曝光臺 注意防騙 網曝天貓店富美金盛家居專營店坑蒙拐騙欺詐消費者

制，飛機抬頭爬升到大約41000 英尺，指示空速從270 節降到158 節，失速警告
和抖桿器被觸發工作，之后該機返航珀斯安全著陸。
飛機的FDR、CVR 和ADIRU 都被拆下來做進一步檢查，FDR 數據顯示，事故
發生時三個面的運動都記錄到不正常的加速度值。在手動或自動駕駛飛行過程中
加速度數據由飛機的ADIRU 提供給飛機主飛行計算機、自動駕駛儀以及飛機其他
系統。
后來對ADIRU 的檢查發現，事故發生時數個加速度計中的一個失效，而另外
一個曾在2001 年6 月失效。
事故二：
2008 年10 月7 日，一架澳大利亞快達航空公司A330-303 客機（注冊號
VH-QPA）執行定期客運航班（航班號QF72）從新加坡飛往澳大利亞珀斯，機上
共有303 名乘客和9 名乘務組人員和3 名飛行機組人員。12:40:28，自動駕駛儀
斷開，此時飛機飛行高度37000 英尺，從這時開始出現來自不同機載系統的故障
15
提示；12:42:27，在機組進行形勢判斷時，飛機突然低頭俯沖，飛機俯仰角最低
達到-8.4 度，整個過程高度下降650 英尺；12:45:08，飛行出現了非指令性低
頭俯沖運動，這一過程中高度下降400 英尺。之后飛機宣布緊急狀態，改航利爾
蒙斯機場(YPLM)安全著陸。
1 名乘務員和11 名乘客受重傷，很多人受到了輕傷。乘客中的主要傷者大
部分都是坐在座位上但沒有系好安全帶或者當時正站著。
到目前為止的事故調查數據表明，兩個重要的安全因素與俯沖運動有關。首
先，在自動駕駛儀端開前的瞬間，ADIRU 中的一個開始向其他機載系統提供錯誤
的數據（異常峰值），而另外兩個ADIRU 工作正常。其次，迎角數據中的一些異
常峰值沒有被飛行控制計算機過濾掉，隨即計算機指令做低頭俯沖運動。
另外有兩起事件被認定包含類似的ADRIU 異常行為，但都沒有引發飛行中顛
簸。
這兩起ADIRU 問題相關的事故引起了澳大利亞ATSB 的高度重視，進行了深
入的調查得出了很有意義的成果，B777 的事故調查已結束，A330 的事故調查仍
在繼續，但已經發布了中期報告。
2.3.2 冗余技術
由于任何系統都存在失效的可能性，為了提高整體的可靠性，安全關鍵工程
普遍采用冗余技術，當主系統失效時，備用資源會被調出。冗余技術大體可以分
兩類，靜態冗余和動態冗余。
靜態冗余假定有多套冗余系統同時運行，雖然一個組件就能夠提供足夠的
功能應用，但還是用通過投票的方式來確定采納哪個操作或者計算結果作為輸
出。這樣做的目的是，當一個組件失效時，它將被其他健康的組件通過少數服從
多數的方式剔出，這種方法最大的好處在于不必不斷地檢測可能的失效，除非失
效組件的數量超過了健康的組件數量，A330 采用這種技術。
動態冗余依賴一個主系統，當這個系統失效時控制權將交給一個冗余系統。
如果是熱動態冗余技術，備份系統在后臺保持運行能夠快速取代主系統；如果是
冷動態冗余技術，備用系統必須被重新啟動并且還原到主系統失效的點。所有動
態冗余系統的關鍵在于當主系統失效時它必須能夠檢測出來，只有這樣備用系統
16
才能接管運行，波音777 采用這種技術。
傳統意義上，失效單元和備用資源之間的切換需要操作者手工完成，然而現
在更多的可編程系統采用自動監測失效，并重新部署系統排除失效組件的做法。
這就產生一個問題，可能操作者并不知道系統已經被重新部署了。一系列創新的
自愈式電子應用在冗余方面提供了很多好處，這也引出了一個問題，就是當控制
由第一套系統轉移到第二第三套系統時，操作者維持情景意識的能力，最近的兩
次事故說明了這一問題。
2.3.3 針對兩起事故的冗余問題分析
C.W. Johnson 等利用事件與原因因素圖(ECF)的方法對兩起事故進行了分
析，應用該方法的好處在于，將分散在事故調查報告中各個頁的文字敘述串連在
一起，使人更容易發現各個事件、因素之間的影響關系。
如下面所示，圖二是針對05 年B777 事故中，冗余技術造成的故障點屏蔽，
以及由此造成的對機組判斷的影響。五號加速度計的故障早已存在，由于某種原
因一直沒有更換，但由于是冗余設計這并不影響ADRIU 的功能；事故發生時6 號
加速度計故障，系統自動選擇采用五號加速度數據，更新的軟件版本略去了檢查
這一數據合法性的流程，使得錯誤數據被提交給系統，機組不了解（也不可能了
解）這一過程，不知道哪些信息可信，哪些信息不可信。
17
圖二B777 事故中故障屏蔽及冗余對機組的影響
圖三A330 事故中初始問題對PRIM1 的影響
18
圖四A330 事故中第二次異常事件及當時的處理情況
圖三和圖四描述了08 年A330 事故中，兩次顛簸過程中冗余技術的影響。尤
其在第二次事件中，機組的切換操作使得機長位主飛行顯示器的數據中，慣性參
考數據來自ADIRU3 而大氣數據參考數據來自ADIRU1。
同時，該文中也列舉了冗余技術對維修人員的維護行為的影響。
2.3.4 機載軟件系統的適航問題
對于類似ADIRU 操作系統的機載軟件系統，美國航空無線電委員會(RTCA)
歐洲民用航空設備組織(EUROCAE)合作開發了一套標準，在美國和歐洲分別被編
號為DO-178 和ED-12，最新的版本為1992 年發布的DO-178B 和ED-12B，現在機
載軟件系統的設計都參考這一標準。
這一標準的功能是為機載軟件系統的開發提供指導，以使得軟件系統符合官
方的適航標準，但他本身并不是符合性文件，1993 年FAA 以AC 的形式將其融入
到符合性文件中，作為符合的一種方法，但不是唯一的方法。
19
在波音777 的ADIRU 操作系統進行適航取證的過程中，ADIRU 操作系統的所
有功能都進行了驗證測試，但沒有測試一個加速度計故障輸出異常值，系統重啟，
又一個加速度計失效這樣的特殊情況，而在實際運行過程中這一情況出現了。
任何軟件系統都可能存在BUG，而機載軟件系統中的BUG 造成的后果可能是
災難性的，現在的機載安全關鍵軟件系統應用越來越多，系統也越來越復雜，相
　
中國航空網 www.k6050.com
航空翻譯 www.aviation.cn
本文鏈接地址：民航安全資料1(90)