Почему данные об угле атаки не проверяются на корректность перед передачей в другие бортовые системы?

Для большинства самолетов точная информация об угле атаки совершенно необходима для безопасного полета, в первую очередь из-за риска сваливания самолета, если угол атаки одного или обоих его крыльев становится чрезмерно высоким (дополнительная проблема, которая возникает при очень высокие скорости могут вызвать перегрузку, что может привести к разрушению конструкции); 1 , в результате все самолеты имеют ту или иную форму датчика угла атаки (как правило, это механические лопасти, которые выравниваются с окружающим воздушным потоком 2 ), который передает данные AoA в другие системы самолета (обычно через самолетные бортовые компьютеры данных).

К сожалению, незаменимость точных данных об угле атаки означает, что, если данные AoA, подаваемые на другие бортовые системы, неточны , случаются очень плохие вещи. Это стало причиной многочисленных аварий:

  • TW843 (L-1011-1, 30 июля 1992 г.) - правый датчик угла атаки самолета, известный темпераментный компонент, полностью вышел из строя в начале предвзлетного руления в аэропорту Кеннеди, застыв в положении, соответствующем Угол атаки 26,1 ° (угол атаки, который физически невозможно принять для L-1011, когда все его колеса находятся на земле) во время руления и взлета самолета. 4, 5 Это привело к ложному предупреждению о сваливании, как только самолет взлетел, 6 что привело к прерванному взлету на очень высокой скорости, чрезмерно жесткому приземлению и выезду за пределы взлетно-посадочной полосы; структурные повреждения, полученные во время приземления, привели к пожару, который уничтожил самолет (хотя все 292 человека выжили).
  • QF72 (A330-300, 7 октября 2008 г.)- Во время полета над восточной частью Индийского океана в одном из трех ADIRU самолета произошел сбой, который исказил (в большей или меньшей степени) все параметрические данные, вычисляемые и передаваемые им; хотя это повлияло на измерение и вычисление многих различных параметров самолета, важной частью для целей этого обсуждения было то, что значения угла атаки, передаваемые неисправным ADIRU, были искажены прерывистыми (но частыми) выбросами до 50,625 ° (а также, позже, некоторые пики до 5,625 ° или 16,875 °), что привело к тому, что системы защиты оболочки полета самолета вызвали два больших движения руля высоты вниз с интервалом примерно в две и две трети минут (каждый раз на мгновение блокируя пилота). компенсационные входные сигналы управления поднятием носа) в ответ на несуществующее состояние сваливания,
  • JT043 / JT610 (737-8, 28-29 октября 2018 г.) - во время капитального ремонта в Денпасаре в первый день левый датчик угла атаки самолета был удален из-за повторяющихся неисправностей и заменен датчиком, который находился на хранении после ремонта. годом ранее. Замененный датчик оказался неправильно откалиброван во время ремонта, в результате чего его показания были на 21 ° выше, чем фактический угол атаки самолета; неверные данные от датчика привели к тому, что вибратор самолета сработал почти сразу после взлета при последующем полете в Джакарту (он оставался включенным до конца полета) и, что более серьезно, взаимодействовал с плохо спроектированной модификацией автотриммера самолета . систематаким образом, чтобы горизонтальный стабилизатор самолета отклонялся в сторону в направлении носом вниз, что приводило к серьезным трудностям в управлении, пока летный экипаж не смог остановить разгон дифферента, отключив систему автотриммера. Обслуживающий персонал в Джакарте не смог обнаружить проблему с самолетом на земле после полета, и на следующий день он снова был допущен к полету. Поскольку неправильно откалиброванная лопасть AoA не была отремонтирована или заменена, проблемы предыдущего дня повторились; встряхиватель активировался, когда самолет развернулся для взлета (и снова оставался активным на протяжении всего полета), а триммер стабилизатора начал убегать в направлении носом вниз, как только закрылки самолета были убраны. 7В отличие от того, что произошло накануне, летный экипаж либо забыл, либо не смог отключить систему автотриммирования до того, как экстремальная ситуация вне балансировки привела к потере управления и падению самолета в Яванское море с гибелью всех 189 человек на борту. .

Многие из этих несчастных случаев можно было бы предотвратить, если бы какая-либо форма проверки работоспособности (тест для обнаружения и отсеивания бессмысленных входящих данных) выполнялась для данных об угле атаки, прежде чем передавать их другим системам:

  • Лопасть AoA, которая застревает в фиксированном положении на земле, может быть легко обнаружена во время взлета путем анализа данных, предоставляемых датчиком, как только воздушная скорость самолета становится достаточно высокой, чтобы позволить лопастям датчика работать, и помечая как неисправный любой датчик. который сообщает об угле атаки, который физически невозможно предположить, когда самолет находится на земле и не вращается.
  • Постоянно высокое или низкое значение датчика можно определить путем расчета коэффициента перегрузки по оси z, который будет создавать сообщаемый угол атаки, с учетом текущей IAS, веса и конфигурации самолета, а также путем отклонения данных от любого датчика, который сообщил об AoA, который слишком высока или низка, чтобы произвести наблюдаемую Gz .
  • Датчик, который начинает отклоняться от точности, будет обнаружен аналогичным образом, поскольку его заявленный угол атаки будет меняться со временем таким образом, который несовместим с изменениями воздушной скорости самолета, коэффициента нагрузки, веса и конфигурации.
  • Неисправность, которая приводит к нефизически быстрому изменению сообщаемого угла атаки (например, от +2° до +50° и обратно к +2° в течение двух секунд 8 ), что предположительно может быть вызвано датчиками определенных типов. сбои, 9 но, скорее всего, укажут на проблему чуть дальше по течению, включая неправильную обработку и преобразование действительных данных датчика (например, из-за сбоя ADIRU), будет особенно легко обнаружить, что позволит быстро пометить неисправную часть оборудования. как неудавшийся и брошенный в оффлайн.

Так почему же необработанные данные об угле атаки самолета не проверяются на работоспособность, прежде чем позволить другим системам самолета работать с ними?

1 : Это не обязательно требует, чтобы угол атаки самолета постоянно отображался для пилотов; часто бывает достаточно, чтобы системы самолета контролировали его угол атаки и принимали меры (например, активировали встряхиватель), если он становится чрезмерным.

2 : Эти датчики обычно устанавливаются в носовой части фюзеляжа, даже если они устанавливаются на крыльях, которые, как правило, являются частью самолета, создающей большую часть его подъемной силы, и, таким образом, той частью самолета, угол атаки которой на самом деле имеет значение - даст более точные данные (поскольку локальный воздушный поток - и, следовательно, локальный угол атаки - над носовой частью фюзеляжа, как правило, отличается от такового над крыльями; таким образом, показания AoA от носовых датчиков необходимо скорректировать в для расчета AoA крыльев). 3

3 : Величина и направление разницы зависят, среди прочего, от воздушной скорости самолета ; таким образом, процесс расчета угла атаки крыльев по углу атаки носа требует достоверных данных о воздушной скорости , что само по себе может создать проблемы, если системы самолета фактически не имеют доступа к достоверным данным о воздушной скорости .

4 : L-1011 использует необычный и смехотворно сложный тип датчика AoA, который вместо простой механической лопасти использует волшебную полую трубку, пронизанную двумя рядами перфораций, которая взаимодействует с соседним датчиком перепада давления. датчик.

5 : данные, предоставляемые датчиком угла атаки любого типа, неизбежно будут бессмысленными при низких скоростях полета (например, во время руления и в начале взлета) из-за очень низкого динамического давления, воздействующего на датчики на этих низких скоростях; однако правильно функционирующие датчики AoA будут предоставлять достоверные данные на высоких скоростях полета даже на земле.

6 : Из-за упомянутой выше ненадежности данных датчика AoA на малых скоростях в сочетании с физической невозможностью сваливания самолета, находящегося на земле, система предупреждения сваливания L-1011 блокируется, когда переключатель самолета воздух/земля в режиме «земля».

7 : Конкретный подсегмент системы автотриммирования 737 MAX (737-7/-8/-9/-10), который вызывал разбегание триммера вниз, активен только при полностью убранных закрылках.

8 : Это не означает, что углы атаки такой величины не могут быть испытаны на типичном самолете; угол атаки самолета может легко приблизиться к 90 ° при длительном сваливании (особенно таком, которое переходит в плоский штопор). Однако ни один самолет крупнее реактивного истребителя, особенно без системы управления вектором тяги, не способен поднять угол тангажа более чем на 45° за одну секунду ; инерция вращения большого удлиненного тяжелого фюзеляжа просто слишком велика, чтобы такой быстрый резкий маневр был физически возможен.

9 : Например, вышеупомянутый беспорядок системы датчика угла атаки L-1011 включает в себя двигатель, который вращает трубку внешнего датчика, чтобы обнулить внутренний перепад давления датчика, и считывает локальный угол атаки, измеряя угол, через который трубка датчика вращается внутренним мотором; короткое замыкание может легко привести к тому, что двигатель будет продолжать работать до тех пор, пока он не упрется в механические упоры в одном или другом направлении, приводя трубку датчика к очень большому положительному или отрицательному углу и, таким образом, заставляя датчик сообщать о ложно высоком AoA ( и, возможно, даже не в правильном направлении).

В большинстве систем их работоспособность проверяется по двум или более другим датчикам AoA... Вас особенно интересуют системы, в которых есть только один датчик AoA?
Датчик дифференциального давления L-1011 намного проще и надежнее, чем крыльчатка с двумя вращающимися датчиками переменного смещения. Однако он несколько менее точен, чем флюгер, поэтому не так широко используется. Ребята сделали датчики угла атаки для самодельного самолета, используя такую ​​же трубку с двумя камерами и рядами отверстий, подключенную к указателю воздушной скорости с добавленной маркировкой угла атаки.
@RonBeyer: у QF72 было три ADIRU, только один из которых вышел из строя ... не помогло. JT610 имел две лопасти AoA, только одна из которых была неправильно откалибрована, а также данные о коэффициенте нагрузки, весе и конфигурации, которые также можно было использовать для расчета угла атаки самолета, если конструкторы самолета добавили в компьютеры управления полетом процедуру, позволяющую им сделать так... не помогло.
Вы можете добавить GXL888T в свой список. Это было вызвано замороженными лопастями AoA. Это даже сводило на нет избыточность лопастей.
@TomMcW: Да, и я рассматривал это, но я не видел никакого способа, которым можно было бы предотвратить или смягчить аварию, проверив данные датчика AoA на работоспособность (углы атаки, сообщаемые датчиками, были разумными углами для самолета ) . есть... они просто оказались не теми , что были у конкретного самолета в тот конкретный момент .
РЭ типа L-1011, см.: Какие преимущества имела конструкция датчика AoA L-1011? Кроме того, трубчатый тип вернулся на некоторые модели A350 .
«Для большинства самолетов с неподвижным крылом точная информация об угле атаки совершенно необходима для безопасного полета», — ошибочная предпосылка; этот вопрос можно улучшить, отредактировав, чтобы удалить это утверждение. Ежедневно летают тысячи или десятки тысяч самолетов, пилоты которых не имеют прямого доступа к данным об углах атаки.
То же самое сказал Тихий Летун x10. Вы слишком категоричны и неверны в своих предположениях. Эта проблема возникает только у современных, сложных и, как правило, больших самолетов, которые сильно зависят от компьютеров.

Ответы (4)

И что именно или как вы собираетесь «проверить на работоспособность» этих систем? Датчик AoA — это просто датчик, преобразующий физическое положение в напряжение, из которого другая часть оборудования может интерпретировать результаты. Теперь некоторые самолеты имеют несколько лопастей AoA, поэтому неисправную лопасть можно обнаружить и изолировать, если ее входные данные не совпадают с другими датчиками или доступной информацией.

Теперь многое из этого смягчается за счет оценки рисков, т. е. определения средней частоты отказов, связанных с правильно обслуживаемым оборудованием. Я хотел бы добавить, что тот факт, что вы приводите всего лишь 3 происшествия, связанные с миллионами летных часов авиаперевозчика за последние 60 лет современных авиаперевозок, кажется, указывает на то, что риск этих происшествий настолько мал, что он может быть просто тривиальным по сравнению с дополнительная прибавка в весе от дополнительных систем. Во-вторых, это своего рода квотербек в понедельник утром в том смысле, что легко сказать, что теперь ПОСЛЕ того, как произойдут эти неудачи. В-третьих, помните, что в примере с L1011 эти самолеты являются продуктом своего времени и что проектирование самолетов — это постоянно развивающийся процесс. Мы становимся лучше по ходу дела, и много раз наши лучшие уроки были оплачены кровью менее удачливых.

И все же, несмотря на всю менее удачную кровь, пролитую из-за отказов датчиков угла атаки в прошлые годы, необработанные, непроверенные данные AoA по-прежнему поступают прямо в другие бортовые системы без предварительной проверки того, что профиль угла атаки, отображаемый в отчетных данных, на самом деле физически возможный.
Да и нет. В некоторых авариях, которые вы перечисляете, в значительной степени виновато плохое техническое обслуживание со стороны операторов. Вся избыточность системы в мире не поможет плохо обслуживаемой системе или системе, которой пренебрегают. Но опять же, как именно вы предлагаете провести «проверку работоспособности» этих систем?
@ Шон, а как ты собираешься это определить? И как вы узнаете, правильно ли работает система проверки работоспособности? Если датчик AoA показывает, что самолет имеет 80-процентное положение носа вверх, собираетесь ли вы решить, что это «невозможно», потому что он находится за пределами «ожидаемого диапазона»? В авариях это вполне может случиться, даже если обычно этого не должно происходить.
К сожалению, по статистике "всего 3" считается приемлемым. «Проверка вменяемости» — вот почему у нас есть пилоты-люди, компетентные инженеры и адекватный внутренний и внешний надзор. Люди, гонящиеся за прибылью, боящиеся пропустить квартал, не являются решением, равно как и обширное освещение событий на ПК. Системы датчиков AOA самолетов просто должны быть лучше построены, и не слышать зла, не видеть зла, не говорить зла контроль качества устранен. Я бы пропустил 4 четверти (или помочился на свечу зажигания), если бы это означало лучшее долгосрочное и более безопасное решение. К сожалению, потерянную репутацию невозможно выкупить.
Но есть момент, когда избыточность и безопасность сами по себе становятся излишними, небезопасными и дорогими. OEM-производители стремятся провести тонкую грань между надежной практикой проектирования систем безопасности и чрезмерными расходами. А учитывая статистику аварий, связанных с авиаперелетами, они чертовски хорошо справляются со своей задачей!
Что они делают, может быть лучше?
@jwenting: угол атаки 80°? Вполне возможно (хотя в целом нежелательно). АоА, который изменяется от 5° до 80° за одну секунду, а затем возвращается к 5° через секунду после этого? Не так много. Как объяснено в последней части вопроса.
@ Шон Немного опоздал на вечеринку, но как режим электрического или механического отказа может привести к такому сценарию? Вещи либо заедают, падают, размыкаются или замыкаются. Я могу представить себе грязный горшок, дающий такие результаты, как вы сказали, но эти зонды AoA — запечатанный блок. Зонды проверяются перед каждым полетом. Это ли не проверка на вменяемость?

Большинство современных систем, таких как система воздушных данных, система предупреждения о сваливании, первичные компьютеры управления полетом, уже выполняют обязательные проверки значений измерений. Если измерение AOA находится за пределами запрограммированных статических порогов, обычно очень отрицательных или очень больших, система может либо заблокировать свою функциональность, либо проголосовать за измерение. Это в значительной степени все, что может сделать проверка работоспособности с изолированным измерением (другие проверки включают проверки целостности сигнала, такие как проверки четности, которые здесь нас не интересуют).

Для других проверок, которые вы предложили, они неизбежно будут включать в себя другие измерения.

Первая проблема заключается в том, что если измерение не соответствует предсказанному вашей моделью измерению, как определить, какое из них ошибочно? Это вес, ударное давление, Nz, TAT или ваша предполагаемая кривая CL-альфа при измеренном числе Маха? Если это схема голосования, вы рискуете проголосовать за неправильный датчик и усугубить проблему. Сложность очень быстро возрастает, так как вам нужно будет выполнять перекрестные проверки для всех других измерений, и вам все еще нужно добавить большую границу для учета неопределенностей.

Лучшим решением является перекрестная проверка по нескольким измерениям AOA. Например, A330 использует медиану трех измерений AOA в качестве источника целостности, в то время как окончательное значение AOA, используемое для ввода закона управления, представляет собой ограниченное по скорости среднее значение двух AOA вне игры .

Это касается второго вопроса доступности и целостности, который подробно обсуждался в этом ответе .

Да. Отказоустойчивость внутри отказоустойчивости внутри отказоустойчивости вскоре порождает новые режимы отказов. Например, радиоуправляемый квадрокоптер, включенный для испытаний в помещении под металлической крышей, который замечает, что потерял сигнал GPS, и автоматически корректирует его, безуспешно поднимаясь на 100 футов.

Это очень хороший вопрос в свете того, что произошло с авиакатастрофой рейса 610 авиакомпании Lion Air. Вызвано одним неправильно откалиброванным датчиком AoA, что привело к 189 смертельным исходам.

Разрешены отдельные входы в систему автоматизации полета, если бортовые системы могут безопасно игнорировать одиночный вход. Анализ безопасности будет учитывать:

  • каковы последствия сбоя сигнала (как отказ до нуля, так и полный отказ до большого значения);
  • насколько критична для безопасности система, использующая сигнал;
  • какие действия нужно предпринять (если есть) и как быстро;
  • как часто может происходить сбой сигнала в течение срока службы воздушного судна.

Как также обсуждалось в этом ответе : в анализе безопасности должно быть показано, что вероятность катастрофического отказа составляет менее одного на миллиард летных часов. Это в анализе, который может быть статистически подтвержден только в том случае, если парк налетал несколько сотен миллиардов часов.

И именно здесь процедура сертификации B737MAX пошла не так. Отказ датчика AoA имел катастрофические последствия и был единственным входом в критически важную для полета систему. Aeronautical Engineering 101: никогда так не делайте. Я уверен, что все инженеры Боинга, участвовавшие в разработке системы, знали о возможных последствиях, публикация внутренних сообщений показала их опасения и опасения.

Да, проверка работоспособности может иметь смысл, особенно в ретроспективе 10/10. Но в системе безопасности любое действие может иметь непредвиденные последствия, как и в программировании: любое утверждение может привести к ошибке, которую, конечно же, нельзя было предвидеть. Даже предупреждение пилота о том, что что-то может быть не так с вводом AoA, может увеличить рабочую нагрузку и стресс перед взлетом, что приведет к большему количеству инцидентов, чем без предупреждения. И может случиться так, что анализ безопасности дает убедительные доводы в пользу этой стороны медали.

введите описание изображения здесьКартинка из отчета о сбое

Но даже простая проверка на вменяемость на земле может иметь подводные камни. Всегда ли датчик AoA отклоняется вниз под действием силы тяжести, что указывает на отрицательное значение AoA. или его положение на земле не определено из-за небольшого дисбаланса массы и некоторого допустимого трения? Датчики AoA действительно показывали разницу в 10 ° на земле, будут ли тогда отключены все автоматизированные системы и предупреждения о остановке, которые используют ввод AoA, создавая возможные другие опасные сценарии или последствия для надежности диспетчеризации?

введите описание изображения здесь

Датчик AoA в B737 max в некотором смысле проверен на работоспособность: в предыдущем полете Lion Air на PFD появились флажки SPD и ALT, а также загорелись сигнальные лампы SPEED TRIM и MACH TRIM. В результате технического обслуживания было выполнено устранение неполадок, также из отчета о сбое:

В записи AFML говорилось, что инженер в Денпасаре намеревался заменить датчик AOA для устранения неполадок из-за повторяющихся проблем.

В целом, дизайн B737 с единой FCC действительно кажется наследием ушедшей эпохи, что так и есть. Отказы датчиков AoA не приводили к катастрофам в парке B737 до MAX. Из отчета на странице 195:

Ошибочные сигналы АОА не являются частыми событиями. Компания Boeing сообщила, что за последние 17 лет на 737 самолетах произошло 25 срабатываний вибратора в основном из-за отказов AOA в течение более 240 миллионов летных часов. Можно было бы рассмотреть архитектуру MCAS с резервными входами AOA для MCAS, но это не требовалось на основании классификации FHA как Major.

Авиакомпании оказывают давление с целью сохранения общности типов и ограниченных различий в обучении. Все хорошо, но нужно позаботиться о том, чтобы защитить нас, пассажиров, чтобы исключить риски, превышающие допустимые.

«Датчики AoA действительно показывали разницу в 10 ° на земле, будут ли тогда отключены все автоматизированные системы и предупреждения о остановке, которые используют ввод AoA, создавая возможные другие опасные сценарии или последствия для надежности диспетчеризации?» 1 - Я бы предположил, что в ситуации несогласия с AoA нужно будет «не взлетать», как если бы любая другая критически важная для безопасности система не работала. 2 — датчики можно легко проверить во время разбега, имея достаточно времени для прерывания задолго до V1, если будет обнаружена проблема.
Датчик AoA не был идентифицирован как критический для полета. Да действительно датчики можно протестировать во время ТО, они покажут отклонение от направления ветра, высоты и т.д.

Самолеты обычно имеют предупреждения «не согласен», когда дублирующие датчики не дают одинаковых показаний (в пределах определенного допуска). Это предупреждение может (или не может) блокировать работу других систем, зависящих от этих датчиков.

Например, система MCAS в 737MAX рассчитана на использование двух датчиков угла атаки. Если два датчика не совпадали, пилотам выдавалось предупреждение, и MCAS блокировалась, поскольку она не знала, какому датчику верить, и могла вызвать аварию. К сожалению, второй вход AoA позже был изменен на дополнительную функцию, и два самолета, приобретенных без этой функции (несмотря на то, что они физически были оснащены несколькими датчиками AoA), разбились из-за того, что отказ одного датчика AoA, подключенного к MCAS, не был обнаружен .

Не думайте, что это совсем точно. У MAX была опция предупреждения о несогласии с AOA; но это только предупреждение. MCAS никогда не зависела от двойного подтвержденного AOA; раньше это также зависело от входного коэффициента нагрузки.
Почему данные об угле атаки не проверяются на корректность перед передачей в другие бортовые системы?
СпросиСетьПолитика конфиденциальности1y, 0v