Почему не каждый самолет оборудован тремя датчиками угла атаки?

Для критически важных систем резервирование встроено в систему. Среди дизайнеров/архитекторов общеизвестно наличие трех разных входов, поэтому в случае, если один из них неисправен, вход от двух оставшихся можно использовать для поиска (и, возможно, отключения) неисправного (два против одного).

Почему не каждый самолет оснащен 3-мя датчиками угла атаки и тройным модульным голосованием, когда эти устройства критичны для безопасности?

вопрос на миллион долларов
Вы знаете какой-нибудь самолет с 3 датчиками AoA?
@DeepSpace: у A320 их три, но когда два выходят из строя, система считает, что третий (хороший) вышел из строя .
Не только A320, все самолеты Airbus имеют 3 датчика AoA. A350 даже имеет дополнительный 4-й датчик AoA.
Интересный. Было бы неплохо узнать, как считываются 3-4 датчика AoA. Это может быть 2 на пилота, и все равно нет TMR. Связанный вопрос: Aviation.stackexchange.com/questions/60972/…
Насколько я знаю, каждые 3 датчика AoA подключены к каждому из 3 ADIRU. ADIRU самостоятельно решают, когда переключать функциональность, на основе полученных ими данных. Для A350 4-й датчик AoA подключается непосредственно к компьютеру FCGS.
@ ymb1 Разве это не тот случай, когда два терпят неудачу таким образом, что дают одинаковое значение? Если два из трех будут случайным образом давать сбои, вполне вероятно, что они будут давать разные значения, если вообще будут иметь место. IIRC, 888T был отказом общего режима: вода замерзала, предположительно, примерно в одно и то же время в каждом.
Если NY Times верна, на самом деле к системе MCAS одновременно подключен только один датчик AoA, и есть возможность переключать его между двумя датчиками.
Заявление о том, что неисправный датчик AoA является причиной аварии, не было подтверждено ни следователями, ни регулирующими органами.
Авиакатастрофы Lion Air и Ethiopian Air все еще расследуются; как таковой, этот вопрос не по теме.
@Sean Вопрос не о сбоях (особенно в отредактированном виде), поэтому я не думаю, что это не по теме.
MQ9 Reaper имел 3 датчика угла атаки. Кроме того, у бомбардировщика B2 их 3, но его крушение на Гуаме (я полагаю) произошло из-за того, что все три дали плохие показания угла атаки. Теория избыточности такова, если один и тот же механик работает над всеми тремя...
Вы действительно имеете в виду "каждый самолет"? Потому что, если вы включаете GA, ответ очевиден: стоимость и необходимость: стоимость непомерно высока, и они не нужны. Я мог бы предложить вам отредактировать это, чтобы сузить тип самолета, для которого, по вашему мнению, имеет смысл иметь 3 датчика.

Ответы (4)

Тройное резервирование необходимо для обнаружения неисправности и ее исключения. После этого система продолжает работать из-за неисправности. Двойное резервирование используется для обнаружения неисправности, но не может ее исключить, поэтому система перестает работать. Важным фактом является то, что неисправности, которые они фактически обнаруживают, идентичны.

События сваливания редки и обычно не ожидаются в полете. Непосредственной опасности нет, если отключены предупреждения об аугментации или остановке. Поэтому нет необходимости в тройном резервировании.

Проще говоря, если система обнаружит несоответствие AoA, она может просто отключиться и оставаться в выключенном состоянии до тех пор, пока не будет отремонтирована на земле.

Если система с двойным резервированием спроектирована идеально, то только одновременная неисправность не будет обнаружена. Также обратите внимание, что если одна и та же одновременная неисправность возникает на двух датчиках в системе с тройным резервированием, то она также не будет обнаружена, поскольку она перевесит правильно работающий датчик. Таким образом, обе системы используют один и тот же режим отказа.

Двойные и тройные одновременные отказы могут возникать и происходят по общим причинам, включая факторы окружающей среды (AF 447), ошибки технического обслуживания (XL 888) и столкновения с птицами (US 1549). Это также допускает ошибки в логике голосования (QF 72). И недавние несчастные случаи со смертельным исходом AF и XL являются признаками чрезмерной уверенности в покупке 3 одинаковых коробок, а затем в названии их «безопасными».

«только одновременная неисправность не будет обнаружена» Только в том случае, если они выходят из строя одинаковым образом. Предположим, два датчика, один из которых показывает -1, а другой - +1; вы можете знать, что они сообщают разные значения, но без дополнительных знаний вы не можете знать, какое из них правильное. В случае трех датчиков, если установлено значение (+1, +1, -1), вы можете разумно (см. XL888T) заключить, что -1 ошибочно; однако, если установлено значение (+1, 0, -1), вы не можете сделать вывод, какие из значений, если таковые имеются, являются правильными или неправильными.
Другой вопрос, действительно ли разломы независимы. Несколько датчиков AOA, вероятно, были изготовлены на одном заводе (и, вероятно, примерно в одно и то же время), обслуживались одними и теми же механиками и летали по одному и тому же воздуху. Это радикально увеличивает шансы отказов общего режима, которые сведут на нет любую систему резервирования.
@aCVn Хотя это правда, датчики AoA, выходящие из строя одновременно, почти наверняка выйдут из строя почти таким же образом: единственный способ, которым они могут реально выйти из строя, - это блокировка (например, лед или мусор). Обледенение, например, может воздействовать на аналогичные датчики аналогичным образом (см.: AF447).

Два датчика AoA надежнее трех!

Давайте взглянем на расчет вероятности и предположим, что вероятность неисправности одного датчика равна p = 0,1 % (за полет или как вам угодно). Вероятность того, что один и тот же датчик сработает, как ожидалось, составляет q = 1 − p = 99,9 %.

Два датчика

Вероятность для

  • отсутствие неисправности: q 2 ≈ 99,8 %
  • расхождение (1 ошибка): 2 pq ≈ 0,2 %
  • незамеченная двойная ошибка: p 2 = 10 -6

Три датчика

Вероятность для

  • отсутствие неисправности: q 3 ≈ 99,7 %
  • 1 устраненная неисправность: 3 pq 2 ≈ 0,3 %
  • невыявленные неисправности: 1 − q 3 − 3 pq 2 ≈ 3 · 10 -6

Какое решение предпочтительнее?

Автономная система

Если бы мы говорили об автономной системе, такой как дрон или, может быть, спутник, мы бы рассматривали способность системы принимать решения самостоятельно.

Решение не может быть принято с

  • 2 датчика, если возникает несоответствие или двойная ошибка. Вероятность этого составляет 0,2%.

  • 3 датчика, если возникает более 1 неисправности. Вероятность этого равна 3 · 10 -6 .

3 · 10 -6 в 667 раз лучше, чем 0,2 %. Автономная система лучше с тремя датчиками и голосованием TMR.

Самолет с пилотами

Иначе обстоит дело, если за системой следит пилот, который может вмешаться в случае несоответствия. Допустима ложноположительная тревога. Невыявленные неисправности недопустимы. Вероятность необнаруженной неисправности составляет 1 · 10 -6 при 2 датчиках и 3 · 10 -6 при 3 датчиках. При этом двухсенсорная система в 3 раза надежнее !

Кроме того, одиночная неисправность более навязчива в случае конфигурации с 2 датчиками. Единственная неисправность с тремя датчиками - если она вообще замечена - легче игнорировать, чем устранять.

Ах, старый добрый закон Люссера .
Логика ответа мне кажется немного странной. Почему вероятность работы датчика в конфигурации с 3 датчиками равна q ^ 3, а не 1-p ^ 3? Разве не нужно, чтобы все 3 работали для получения информации AoA, для выполнения работы достаточно только 1?
@MadMax: q ^ 3 - это (по определению) вероятность того, что все 3 датчика работают = нет неисправности. 1-p^3 — это вероятность 0, 1 или 2 объединенных ошибок. В конфигурации TMR для получения правильных результатов требуется 2 датчика. 1 недостаточно.
Сначала поставил +1, но после нескольких дней размышлений понял, что это на самом деле неправильно. Корпус с тремя датчиками так не работает. Система не агрегирует состояния ok/fail, если у нее есть эти данные, она просто проигнорирует неисправные датчики. То, что он объединяет, является фактическим измерением. Таким образом, релевантной статистикой для необнаруженных на самом деле является вероятность того, что два датчика откажут одинаково и будут давать одинаковые ложные результаты. Обычно это также должно происходить одновременно с тем, что система обычно игнорирует датчик, который, по ее мнению, дает ложные данные. (продолжение)
На самом деле именно эта способность различать сбои является преимуществом трех исходных решений. Без него это было бы решение с двумя источниками и дополнительными точками отказа. По сути, это то, что вы описываете в ответе.
Имейте в виду, что приведенное выше предполагает, что логика реализована правильно . Вы можете внедрить любую систему абсолютно неправильно, и между ними Airbus и Boeing сделали именно это.
Уважаемый @VilleNiemi, вы правы в том, что мой ответ не отражает ситуацию в B737M. Вместо этого он охватывает один теоретический аспект. Для описания сценария недостаточно подсчитать датчики, важно то, как они оцениваются. Тема вопроса постоянно меняется и адаптируется к неполным знаниям, которые у нас есть о текущем расследовании несчастного случая. Этого следует избегать. У вас есть достоверная информация о конструкции B737M? Я не делаю. Я рассматриваю возможность переноса этого ответа на другой вопрос (будет создан).

Независимо от количества датчиков пилот должен иметь достаточно опыта, чтобы сказать, что происходит, и просто управлять самолетом. Контрольные списки могут помочь, но на это может не хватить времени. После первого крушения 737 MAX были выпущены Директива о летной годности и Уведомление для летчиков, в которых излагались способы борьбы с разбегом стабилизатора, какой бы ни была причина, включая MCAS. Вторая авария произошла после того, как пилоты сначала следовали этим процедурам, но затем изменили их.

MCAS был исправлен. Регулирующие органы заявили и подтвердили этот момент.

Подготовка пилотов не была исправлена. Вот что должно произойти дальше.

Я думаю, что это не ответ на вопрос. Вопрос сосредоточен не на MCAS B737, а на количестве датчиков AoA на каждом самолете (даже не только на авиалайнере), и ваш ответ не касается количества датчиков AoA.
@Manu H, он делает более широкое замечание о том, что количество датчиков AoA не имеет значения, если у пилота нет подготовки или опыта, чтобы распознавать отказ и правильно реагировать на него. Потому что зачем останавливаться на 3? Почему не 4 или 5? Многие самолеты вообще не имеют датчика AoA, и они безопасно летают каждый день.

Я работал на Маркони в 80-х. Тройная система была создана в Рочестере в 1980-х годах. Тройное резервирование было философией дизайна и маркетинга / безопасности для нового аэробуса, который был первым пассажирским самолетом с дистанционным управлением. Инженеры Маркони разработали электромеханические средства управления полетом для истребителей, дронов, дирижаблей и вертолетов с использованием MIL-STD. Стандарт -1553 и протокол 1773. Каждый старший инженер-конструктор Marconi прошел обучение в компании управлению собственным легким самолетом - у компании также был собственный аэропорт. Я сомневаюсь, что какая-либо компания в мире, включая Boeing, могла хотя бы отдаленно сравниться с их внутренним опытом в области управления полетом в то время. Если Маркони разработал 3-кратные датчики AoA, они сделали это по очень веской причине.

Почему не каждый самолет оборудован тремя датчиками угла атаки?
СпросиСетьПолитика конфиденциальности1y, 0v