в этой статье говорится , что первоначальная версия MCAS должна была полагаться на два датчика,
Один датчик обнаружит большой угол атаки, поэтому активирует MCAS.
Другой датчик обнаружит высокую перегрузку и, следовательно, активирует MCAS.
Но чего я не понимаю, так это почему люди используют это как аргумент против Боинга, как будто они должны были согласиться с этой идеей? Если бы датчик высокой перегрузки был неисправен, не потребовался бы технически второй датчик, контролирующий высокую перегрузку, чтобы сравнить их?
То есть, если бы они придерживались этой идеи, мы бы до сих пор были здесь?
Проблема в том, что на входе датчика нет избыточности. Цитата из статьи такова:
Эта первоначальная версия MCAS, по словам двух человек, знакомых с деталями, активировалась только в том случае, если два разных датчика указывали на такой экстремальный маневр: большой угол атаки и высокая перегрузка.
Таким образом, в исходной конструкции для активации MCAS требовалось два датчика, обнаруживающих ввод, превышающий определенный порог, и само по себе это создает защиту от ложных срабатываний.
Существует два основных режима отказа подсистем:
В оригинальной конструкции, если бы один из датчиков выходил из строя, MCAS не активировалась бы, и система была бы защищена от единичного отказа. Но в сертифицированном конфиге активирующий вход не проверялся ни по какому сигналу и MCAS неоднократно активировался.
Дополнительные примечания о датчиках AoA из окончательного отчета об аварии на странице 45:
Было установлено обнаружение несоответствия AOA - как вариант, который Lion Air не выбрал во время аварии:
Соответственно, программное обеспечение активировало предупреждение AOA DISAGREE только в том случае, если авиакомпания выбрала индикатор AOA. Во время аварии Boeing сообщил, что индикатор AOA был выбран примерно 20% авиакомпаний.
Когда было обнаружено несоответствие между требованиями к отображению AOA и программным обеспечением, Boeing определил, что отсутствие предупреждения AOA DISAGREE не оказывает неблагоприятного влияния на безопасность или эксплуатацию самолета. Соответственно, Boeing пришел к выводу, что существующая функциональность приемлема до тех пор, пока первоначально предполагаемая функциональность не будет реализована в обновлении программного обеспечения системы отображения, запланированном на третий квартал 2020 года.
Lion Air не выбрала дополнительную функцию индикатора AOA на PFD своего самолета 737-8 (MAX). В результате AOA DISAGREE на самолетах PK-LQP не появилось, хотя необходимые условия были соблюдены.
Анализ безопасности сертифицированной системы оказался фатально неверным, и это так сбивает с толку. Самая опытная аэрокосмическая компания на Земле позволила активировать критически важную для полета систему из-за единственного отказа. Плюс: неправильный анализ безопасности был принят авиационными властями, чья функция состоит в том, чтобы защищать нас, пассажиров.
Совершенно неправильное понимание статьи. Резюме должно быть:
MCAS активируется, если: a) датчик обнаруживает большой угол атаки и b) датчик обнаруживает высокую нормальную перегрузку.
Если один датчик ошибочен, а другой нет, то MCAS не сработает по ошибке.
Майк Соусун
Пит П.