Если для обновленного программного обеспечения MCAS требуется два датчика угла атаки, не создает ли это новую единую точку отказа?

Что касается истории 737 MAX, New York Times пишет :

По словам трех человек, обновление программного обеспечения Boeing потребует, чтобы система полагалась на два датчика, а не только на один, и не срабатывала, если датчики расходились в определенной степени. Учитывая, что на 737 Max уже установлены оба датчика, многие пилоты и специалисты по безопасности задавались вопросом, почему система была разработана так, чтобы полагаться на один датчик, создавая, по сути, одну точку отказа [выделено мной]».

Теперь я понимаю, что это позволяет избежать ложного срабатывания, когда один ошибочный датчик запускает MCAS.

Но, учитывая противоположную ситуацию, не вводит ли это обновление новую единую точку отказа , False Negative, когда сваливанию нужно противодействовать с помощью MCAS, но это не так, потому что его обнаруживает только один датчик?

(Или если нет, то что я здесь упускаю? Дело в том, что неисправный датчик определенным образом выходит из строя и не будет ошибочно считывать нормальный угол атаки?)

Ответы (4)

Отмечая, что детали обновления MCAS еще не были публично подтверждены Boeing - нет, я не верю, что вы что-то упускаете.

MCAS задумывалась как система, которая срабатывала только тогда, когда пилоты позволяли ситуации выйти из-под контроля. Это должно было помочь в предотвращении сваливания, но не делает ничего, чего не могут пилоты (до тех пор, пока позволяет их ситуационная осведомленность). В миллионе полетов MCAS не будет использоваться ни разу, если только не возникнут другие серьезные трудности.

В такой системе гораздо лучше иметь ложноотрицательный результат, чем ложноположительный. Ложный отрицательный результат означает, что самолет ничего не меняет и продолжает выполнять команды пилота. Ложное срабатывание означает... что ж, похоже, есть два сбоя, которые демонстрируют, что происходит.

Другой способ взглянуть на вещи - сказать, что бездействие MCAS никогда не может представлять собой единую точку отказа, поскольку единственный раз, когда MCAS потребуется что-либо сделать, будет после того, как уже есть две точки отказа (обычно одна связана с капитаном ) . и/или управляемые им органы управления, а другой связан с первым помощником капитана и/или управляемые им средства управления).

Каждая автоматизированная система имеет возможность ложного срабатывания и возможность ложного отрицательного результата. При проектировании системы необходимо учитывать

(Вероятность ложноположительного результата * следствие ложноположительного результата) и (вероятность ложноотрицательного результата * последствие ложноотрицательного результата).

Команда инженеров Boeing, конечно же, учитывала указанный выше компромисс в первоначальном проекте. Вероятность отказа датчика AoA, скорее всего, была основана на частоте отказов исторических самолетов, таких как исходный 737. Последствия каждого отказа, по-видимому, было немного сложнее оценить, потому что на предыдущих самолетах не существовало такой системы MCAS, но они каким-то образом возникли. с оценкой того, что произойдет в каждом случае. Исходя из этого, они считали, что нашли правильный компромисс.

Теперь появилась новая информация. Конкретно "последствие ложного срабатывания" - это абсолютно недопустимая ситуация (две катастрофы со смертельным исходом). Поэтому систему нужно переделывать. Повышенная вероятность ложноотрицательного результата может быть приемлемой, если она может значительно снизить вероятность ложноположительного результата. Обе ошибки все еще возможны, и оба последствия все еще существуют, но компромисс смещается в пользу одной по сравнению с другой.

Положительный результат не должен активировать неуправляемый триммер вниз до такой степени, что самолет не может летать, хотя можно обсудить, активируется ли он автоматически. Отсутствие обучения переопределению было фатальным. Самой MCAS не было, но ее можно было улучшить.
Отказ @RobertDiGiovanni MCAS выглядит точно так же, как неуправляемая отделка, с которой экипажи B737 предположительно обучались справляться десятилетиями. Действительно, многие пилоты MAX в США сообщили, что справляются с этим нормально, так что решение Боинга кажется разумным. Однако они не учитывали ни то, что иностранные пилоты не были так хорошо обучены, ни то, как часто система выходила из строя.
Поэтому необходимо сделать больше. Хорошая идея, плохое исполнение. Да, лучше тренироваться. И еще информация от пилотов. Могло быть и лучше. Если срок службы 737 подходит к концу, это (и размещение двигателей увеличенного размера), возможно, было слишком далеко, но продолжающиеся исследования и разработки MCAS могут помочь спасти больше жизней в будущем.
Сбой @StephenS MCAS не похож на неуправляемую обрезку. Убегающая обрезка будет постоянным движением в одну или другую сторону. MCAS этого не делал. Он будет триммировать нос вниз, но вход триммера пилота остановит его и вернет в исходное положение. Затем пройдет несколько секунд, прежде чем он снова активируется. Без знания MCAS такое поведение сбило бы пилота с толку.
Я понимаю баланс между FP/FN, моей точкой зрения была концепция единой точки отказа. Не каждая автоматизированная система имеет единую точку отказа. Особенно самолеты.
@DanielSparing, единая точка отказа не обязательно является нарушителем при проектировании, если система в целом остается приемлемой, и, наоборот, система с тройным резервированием может быть не безопаснее, чем одиночная, если она не спроектирована должным образом (посмотрите авария в Су-Сити). Опять же, все сводится к взвешиванию вероятностей и последствий. Сокращение единых точек отказа — это, безусловно, хорошо, но иногда лучшей альтернативы нет.

Новая система не будет единой точкой отказа.

Обычно датчики угла атаки не должны расходиться. Но опять же, обычно пилоты не должны управлять самолетом вблизи границ сваливания.

Однако, если датчики не согласятся - они сообщат пилотам индикацией из кабины: фактически "MCAS вас сегодня не спасет, следите за дифферентом". Он также должен автоматически регистрировать отчет об отказе обслуживающему персоналу. Затем это становится элементом обслуживания, который необходимо исправить в ближайшее время.

Вы правы в том, что отказ любого датчика вызовет это, и вы правы, это единственная точка отказа системы MCAS ; но для этого все равно потребуется непрерывная череда ошибок пилотов, чтобы вызвать аварию, и сегодня эта череда ошибок не происходит на тысячах 737 classic и NG без какой-либо MCAS.

Наличие двух датчиков одного типа может не улучшить ситуацию, поскольку условия обледенения могут легко вызвать разногласия именно тогда, когда это необходимо больше всего. Вторая система, такое сравнение воздушной скорости, тангажа к горизонту, установки мощности и вертикальной скорости (в дополнение к тому, что делают пилоты) может быть гораздо более полезной.

Грубое изменение шага горизонтального оперения самовольным образом только ухудшает ситуацию, когда пилоту необходимо управлять. Выход из стойла осуществляется путем отпускания лифта. Правильно сконструированный летательный аппарат почти сразу сваливается с места, особенно если его поймать раньше. Строгое соблюдение пределов центра тяжести кормы также значительно повышает безопасность.

Более удобная для пилота MCAS может работать следующим образом. Спроектируйте руль высоты таким образом, чтобы в сочетании с горизонтальным стабилизатором у него не было достаточно силы тангажа, чтобы свалить самолет в нормальных условиях полета. Самолет этого типа с правильно установленным центром тяжести, на полном заднем руле высоты, потеряет скорость полета, начнет тонуть и «расползется» вперед с опусканием носа. Имеют желтые и красные сигнальные огни киоска.

Если возникает предупреждение о сваливании (настоящее или нет), пилот и компьютер проверяют данные второй системы. Если сваливание реальное, пилот активирует MCAS. (Переключить переключатель)

MCAS ТОЛЬКО увеличит скорость броска и ход руля высоты. Подобно двойной скорости в самолетах с дистанционным управлением, это значительно увеличило бы авторитет по тангажу, но всегда было бы под контролем пилота. После восстановления стабильного полета пилот выключает MCAS.

Удачи Боингу в исправлении этого.

Совокупный фактор заключается в том, что триммер B737 перемещает весь стабилизатор, поэтому даже полное отклонение руля высоты не может отменить неправильный триммер. Одним из решений может быть автоматический реверс дифферентовки при полном отклонении в другую сторону.
Это меня пугает. С двухскоростным лифтом не было бы потери контроля (хотя с высокой скоростью нужно было бы обращаться очень деликатно). Обшивка стабилизатора была бы запасной. Традиционная иерархия – Хстаб сильнее Эль, Эль сильнее Трим. Я представляю грубую обрезку для Hstab и точную обрезку для триммера (еще один потенциальный запасной вариант).
@StephenS В нормальных условиях в Боинге 737 достаточно полномочий лифта, чтобы противостоять полному опусканию носа. Ситуация здесь немного сложнее, поскольку кажется, что пилоты Lion Air увеличили скорость из-за неправильного предупреждения о сваливании. Повышенная скорость может иметь ограниченные полномочия лифта из-за продувки.
Итак, им нужно сделать Hstab сильнее? Еще один интересный момент: когда McDonnell Douglas объединилась, MD90 и 737 выполняли аналогичные функции. MD80/90/95 до прекращения производства продолжали существовать как 717. Их двигатели были установлены сзади. Разработкой стала система закрылков, установленная рядом с двигателями, чтобы помочь уменьшить тангаж в сваливании. Может ли это быть предшественником векторной тяги?
Это, кажется, не отвечает на фактический вопрос, но больше похоже на общее эссе о том, как, по вашему мнению, должна быть спроектирована система MCAS.
Возможно, но было опасение, что 2 одинаковых датчика все равно будут одной точкой и существенно не улучшат ситуацию. Вот почему я предложил дополнительную компьютерную помощь для просмотра угла атаки и состояния сваливания, используя скорость полета, тангаж к горизонту, вертикальную скорость и настройку мощности (как это делает пилот). Например: 250 узлов, 0 вертикальных подъемов/спусков, нормальная крейсерская мощность, 5 градусов над горизонтом, я заглох? Даже если AOA скажет «да», пилоту виднее. Испытывал потребность что-то сказать. Надеюсь, они пересмотрят 717.
Если для обновленного программного обеспечения MCAS требуется два датчика угла атаки, не создает ли это новую единую точку отказа?
СпросиСетьПолитика конфиденциальности1y, 0v