Если бы Боинг использовал два датчика вместо одного одновременно, разве они не были бы сегодня в том же положении?

в этой статье говорится , что первоначальная версия MCAS должна была полагаться на два датчика,

Один датчик обнаружит большой угол атаки, поэтому активирует MCAS.

Другой датчик обнаружит высокую перегрузку и, следовательно, активирует MCAS.

Но чего я не понимаю, так это почему люди используют это как аргумент против Боинга, как будто они должны были согласиться с этой идеей? Если бы датчик высокой перегрузки был неисправен, не потребовался бы технически второй датчик, контролирующий высокую перегрузку, чтобы сравнить их?

То есть, если бы они придерживались этой идеи, мы бы до сих пор были здесь?

Комбинированная конструкция с двумя входами AOA и G-нагрузки использовалась только при испытаниях и никогда не использовалась в серийных самолетах. В окончательном проекте MCAS используется только 1 из 2 доступных индикаций AOA. Система автоматически переключается с левого на правый угол атаки для каждого полета.
Нет, в статье «Сиэтл таймс» говорится «два фактора», а не «два сенсора». Репортер не знает разницы между параметром и датчиком и считает, что два параметра, первоначально использовавшиеся для срабатывания MCAS (АОА и перегрузка), были заменены одним датчиком АоА, хотя на самом деле новыми параметрами срабатывания были: УА, Закрылки убраны, автопилот выключен. Раньше система использовала один датчик AOA на каждый FCC, и ВСЕ ЕЩЕ использовала один на FCC, когда MAX был введен в эксплуатацию. Еще один пример полнейшей чепухи, которую выпускали средства массовой информации при расследовании авиакатастрофы, хотя и были совершенно некомпетентны в авиации.

Ответы (2)

Проблема в том, что на входе датчика нет избыточности. Цитата из статьи такова:

Эта первоначальная версия MCAS, по словам двух человек, знакомых с деталями, активировалась только в том случае, если два разных датчика указывали на такой экстремальный маневр: большой угол атаки и высокая перегрузка.

Таким образом, в исходной конструкции для активации MCAS требовалось два датчика, обнаруживающих ввод, превышающий определенный порог, и само по себе это создает защиту от ложных срабатываний.

Существует два основных режима отказа подсистем:

  • Нулевой выход, когда подсистема просто прекращает выводить сигнал.
  • Сбой Hard-Over, когда подсистема выдает ложное срабатывание. Это то, что произошло с датчиком AoA в двух катастрофах MCAS.

В оригинальной конструкции, если бы один из датчиков выходил из строя, MCAS не активировалась бы, и система была бы защищена от единичного отказа. Но в сертифицированном конфиге активирующий вход не проверялся ни по какому сигналу и MCAS неоднократно активировался.

Дополнительные примечания о датчиках AoA из окончательного отчета об аварии на странице 45:

  • На B737Max есть два индикатора AoA, и только один использовался для ввода MCAS.

  • Было установлено обнаружение несоответствия AOA - как вариант, который Lion Air не выбрал во время аварии:

    Соответственно, программное обеспечение активировало предупреждение AOA DISAGREE только в том случае, если авиакомпания выбрала индикатор AOA. Во время аварии Boeing сообщил, что индикатор AOA был выбран примерно 20% авиакомпаний.

    Когда было обнаружено несоответствие между требованиями к отображению AOA и программным обеспечением, Boeing определил, что отсутствие предупреждения AOA DISAGREE не оказывает неблагоприятного влияния на безопасность или эксплуатацию самолета. Соответственно, Boeing пришел к выводу, что существующая функциональность приемлема до тех пор, пока первоначально предполагаемая функциональность не будет реализована в обновлении программного обеспечения системы отображения, запланированном на третий квартал 2020 года.

    Lion Air не выбрала дополнительную функцию индикатора AOA на PFD своего самолета 737-8 (MAX). В результате AOA DISAGREE на самолетах PK-LQP не появилось, хотя необходимые условия были соблюдены.

Анализ безопасности сертифицированной системы оказался фатально неверным, и это так сбивает с толку. Самая опытная аэрокосмическая компания на Земле позволила активировать критически важную для полета систему из-за единственного отказа. Плюс: неправильный анализ безопасности был принят авиационными властями, чья функция состоит в том, чтобы защищать нас, пассажиров.

Думаю, можно еще добавить, что Boeing и FAA тоже решили, что пилотов не нужно обучать этой системе.
Но даже если они используют один датчик, как он может не отклонить только на основании того, что датчики различаются? Я знаю, что они работают одновременно, но разве их нельзя было легко изменить?
@Firefighter1 Очень, очень хороший момент!
Ответ серьезно ошибочен. Одно из условий, которое должно быть выполнено для активации системы, не может служить «защитой от ложных срабатываний» другого условия, потому что параметры независимы и не связаны друг с другом и совершенно не осведомлены о достоверности друг друга. Автор статьи не разбирался в основах проектирования, но пытался провести расследование аварии и провести инженерный анализ. Кроме того, параметры используются как аналоговые переменные, которые запускают MCAS и модулируют его рабочий цикл, а не как двоичные дискретные значения, которые просто включают или выключают MCAS.
@Robin Bennett «Boeing и FAA также решили, что пилотам не нужно обучаться работе с этой системой». Фактически Boeing и FAA решили, что обучения по этой системе нет, т.е. обучение невозможно. Вот почему самолет вернулся в строй, а обучение полетам на тренажере для MCAS ПО-ПРЕЖНЕМУ не проводится. Но поскольку вы считаете, что это должно быть — кстати, вы не единственный, кто так думает — пожалуйста, просветите нас некоторыми подробностями о том, из чего должно состоять это обучение.
@ПитП. Я бы подумал, что это очевидно. Пилоты должны знать, что система есть, что она уязвима для отказа датчика AoA, как распознать отказ и как отключить систему и восстановить управление.
@Robin Bennett Пилоты не могут обнаружить нормальную работу MCAS, не могут контролировать / настраивать ее, не могут включать или выключать ее, об этом нет упоминаний в сообщениях об ошибках системы, контрольных списках или процедурах. Нештатная работа проявляется как неуправляемый триммер стабилизатора, который имеет несколько причин и обрабатывается без локализации неисправности одним и тем же NNC независимо от причины, и для которого начальное и повторное обучение на тренажере является стандартным. Система прозрачна для летного экипажа, поэтому нет необходимости или даже возможной подготовки к летному симулятору для MCAS, и нет необходимости включать его в FCOM.
@ПитП. Очевидно, возникла необходимость включить существование MCAS в FCOM. Это вызвало повторяющийся разбег трима при ударе, и трим не убежал полностью.
@Koyovis The Runaway Stab Trim NNC уже был в FCOM, и ни одна из возможных причин не была указана. Определение RST: Удар перемещается — без команды — в положение, в котором он не должен быть. Примерно через 2–3 секунды после начала RST пилот заметит отклонение по тангажу и инстинктивно восстановит его с помощью руля высоты. На 4-5 секунде он/она чувствует, что сила руля высоты, необходимая для поддержания положения по тангажу, ненормально высока и становится хуже. Через 6–8 секунд он/она тянется к электрическому триммеру, чтобы помочь с усилием руля высоты, и замечает, что штырь подрезается – чрезмерно…
…Бесполезно различать, является ли бегство прерывистым или непрерывным, или что его вызывает. Система не только не предназначена для быстрой и более глубокой локализации ошибок пилотами помимо «автопилота» и «другого», но и процедура восстановления не имеет значения; вне зависимости от причины, суть в следующем: выключите автопилот… если это не поможет, выключите электрический триммер…
Вопрос ко всем тем экспертам, которые настаивали на том, что пилоту необходимо знать, является ли разгон постоянным или прерывистым… Как бы вы это определили? Наблюдая и ожидая — т. е. абсолютно ничего не делая, пока нос направляется к Небесам и стойлу, или к Аиду и вашей специальной могиле, — пока стабилизатор либо не достигнет физического предела хода, либо не остановится, не дойдя до него?! И потом, для чего вы используете этот маленький кусочек информации? (в то время как ваш коллега-пилот смотрит на вас с растущей тревогой, не зная, то ли вы парализованы шоком, то ли вы склонны к суициду).
Уму непостижимо, что все эксперты, которые заявляли, что пилотам не хватало подготовки к новому и неожиданному типу разгона, потому что Боинг «спрятал» систему, никогда не удосужились прокрутить сценарий в своей голове, чтобы подтвердить его… и обнаружить его. абсурд.
@ПитП. В вашем аргументе есть основания. Тем не менее, пилоты двух разбившихся самолетов были обучены убеганию с ножевым ударом и не распознали поведение MCAS как таковое. Значит, что-то в поведении MCAS не соответствовало их обучению на тренажере.

Совершенно неправильное понимание статьи. Резюме должно быть:

MCAS активируется, если: a) датчик обнаруживает большой угол атаки и b) датчик обнаруживает высокую нормальную перегрузку.

Если один датчик ошибочен, а другой нет, то MCAS не сработает по ошибке.

И что произойдет, если датчик большой перегрузки неисправен и не считывает правильно, но самолет испытывает большую перегрузку и большой угол атаки?
@Firefighter1 Тогда MCAS не сработает. В результате вы можете столкнуться с реверсивным усилием на рукояти и наклоном вверх. В этом режиме полета у вас по-прежнему будет активирован шейкер.
Собственно, сама статья абсурдна. Автору не хватает базовой инженерной компетенции, и он спутал различные условия, которые должны быть выполнены для активации системы, как «множественные точки отказа», не понимая, что они являются независимыми и не связанными параметрами. Он также не понимает, что модифицированная система требовала Flaps_Up и Autopilot_Off в дополнение к AOA_High для срабатывания MCAS, что разносит его заговор о «единой точке отказа» в пух и прах.
@JZYL Правда, MCAS не сработает, но не будет никакого изменения направления усилия ручки управления, что не является характеристикой самолета. Также не будет никакого повышения тангажа, будь то из-за усилий ручки управления или чего-либо еще (кроме вызванного пилотом); это тоже не характеристика самолета. И сработает ли шейкер палки или нет, зависит исключительно от угла атаки: если он достаточно высок, чтобы вызвать предупреждение о сваливании, он сработает; не имеет ничего общего с MCAS. Для ясности: MCAS НЕ является системой предотвращения сваливания или восстановления сваливания, независимо от того, что говорит репортер новостей.
@ПитП. Я никогда не утверждал, что MCAS изначально была разработана для защиты от сваливания. Насколько я понимаю из общедоступных источников, это необходимо для сертификации и соблюдения требований части 25, касающихся характеристик сваливания и маневренной устойчивости.
@JZYL Понятно, это репортер неправильно охарактеризовал систему. Хотя вы правильно указали значения датчика угла атаки и перегрузки как условия а) и б), которые должны быть удовлетворены для активации MCAS, ваше следующее предложение ставит под сомнение первое, подразумевая, что активация зависит от достоверности этих значений датчика! Как система узнает, является ли значение датчика ошибочным или действительным? Активируется MCAS или нет, просто зависит от того, находятся ли значения датчиков в диапазоне, удовлетворяющем условиям а) и б), независимо от их достоверности.
Если бы Боинг использовал два датчика вместо одного одновременно, разве они не были бы сегодня в том же положении?
СпросиСетьПолитика конфиденциальности1y, 0v