对民航飞机电子飞行包系统的安全研究（part1）

进近和着陆性能应用程序计算会向飞行员提供关键性能数据，例如进近时的速度、襟翼设置。修改其中任何一项都可能产生严重后果。例如，由于着陆距离计算不正确，一架飞机离开跑道末端或与跑道上的另一架飞机相撞，为了评估风险，我们邀请获得执照的商业飞行员对模拟器进行了修改，他们对安装在EFB上的进近和着陆性能应用程序进行了各种修改。

0x01 背景介绍

在之前的一篇文章中，我们讨论了篡改起飞性能应用程序的潜在危害。我们现在讨论进近和着陆性能应用程序的完整性，以及它们被篡改的潜在后果。

与起飞性能应用程序一样，PTP 修改了 EFB 上的进近和着陆性能应用程序。为了评估风险，我们邀请获得执照的商业飞行员对模拟器进行了修改，飞行员执行任务时就像在航空公司上班一样，包括完成任何适用的交叉检查。这确保了我们的评估是准确的，并使我们能够确定是否存在任何缺陷以及考虑可以进行哪些改进。

0x02 进近和着陆计算

在进行进近、着陆之前，计算进近和着陆性能一直是规划阶段的关键部分。需要考虑各种性能问题，包括：

在进近、着陆时使用什么速度和襟翼设置？

飞机停止需要多少跑道距离？是否正在使用着陆和等待 (LAHSO) 操作？如果是，这是否会影响停车距离？

需要什么样的制动，是否需要反推？

天气状况如何？温度是否是一个考虑因素？

跑道的标高是多少，是否有跑道坡度？

这些项目的计算是至关重要的。错误计算可能会产生严重后果，因此在许多航空公司中，两名飞行员都需要独立计算进近、着陆性能。作为粗差检查，然后对飞行员的计算进行比较。

虽然许多飞行员仍然使用纸质图表和纸笔来计算他们的进近/着陆性能，但使用 EFB 计算性能变得越来越普遍。使用 EFB 应用程序提高了准确性和效率，总而言之，使用 EFB 可确保更稳健的性能计算。

在飞行员使用纸质图表来计算他们的表现的航空公司中，虽然 EFB 没有进行计算，但可能仍会提供大部分所需的数据。可以从 EFB 查阅显示关键数据的机场图表，其中包括从 EFB 图表、手动应用程序获得的可用着陆距离等项目。

与起飞性能一样，可悲的是，多年来发生了多起事故，原因是进场和着陆性能的计算不正确。

考虑任何错误计算的次要影响也很重要，包括人为因素。飞行员对威胁的感知会影响他们的行为以及他们处理飞机的方式。包括故意错误处理。1997 年，一架 MD11 在美国纽瓦克降落时坠毁。NTSB 报告指出：“飞行机组在确定着陆所需跑道长度时的计算错误影响了机长在最后进近和着陆期间的后续行动——提前着陆”。该报告还指出“对计算的着陆距离的混淆可能导致对接地后可用跑道距离的潜在危险错误计算”。

联邦快递飞行员担心能够在可用的着陆距离内停止飞机，导致他们在着陆时对飞机的处理不当，出现明显的偏航导致坠机。

完整报告： https ://reports.aviation-safety.net/1997/19970731-0_MD11_N611FE.pdf

联邦快递的事故与 2007 年在厄瓜多尔基多冲出跑道的 Iberia A340-600 有相似之处。由于担心自己的能力，飞行员故意降低进近角度以试图在跑道一开始着陆在跑道末端之前停止飞机。这导致了硬着陆，损坏了飞机的重要部件，使其无法在跑道上停下来。虽然所有机上人员都在伊比利亚事故中幸存下来，但飞机被损毁了。

Iberia A340 在厄瓜多尔基多损毁图

0x03 着陆影响因素

着陆距离计算：

跑道有各种形状和大小，虽然总是矩形，但跑道通常建在不完全平坦的地形上，因此有不同程度的坡度。

飞行员评估正在使用的跑道并决定着陆的适当配置。为了评估他们必须在哪里着陆以及需要什么样的制动，飞行员确定可用着陆距离，然后将其与计算的所需着陆距离进行比较。简而言之，可用着陆距离必须大于所需着陆距离。

可用着陆距离（LDA）：

适合飞机着陆地面滑跑的跑道长度，这是一个固定的距离，但是在延长的“float”之后着陆将导致 LDA少于着陆滑跑距离 。

所需着陆距离（LDR）：

飞机着陆并完全停止所需的距离。这是一个可变距离，受许多因素影响，飞机重量/速度/襟翼/刹车设置、包括风/温度在内的天气状况、跑道状况（干/湿/冰）和坡度，以及其他几个影响 LDR 的因素。

带有着陆性能应用程序的 EFB 使飞行员能够计算 LDR。与起飞性能应用程序一样，着陆性能应用程序在本地计算，因为它们通常无法接收空中信号/数据。当天气条件和目的地使用的跑道已知时，它们还需要在着陆后相对较短的时间内执行。

计算 LDR 后，应用程序通常将 LDR 与 LDA 进行比较，并在飞机在跑道末端之前没有停止的风险时警告飞行员。在没有此功能的 EFB 上，飞行员将 LDR 与他们进近图上显示的 LDA 进行比较，以评估深度着陆是否可行，以及适当的自动刹车设置。自动刹车设置越低，着陆滑跑时间就越长。

在确定自动刹车设置时，要考虑尽量减少刹车磨损。与汽车一样，飞机制动器会随着时间的推移而磨损，并在它们不再充分发挥作用时被更换。因此，如果跑道占用不是问题，飞行员将致力于通过使用自动刹车设置来最大限度地减少刹车磨损，从而延长着陆滑跑。

2015 年 5 月，一架维珍澳大利亚航空 737-800 在距离跑道末端 5m 处着陆，并使用全反推力、减速板和自动刹车功能正常降落在所需的接地区内。最终，机组人员超越了自动刹车并施加了最大的手动刹车，同时保持完全反向推力的时间比正常操作中使用的时间更长——从而防止了跑道偏移（5m）。

ATSB 发现机组人员使用干跑道的数据计算了所需的着陆距离 (LDR)，而实际上跑道是湿的。结果，着陆滑跑比预期的要长得多。还注意到最后进近时存在 5 节的顺风——性能计算中没有考虑到这一点。如果将这两项都考虑在内，随后的计算显示飞机的预期着陆距离增加了约 12%。

大多数航空公司的政策都要求对着陆距离应用安全裕度。通常采用 15% 的安全裕度，即计算的 LDR 增加 15%，然后与 LDA 进行比较。如果 LDR包括安全裕度大于 LDA，则需要更高的减速率，通常通过增加刹车设置/使用更大的襟翼设置，或应使用不同的跑道。ATSB 表示，在上述事件中已经应用了 15% 的保证值，但停止性能仍然比预期的差。

与起飞性能案例一样，PTP 能够修改着陆性能计算。在相同的着陆条件下，我们能够为 LDR 生成不同的输出，无法辨别正在计算的 LDR 不正确：

使用上述信息，下图显示了 2500m 长跑道上的停止距离：

0x04 偏离跑道风险

简而言之，没有足够的跑道在跑道末端之前停止飞机。这可以分为两个部分：

可用着陆距离是假的，人为改变了跑道长度；

实际所需着陆距离的计算错误，需要多少跑道才能停止飞机。这可能是通过直接修改应用程序以产生不正确的输出，例如始终呈现相同的结果 - 无论数据输入如何；或修改存储的数据以减少计算输出，例如修改温度对着陆距离的影响，或者更重要的是，抑制顺风对着陆距离的影响。

修改 LDR 表明飞机将在比实际更短的距离内停止具有明显的潜在威胁，修改 LDA 表明跑道比实际更长也是如此。飞行员应该参考图表以确认应用程序中的跑道长度是正确的，但这很容易出问题。但是，无法确认计算出的停止距离是否正确，飞行员的经验可能会出现严重错误，例如着陆距离增加 50%。

0x05 机场天气状况

跑道污染（水/雪/冰）会影响制动效果。根据跑道状况，停止距离可能会增加，在某些情况下增加一倍以上，因此准确计算 LDR 在恶劣天气情况下尤其重要。

在计算污染跑道的 LDR 时，EFB 性能应用程序通常将因子应用于干跑道 LDR，这些因子存储在 EFB 的数据库中。修改任何适用因素都会产生不同的 LDR 计算。

修改顺风系数可能会产生非常显着的影响。在大多数情况下，顺风着陆是可以接受的，只要准确计算。根据经验，前 10 节顺风时着陆距离增加 21%。抑制或减少顺风的影响可能会导致着陆滑跑显着增加。

0x06 机载设备无法使用

飞机经常带着无法维修的部件飞行。考虑到商用飞机上安装的物品、零件的数量，几乎不可能让每件物品都始终可用。结果，飞机制造商创建了手册，其中指定了哪些部件可能无法使用，以及该部件的无法使用的持续时间是可接受的，即工程师需要在什么时候修复该部件。这些手册称为最低设备清单 MEL或调度偏差指南 DDG。

MEL / DDG 将指定在无法使用零件的情况下需要将什么因素应用于着陆距离。着陆性能应用程序允许飞行员选择飞机缺陷，然后将该因素自动应用于着陆距离。例如，一个车轮制动器不起作用可能需要将计算的着陆距离增加 10%。如果一个因素被修改，那么飞行员通常无法知道它是否被正确应用，因为许多应用程序没有显示在性能应用程序本身中应用的因素。相反，它们倾向于显示“应用因素”或类似的东西。

我们能够抑制无效项目对着陆性能应用程序的影响。该应用程序仍然显示已应用性能校正，而实际上并未应用。在起飞情况下，当应用 MEL 系数时，所需的推力设置增加了 20%。抑制这个因素意味着计算出的推力设置比应有的低 20%，但应用程序显示“应用因素”。对于着陆计算，抑制该因子意味着着陆距离计算比应有的缩短了 50%。

抑制的 MEL 因子 LDR 计算

相关事故：

2008 年TGU 的 TACA 国际航空公司在湿跑道上以 12 节的顺风降落时冲出跑道。机组在接地后 4 秒应用了全手动制动，无法在跑道结束前停止飞机，飞机以 54 节的速度冲出跑道，导致数人死亡。

初步报告： https ://reports.aviation-safety.net/2008/20080530-0_A320_EI-TAF_PRELIM.pdf

维珍澳大利亚航空 737于 2015 年在 CHC 停靠，距离跑道末端 5m。机组人员根据干跑道计算 LDR，而实际上跑道是湿的。此外，还存在未被考虑的顺风。

报告： https ://www.atsb.gov.au/media/5774950/ao-2015-046-final.pdf

2007 年， UIO 的 Iberia A340 在飞行员因担心停止距离而下降到轮廓以下降落在跑道上后冲出跑道。

报告： https ://www.skybrary.aero/bookshelf/books/1689.pdf

FedEx MD11于 1997 年在 EWR，由于担心所需的跑道距离，飞行员在着陆时对飞机处理不当，导致飞机反弹并坠毁。机组人员错误地计算了 Airport Performance 电脑上可用的着陆距离。

报告： https ://www.ntsb.gov/investigations/AccidentReports/Reports/AAR0002.pdf

SkyLease 747于 2018 年在 YHZ，飞机以 8 节顺风着陆但无法停止，最终在跑道末端 210m 处停止。

2020 年在 YHZ 的 Westjet 737飞机降落并冲出跑道。

0x07 接地碰撞

Land And Hold Short Operations (LAHSO) 是一种主要在美国使用的程序。它是一种空中交通管制程序，用于飞机着陆并在跑道上的交叉跑道或点附近等待，通过增加跑道可用性、容量来提高效率。

LAHSO 有几种软件。在下图中，一架飞机正在着陆，另一架飞机正在起飞。着陆飞机将被指示在交叉跑道着陆并保持短距离，飞机起飞时将充分利用其跑道。

飞行员计算他们的着陆距离，并评估他们是否可以在 LAHSO 跑道上的任何交叉口之前着陆和停止。如果 LDR 接近或超过交叉路口前的可用距离，则需要增加减速度，替代方法是拒绝 LAHSO 或申请不同的跑道。如果 LDR 计算错误，飞行员可能认为他们可以在任何交叉的跑道之前着陆和停止，从而导致他们产生错误的安全距离。当飞机未能及时停止时，这一点就会变得明显，结果将是偏离跑道，两架飞机相撞的威胁更大。

1997 年联合航空公司 737 在芝加哥奥黑尔，飞机降落但由于强风无法在交叉跑道前停下。一架从交叉跑道起飞的波音 747 被 ATC 指示停止，飞行员急刹车，6 个轮胎爆裂。