Я боялся летать в течение последних нескольких лет, и одним из проявлений этой иррациональной фобии является беспокойство по поводу того, что самолет выключается в воздухе: отключаются двигатели, отключается оборудование управления и т. д.
Иногда компьютер или смартфон дает сбой и перезагружается, или, в худшем случае, блок питания или аккумулятор выходят из строя, и устройство больше не включается.
Бывает ли такое с коммерческими самолетами? Я ожидаю, что они электронно подключены принципиально иначе, чем компьютеры, так что один системный сбой не влияет на остальные, но я никогда не спрашивал пилота.
Я программист и частный пилот, так что, возможно, я смогу развеять некоторые из этих страхов.
Компьютеры, на которых работает коммерческий самолет, концептуально намного проще, чем тот, на котором работает ваш телефон. Это означает гораздо меньшую вероятность ошибки в программном обеспечении, просто потому, что программисту меньше нужно отслеживать.
Если ваш телефон перезагрузится, это не угрожает чьей-либо жизни. Таким образом, тестирование и контроль качества такого устройства — это, по сути, все, что хочет сделать компания. С другой стороны, компьютеры в авиации гораздо более тщательно тестируются, прежде чем они могут быть сертифицированы для полетов.
Как и в пункте 1, каждый компьютер в самолете выполняет только одну работу. Многие сбои на обычном ПК или смартфоне происходят из-за того, что разные приложения наступают друг другу на пятки. (Предполагается, что операционная система разделяет каждое приложение, поэтому они не могут этого сделать, но пункт 2 применим и к операционным системам.)
Самолет — это не один компьютер, как ваш телефон. Да, ваш телефон, вероятно, имеет несколько процессоров, каждый из которых имеет несколько ядер, но они тесно связаны друг с другом, чтобы сформировать один компьютер. Компьютеры в самолете объединены в сеть, но это отдельные компьютеры. Если ваш телефон выйдет из строя, даже если парень, сидящий рядом с вами, находится в той же сети, это не повлияет на него, не так ли? Точно так же, если FADEC для одного двигателя выходит из строя (исчезающе редкое явление, потому что FADEC концептуально являются одними из самых простых компьютеров), все, что произойдет, — это останов одного двигателя, не влияя на остальную часть самолета.
С другой стороны, действительно важные компьютеры (например, дистанционные контроллеры) имеют многократную избыточность. Так что, если один из них потерпит неудачу, остальные могут взять на себя слабину. Даже пилот ничего не заметит, если не считать сигнальной лампы в кабине.
Если вы хотите увидеть, что на самом деле происходит, когда что-то выходит из строя в самолете, посмотрите следующие видео:
Пилот управлял самолетом вручную, выключая и перезапуская авионику. Дальше полет прошел нормально.
Пилот на самом деле позволил автопилоту поработать несколько секунд, просто из любопытства, куда он их приведет. Но как только он начал крениться больше, чем предполагалось, он отключил автопилот и без проблем взял на себя ручное управление.
Двигатель продолжал работать, несмотря на потерю всей электроэнергии всего самолета. Он благополучно приземлился.
Редактировать: всего два часа назад, когда я печатал это, в моей ленте на YouTube появилось еще одно видео о сбое в полете:
Он переключился на свой резервный генератор, и, кроме раздражающего визга в наушниках, во время полета не было никаких других проблем.
Прежде чем мы начнем, важно сказать, что ваше беспокойство не является иррациональным. Если бы это произошло, или если бы система управления вашего самолета вышла из строя опасным образом, ваша жизнь была бы действительно в опасности.
Впрочем, вы не первый, кто об этом подумал. По этой причине у нас есть категория систем управления, которые мы технически описываем как связанные с безопасностью , и есть целая отрасль техники, называемая техникой безопасности , посвященная формальной оценке этих систем и попыткам предотвратить несчастные случаи. Это включает в себя системы управления самолетом, а также антиблокировочную систему тормозов, медицинские устройства и любые другие системы, в которых люди могут пострадать из-за неправильной работы. Степень, в которой люди могут пострадать от этого, формально оценивается как уровень полноты безопасности.на основе риска. Риск представляет собой комбинацию того, насколько вероятно событие, насколько плохим будет результат и могут ли вовлеченные люди предпринять какие-либо действия по смягчению последствий, и он оценивается для каждого случая неправильного поведения системы, связанной с безопасностью.
Обратите внимание, что эта оценка может быть не такой интуитивной, как вы думаете. Когда-то я работал над системой раздачи мякины и сигнальных ракет для военных самолетов. Вы могли бы подумать, что риск невыполнения контрмер и сбития пилота будет вашим основным риском, но оценка безопасности (мы использовали FMEA) показали, что у пилота были другие варианты смягчения последствий, такие как броня и катапультируемое кресло, возможность быть сбитым — это шанс, который они уже приняли, когда принимались за работу, а риск того, что разбившийся самолет заденет здания, был ничтожно мал и что-то, что уже было был институционально принят как часть наличия военно-воздушных сил. Самый серьезный риск заключался в том, что система дала осечку, пока оружейник перезаряжал ее, потому что тогда они могли получить залп из 36 дробовиков в голову с близкого расстояния. Оружейник не согласился на такой шанс, и не было никакого практического способа защитить их. В результате наша система должна была по умолчанию не стрелять, если были какие-либо расхождения.
Есть много способов обеспечить надежность. Избыточность является наиболее популярной. У вас может быть несколько датчиков в разных местах, поэтому система всегда может определить, что происходит, если один (или, возможно, несколько) выйдет из строя. Обычно существует несколько исполнительных механизмов для важных поверхностей полета или несколько поверхностей полета, где самолет может сохранять управление, если один или несколько повреждены. Пассажирские самолеты обычно также имеют несколько двигателей и несколько топливных баков, которые могут быть изолированы друг от друга в случае повреждения. В ряде случаев может быть несколько систем управления, которые «голосуют» за правильное действие, поэтому один неисправный узел будет проигнорирован. В крайнем случае, каждая система управления может быть даже запрограммирована другой командой разработчиков программного обеспечения, так что ошибка в одной команде крайне маловероятно, что это программное обеспечение присутствует в программном обеспечении другой команды. И могут быть другие резервные системы, такие как механические элементы управления.
Еще одним хорошим методом смягчения является обучение. Вполне допустимо, чтобы что-то пошло не так, если люди, управляющие им, способны справиться с этим сбоем и продолжать работать. Важно не недооценивать, насколько хорошими могут быть люди. Люди также могут стать причиной неудач, поэтому обучение также может заключаться в том, чтобы сказать им: «Не делай этого». Большие самолеты относительно медленно реагируют на органы управления, поэтому относительно часто пилоты могут чрезмерно корректировать и усугублять ситуацию. Для некоторых коммерческих самолетов стандартная реакция, которой обучают пилотов в случае нестабильности, - отпустить ручку и позволить самолету исправиться.
Стоит отметить, что оба эти фактора являются причиной того, что катастрофы Boeing-737MAX настолько ужасны, что должны быть возбуждены уголовные дела против людей в отдельности и организации в целом. Соответствующая система не использовала избыточные входы, даже если они были доступны; влияние неправильной реакции системы не оценивалось и не смягчалось; и экипаж не обучали тому, как справляться с его отказом, и даже не говорили, что он существует. В Великобритании преступление «корпоративного непредумышленного убийства» существует для судебного преследования именно таких неудач.
Другим элементом всего этого является качество , так что вы должны убедиться, что системы не ошибаются в первую очередь. Надежность программного обеспечения почти полностью зависит от количества проверок и испытаний. В настоящее время я работаю над программным обеспечением для научного оборудования и считаю, что трачу около 10-20% своего времени разработки на тестирование. ПК и мобильные телефоны будут примерно одинаковыми. Когда я работал над автомобильными и аэрокосмическими системами, все было наоборот — мы считали, что тратим около 5-10% времени на кодирование, 10-20% времени на проектирование, а остальное время уходило на просмотр и тестирование. .
Управление изменениями также радикально более ограничено. Microsoft может выпустить обновление, а затем устранить ущерб в нескольких случаях, когда оно работает неправильно, и в то же время внедрить несколько дополнительных функций. Однако в разработке, связанной с безопасностью, вы не изменяете ни одной строки кода без формального подтверждения того, что (а) все понимают, что будет делать это изменение, (б) что это изменение устраняет эту ошибку и ничего больше не меняет , и (c) что это изменение даже необходимо. Многие сеансы сортировки ошибок включают в себя обнаружение ошибок, когда мы в конечном итоге решаем, что влияние ошибки незначительно (например, мы на 10 мс позже включаем предупреждающий индикатор), но риск попытки исправить ошибку потенциально может быть высоким, если мы ошиблись, так что безопаснее, чтобы эта тривиальная ошибка осталась.
Как показывает случай с Boeing-737MAX, все эти процессы стоят выеденного яйца только в том случае, если люди им следуют. Тем не менее, процессы существуют, и они являются передовой практикой в отрасли с десятками тысяч инженеров по всему миру, которая имеет множество официальных международных стандартов, чтобы установить это. Несоблюдение этих стандартов почти по определению является грубой небрежностью, и в большинстве стран действуют законы, позволяющие преследовать людей и компании, допустившие такую халатность. Большинство инженеров в любом случае хотели бы делать свою работу хорошо; но законы гарантируют, что организация в целом остается честной и не срезает углы.
Ваши опасения разумны и обоснованы. Отключение или перезагрузка в воздухе были бы катастрофой для авиалайнера. Вот почему инженеры спроектировали системы таким образом, что этот сценарий практически невозможен.
Авиалайнер имеет несколько источников электроэнергии. Каждый реактивный двигатель имеет встроенный генератор. Когда турбина вращается, вырабатывается электричество. Каждый генератор может быть независимо отключен в случае возникновения проблемы. Большинство авиалайнеров также имеют вспомогательную силовую установку или ВСУ. APU может быть запущен в аварийной ситуации для обеспечения резервного электрического и гидравлического питания самолета, как это было сделано в знаменитой Hudson Riving Landing .
Если что-то выйдет из строя (например, если в самолете закончится топливо), ограниченная электроэнергия может быть обеспечена за счет ветряной мельницы, либо с помощью турбины Ram Air (например, Boeing 777), либо за счет ветряной мельницы самих турбин (например, Boeing 747), поскольку самолет медленно скользит к месту приземления.
Ну и конечно аккумулятор, который всегда заряжен. Он может обеспечить ограниченную мощность в случае возникновения чрезвычайных ситуаций.
Все авиалайнеры оснащены несколькими компьютерами управления полетом. Устройства построены разными производителями, на разных архитектурах ЦП и с разными исходными кодами. Вероятность отказа всех блоков одновременно из-за ошибки или дефекта очень мала. В маловероятном случае отказа одного из блоков пилоты могут отключить его от остальной системы.
Например, Airbus A320 имеет 2 компьютера элеронов руля высоты, 3 компьютера спойлеров высоты и 2 компьютера увеличения полета. Каждый блок может быть отключен в случае неисправности.
В чрезвычайно маловероятном случае полного отключения электроэнергии некоторые органы управления полетом связаны с кабиной механическими средствами и могут управляться с помощью человека. Например, аварийная процедура при полном отказе бортового компьютера в Airbus A320 заключается в том, чтобы посадить самолет, используя только руль направления, триммер руля высоты и дроссели. Такого никогда не было в истории.
как кто-то, кто проводил тесты программного обеспечения на неважной (класс D, скоро объяснит) системе для самолета, который должен быть одобрен для посадки в гражданских аэропортах: в самолете существует строгая иерархия того, какие функции программного обеспечения означают; они перечислены в DO-178B .
Логика здесь заключается в том, что незначительный сбой системы никогда не помешает важной функции системы (пилот может выбрать, когда им дать отдых). Большинство систем самолета имеют двойное резервирование. Используемые микроконтроллеры и аппаратная архитектура спроектированы таким образом, что последствия простых сбоев на плате будут ограничены. Основная сеть (например, AFDX) также является избыточной, и в интерфейсе приняты меры, чтобы неконтролируемое программное обеспечение не вышло за пределы своих границ при использовании шин.
Обычные процедуры сброса безопасны в отношении того, что самолет всегда остается в контролируемом состоянии. Примером неправильной процедуры сброса — выключения обоих компьютеров управления полетом, что не допускается в воздухе, потому что пилота не устраивали результаты стандартного способа сброса компьютеров — был рейс 8501 Air Asia .
Иногда компьютер или смартфон дает сбой и перезагружается
Это может произойти по двум причинам: программная ошибка или аппаратная ошибка. И то, и другое может привести к тому, что ЦП перестанет обрабатывать новые инструкции ( т. е. «зависнет» ), или к перезагрузке машины. Последнее близко к зависанию, потому что операционная система обнаруживает, что не может продолжать нормальную работу, и запускает аппаратный перезапуск.
Возможные причины бесконечны, но результаты сводятся к одному: процессор не может выполнять новые операции и, следовательно, не может продолжать нормально работать. Это неоптимально, если от его непрерывного функционирования зависят человеческие жизни.
Аппаратные ошибки могут быть вызваны снижением функциональности, повреждением или износом. Например, блок питания, который не может постоянно обеспечивать требуемую мощность, или модуль памяти, поврежденный электростатическим разрядом , что приводит к «переворачиванию» случайных битов (1 непреднамеренно читается как 0 или наоборот).
Ошибки программного обеспечения вызваны ошибками программиста или ошибками установки. Чистая установка операционной системы (Windows, Linux, MacOS, ...) на вашем компьютере или смартфоне, с хорошо функционирующим оборудованием, при условии, что оборудование поддерживается ОС и установлены соответствующие драйверы, чтобы ОС могла правильно взаимодействовать с аппаратно, не рухнет . Конечно, несколько десятилетий назад некоторые операционные системы были склонны к сбоям после определенного периода времени, но сейчас 2020 год. Все эти проблемы были устранены в современных операционных системах.
Проблема с оборудованием и программным обеспечением потребительского уровня заключается в том, что они не жизненно важны, не избыточны, и люди хотят иметь возможность устанавливать на свои устройства случайные приложения, распространяемые случайными разработчиками программного обеспечения. Вы не увидите пилота, открывающего App Store на вашем Airbus в воздухе и устанавливающего новое приложение «Рождественские огни», чтобы празднично мигать свет в салоне, который просто останавливает топливные насосы, потому что разработчик никогда не тестировал его в полете.
Итак, как производители самолетов предотвращают это:
Что касается конкретно циклов включения питания (в отличие от программных сбоев в целом, которые очень хорошо описаны в других ответах), это вообще не проблема. В отличие от обычного ПК или смартфона, которым требуется время для повторного включения и которые могут потерять данные при отключении питания, системы управления в самолете обычно спроектированы таким образом, что они возобновляют полную работу сразу же после восстановления питания.
Думайте об этом больше как о мониторе внутренней температуры вашего холодильника, чем о вашем персональном компьютере. Если вы выключите его, он сразу же снова начнет работать, как будто ничего не произошло.
Перезагрузка также иногда может быть приемлемой, если вы можете быстро перезагрузиться без потери важной информации. Это произошло во время посадки Аполлона-11, когда у них была тревога 1202 года :
Он понял, что 1202 — это код, означающий, что компьютер наведения на борту десантного корабля перегружен задачами. Программисты предвидели, что эта перегрузка когда-нибудь может произойти, и поэтому установили внутренний аспект системы, который автоматически выполнял бы быструю перезагрузку, а затем восстановление памяти, чтобы попытаться снова запустить компьютер.
Дж...
Дж...
Отметка
фут
Викки