Почему бортовым компьютерам разрешено менять управление без уведомления пилотов?

Недавно у нас была катастрофа с 737-MAX, когда все чаще становится ясно, что бортовая система MCAS MAX неоднократно выдавала события опускания носа , что приводило к крушению Lion Air и, возможно, к другому.

Во время полета Lion Air, когда MCAS толкнула нос самолета вниз, капитан снова поднял его, используя переключатели большого пальца на колонке управления. Все еще работая под ложным значением угла атаки, MCAS каждый раз срабатывала, поворачивая горизонтальное хвостовое оперение и снова опуская нос.

Очевидно, для MCAS есть индикатор уведомлений, который был необязательным пакетом , но теперь будет необходим .

Это напоминает мне о двух других инцидентах, которые привели к авариям

  1. Air France 447 A330 — из-за замерзшей трубки Пито компьютер переключился на альтернативный закон 2 , что означало, что компьютер больше не будет предотвращать опасные входные данные о полете. Хотя это и не то же самое, что проблема с MCAS, это привело к замешательству экипажа кабины (который делал максимальные входы с поднятым носом при мощности TOGA), и, таким образом, самолет разбился из-за сваливания. Было отмечено, что не было ничего, что прямо предупредило бы пилотов о том, что произошло переключение.
  2. Scandanavian Air 751 MD81 — На крыльях скопился лед. Когда самолет взлетел, лед отвалился, ударив по двигателям. Пилоты отметили, что двигатели давали толчок, и уменьшили дроссельную заслонку, но система автоматической тяги, о которой пилотам не сообщалось, продолжала увеличивать мощность до полной, что приводило к отказу двигателя и аварийной посадке.

Кто-нибудь когда-нибудь заявлял, почему в бортовые системы разрешено вносить изменения без уведомления пилотов? Это что-то, что просто не было достаточно большой проблемой, чтобы решать ее до сих пор?

В полете AF447 пилотам была доступна индикация альтернативного закона, а также множество других (на самом деле слишком много) предупреждений, которые вызвали дополнительную путаницу. В системах автоматизации ключевое значение имеет представление соответствующей информации, не перегружая оператора слишком большим количеством противоречащих друг другу или запутывающих предупреждений. AF447 показал, что пилот перед лицом слишком большого количества информации будет игнорировать все, что ему говорит система, и летать так, как, по его мнению, должен летать самолет.
Для большинства современных самолетов конструктивной особенностью является то, что некоторые вмешательства невидимы для пилотов. Руль направления автоматически вносил невидимые небольшие корректировки для поддержания симметричного полета и демпфирования колебаний рыскания в течение как минимум полувека, а более современные самолеты смягчают турбулентность или другие небольшие помехи от сбалансированного полета, не объявляя об этом, поскольку это довольно быстро стало бы неприятностью. ..
Я предполагаю, что вопрос скорее не в том, «почему не объявляются все автоматические входы» (поскольку довольно часто это на самом деле нормально), а в том, «зачем кому-то разрабатывать автоматические действия, связанные с опасным краем диапазона полета, а затем не делать этого?» сообщить экипажу о его существовании» (потому что это не нормально).
Проблема в компьютерных системах, разработанных людьми с опытом работы в области компьютерных наук, а не людьми, имеющими опыт работы в авиации. Ученые-компьютерщики будут добавлять подпрограммы безопасности как само собой разумеющееся, не имея необходимого суждения опытного пилота, не подозревая о том, что информационная перегрузка вредна для пилота, когда время реакции в большом почете. Чрезмерное применение систем безопасности скрывает важные предупреждения от пилота, который может быть не в состоянии устранить второстепенные в отведенное время. Это ошибка конструкции , и ее нельзя исправить обучением пилотов.
@Ed999 Требования к системе MCAS исходили бы от кого-то, имеющего опыт проектирования авиационных систем. Кроме того, большинство людей, работающих над проектами, основанными на DO-178, хорошо осведомлены о домене, в котором работает программное обеспечение. Вопрос о том, предоставляется ли индикация работы пилоту, определяется человеческим фактором, а не программным обеспечением.
Действительно. В AF447 дурак-второй пилот, из-за которого их всех убили, до упора тянул ручку назад . Обычно вы делаете это, чтобы злонамеренно остановить самолет и убить всех, и если бы он сделал это в Боинге, это было бы расценено как массовое убийство. Но второй пилот знал, что если вы сделаете это в аэробусе, Нормальный закон вмешается и остановит вас . Он научился предотвращать сваливание , вызывая сваливание , чтобы заставить Нормальный Закон исправить это. К сожалению, его самолет находился в Альтернативном законе 2.
SelectStriker2, по-видимому, сообщает, что это человеческая ошибка (проектировщика систем), в то время как Харпер, похоже, видит в этом как человеческую ошибку (второго пилота), так и конструктивный недостаток (в том, что он не предупредил его о том, что система находится в альтернативном законе). 2), и я рассматриваю это как (другой) недостаток дизайна. Есть ли консенсус относительно того, что это такое? Первым шагом в решении проблемы, безусловно, является определение того, имеет ли компьютерная система недостатки, и (если это не так) определение того, понимают ли ее пилоты.
Я говорю, что печально известная демонстрация в Мюлузе неправильно учила пилотов тому, что неправильные управляющие воздействия приведут к правильным управляющим воздействиям. Аэробусы учат пилотов плохо летать и позволяют старшему брату исправить это, как обычное дело. Недостаток конструкции есть.

Ответы (3)

Существует общий принцип проектирования, согласно которому некоторые, но не все, действия системы наведения или автопилота должны быть видны пилоту. Обычно указывается автоматическое включение или отключение системы управления, но могут не указываться подрежимы этих органов управления или ручные изменения. Звучит просто и логично, но на самом деле это сложная проблема человеческого фактора. Отображение слишком большого количества информации для пилотов так же плохо, как и отображение слишком малого, поскольку слишком много информации может привести к тому, что они будут игнорировать наиболее важные индикаторы, такие как встряхиватель, предупреждающий о надвигающемся сваливании.

Я знаю, что это не очень удовлетворительный ответ, но кому-либо, кроме эксперта по человеческому фактору, трудно ответить на очень общий вопрос, подобный этому, с помощью жестких правил.

Например, многие автопилоты пропустят звуковое предупреждение об отключении, если отключение было непосредственно вызвано действиями пилота. Пилот в этой ситуации получает только визуальную индикацию того, что поведение AP изменилось. Это звучит прекрасно, но на рейсе 593 Аэрофлота пилот пустил своего ребенка в кабину, который затем приложил достаточное усилие к штурвалу, чтобы отключить автоматическое управление элеронами. Предупреждающего звукового сигнала не было, потому что автопилот посчитал отключение преднамеренным. Это было не похоже на предыдущие самолеты, на которых летал пилот, что способствовало замешательству пилота, когда самолет начал разворачиваться, а затем входить в крутой крен.

Световой индикатор, который вы упоминаете для крушения 737 Max Lion Air, предназначен для «несогласия с AoA», а не для включения MCAS, как вы предлагаете. Хотя такие индикаторы AoA, как правило, считаются хорошей идеей, до сих пор ведутся споры о том, насколько они могут помочь запутанным пилотам, как в случае крушения Lion Air или авиакатастрофы Air France 447 .

Точно так же качество индикации не было главной причиной перечисленных вами аварий. Например, рейс 751 Скандинавских авиалиний, вероятно, мог бы успешно вернуться в аэропорт, но остановка компрессора из-за обледенения обоих двигателей на малых высотах является плохой ситуацией, независимо от поведения автотяги. Плохие датчики и сбитые с толку пилоты могут разбить самолет с идеально спроектированными индикаторами.

Редактировать: поскольку этот ответ привлекает много внимания, я думаю, важно отметить, что я на самом деле не рассматриваю никаких особых соображений для края огибающей полета, автоматической обрезки против автоматического отключения против изменения подрежимов или защита от идиотов полетных систем. Хотелось бы, чтобы об этом более подробно рассказали опытные люди.

Неплохо подмечено. Информационная перегрузка — очень реальная проблема.
Кажется, я припоминаю поток противоречивых и запутанных системных сообщений, которые были проблемой в Qantas 32 . К счастью, пилоты смогли справиться с этим и посадить самолет на землю в основном в целости и сохранности (кроме частей, которые оторвало двигатель и крыло, когда взорвался диск турбины), но я, кажется, припоминаю, что слышал разговоры пилотов. о том, сколько лишних системных сообщений им пришлось продраться, чтобы добраться до важной информации «один двигатель взорвался, другой неуправляемый, а в крыле дырка».
Есть аргумент в пользу того, чтобы бортинженер пробирался через все эти вещи, но эти вещи в первую очередь заменяют бортинженера. Иди разберись.

Существует два типа автопилотов: один для поведения вокруг ЦП и один для управления ЦП, как упоминалось в этом ответе . Также иногда называется внутренней петлей и внешней петлей. Суммируя:

  1. F-16 аэродинамически нестабилен и имеет систему быстрого управления, которая использует отклонения руля для обеспечения искусственной устойчивости. Это сделано для того, чтобы сделать самолет максимально маневренным. Пилот намеренно держится в неведении обо всех этих быстрых отклонениях органов управления, им просто кажется, что самолет стабилен. Автопилоты Inner Loop изначально не обеспечивают обратной связи с пилотами.

  2. Автопилоты, которые можно настроить для полета до определенной точки, представляют собой системы управления внешним контуром. По своей конструкции они обеспечивают обратную связь с пилотом относительно того, что они делают, чтобы пилот мог чувствовать и видеть, какие входные данные даются, и может отменить их, если сочтет их неправильными. У A320 нет возможности двигать джойстик, поэтому эта обратная связь недоступна, и предупреждения требуют внимания.

В этой статье объясняется философия дизайна системы MCAS: она задумывалась как функция автостабилизации в состоянии полета за пределами нормального диапазона — в обстоятельствах, в которых обычно применяется управление по внутреннему циклу.

Итак, чтобы ответить на ваш вопрос: да, некоторые бортовые компьютеры изменяют отклонение руля без уведомления пилотов.

Это точно причина. Раньше B737 был аэродинамически устойчивым, но перемещение двигателей вперед настолько сузило пространство стабильных параметров полета, что было разработано программное вмешательство, чтобы он чувствовал и вел себя одинаково, даже если его аэродинамика изменилась. (Для некоторого контекста см. latimes.com/local/california/… ) Сравнение F16 является точным. Весь смысл в сокрытии этого вмешательства. Несомненно, его невидимость была причиной того, что он даже не был включен в учебные пособия и руководства.
@PeterA.Schneider Полностью согласен с этим, и я вижу смысл не включать MCAS в учебную программу, если она была разработана для таких обстоятельств. Остается вопрос, почему один-единственный неисправный преобразователь может привести к тому, что система войдет в нормальные состояния огибающей полета.

В случае MCAS и управления стабилизатором есть «уведомление» о том, что стабилизаторы автоматически регулируются в виде двух колес по обе стороны от органов управления тягой. Они вращаются, имеют маркировку и очень шумные, поэтому пилоты не могли не знать об их действиях. Проблема заключалась в том, что пилоты (очевидно) не знали о возможности отключения входов автоматического стабилизатора от MCAS и продолжали пытаться вручную отменить настройки MCAS/стабилизатора. Переключатели для отключения входов стабилизатора находятся прямо перед органами управления тягой со стороны второго пилота.

Они также не знали об этой конкретной функции триммера, спонсируемой MCAS, которая, вероятно, не особенно помогала в диагностике неисправностей.
Что ж, фактическое положение поверхностей отделки четко отображается рядом с раздражающей штуковиной Clackey. Если бы они хотя бы посмотрели, откуда исходит звук, они бы сказали: «Вау, это ужасно много вверх», что объясняет тяжелое ярмо». Еще раз и "Хватит!" выключайте или просто останавливайте триммер коленом. Это действительно больше похоже на проблему зеленых пилотов, которые весь свой налет провели, нажимая кнопки на высокоавтоматизированных самолетах. Автоматика взводится вообще, и они понятия не имеют, что делать.
@Harper «это объясняет тяжелое коромысло». Со мной такое случалось во время тренировочного полета, когда инструктор (скорее всего, непреднамеренно; это было из-за довольно сенсорных кнопок на верхней части общего джойстика) изменил настройку триммера на , IIRC, полный нос вниз. Моя первая реакция, когда я вернула управление и попыталась сохранить горизонтальный полет, была примерно такой: «черт возьми, это тяжело!». Несмотря на то, что в то время у меня было всего около 15-20 часов, моей первой реакцией, кроме непосредственной необходимости установить положительный контроль, было посмотреть на триммер, и, конечно же, это указывало на крайность.
«пилоты не могли не знать об их действиях» . Однако система Speed ​​Trim System также регулирует дифферент автоматически. Так что они вполне могли подумать, что это STS регулирует дифферент, что относительно безвредно.
Почему бортовым компьютерам разрешено менять управление без уведомления пилотов?
СпросиСетьПолитика конфиденциальности1y, 0v