蔡锐　张锐

【摘 要】民用飞机系统的研制要求在国际上已经有成熟的法规规定，而国内的民用飞机系统目前还在很多方面存在一定差距，如管理体系、设计理念、安全性分析方法等等。本文着眼于FAR25.1322对机组警报系统的要求，研究了现代民用飞机机组警报系统的功能设计及其安全性分析，包括系统原理、设计要点、安全性分析的考虑。其中重点介绍了警报呈现元素及其优先级的设计。

【关键词】民用飞机；设计；机组警报；告警；安全性分析

1 警报系统设计

1.1 总则

机组警报的目的是引起机组的注意，以告知机组特定的系统状态异常或运行条件异常。现代的警报系统还会向机组提供应对异常情况的操作指导。这些功能的实现依赖于完善的警报功能设计，包括传感器、警报触发逻辑、信号的处理（依据紧急程度对优先级的设定），以及警报呈现元素。无需引起机组注意的异常情况，不应引起警报。

1.2 原理

机组警报系统的原理始终如一，即发现警报条件，判断紧急优先级，和以某种元素呈现。

1.3 设计要点

系统状态异常和运行条件异常，只有需要引起机组注意，并帮助机组做出决策、辅助其采取适当操作时，才进行警报。同时还要考虑具体的系统设计架构和驾驶舱原理。

所有呈现给机组的警报，必须提供有关运行条件或系统状态的信息，以便于机组进行相应操作。警报时机组应采取的操作在飞机操作手册中规定，是机组培训课程中学员必须掌握的重要内容。

遵循始终如一的系统设计原理，即发现警报条件，判断紧急优先级，和以某种元素（或元素的组合）呈现。

采取适当的警报系统呈现元素，通常有：

（1）主视觉警报

（2）视觉警报信息（包括失效指示标志）

（3）主听觉警报

（4）声音信息

（5）特殊语调（特殊声音）

（6）触觉信息

警报系统的警报设计要基于人的逻辑。各元素的警报要同步，要制定警报规则以区分不同的紧急程度。

警报的呈现要遵守紧急性和优先级的原则。

视觉警报必须与25.1322（e）条款规定的颜色规范相一致。

如果使用的听觉警报有多重语义，应提供相应的视觉、触觉警报以避免混淆，准确地识别警报内容。

警报内容。确定何种系统状态或运行条件需要警报。

紧急性和优先级。根据25.1322（b）和25.1322（c）（1）的要求，确定各警报条件的紧急性（警告、戒备、提示）和优先级。如果警报的紧急性和优先级要视情况而定，需说明具体情况。

呈现。确定始终如一的警报呈现方案。并确定警报呈现的格式。

1.4 警报功能元素

对于警告和戒备，为迅速引起机组关注，警报功能须至少有两个元素（参见25.1322（c）（2））。对于提示，不需迅速引起机组关注的，通常是一个元素。

警告

依据25.1322（c）（2），警告使用多种功能元素的组合。警告（不包括时间紧急的警告）典型的组合如下：

（1）主视觉警报，视觉警报信息，主听觉警报。

（2）主视觉警报，视觉警报信息，听觉警报信息或特定警报语调。

注1：主听觉警报可以在声音警报信息之前。

注2：按照25.1322要求，触觉警报可以和视觉或听觉警报组合。

时间紧急的警告

一些警告对于飞机安全运行具有时间紧急性，常用的主视觉警报和主听觉警报不能迅速引起机组对具体警报条件的关注，从而延误了机组采取措施的最佳时机。这种情况下，警告元素应直接提供具体的警报条件，使机组不需要查看其它的驾驶舱指示就能迅速进行关注。这类时间紧急的警告例如反应式风切变和近地警告。时间紧急的警告元素包括：

（1）对每种警报条件的特殊声音信息或特殊语调；

（2）对每种警报条件，在每个飞行员主要视野内的特殊视觉警报信息。

注：飞行员可感觉的特殊触觉警报也可满足25.1322（c）（2）的要求。

主视觉和听觉警报：

如果其他视觉和听觉警报更加需要机组关注，可不授权主视觉警报和主听觉警报。若使用主视觉警报和/或主听觉警报，应足以引起机组注意并作出反应，而又不至于使机组忽略时间紧急的警告。例如，在每个飞行员主要视野内的特殊视觉警报信息，足够引起机组的立即关注，可以取代主视觉警报。但是，听觉警报，或其他感官提示，仍需满足25.1322（c）（2）的要求。

戒备：

戒备使用的警报元素一般情况下与警告的相同，因为两者都需要机组的立即关注。

一些戒备警报条件预示着潜在的时间紧急警告条件。对这些情况，戒备警报系统元素应与相关的时间紧急警告元素相一致。

提示：

按照25.1322的要求，提示警报功能元素应包括视觉信息。提示信息应处于机组每隔一段时间可查看的位置。

提示信息不要求机组立即给予关注。因此，不需要使用两种感官组合的警报。另外，由于不需要机组立即关注，一般不使用主视觉或主听觉警报。

听觉或视觉信息，如维修信息、内容信息，或不需警报的状态信息在呈现给机组时，不应与警报功能冲突。

2 警报系统安全性分析

2.1 总则

警报系统在单独考虑以及与其它系统一同考虑的情况下，必须符合相关系统的安全性规定（如25.901（b）（2），25.901（c）和25.1309（b））。警报系统的安全性必须与其提供警报的系统功能或飞机级功能相当。

2.2 分析要点

使用25.1309（b）对带有机组报警的具体系统或功能进行安全性分析时，需同时评估系统功能失效和相关报警的失效（25.1309（d）（4））。包括对引起系统功能和任何相关警报功能失效的单点（共模）失效的影响进行评估。失效定义为：影响组件、零件或元件正常运行的情况，使其不能完成应有的功能。包括丧失功能和错误功能。因此，进行安全性分析时，应考虑丧失功能和错误功能两种情况。

由于机组警报系统通常与其他系统集成（或共模），警报系统的失效或错误的影响要分别单独分析和与其他系统联系起来分析（25.1309（b））。应分析警报系统的失效或错误对接口系统的串联影响。特别要考虑并避免对警报系统的错误判断导致飞机危险增加（25.1309（c））。

评估警报系统的安全性，是通过评估警报系统失效时安全裕度的下降，包括：

（1）警报功能完全丧失；

（2）错误功能；

（3）警报功能丧失或错误功能与系统状态的组合。

要对警报系统的安全性进行检查，因为会影响机组对警报的确认和反应。虽然某个系统单个的虚警影响有限，但如果虚警多次发生，将增加机组工作负担，降低机组对警报系统的信任度，使其无法确认真实警报。

【参考文献】

[1]SAE ARP 4754A，民用飞机和系统开发指南[S].2010.

[2]SAE ARP 4761，民用机载系统和设备的安全性评估过程的实施指南和方法[S].1996.

[3]AC25.1309，系统设计和分析[S].

[4]AC25.1322-1，机组警报[S].

[责任编辑：孙珊珊]