Как работает система голосования бортового компьютера Airbus?

Из того, что я читал о самолетах Airbus, следует, что их электродистанционная система работает, когда три разных компьютера управления полетом вычисляют, что должен делать самолет, а затем голосуют по всем трем результатам, которые следует принять. Я надеюсь, что все они всегда дают один и тот же результат, но, как я понимаю, это используется для того, чтобы решения, основанные на ошибочных данных, не разбрасывали самолет по земле. Как это работает на самом деле? Как компьютер голосует, какой результат является правильным, это просто большинство голосов? Что происходит, когда все три исхода не совпадают?

Кроме того, действует ли эта система только в условиях обычного права? И действительно ли это разные программные реализации или единственная разница в том, что они получают входные данные от разных резервных датчиков?

Не могли бы вы добавить больше деталей, чтобы повысить вероятность того, что респонденты смогут предоставить более точную информацию, которой еще нет в материалах Airbus. например: где вы прочитали о трех компьютерах управления полетом? вообще говоря, самый простой способ выбрать, какой расчет использовать, - это использовать «средний». Учебные материалы Airbus достаточно подробно освещают эти темы. (все три исхода никогда не бывают полностью равными (они могут иметь небольшие различия, но они всегда есть).
@GürkanÇetin Я полный непрофессионал, поэтому ответ, говорящий мне, где я могу найти информацию в общедоступных документах Airbus, также был бы очень признателен. По сути, я нахожу это захватывающим с точки зрения разработчиков программного обеспечения, и я хотел бы узнать больше о том, как Airbus стремится гарантировать, что самолет не развалится на части. Насколько я понимаю, роль в этом играют резервные бортовые компьютеры.
а это еще один: skybrary.aero/bookshelf/books/2313.pdf
@GürkanÇetin Спасибо, я не знал, что эти документы общедоступны. Я знаю, что буду читать во время моего трансатлантического перелета на следующей неделе :)
Приятного чтения :) Интернету нет конца. Приложив дополнительные усилия, вы можете найти почти все данные, связанные с проектированием систем управления полетом самолетов Airbus, Boeing, MD, Embraer (архитектура, основные функции и т. д.). Они там.
К вопросу о голосовании в авиационных системах: может быть, инцидент с истребителем «Торнадо» с «болтливым идиотом» тоже может быть актуален.
А когда это не соответствует обычному закону, может и не быть FCC.

Ответы (1)

Насколько я читал в разных документах про А320 и правильно их помню:

Есть три системы, управляющие различными частями основного управления полетом:

  • ELAC (компьютер руля высоты и элеронов) контролирует тангаж с помощью руля высоты + триммер и крен с помощью элеронов.
  • SEC (компьютер спойлера и руля высоты) управляет креном с помощью спойлеров, а в случае отказа ELAC - наклоном с помощью руля высоты + триммера.
  • FAC (компьютер увеличения полета) реализует демпфер рыскания. Его команда добавляется к команде руля. В А320 педали руля направления имеют прямую механическую (гидравлическую) связь.

ELAC и FAC состоят из двух одинаковых блоков каждый, SEC — из трех идентичных блоков (но только два из них используются в качестве резервных для ELAC).

Каждый блок состоит из двух разнородных компьютерных плат. Один использовал процессор i386, другой процессор m86k, и каждый из них имеет независимо разработанное программное обеспечение (чтобы свести к минимуму риск одной и той же программной ошибки в обоих).

Одна из плат в каждой паре вычисляет выходные данные, а другая проверяет их. Если проверка не пройдена, этот блок объявляет об ошибке и отключается. Это основной способ выявления неисправностей.

Я не нашел ссылки на сравнение выходов одинаковых блоков. Кроме управления спойлером выходов всего два, а контрольная табло в любом случае более надежный способ обнаружения неисправностей.

Если FAC выйдет из строя, самолет не будет поддерживать скоординированный полет и будет склонен к крену, но пилоты могут компенсировать это с помощью руля направления.

Если SEC выходит из строя, ELAC может справиться с управлением в одиночку. Только спойлеров не будет.

Если ELAC выйдет из строя, SEC тоже может взять на себя управление. Поворот со спойлерами может вызвать большее сопротивление, но не является большой проблемой.

Если и ELAC, и SEC выходят из строя, колеса дифферента по тангажу имеют прямую механическую (гидравлическую) связь, и крен можно контролировать с помощью руля направления, используя преимущества устойчивости по рысканию. Я не думаю, что это когда-либо было необходимо на практике. Обратите внимание, что это для семейства A320; какие элементы управления доступны в случае отказа всех бортовых компьютеров, различаются для каждого типа Airbus.

  • Обновление: с момента написания этого ответа произошла авария тренировочных полетов Smartlynx A320 MYX-9001 в Таллинне 28 февраля 2018 г. , когда управление тангажем ELAC отказало из-за неисправности привода стабилизатора, а затем отказали оба SEC из-за того, что платы управления и контроля реагировали по-разному. к короткому отскоку, что привело к понижению рейтинга до механического закона. Оглядываясь назад, кажется, что со стороны экипажа было довольно неразумно продолжать обучение с периодически возникающими ошибками привода, которые они получали.

Что касается ввода данных, есть три ADIRU (воздушные данные и инерциальный эталонный блок), и каждый бортовой компьютер получает данные от всех трех и сравнивает их. Ему нужны два совпадающих (похожих в пределах некоторого предела) значения, чтобы считать его заслуживающим доверия. Если выходит из строя более одного устройства или два не согласуются между собой, бортовые компьютеры деградируют до альтернативного закона или прямого закона .

В альтернативном законе система перестает обеспечивать альфа-защиту (сваливание), защиту от превышения скорости и, в зависимости от того, что не удалось, другую защиту зоны полета (есть два вида, с потерей разных защит).

По прямому закону он возвращается к прямому отображению положения ручки управления на положение поверхности управления, аналогично механическому управлению. Но большинство ошибок приводят только к альтернативному закону, за исключением случаев, когда все инерциальные привязки были потеряны (с этим было бы очень трудно справиться, поскольку это также означало бы ненадежные индикаторы положения, но я не думаю, что это когда-либо случалось; инерциальные системы очень надежны) .

Альтернативный или прямой закон также можно ввести, если какая-то поверхность управления (или ее привод) выйдет из строя и где-то в последовательности отказа компьютера, но я не помню точное условие (КВС рассчитывают пределы, поэтому, если КВС выйдет из строя, он обязательно деградирует ).

классный ответ!
Это именно то, что я искал. Спасибо большое, действительно отличный ответ! :)
@JustSid: я проверил некоторые документы, и в них говорится, что SEC - три, ELAC - только два, и не упоминается сравнение их выходов. Он полагается на контрольную доску для обнаружения неисправностей; в любом случае это более надежный метод.
Удалил и проголосовал, спасибо за разъяснения.
Как именно это обрабатывает сбой программного обеспечения, если единицы одинаковы? Если теоретически и ELAC, и SEC имеют программную ошибку, приводящую к неверным вычислениям на каком-то входе (скажем, только в i386). Если поступит этот ввод, не будут ли ВСЕ устройства ELAC и SEC объявлены неисправными и перестанут работать?
@Josef: ELAC и SEC имеют разное программное обеспечение.
Конечно, но они оба могут потерпеть неудачу. Или есть ошибка в ЦП, которая вылетает на определенных значениях. В современных процессорах тоже много ошибок.
@Josef: Все может выйти из строя сразу, и вы ничего не можете с этим поделать. Суть в том, чтобы сделать отказы независимыми , чтобы снизить риск. ЦП может дать сбой при определенном значении, но, поскольку у них разное программное обеспечение, они не будут видеть одно и то же значение одновременно. И тогда, конечно, единицы хорошо протестированы; известно, что у них не так много ошибок. И если тестирование уменьшило вероятность отказа скажем до 10⁻⁶/час (вероятно меньше), то вероятность отказа обоих снижается до 10⁻¹²/час и то есть и то раз в несколько тысяч лет даже при количестве летающих .
Как работает система голосования бортового компьютера Airbus?
СпросиСетьПолитика конфиденциальности1y, 0v