Автоматика как фактор безопасности в современных транспортных средствах

Поскольку возник вопрос ПО, то,
позвонил знакомому, работает по АСУТП, весьма интересные его комментарии, не мои, а его слова, может перескажу неточно, уж ... :
  • код ПО пишут обкуренные индусы, которым платят не за качество кода, а за количество,
  • это сплошь и рядом, SCADA (управляющая программа) при наличии ошибки, не проверяет статус, а игнорирует, типа такой ошибки не может быть,
  • 10 % занимает написание кода, 90 % - написание программ по его тестированию,
  • три года на земле тестировалось ПО Бурана, с датчиками, и разными вероятными, задаваемыми лётчиками условия, типа такая ошибка может быть,
  • ПО, написанное для Бурана, на языке Ассемблер, где, по словам моего спеца, можно достичь такого результата, что вероятность ошибки стремится к нулю,
  • но, современное ПО так не пишется, всё написано на "кусках" ( у них какое-то другое слово, я не запомнил) которые при определенных сложившихся условиях выдадут неверный управляющий сигнал, и вероятность его возникновения при условиях, очень отличающихся от где-то около стандартных, достаточно ВЕЛИКА.
Лучше бы я этого не знал.
 
И ёще, когда рассказал своему знакомому спецу по АСУТП про турецкий под Амстердамом 2009 г., он меня спросил:
- а что, если пилот пересиливает положение РУД, тем более в сторону увеличения, недостаточно для автоматики что отключаюсь нафик управления РУД ?
Вот тебе бабушка и юрский период.
 
Так ведь с отключением флюгарки тоже самое. У вас же стоит на штурвале кнопка (кбо) быстрого отключения САУ, потащил навигационный вычислитель не туда, никто же не лезет вырубать управление элеронами, нажал кнопку на штурвале , отключил САУ и перешел на ручное управление самолетом. А тут у вас флюгарка врет, а вы весь стабилизатор отключаете
 
Уточните, пожалуйста, Вы хотите такую СВС которой какашки не помеха?
 

Проблема взаимодействия пилота с автоматикой намного глубже и шире, чем вы пытаетесь представить, например, 777 в Сан-Франциско:

Катастрофа Boeing 777 в Сан-Франциско — Википедия

ru.wikipedia.org



AleksB сказал(а):
И при всем моем скепсисе к SSJ у них подобного не было.
Нажмите, чтобы раскрыть...

У SSJ катастрофа в Индонезии, автоматика не помогла, несмотря на явно высокую подготовленность пилотов.

За 38 секунд до столкновения с горой сработал сигнал TAWS (AVOID TERRAIN), но был отключён командиром (сигнал был проигнорирован 6 раз); за 7 секунд до столкновения автоматика сообщила о невыпуске шасси, обнаружив близость поверхности.

Катастрофа SSJ 100 на Салаке — Википедия

ru.wikipedia.org
 

Эту тему - разнонаправленность подготовки испытателей и линейных извозчиков - можно долго и нудно обсасывать. Факт в том, что


И это вызвало много эмоций, в том числе и у коллег из ГСС... Отголоски мне лично довелось услышать через несколько лет.
 
Как это причастно к идиотским алгоритмам, принимающим недостоверные показания с датчиков, и использующим недостоверные показания в контуре автоматического управления?
 
ads сказал(а):
работает по АСУТП, весьма интересные его комментарии,
Нажмите, чтобы раскрыть...
Так пусть продолжает комментировать свои скады. Если он не делал ревью кода конкретной авионики, то эти выводы притянуты за уши.
#автоудаление
 
Насчёт "Бурана". Мой дядя был одним из создателей его и рассказывал, что программно всё было очень примитивно, но может и надёжно. Они его несколько раз на испытаниях сажали и в последние моменты перед касанием полосы он поворачивал в одну и ту же сторону. Никто не мог понять причину такого поведения. То есть они даже не могли в записях параметрических самописцев выяснить сигналы с каких датчиков вызывали этот самый его поворот в одну и ту же сторону ложный. И только когда кто-то из конструкторов приехал на аэродром и при нем опять происходила посадка, то этот конструктор сразу определил, что Буран уходил от маленькой кирпичной будки рядом с ВПП. То есть он ее воспринимал как препятствие. Будку ту убрали и всё гуд стало. А программно так и не смогли это выяснить...
 
Программный код, есть программный код. Он ничем не отличается от кода в авионике. Вы же не можете с уверенностью сказать, что написание основного массива не отдано на аутсорс?
И потом, товарищ прав, т.к. МАХ - это не первый и не второй самолет семейства, код дописывался кусками, скорей всего. Слабо представляю, что его каждый раз переписывали заново. А где код дописывается кусками - там почти всегда будут заплатки и костыли.

И не надо идеализировать авиацию, там работают такие же люди как и везде.
 

Это причастно к принятию решения пилотами, "добрая автоматика, помогающая пилотам, которую надо просто отключить, если она неисправна" существует только в вашем воображении, в реальности НЕ СУЩЕСТВУЕТ никаких гарантий точного определения исправности автоматики, и либо пилоты сидят и ждут, пока их автоматика "поправит", как было в примере с 777 в Сан-Франциско, либо пилоты считают, что автоматика "дура" и выключают её, как в примере с SSJ в Индонезии. Результат печален в обоих случаях.
 
Знаешь, мне похрену Ваши code review,
НО, когда великий Боинг заявляет о смене ПО, останавливается эксплуатация (на данный момент)
И, пилот вешает бумажку, чтоб не пэрэпутать, это уже как в анекдоте.
ТО, проблема то в консерватории.
 
denokan сказал(а):
А если резервный прибор врет тоже?
Нажмите, чтобы раскрыть...
Если принять, что показания скорости разошлись из-за отказа флюгарки, то на резервном приборе, как я понимаю, значения угла атаки не используются для вычисления скорости.
А значит они должны быть близкими с исправным ADIRS и сильно отличаться от отказавшей.
Показания сравнили и отключили неисправный. О чем, собственно, и говорится в чеклисте для Airspeed Unreliable.

Но это в теории, в спокойной обстановке, тем более на "диване".

При наличии трех систем ADIRS (ADS) автоматика может сравнивать их показания и если одна из них "ушла", то выдавать соответствующее предупреждение об ее отказе.
 
Я не понял сути сообщения. То есть если пилот упорот и может выключить GPWS, то можно или вовсе не делать, или делать GPWS работающей через пятую точку?
 
А как это принять во внимание?
 

Суть сообщения - вы очень сильно упрощаете вопрос взаимодействия автоматики и человека в авиации, я пишу это в третий раз уже.
Вы совершенно не обратили внимание на то, что в приведенных примерах даже совершенно исправная автоматика никак не смогла предотвратить печальных последствий.

Поэтому продолжим:

Катастрофа Ту-154 под Хабаровском — Википедия

ru.wikipedia.org

Люди просто отключили автоматику. И упали.

Катастрофа A310 под Междуреченском — Википедия

ru.wikipedia.org

Люди просто не смогли определить, что автоматика отключилась. И ...

Речь, опять же, идёт о совершенно исправной автоматике.

Тот путь, который вы предлагаете - наворотить поверх существующей автоматики управления ещё двадцать уровней автоматики контроля исправности автоматики управления ни к каким положительным итогам не приведёт, каждый уровень автоматики уменьшает надежность системы в целом, на каком-то уровне наворачивания контрольной автоматики система в общем станет настолько ненадежна и настолько не управляема, что проще её будет убрать совсем. И даже на этом уровне эта автоматика не будет перекрывать всех вариантов недостоверных входящих данных и, как следствия, неверной работы автоматики.
 
61701 сказал(а):
А тут у вас флюгарка врет, а вы весь стабилизатор отключаете
Нажмите, чтобы раскрыть...
Процитирую часть своего же сообщения.
Расстановка приоритетов.
На взлёте да и на малых высотах вообще важно сначала остановить неконтролируемое вращение стабилизатора, по какой бы причине оно ни возникало. Этих причин побольше, чем только отказ датчика УА.
Поверьте на слово, либо приезжайте как-нибудь на тренажёр посмотреть, что происходит при Runaway Stabilizer. Аэродинамическая эффективность стабилизатора на 737 высокая, ситуация развивается быстро. Некогда думать, что было причиной - надо остановить следствие, чтобы перевести полет в относительно безопасную фазу.
 
Я извиняюсь конечно, но где я предлагал чего-то поверх нагородить? Я предлагал в уже имеющейся автоматике алгоритмы делать так, чтобы не выдавать с единственного датчика недостоверные показания в систему автоматического управления, вгоняя в ступор пилотов неадекватным поведением.
 
denokan сказал(а):
А как это принять во внимание?
Нажмите, чтобы раскрыть...
Принять во внимание конкретно в этом случае.
Понятно, что в кабине этот случай нb чем не отличается от недостоверных показаний скорости по любой другой причине.

Можно даже придумать ситуацию, когда по какой-то общей причине забились (пух, забыли снять чехлы или еще что-нибудь) трубки Пито F/O и ISFD, которые расположены по правому борту. В таком случае по результатам сравнения будет отключена как раз таки исправная ADIRS.
 
Вам необходимо войти или зарегистрироваться, чтобы здесь отвечать.
Меню
Вход
Регистрация