對流云團。三根空速管同時結冰,導致所有空速指示異常。機組脫開自動駕駛����,并收油門帶桿����,俯仰姿態增加至10°以上����,垂直速度7000英尺/分鐘。飛機經過短暫的爬升后進入失速���,最終墜毀。
帶桿�����,還是推桿�?
收油門,還是加油門�?
這都基于飛行員對當前狀態的認知——飛機到底是臨近超速����,還是臨近失速����?所以恢復機組的態勢感知能力是當務之急。
(1) 如果法航447安裝有迎角指示器,機組會發現其讀值遠高于正常水平��。也就是說飛機在快速接近失速����。(事故調查報告中也指出未安裝迎角指示器是重要缺陷���。)
那我們又如何確定迎角數據的可靠性呢�?
(2)俯仰姿態、和FPV均源自慣導系統���,其二者的差值近似等于迎角。(為便于描述,我們后文簡稱其為“慣導迎角”。)我們可以利用“慣導迎角”來檢查迎角傳感器的可靠性�。
上述過程����,意在恢復機組的態勢感知能力�。機組只需要清醒意識到空速不可靠,執行“475/1080”記憶項目,整個特情處置就成功一半兒了。
“475/1080”記憶項目會以高度作為“能量海綿”�,保持飛機既不失速�,也不超速���;既不超過升限�,也不低于10000英尺。(詳見《475/1080》一文)��。
案例二 XL888T空難
A320飛機在4000英尺高度進行“失速迎角保護”演示飛行�����。1號和2號迎角傳感器因結冰卡阻����,3號迎角傳感器工作正常�。但由于三組迎角數據差異過大,所以全部被系統拒絕��,進而導致自動配平失效���。
機組加油門改出失速��,由于升降舵氣動效能低于水平安定面,且機組未使用人工配平����,故而俯仰姿態始終無法減小���。最終飛機失速墜毀���。
乍看起來���,XL888T空難與前一段時間發生的獅航610空難非常相似�����。但其實二者有著很大的差異���。
波音737只有兩個迎角傳感器���,不能識別錯誤數據����,也不能隔離錯誤數據����。所以在獅航610空難中,一個迎角傳感器故障�����,系統即放任錯誤數據誘導MCAS向前驅動配平��。
空客320有三個迎角傳感器,能夠識別迎角數據錯誤�,也能夠隔離不可靠數據���,但不能確定哪個傳感器故障�����。所以在XL888T空難中,兩個迎角指示器故障����,導致全部三個迎角數據被系統拒絕����。自動配平失效在當前位置����,并且向機組提供了“USE MAN PITCH TRIM”警告信息。
同樣是迎角傳感器故障�。
同樣遭遇水平安定面氣動效能超過升降舵的問題�。
同樣以失控墜海收場���。
但必須要說����,A320與B737機型在儀表數據架構上的水平,還是高下立判的。
如果XL888T不是刻意進入高迎角狀態,演示飛行高度再高一些����,機組能夠注意到“USE MAN PITCH TRIM”警告��,原本是很有希望改出的���。
好了�����,我們回到本節的“跨系統交叉檢查”的思路上來��。
(1)如果XL888T駕駛艙配備迎角指示器,那么機組會發現,在失速進入階段“慣導迎角”在持續增大,而迎角指示器讀值則維持不變����。二者間顯著的差異�,會讓機組意識到系統存在異常��,并中止演示飛行�。
(2)“慣導迎角”持續增大�����,迎角讀值保持不變���,而空速在持續減小�。很顯然“慣導迎角”與空速間表現出更合理匹配的關系。我們可以藉此確認,錯誤出現在迎角傳感器系統。從理論上講����,我們甚至可確認是哪個迎角傳感器故障����,繼而“釋放”3號迎角傳感器的數據���。
(3)如果“慣導迎角”的可靠性被確認���,機組人工介入的時機會更早���,而不是意識到“迎角保護功能”失效后才倉促采取措施����?���?账僭降停刀媾c水平安定面的效能差距就越大��。
(4)在姿態最高的階段�����,機組采取向右壓坡度的方式����,減小升力豎直方向的分力����,以獲得低頭力矩。這是一個“教科書式的”失控改出技巧���。
但很不幸,所有失控改出技巧均基于這樣一個默認的前提——飛機未進入失速。而在失速狀態下主動進入橫滾�����,則可能進入更復雜的狀態����。這何嘗不是一個“解決方案陷阱”呢�?
相較之下,B737飛機的“模擬桿力”會促使機組本能地向操縱同向使用人工配平���。這是
筆者非常贊賞的一個“落后設計”。瑕不掩瑜���,我們“空中健身房”也不全是一無是處。
案例三 獅航610空難
B737MAX飛機左側迎角傳感器故障���,左側迎角讀值較右側高15度左右?��?账僦甘疚匆姰惓!W髠扔莻鞲衅麇e誤導致多次失速警告��,并誤導MCAS向前配平���。機組多次使用主電配平糾正MCAS的錯誤�����。最終MCAS將配平驅動至前止位���,超過了升降舵權限���。飛機高速俯沖墜毀����。
我們首先以“跨系統交叉檢查”的思路審視這個案例:
(1)如果駕駛艙內配備迎角指示器,機組會發現左右側迎角指示差異巨大��。
(2)與“慣導迎角”進行對����,機組會發現右迎角數據更加可信���。
(3)5000英尺(大氣數據)保持平飛(VS/FPV慣導數據)���,空速250節(大氣數據)���,俯仰姿態(慣導數據)應當在2°左右���,證明慣導與大氣數據合理匹配�。此時的迎角怎么可能是15°呢?
(4)確認飛機真實迎角,會堅定機組保持當前狀態的決心,更頻繁的使用主電配平對抗MCAS���,甚至于考慮將配平馬達斷電(波音技術通告中建議切斷主電和自動駕駛配平切斷電門)。
在獅航610空難后,波音公司發布了針對B737MAX機型MCAS系統缺陷的技術通告�,在業內引發了廣泛的討論�����。
在一些已經公開的事故數據中,我們可以看到機組曾經使用主電配平短時恢復了對狀態的控制。
這說明只要機組有拉起機頭的主觀意愿����,失控就是有希望改出的���。但反復出現的失速警告和MCAS配平�����,很可能動搖了機組帶桿增加姿態的判斷。以至于MCAS的錯誤配平最終占據上風���,將水平安定面驅動至前止位,導致飛機俯仰失控�。
說到底,機組態勢感知能力的喪失,對飛機狀態的認知錯誤,才是導致獅航610空難的根本原因。
如果由筆者負責波音的危機公關,我會非常樂見業界對MCAS系統的爭議和指責����。
因為改進MCAS是成本最低的解決方案�����。而想要把B737的儀表數據架構推到重來,則無異于設計一款全新的飛機����。繼續裝聾作傻����,頭痛醫頭,腳痛醫腳�����,是波音唯一的選擇。
反觀空客系列飛機,已經初步具備了錯誤數據的識別和隔離理念,進一步改良架構不存在技術上的障礙�����。但有波音這樣的“豬對手”擋在前面�,恐怕空客也未必多有動力投入資源。
反倒是C919和A220這樣的后發機型,如果能夠在設計之初謹慎規劃儀表數據架構,則會給未來的技術升級打下良好的基礎。
番外篇 “半部現代航空儀表史”
筆者經常與人戲言:波音737飛機的失速警告信息��,就是“半部現代航空儀表史”���。
(一)抖桿器
B737飛機的駕駛桿安裝有抖桿器����。抖桿器是由一個電動馬達和一個“偏心鐵環”構成的�����。
失速警告被觸發時���,馬達驅動“偏心鐵環”抖動����,同時發出巨大的噪音。在“機械儀表 無線電羅盤領航”時代����,這無疑是一個很巧妙的設計���。
(二)俯仰極限指示
俯仰極限指示器���,俗稱“小胡子”或“小耙子”���,既可以為失速改出提供直觀的指示�����,也可以提供粗略的抖桿余度提示。
筆者專門咨詢了很多飛過B737CL全機械儀表型號的前輩�。據他們回憶�����,在機械式ADI上就已經有俯仰極限指示桿了。B737機型幾經變化���,但俯仰極限指示的形式并未改變。
(三)MCP板低速極限符號
飛機無法達到指令的空速時�,在MCP面板的速度窗中會出現速度限制符號���。
低速限制符號為閃爍的“A”。超速限制符號為閃爍的“8”
為什么是“A”和“8”���?
回家找個老式計算器看看就明白了。
(四)BUFFET ALERT信息
隨著B737飛機配備FMC��,在飛機觸發抖桿前CDU草稿欄里會默默地出現一條“BUFFET ALERT”信息����。這一提示功能也保留至今。
(五)速度帶
B737CL機型早期的電子飛行儀表系統(EFIS)中是沒有速度帶的,只有快慢指針���。在較晚批次的CL機型上開始配備速度帶顯示,但仍保留機械式空速表。
與俯仰極限指示相比��,速度帶(下琥珀色區�、下紅區)可以更為量化的顯示抖桿余度。這一顯示方式也被后續的B737機型所繼承���。
(五)“air speed low ”語音
在B737NG后期版本選型中,開始出現“air speed low ”語音警報�。其觸發時機早于抖桿��,大致在速度帶下琥珀色區中段后。
低速/失速警告是B737儀表數據架構的一個縮影�。整個B737的儀表數據是基于一個非常陳舊的架構�,不斷的利用新技術補強而來的���。
來自:藝不壓身
