无人机飞行手册需要规定了本无人机系统在设计和运行中，针对可能发生的系统失效、链路中断及其他紧急情况的安全要求、自动响应机制以及操控员应遵循的程序，旨在确保飞行安全，防止失控或飞出预设区域。

1. 失效处理设计与试验要求

为确保无人机系统在发生失效时仍能维持控制或在预设区域内安全终止飞行，系统设计必须经过严格的验证和试验，具体要求和验证结果如下：

1.1 设计原则：

系统设计应采用冗余、隔离或故障安全机制，确保可能发生的任何单一失效或合理的组合失效不会导致：

• 对无人机的完全失控。

• 无人机无指令地飞出预设的飞行地理围栏区域。

1.2 必须验证的关键系统失效： 通过地面试验、模拟试验和飞行试验，已证实本系统至少能够安全处理以下关键系统或设备发生可能失效的情况：

• 升力/推力/动力系统失效： 例如单发/单旋翼失效、动力电池单电芯失效、电机控制器失效等。具体设计应对措施包括：多旋翼/多引擎冗余、自动降功率/紧急迫降等。验证方法例如：模拟动力丧失下迫降轨迹控制试验等。

• 能源系统失效： 例如主电源掉电、动力电池电压骤降/严重不均衡、备用电源故障等。具体设计应对措施包括：电源冗余切换、低电量告警及自动返航/降落等。验证方法例如：主备电源切换试验、低电量强制触发试验等。

• 指挥和控制 (C2) 数据链路失效： 例如上行链路信号中断、下行链路信号中断、双链路同时中断。具体设计应对措施见后。验证方法例如：主动关闭链路验证预定动作执行等。

• 全球导航卫星系统 (GNSS) 失效： 例如卫星信号丢失、信号受干扰或欺骗导致位置/高度/速度信息不可靠等。具体设计应对措施包括：切换备用导航源(如视觉、气压计、航位推算)、依赖C2链路保持位置、或启动紧急降落等。验证方法例如：GNSS屏蔽/干扰试验。

• 单点失效飞行控制部件失效 (如适用)： 例如特定类型无人机上存在的、无备份且其失效直接导致严重后果的舵机、飞控计算机关键通道、传感器等。具体识别出的单点失效部件和设计应对措施包括：无冗余副翼舵机 - 设计为卡阻时由其他舵面补偿；关键传感器多路冗余等。验证方法例如：模拟关键传感器失效或舵面卡阻试验。

• 遥控台 (站) 失效： 例如控制单元/软件崩溃、关键输入设备(如摇杆)失效。具体设计应对措施包括：操控员切换冗余控制台、系统探测操控员输入丢失超过阈值触发链路丢失程序等。验证方法例如：模拟控制台崩溃试验、断开主要控制输入试验等。

• 影响安全运行的其他系统失效 (如适用)： 根据本系统特定设计，识别出的其他关键系统(例如避障系统核心处理器、关键数据链中继节点、高压线缆等)。具体应对措施包括：避障失效后依赖高度保持+目视飞行原则；中继节点失效后自动降低飞行高度尝试直接连通等。验证方法根据具体系统定制试验。

1.3 飞行试验验证要求：

• 所有失效处理能力的飞行验证试验必须在飞行的关键阶段 (例如起飞爬升、任务执行(尤其是低空/复杂航线)、进近着陆) 和关键操作模式 (例如手动模式、自主模式、特定载荷工作模式)下进行。

• 试验必须在无人机系统与操控员的最高比率 (1:N) 下进行，其中 N为经评估允许的最大比率值，如1:3, 1:5等。这意味着试验需模拟一名操控员在最大允许操作负荷下同时监控和控制 N 架无人机时发生失效的情景，验证操控员能否有效察觉并处理故障。

  
  

• 2. 指挥与控制 (C2) 链路丢失应急程序

• 2.1 自动响应要求：

• (a) 无人机系统设计确保，在任何情况下检测到C2链路（上行链路、下行链路或双链路）中断超过预设时间阈值（如：1秒）时，将立即自动触发预定的安全指令序列，无需操控员干预。触发后，系统应立即向操控员发送显著的多重告警，例如：高优先级声光告警、移动应用推送、地图目标状态变化等，清晰指示“C2 LOST”状态等。

• (b) 预定指令序列将从以下选项中选择一种执行，见2.2，并持续执行直至链路恢复（若程序允许）或飞行终止：

• 继续执行预设任务 (Continue Mission)

• 在空中悬停 (Hover)

• 立即在当前位置或最近安全点执行垂直降落 (Land)

• 沿安全路径返回预设的起飞点或备降点 (Return Home)

• 2.2 预定行动选择：

• 本系统在检测到C2链路丢失时预定的默认行动为：例如返航 (RTH)。此默认行动基于任务类型、空域、飞行高度、剩余电量等因素综合评估确定。

• 该预定行动及其选择依据需明确记录在飞行手册中。

• 操控员在执行任务前，必须根据具体任务场景、风险评估结果和本手册规定，通过地面站设置或配置文件，确认或修改此次任务遇到链路丢失时的预定行动。预定行动设置应在起飞前最终确认。

• 2.3 C2链路最低性能要求与起飞限制：

• (a) 为保证基本飞行控制和安全，本系统定义的C2链路（包括上行和下行）在起飞前及整个飞行过程中必须满足的最低性能参数如下：

• 最小接收信号强度 (RSSI): 例如-105 dBm。

• 最大可接受误码率 (BER) / 丢包率 (PLR): 例如PLR < 1% 持续5秒。

• 最大链路中断时间: 例如1000 ms。

• (b) 设计保障：在开机自检或起飞前检查阶段，若系统检测到当前C2链路性能低于以上规定的最低要求且无法自动修复或提升，例如：无法建立稳定连接、关键指标不达标等，系统设计将阻止自主起飞命令的执行（硬阻止）。地面站会显示具体告警信息，例如：“C2链路不足，禁止起飞”。

• (c) 运行限制：即使在系统自检允许起飞的情况下，操控员在起飞前有责任：

• 确认地面站显示的C2链路信号质量指示符（例如信号强度条、链路状态灯、数值显示等）稳定满足或优于最低性能要求。

• 评估当前环境是否存在可能导致链路迅速恶化的风险（如靠近强干扰源、复杂地形、气象条件等）。

• 如果在完成起飞前检查后，或飞行过程中，C2链路性能持续显著低于最低要求（如信号强度持续降至临界值并伴随高丢包率），即使未达到完全中断触发预定动作的阈值，也需根据飞行手册的通用安全原则和风险评估，准备主动执行应急程序，或依据飞行手册指令紧急终止飞行（如主动触发RTH或Land）。

  
  

• 3. 其他应急程序

• 为应对系统失效（见第1章）和链路中断（见第2章）之外的紧急情况，或在特定失效情况下辅助操控员决策，飞行手册需要规定如下应急程序：

• 3.1 关键系统失效程序：针对关键系统失效（除链路丢失），操控员应遵循的紧急操作步骤、诊断方法、尝试恢复的指令以及最终的迫降/弃机决策指导。例如：

• 动力系统严重故障：切换至安全模式/迫降程序。

GNSS持续失效且无可靠备用源：依赖C2保持 + 目视操作/立即降落。

遥控台失效：尝试备用控制设备（如有），或等待触发C2丢失预定程序。

3.2 遭遇电子干扰程序：

(a) 现象识别：操控员应警惕可能由恶意或意外电子干扰导致的异常现象，如：C2链路信号质量突降且非环境导致、GNSS信号丢失或定位异常漂移、飞控传感器读数异常、自主系统行为紊乱等。地面站告警是重要提示。

(b) 处置程序：

立即行动：尝试操纵无人机脱离当前区域（如果控制尚有效），降低飞行高度（可能减弱干扰）。

执行预定义程序：

• 若GNSS干扰明显但C2链路仍可靠：优先依赖视觉/C2链路维持位置/返航（视情况）。

• 若C2链路受强干扰：系统通常会自动触发C2链路丢失预定程序。操控员应准备好手动干预该程序的窗口期（如选择备降点）或辅助决策（如确认安全降落区）。

• 若同时发生严重干扰或飞控异常：系统进入完全自主安全模式（如紧急降落）的风险增大。

• 迫降决策：评估风险，准备随时指令在最近安全开阔地迫降。

• 报告：记录事件详细信息（时间、地点、现象、无人机状态、尝试的恢复措施），并按规定上报。

3.3 受控应急着陆程序：

(a) 总则：在判断无法安全返航或维持悬停时（无论何种原因触发，如关键系统永久性故障、严重电量不足、无法摆脱的干扰等），需执行受控应急着陆。

(b) 优先顺序：

优先利用系统的自动应急着陆功能（如可用，需预先设定好相关参数）。

若系统自动功能不可用或操控员决定手动接管，则根据实际情况（地形、障碍物、风向风速、剩余能源）选择：

• 迫降 (Force Landing)： 在非预定场地进行垂直或滑降着陆。

• 弃机 (Ditching)： 在开阔水域着陆（仅限防水或水陆两栖设计并标明）。

(c) 程序步骤：

• 选择着陆区： 可能选择远离人口、建筑、道路、易燃物的开阔平坦区域（或水面）。

• 通告：通过地面站（如可用）向监控系统发出应急着陆告警，并尝试利用任何可用手段（如移动电话）口头通告位置和意图（视法规要求）。

• 执行着陆：按飞行手册规定操作步骤（自动或手动）执行着陆。手动着陆时，特别注意控制下降率、姿态和接地瞬间。

• 后果处理：着陆后，按程序关闭系统（如可能），标记位置，记录详情，报告事故，并在专业人员指导下进行回收（如涉及危险品）。

来源：无人机飞控

编辑：王政屿