Автоматика как фактор безопасности в современных транспортных средствах

[ads]

Поскольку возник вопрос ПО, то,
позвонил знакомому, работает по АСУТП, весьма интересные его комментарии, не мои, а его слова, может перескажу неточно, уж ... :

• код ПО пишут обкуренные индусы, которым платят не за качество кода, а за количество,
• это сплошь и рядом, SCADA (управляющая программа) при наличии ошибки, не проверяет статус, а игнорирует, типа такой ошибки не может быть,
• 10 % занимает написание кода, 90 % - написание программ по его тестированию,
• три года на земле тестировалось ПО Бурана, с датчиками, и разными вероятными, задаваемыми лётчиками условия, типа такая ошибка может быть,
• ПО, написанное для Бурана, на языке Ассемблер, где, по словам моего спеца, можно достичь такого результата, что вероятность ошибки стремится к нулю,
• но, современное ПО так не пишется, всё написано на "кусках" ( у них какое-то другое слово, я не запомнил) которые при определенных сложившихся условиях выдадут неверный управляющий сигнал, и вероятность его возникновения при условиях, очень отличающихся от где-то около стандартных, достаточно ВЕЛИКА.

Лучше бы я этого не знал.

 

[ads]

1. Зачем выключать только управление стабилизатором, может проще тогда вообще обесточить борт
2. Вы с поразительным упорством защищаете несовершенное техническое решение.

И ёще, когда рассказал своему знакомому спецу по АСУТП про турецкий под Амстердамом 2009 г., он меня спросил:
- а что, если пилот пересиливает положение РУД, тем более в сторону увеличения, недостаточно для автоматики что отключаюсь нафик управления РУД ?
Вот тебе бабушка и юрский период.

 

[61701]

С чем согласен на 100%, так это с кнопкой отключения стикшейкера. Очень облегчила бы жизнь

Так ведь с отключением флюгарки тоже самое. У вас же стоит на штурвале кнопка (кбо) быстрого отключения САУ, потащил навигационный вычислитель не туда, никто же не лезет вырубать управление элеронами, нажал кнопку на штурвале , отключил САУ и перешел на ручное управление самолетом. А тут у вас флюгарка врет, а вы весь стабилизатор отключаете

 

[AlexS]

Вся тема крутится вокруг сигнала "недостоверные показания скорости", поэтому я и спросил , как часто происходит сие явление именно из за отказа оборудования,а какашки в ППД меня не интересуют, мне интересна надежность системы СВС.

Уточните, пожалуйста, Вы хотите такую СВС которой какашки не помеха?

 

[ubadger]

Денис, зачем нужна такая автоматизация, которая вместо того, чтобы помогать пилотам, и быть незамедлительно отключенной в случае малейшего намека на недостоверность показаний с датчиков с одновременным уведомлением пилотов об этом, наоборот заставляет их быть все время на стреме?

Проблема взаимодействия пилота с автоматикой намного глубже и шире, чем вы пытаетесь представить, например, 777 в Сан-Франциско:

Катастрофа Boeing 777 в Сан-Франциско — Википедия

ru.wikipedia.org

И при всем моем скепсисе к SSJ у них подобного не было.

У SSJ катастрофа в Индонезии, автоматика не помогла, несмотря на явно высокую подготовленность пилотов.

За 38 секунд до столкновения с горой сработал сигнал TAWS (AVOID TERRAIN), но был отключён командиром (сигнал был проигнорирован 6 раз); за 7 секунд до столкновения автоматика сообщила о невыпуске шасси, обнаружив близость поверхности.

Катастрофа SSJ 100 на Салаке — Википедия

ru.wikipedia.org

 

[denokan]

У SSJ катастрофа в Индонезии, автоматика не помогла, несмотря на явно высокую подготовленность пилотов.

Эту тему - разнонаправленность подготовки испытателей и линейных извозчиков - можно долго и нудно обсасывать. Факт в том, что

За 38 секунд до столкновения с горой сработал сигнал TAWS (AVOID TERRAIN), но был отключён командиром (сигнал был проигнорирован 6 раз); за 7 секунд до столкновения автоматика сообщила о невыпуске шасси, обнаружив близость поверхности.

И это вызвало много эмоций, в том числе и у коллег из ГСС... Отголоски мне лично довелось услышать через несколько лет.

 

[AleksB]

Проблема взаимодействия пилота с автоматикой намного глубже и шире, чем вы пытаетесь представить, например, 777 в Сан-Франциско:

У SSJ катастрофа в Индонезии, автоматика не помогла, несмотря на явно высокую подготовленность пилотов.

За 38 секунд до столкновения с горой сработал сигнал TAWS (AVOID TERRAIN), но был отключён командиром (сигнал был проигнорирован 6 раз); за 7 секунд до столкновения автоматика сообщила о невыпуске шасси, обнаружив близость поверхности.

Как это причастно к идиотским алгоритмам, принимающим недостоверные показания с датчиков, и использующим недостоверные показания в контуре автоматического управления?

 

[nowhow]

работает по АСУТП, весьма интересные его комментарии,

Так пусть продолжает комментировать свои скады. Если он не делал ревью кода конкретной авионики, то эти выводы притянуты за уши.
#автоудаление

 

[Владимир Кунцево]

Поскольку возник вопрос ПО, то,
позвонил знакомому, работает по АСУТП, весьма интересные его комментарии, не мои, а его слова, может перескажу неточно, уж ... :

• код ПО пишут обкуренные индусы, которым платят не за качество кода, а за количество,
• это сплошь и рядом, SCADA (управляющая программа) при наличии ошибки, не проверяет статус, а игнорирует, типа такой ошибки не может быть,
• 10 % занимает написание кода, 90 % - написание программ по его тестированию,
• три года на земле тестировалось ПО Бурана, с датчиками, и разными вероятными, задаваемыми лётчиками условия, типа такая ошибка может быть,
• ПО, написанное для Бурана, на языке Ассемблер, где, по словам моего спеца, можно достичь такого результата, что вероятность ошибки стремится к нулю,
• но, современное ПО так не пишется, всё написано на "кусках" ( у них какое-то другое слово, я не запомнил) которые при определенных сложившихся условиях выдадут неверный управляющий сигнал, и вероятность его возникновения при условиях, очень отличающихся от где-то около стандартных, достаточно ВЕЛИКА.

Лучше бы я этого не знал.

Насчёт "Бурана". Мой дядя был одним из создателей его и рассказывал, что программно всё было очень примитивно, но может и надёжно. Они его несколько раз на испытаниях сажали и в последние моменты перед касанием полосы он поворачивал в одну и ту же сторону. Никто не мог понять причину такого поведения. То есть они даже не могли в записях параметрических самописцев выяснить сигналы с каких датчиков вызывали этот самый его поворот в одну и ту же сторону ложный. И только когда кто-то из конструкторов приехал на аэродром и при нем опять происходила посадка, то этот конструктор сразу определил, что Буран уходил от маленькой кирпичной будки рядом с ВПП. То есть он ее воспринимал как препятствие. Будку ту убрали и всё гуд стало. А программно так и не смогли это выяснить...

 

[Zeppelin]

Так пусть продолжает комментировать свои скады. Если он не делал ревью кода конкретной авионики, то эти выводы притянуты за уши.
#автоудаление

Программный код, есть программный код. Он ничем не отличается от кода в авионике. Вы же не можете с уверенностью сказать, что написание основного массива не отдано на аутсорс?
И потом, товарищ прав, т.к. МАХ - это не первый и не второй самолет семейства, код дописывался кусками, скорей всего. Слабо представляю, что его каждый раз переписывали заново. А где код дописывается кусками - там почти всегда будут заплатки и костыли.

И не надо идеализировать авиацию, там работают такие же люди как и везде.

 

[blck]

А если резервный прибор врет тоже?

верить в наше время нельзя никому (С) Мюллер
#автоудаление

 

[ubadger]

Как это причастно к идиотским алгоритмам, принимающим недостоверные показания с датчиков, и использующим недостоверные показания в контуре автоматического управления?

Это причастно к принятию решения пилотами, "добрая автоматика, помогающая пилотам, которую надо просто отключить, если она неисправна" существует только в вашем воображении, в реальности НЕ СУЩЕСТВУЕТ никаких гарантий точного определения исправности автоматики, и либо пилоты сидят и ждут, пока их автоматика "поправит", как было в примере с 777 в Сан-Франциско, либо пилоты считают, что автоматика "дура" и выключают её, как в примере с SSJ в Индонезии. Результат печален в обоих случаях.

 

[ads]

Так пусть продолжает комментировать свои скады. Если он не делал ревью кода конкретной авионики, то эти выводы притянуты за уши.

Знаешь, мне похрену Ваши code review,
НО, когда великий Боинг заявляет о смене ПО, останавливается эксплуатация (на данный момент)
И, пилот вешает бумажку, чтоб не пэрэпутать, это уже как в анекдоте.
ТО, проблема то в консерватории.

 

[akselcom]

А если резервный прибор врет тоже?

Если принять, что показания скорости разошлись из-за отказа флюгарки, то на резервном приборе, как я понимаю, значения угла атаки не используются для вычисления скорости.
А значит они должны быть близкими с исправным ADIRS и сильно отличаться от отказавшей.
Показания сравнили и отключили неисправный. О чем, собственно, и говорится в чеклисте для Airspeed Unreliable.

Но это в теории, в спокойной обстановке, тем более на "диване".

При наличии трех систем ADIRS (ADS) автоматика может сравнивать их показания и если одна из них "ушла", то выдавать соответствующее предупреждение об ее отказе.

 

[AleksB]

Это причастно к принятию решения пилотами, "добрая автоматика, помогающая пилотам, которую надо просто отключить, если она неисправна" существует только в вашем воображении, в реальности НЕ СУЩЕСТВУЕТ никаких гарантий точного определения исправности автоматики, и либо пилоты сидят и ждут, пока их автоматика "поправит", как было в примере с 777 в Сан-Франциско, либо пилоты считают, что автоматика "дура" и выключают её, как в примере с SSJ в Индонезии. Результат печален в обоих случаях.

Я не понял сути сообщения. То есть если пилот упорот и может выключить GPWS, то можно или вовсе не делать, или делать GPWS работающей через пятую точку?

 

[denokan]

Если принять, что показания скорости разошлись из-за отказа флюгарки, то на резервном приборе, как я понимаю, значения угла атаки не используются для вычисления скорости.

А как это принять во внимание?

 

[ubadger]

Я не понял сути сообщения. То есть если пилот упорот и может выключить GPWS, то можно или вовсе не делать, или делать GPWS работающей через пятую точку?

Суть сообщения - вы очень сильно упрощаете вопрос взаимодействия автоматики и человека в авиации, я пишу это в третий раз уже.
Вы совершенно не обратили внимание на то, что в приведенных примерах даже совершенно исправная автоматика никак не смогла предотвратить печальных последствий.

Поэтому продолжим:

Катастрофа Ту-154 под Хабаровском — Википедия

ru.wikipedia.org

Люди просто отключили автоматику. И упали.

Катастрофа A310 под Междуреченском — Википедия

ru.wikipedia.org

Люди просто не смогли определить, что автоматика отключилась. И ...

Речь, опять же, идёт о совершенно исправной автоматике.

Тот путь, который вы предлагаете - наворотить поверх существующей автоматики управления ещё двадцать уровней автоматики контроля исправности автоматики управления ни к каким положительным итогам не приведёт, каждый уровень автоматики уменьшает надежность системы в целом, на каком-то уровне наворачивания контрольной автоматики система в общем станет настолько ненадежна и настолько не управляема, что проще её будет убрать совсем. И даже на этом уровне эта автоматика не будет перекрывать всех вариантов недостоверных входящих данных и, как следствия, неверной работы автоматики.

 

[brother_737]

А тут у вас флюгарка врет, а вы весь стабилизатор отключаете

Процитирую часть своего же сообщения.

В условия стресса и дефицита времени нет времени разбираться, MCAS ли нештатно отработала или стабилизатор сорвало с тормозов. Отключили, выдохнули, разбираемся.

Расстановка приоритетов.
На взлёте да и на малых высотах вообще важно сначала остановить неконтролируемое вращение стабилизатора, по какой бы причине оно ни возникало. Этих причин побольше, чем только отказ датчика УА.
Поверьте на слово, либо приезжайте как-нибудь на тренажёр посмотреть, что происходит при Runaway Stabilizer. Аэродинамическая эффективность стабилизатора на 737 высокая, ситуация развивается быстро. Некогда думать, что было причиной - надо остановить следствие, чтобы перевести полет в относительно безопасную фазу.

 

[AleksB]

Суть сообщения - вы очень сильно упрощаете вопрос взаимодействия автоматики и человека в авиации, я пишу это в третий раз уже.
Вы совершенно не обратили внимание на то, что в приведенных примерах даже совершенно исправная автоматика никак не смогла предотвратить печальных последствий.

Люди просто не смогли определить, что автоматика отключилась. И ...

Речь, опять же, идёт о совершенно исправной автоматике.

Тот путь, который вы предлагаете - наворотить поверх существующей автоматики управления ещё двадцать уровней автоматики контроля исправности автоматики управления ни к каким положительным итогам не приведёт, каждый уровень автоматики уменьшает надежность системы в целом, на каком-то уровне наворачивания контрольной автоматики система в общем станет настолько ненадежна и настолько не управляема, что проще её будет убрать совсем. И даже на этом уровне эта автоматика не будет перекрывать всех вариантов недостоверных входящих данных и, как следствия, неверной работы автоматики.

Я извиняюсь конечно, но где я предлагал чего-то поверх нагородить? Я предлагал в уже имеющейся автоматике алгоритмы делать так, чтобы не выдавать с единственного датчика недостоверные показания в систему автоматического управления, вгоняя в ступор пилотов неадекватным поведением.

 

[akselcom]

А как это принять во внимание?

Принять во внимание конкретно в этом случае.
Понятно, что в кабине этот случай нb чем не отличается от недостоверных показаний скорости по любой другой причине.

Можно даже придумать ситуацию, когда по какой-то общей причине забились (пух, забыли снять чехлы или еще что-нибудь) трубки Пито F/O и ISFD, которые расположены по правому борту. В таком случае по результатам сравнения будет отключена как раз таки исправная ADIRS.