Часто ли в автоматизированных системах управления используются датчики без резервирования?

Читая статью о авиакатастрофе Lion Air с Boeing 737 Max 8 , меня очень удивил следующий абзац:

При разработке 737 Max компания Boeing решила передавать MCAS данные только от одного из двух датчиков угла атаки за раз, в зависимости от того, какой из двух дублирующих компьютеров управления полетом — один со стороны капитана, один со стороны второго пилота. — оказался активным на этом рейсе.

Мое наивное предположение заключалось в том, что любая система, способная направить самолет на землю, обязательно будет иметь избыточный вход датчиков и отключится, если между датчиками возникнут серьезные разногласия.

Часто ли в коммерческих самолетах используются нерезервные датчики для таких целей?

В этой статье, кажется, говорится, что автоматическое управление было добавлено задним числом...
@sean Поскольку вы проголосовали за то, чтобы сказать, что первый и единственный мой вопрос является дубликатом этого , не могли бы вы, по крайней мере, попытаться сделать реальные примеры такой системы, помимо того, который уже предоставлен ymb1 в его ответ на мой якобы дублированный вопрос?

Ответы (3)

В общем, да. За исключением некоторых конфигураций, а именно автоматической посадки, функции автоматического полета обычно обеспечиваются одним набором датчиков.

Это соответствует тому факту, что бортовые приборы пилотов также питаются из одного источника. Следовательно, поведение автопилота и инструменты должны иметь последовательную и предсказуемую реакцию.

Основная причина – локализация неисправности. Если летный экипаж обнаружит неисправность приборов капитана, то отключение приборов и функций автоматического полета на стороне капитана гарантирует, что ошибочные данные не повлияют на приборы и органы управления второго пилота.

Если у вас есть система, пытающаяся «умно» голосовать, вы рискуете не быть в состоянии изолировать неисправный датчик, особенно в 2-х неисправных ситуациях с 3-мя датчиками. Еще одна классическая проблема заключается в том, как предотвратить превращение системы голосования в единую точку отказа.

Приборы сопровождаются компаратором, который обнаруживает существенные различия между избыточными показаниями и вызывает соответствующее предупреждение. Большинство систем обрабатывают предупреждение как бинарное: летный экипаж вручную сравнивает все показания и, используя человеческую логику, решает, какие из них не соответствуют друг другу.

«неспособность изолировать неисправный датчик» … и вот тогда вы попадаете в такие ситуации, как XL Airways 888.
По-видимому, предупреждение о несоответствии было просто платной опцией на B737 MAX, я полагаю, до сих пор.
Сегодня в Seattle Times появилась новая статья с большим количеством интересной информации о (несовершенной) сертификации FAA. В нем утверждается, что устройства, которые вызывают «серьезный отказ», то есть могут причинить физические страдания людям, могут полагаться на один датчик, в то время как потенциальные причины «опасного отказа», означающего, что он может привести к серьезным или смертельным травмам, должны по меньшей мере, два. Поэтому решающее значение имеет то, к какой категории относится MCAS.
Интересно, почему в книгах по критически важным для безопасности системам говорится о TMR, критериях голосования и других подобных вещах, если, в конце концов, лучше оставить это человеческой логике, а цель этих систем должна состоять только в том, чтобы сказать: «Может быть, есть проблема, посмотрите на нее и посмотрите, что вы можете сделать» (как насчет перегрузки информации?). Я предполагаю, что система голосования тоже может быть избыточной ( кто контролирует контроллеры? ), или, в зависимости от сложности компонента, можно было бы констатировать маловероятность ее отказа и сказать, что ее достаточно. (В конце концов, все дело в вероятностях...)
@user71659 user71659 Поскольку вы проголосовали за то, чтобы сказать, что первый и единственный мой вопрос является дубликатом этого, не могли бы вы хотя бы попытаться сделать реальные примеры такой системы, помимо того, который уже предоставлен ymb1 в его ответ на мой якобы дублированный вопрос?
@PeterA.Schneider Заявление «опасный» уровень опасности должно было препятствовать активации системы на основе данных с одного датчика» в статье является упрощением того, что, вероятно, является сложным анализом дерева отказов в соответствии с ARP4761. Не существует жесткого правила, согласно которому для работы в опасных условиях требуется два датчика, но обычно требуется избыточность, поскольку датчики с ~1 отказом на 100 миллионов летных часов практически невозможны.
@CodyP Итак, для практических целей предложение верно, потому что сложный анализ дерева отказов почти всегда приводит к необходимости избыточности? Как вы говорите, высокий mbf, необходимый для одиночного ввода, «почти невозможно» удовлетворить. Я что-то пропустил?
@ PeterA.Schneider Вы правы. Я в основном объясняю предысторию этого утверждения и (возможно, слишком) придирчив к разнице между жестким правилом, требующим двух датчиков, и обычным требованием двух датчиков.

Первый ответ касается авионики (дисплеи, автопилот, оповещения, предупреждение о срыве), чей отказ из-за одного источника обычно имеет незначительную критичность. Если ваше предупреждение о сваливании дает осечку, это не имеет большого значения, так как ожидается, что пилот проведет перекрестную проверку по другим источникам (экран второго пилота, ISI и т. д.) и, наконец, отключит встряхиватель ручки (толкатель ручки, с другой стороны). руки - совсем другое дело). Однако для самолета с дистанционным управлением другой стороной истории автоматизации является управление полетом.

Поскольку законы управления полетом изменяют характеристики управления за сценой, требуется гораздо больше избыточности. По закону любой единичный отказ в управлении полетом, вне зависимости от вероятности, не должен быть катастрофическим. Затем, в зависимости от вероятности комбинаций отказов, их также необходимо обрабатывать соответствующим образом. Это означает, что критические источники в компьютерах управления полетом должны иметь резервирование. Это включает в себя инерциальные данные, данные о воздухе, угол атаки, положение на поверхности и т. д. Сами компьютеры также должны быть избыточными и достаточно разными, чтобы избежать сбоев общего режима, которые выведут их из строя все сразу.

Теперь, поскольку MCAS является частью управления полетом, можно подумать, что требуется избыточность, чтобы согласовать вероятность отказа с его критичностью (первоначально оцениваемой как опасная, но не катастрофическая). В этом и заключается спор.

В общем, нет. Только в тех случаях, когда отказ системы очень мало влияет на дальнейшую безопасную эксплуатацию самолета.

Как упоминалось в этом вопросе , необходимо провести анализ:

  • Тяжесть последствий отказа системы.
  • Время пребывания в состоянии отказа.
  • Частота отказов оборудования.

Последствия отказа крейсерского автопилота обычно безобидны (за исключением некоторых серьезных отказов), плюс у летного экипажа есть большой запас высоты и времени, чтобы оценить, что не так. В таком случае вполне допустим один преобразователь.

В этом ответе приведен пример резервирования в системе автоматической посадки CATIII, которая имеет тройное резервирование во всех системах, включая датчики. Это пример критической системы, но не единственный. Как упоминает @Jimmy, управление полетом по определению имеет решающее значение для полета.

Часто ли в автоматизированных системах управления используются датчики без резервирования?
СпросиСетьПолитика конфиденциальности1y, 0v