Что это означает, когда автопосадка является пассивной/работающей при отказе?

Приведенное объяснение относительно «отказоустойчивости» и «отказоустойчивости» верно, поскольку «отказоустойчивость» означает, что система будет продолжать функционировать после сбоя, а «отказоустойчивость» означает, что система не будет вести себя неправильно после сбоя.

Однако точное количество автопилотов, необходимых для выполнения этой работы, является спорным; и многое зависит от того, как вы это определяете.

Возьмем Боинг 777, потому что с него легко начать. Имеет три автопилота. На нем будет написано «ЗЕМЛЯ 3» или «ЗЕМЛЯ 2» соответственно. В системе из трех сбой может быть обнаружен, если один не согласен с двумя другими. В системе из двух неясно, какой из них вышел из строя, поэтому все блоки отключаются.

А теперь самое интересное: что, если я смогу отличить неисправный модуль от исправного без использования другого функционального модуля? Другими словами, что, если у меня есть что-то, что может контролировать существующие блоки, но не способно функционировать так же, как один из контролируемых блоков самостоятельно?

Вот как можно реализовать отказоустойчивость с двумя автопилотами. Например, система управления полетом и наведения (FMGS) на Airbus A320 может переключаться с «двойного режима» на «один режим». FCOM не уточняет, как он это делает. _{(A320 FCOM - Системы самолета - Автоматический полет - Общие)}

Но FCOM заявляет, что автоматическая посадка CAT 3 DUAL не работает.

оставшаяся часть автоматической системы позволяет самолету выполнить заход на посадку, взлет и посадку

в то время как посадка "CAT 3 SINGLE" пассивна при отказе:

нет значительного рассогласования или отклонения от траектории полета или пространственного положения, но посадка не завершается автоматически

_{A320 FCOM - Процедуры - Стандартные процедуры - Категории посадки}

Боинг 737 имеет 3 инерциальных источника, но только 2 автопилота. Он реализует отказоустойчивость на инерциальных источниках, но отказоустойчивость на автопилотах.

Если обнаружен сбой, органы управления полетом реагируют на A / P, командующий меньшим движением органов управления. Если в одном A/P происходит отказ, неисправный канал нейтрализуется вторым каналом, так что оба A/P отключаются с минимальным маневрированием самолета и звуковыми и визуальными предупреждениями для пилота.

_{Boeing 737 FCOM, том 2 - Автоматический полет - Описание системы}

Определения, предоставленные FAA, можно найти в документе AC 120-28D — Критерии утверждения минимума погоды категории III для взлета, посадки и развертывания . Из документа находим для Fail Operational:

4.3.2. Невыполнение операций категории III. Отказоустойчивая система — это система, которая после отказа любого отдельного компонента способна выполнить заход на посадку, выравнивание и приземление или заход на посадку, выравнивание, приземление и развертывание с использованием оставшихся рабочих элементов отказоустойчивой системы. Последствия отказа отдельных компонентов системы, самолета или внешнего по отношению к самолету оборудования, которые могут повлиять на характеристики приземления или выкатывания, должны учитываться при оценке отказоустойчивых систем.

Со следующими примерами:

Ниже приведены типичные схемы, которые могут быть приемлемыми для отказоустойчивых операционных систем:

1. Два или более пассивных автопилота с контролируемым отказом или встроенные системы управления полетом автопилота, каждая из которых имеет два канала, образующих автоматическую аварийную операционную систему, разработанную таким образом, чтобы по крайней мере одна система автопилота оставалась работоспособной после отказа одной системы, а отказавшая система не использовалась или не могла привести к неприемлемой работе системы автоматического полета.
   Примечание. После сбоя с этой конфигурацией не предполагается, что посадка будет продолжена только с полетным директором, если только не будет завершена успешная демонстрация Proof of Concept.
2. Три автопилота или интегрированные системы управления полетом с автопилотом, сконструированные таким образом, чтобы по крайней мере две из них оставались в рабочем состоянии после отказа, не допуская сравнения, и обеспечивали необходимый контроль и защиту при продолжении посадки.
3. Отслеживаемая пассивная автоматическая система управления полетом с возможностью автоматической посадки до приземления и развертывания, если это применимо, а также независимая и надлежащим образом защищенная от отказов ручная система управления полетом, подходящая для посадки и развертывания с наведением, предоставляемым летному пилоту, и дисплеями мониторинга для не - летающий пилот. Для этой договоренности потребуется демонстрация доказательства концепции.
4. Две независимые и надлежащим образом контролируемые системы ручного управления полетом с независимыми дисплеями для летящего и нелетающего пилота, каждая из которых способна поддерживать посадку и выкатку. Для этой договоренности потребуется демонстрация доказательства концепции.

Ключом к отказоустойчивости является способность продолжать работу после единичного сбоя. Речь идет о возможностях, а не о решении, которое предоставляет возможности.

И для Fail Passive:

4.3.4. Провалите пассивные операции категории III. Отказо-пассивная система — это система, которая в случае отказа не вызывает значительного отклонения траектории полета или пространственного положения самолета. Возможность продолжать полет может быть потеряна, и может потребоваться альтернативный курс действий (например, уход на второй круг).

Со следующими примерами:

Типичные схемы, которые могут использоваться для выполнения требований к пассивным операциям при отказе категории III с использованием высоты принятия решения 50 футов, включают следующее:

1. Единая контролируемая система автоматического управления полетом с возможностью автоматической посадки.
2. Отказоустойчивая система автоматического управления полетом с автоматической посадкой, которая вернулась к отказо-пассивной конфигурации или была отправлена ​​в отказо-пассивную конфигурацию.
3. Контролируемая система управления полетом (например, HUD), предназначенная для ручного управления летящим пилотом и для контроля пилотом, не летящим. Воздушное судно, предназначенное для полетов по категории III, должно быть оснащено бортовыми системами, которые соответствуют критериям, указанным в добавлении 3. Воздушное судно, ранее продемонстрировавшее соответствие критериям отказоустойчивости, может продолжать эксплуатироваться с использованием минимумов категории III в соответствии с утвержденными эксплуатационными спецификациями.

Ключ к Fail Passive заключается в том, что он не представляет опасности, даже если вы не сможете продолжить подход.

Я не думаю, что цитата, которую вы привели, верна. Это может иметь место для некоторых самолетов (например, Boeing 777 с 3 автопилотами), но не для всех. Более общее определение:

Системы Autoland обычно обозначаются как Fail Operational или Fail Passive.

• В системе Fail Operational для захода на посадку должно быть задействовано как минимум два автопилота. Отказ одного автопилота по-прежнему позволит выполнить автоматическую посадку. Это позволяет выполнять заход на посадку без высоты принятия решения.

• Система Fail Passive обычно связана с одним заходом на посадку на автопилоте. В этом случае отказ автопилота не приведет к немедленному отклонению от заданной траектории полета; однако летающий пилот должен немедленно взять на себя управление самолетом и, если у него нет достаточной визуальной ориентировки для посадки, выполнить уход на второй круг. Наименьшая допустимая высота принятия решения (DA) для отказоустойчивой системы обычно составляет 50 футов.

^{( SKYbrary - Autoland - Безопасность системы )}

Таким образом, 2 автопилота достаточно для системы Fail Operational . Конкретно про А320 сказать не могу, но у Боинга 737 есть отказоустойчивый режим автопосадки всего с двумя автопилотами:

Объявления об отказе в работе Autoland

Следующие сообщения информируют летный экипаж о режиме и состоянии системы автоматической посадки:

• ЗЕМЛЯ 3 — два автопилота, три инерциальных источника и соответствующие датчики работают нормально для автоматической посадки и выкатывания.
• LAND 2 – произошел сбой выше Alert Height и избыточность снижена; но система автопосадки по-прежнему способна выполнять автоматическую посадку и выкатку.
• NO AUTOLAND – система не может совершить автоматическую посадку.

При индикации LAND 3 (отказ в работе) уровень резервирования системы автоматической посадки таков, что единственная неисправность не может помешать системе автопилота совершить автоматическую посадку.

При индикации LAND 2 (пассивный отказ) уровень избыточности таков, что одиночный отказ не может вызвать существенное отклонение от траектории полета.

^{(Boeing 737 NG FCOM v2 - Автоматический полет - Описание системы)}

Давайте посмотрим на утверждения и посмотрим, насколько они верны или неверны.

Заявление 1:

Неисправность в работе — когда у вас задействовано 3 автопилота, так что любой отдельный сбой приведет к тому, что оставшиеся 2 автопилота смогут безопасно посадить самолет. То есть при сбое автоленд остается в рабочем состоянии.

Во-первых, это утверждение не является неверным. Это правильно. Да, если у самолета 3 автопилота, он останется работоспособным, если один из них выйдет из строя во время автоматической посадки. Но вам не нужно 3 автопилота, чтобы достичь отказоустойчивости. Если вы хотите иметь отказоустойчивую работу с двумя автопилотами, вам нужны две полностью независимые системы контроля производительности автопилота. Все самолеты Airbus, начиная с A320, имеют два автопилота и все они имеют отказоустойчивые системы автоматической посадки.

Заявление 2:

Fail Passive — если у вас задействованы 2 автопилота, так что один отказ автопилота приведет к отключению обоих автопилотов без значительного отклонения от установленной траектории полета. В этом случае пилот должен вручную взять на себя управление и уйти на второй круг/приземлиться.

Это утверждение неверно. При задействовании двух автопилотов в случае отказа одного автопилота система становится пассивной при отказе. Отключение другого автопилота не обязательно. А в некоторых определенных случаях самолет может даже совершить автоматическую посадку с одним автопилотом (в этом случае он остается неработоспособным). Позже я объясню, как это работает.

Вот определения JAA (текущий EASA) как для отказоустойчивого, так и для пассивного отказа.

НЕИСПРАВНОСТЬ РАБОТАЕТ

Автоматическая система посадки является отказоустойчивой, если в случае отказа ниже высоты боевой готовности заход на посадку, выравнивание и посадка могут быть выполнены оставшейся частью автоматической системы. В случае отказа система автоматической посадки будет работать как аварийно-пассивная система.

НЕУДАЧА ПАССИВНАЯ

Автоматическая система посадки является отказо-пассивной, если в случае отказа не возникает значительного отклонения от балансировки или отклонения от траектории полета или пространственного положения, но при этом посадка не выполняется автоматически. В отказо-пассивной системе автоматической посадки пилот берет на себя управление самолетом после отказа.

Если мы посмотрим на определение отказоустойчивости, то увидим, что оно ничего не говорит о трех автопилотах. Но это говорит что-то о высоте предупреждения. Это говорит о том, что ниже высоты предупреждения система неисправна, если после отказа в автоматической системе самолет все еще может выполнить автоматическую посадку с оставшейся частью автоматической системы. Так что же это за высота оповещения?

Согласно Airbus A320 FCTM:

ПРЕДУПРЕЖДЕНИЕ О ВЫСОТЕ

Предупреждающая высота (AH) — это высота над взлетно-посадочной полосой, определяемая характеристиками самолета и его отказоустойчивой системой автоматической посадки, при превышении которой заход на посадку CATIII прекращается и начинается уход на второй круг, если отказ происходит в одном из резервные части системы автоматической посадки или в соответствующем наземном оборудовании.

Предупреждающая высота — это высота, полученная производителем самолета во время сертификации самолета (AH для A320 составляет 100 футов). Это минимальная высота, на которой или ниже которой самолету разрешено выполнять автоматическую посадку после отказа его резервных автоматических систем. Так, например, в A320, если вы выполняете автоматическую посадку с включенными обоими автопилотами, и если один из автопилотов выходит из строя выше высоты предупреждения, которая составляет 100 футов, вы немедленно начинаете уход на второй круг.

Итак, что, если один из автопилотов выйдет из строя ниже 100 футов? Ответ на это зависит. Помните, мы говорили о системе мониторинга производительности автопилота? В A320 на противобликовом щитке каждого пилота есть сигнальная лампа AUTOLAND. Этот свет мигает ниже 200 футов, если встречаются следующие условия:

• Обе точки доступа отключены
• Обнаружено чрезмерное отклонение луча
• Отказ передатчика или приемника курсового маяка или глиссады
• Ощущается несоответствие RA не менее 15 футов.

Сигнальная лампа срабатывает системой мониторинга, если она обнаруживает какую-либо из вышеперечисленных неисправностей. Таким образом, когда ниже AH, автоматическая посадка может быть продолжена, даже если один из автопилотов сработает, пока не загорится индикатор AUTOLAND. Если загорается индикатор AUTOLAND, вы должны немедленно объехать.

Вот небольшой GIF-файл теста сигнальной лампы AUTOLAND A320, проведенного мной. Вы можете проверить, работает ли он, просто нажав на него в любое время (даже в полете). Если на нее нажать, лампочка загорается и гаснет.

Отказ в работе - это описание системы автоматического полета при автоматической посадке до того, как какой-либо автопилот (AP) выйдет из строя, и делится на две категории:

1. Три АП в самолете.
2. Две точки доступа + схема сравнения ( эту схему можно более или менее грубо рассматривать как третью точку доступа).

• Если один AP выходит из строя в любой из вышеперечисленных категорий (теперь система пассивна при отказе), потери управления не происходит, но пилот не может инициировать автоматическую посадку, потому что теперь система пассивна при отказе.
• Если пилот инициировал автоматическую посадку, когда все работает (отказ в работе), а затем выходит из строя точка доступа, оставшаяся точка доступа ( две или одна в зависимости от категории ) продолжит автоматическую посадку в обычном режиме.
• Если мы уже находимся на этапе автопосадки с потерей AP (два оставшихся или один остается в рабочем состоянии, зависит от категории), а затем второй пилот AP выходит из строя, пилот немедленно берет на себя управление.
• На любом этапе полета, если одна точка доступа выходит из строя, система переключается с отказа в рабочем состоянии на отказ в пассивном режиме, независимо от того, сколько точек доступа остается в рабочем состоянии.
• Пилот не может инициировать (начать) автоматическую посадку из неисправной пассивной системы.
• Таким образом, 2 AP, остающиеся работающими в категории 3 AP, являются отказоустойчивыми, аналогично, если одна AP продолжает работать в категории 2 AP, также является отказоустойчивой системой.

АЛИ АЛСАЛИМ - наземный инструктор / Mideast Aviation Academy MEA - Иордания