Автоматика как фактор безопасности в современных транспортных средствах

[ubadger]

Я извиняюсь конечно, но где я предлагал чего-то поверх нагородить? Я предлагал в уже имеющейся автоматике алгоритмы делать так, чтобы не выдавать с единственного датчика недостоверные показания в систему автоматического управления, вгоняя в ступор пилотов неадекватным поведением.

Вы правы по конкретному случаю, и будете правы по каждому конкретному случаю дальше. И именно так развивается современная авиация - исправляет выявленные недостатки.

Но ваш начальный вопрос:

Денис, зачем нужна такая автоматизация, которая вместо того, чтобы помогать пилотам, и быть незамедлительно отключенной в случае малейшего намека на недостоверность показаний с датчиков с одновременным уведомлением пилотов об этом, наоборот заставляет их быть все время на стреме?

он бессмысленный, невозможно на современном уровне технологий создать автоматику, которая позволяла бы пилотам всё время полёта кайфовать и расслабляться, а на стреме быть только тогда, когда автоматика уже отказала и десять раз об этом предупредила (и кто, кстати, пилотирует самолёт, пока отказавшая автоматика информирует пилотов десять раз, что она отказала, процесс прихода в рабочее состояние из расслабленного не моментальный), и которую мог бы поднять самолёт.

 

[AleksB]

он бессмысленный, невозможно на современном уровне технологий создать автоматику, которая позволяла бы пилотам всё время полёта кайфовать и расслабляться, а на стреме быть только тогда, когда автоматика уже отказала и десять раз об этом предупредила (и кто, кстати, пилотирует самолёт, пока отказавшая автоматика информирует пилотов десять раз, что она отказала, процесс прихода в рабочее состояние из расслабленного не моментальный), и которую мог бы поднять самолёт.

Пилот (как и оператор на промышленно-опасной установке) нужен не просто в кабине сидеть и кайфовать, они отвечают за принятие решений, в том числе при отказах автоматики. Но автоматика НИКОГДА не должна вмешиваться в управление любой системой, не будучи уверенной в достоверности входных параметров. А это, поверьте, очень даже реализуемо, и даже реализовано в современных системах автоматизированного управления. Потому меня, как инженера, как раз разрабатывающего такие системы, вгоняет в ступор, как вообще можно использовать один единственный датчик (речь про радиовысотомер), для каких либо управляющих воздействий. Если бы я подобное сделал в системе промпредприятия, меня бы с позором выгнали из отрасли! А тут авиация...

 

[Пятый]

Поскольку возник вопрос ПО, то,
позвонил знакомому, работает по АСУТП, весьма интересные его комментарии, не мои, а его слова, может перескажу неточно, уж ... :

• код ПО пишут обкуренные индусы, которым платят не за качество кода, а за количество,
• это сплошь и рядом, SCADA (управляющая программа) при наличии ошибки, не проверяет статус, а игнорирует, типа такой ошибки не может быть,
• 10 % занимает написание кода, 90 % - написание программ по его тестированию,
• три года на земле тестировалось ПО Бурана, с датчиками, и разными вероятными, задаваемыми лётчиками условия, типа такая ошибка может быть,
• ПО, написанное для Бурана, на языке Ассемблер, где, по словам моего спеца, можно достичь такого результата, что вероятность ошибки стремится к нулю,
• но, современное ПО так не пишется, всё написано на "кусках" ( у них какое-то другое слово, я не запомнил) которые при определенных сложившихся условиях выдадут неверный управляющий сигнал, и вероятность его возникновения при условиях, очень отличающихся от где-то около стандартных, достаточно ВЕЛИКА.

Лучше бы я этого не знал.

Удалите своё сообщение, пожалуйста. Там бред написан.

1. Он хотя бы с одним индусом знаком? Да, они обычно дешевле тех же европейцев. Да, код в частности и инженерная работа вообще у них обычно хуже качеством. Да, в сумме затрат отдать часть работы на аутсорс в Индию(условно) и потратить некоторые дополнительные усилия на то, чтобы конечный продукт был необходимого качества - несколько выгоднее (и, кстати, лучшей иллюстрацией к статье Индусский Код среди моих многочисленных знакомых был россиянин).
2. Набор слов. В общем случае неверное в корне.
3. Так это нормально. Может и 99%. А ещё есть сертификация ПО и т.п.
4. Невозможно протестировать на все возможные ошибки. Вообще данный факт никак не связан с современным состоянием разработки в данной области.
5. Комбинация этого пункта и п.2 говорит о том, что Ваш знакомый к разработке ПО( или разработке аппаратуры АСУТП) не имеет никакого отношения. По сути - всё равно что написать, что зелёной ручкой можно писать без синтаксических ошибок.
6. Набор слов, смысла нет, комментировать нечего, увы.

Немного о себе. В области Embedded я разработчиком работаю лет 20+. Да, с индусами тоже работаем. Нет, не российская компания. Нет, не авионика (несколько менее зарегулированная стандартами и сертификацией область).

 

[serge_not_a_pilot]

Поскольку возник вопрос ПО, то,
позвонил знакомому, работает по АСУТП, весьма интересные его комментарии, не мои, а его слова, может перескажу неточно, уж ... :
....
Лучше бы я этого не знал.

Именно, это - набор баек, мифов, передергиваний и прочего шлака, очень плохо соотносящегося с реальностью.

 

[ubadger]

Если бы я подобное сделал в системе промпредприятия, меня бы с позором выгнали из отрасли! А тут авиация...

В авиации работают совершенно обычные люди, с двумя руками, двумя ногами, голова одна. Они тоже делают ошибки, и иногда эти ошибки "спят" двадцать лет, прежде чем "стреляют". Сколько этих 737NG летало к 2009 году ? Если бы это была действительно настолько опасная ошибка, как вы её считаете - она бы себя проявила намного раньше.

 

[Kit.]

Поскольку возник вопрос ПО, то,
позвонил знакомому, работает по АСУТП, весьма интересные его комментарии, не мои, а его слова, может перескажу неточно, уж ... :

Может, и "неточно". Особенно это:

на языке Ассемблер, где, по словам моего спеца, можно достичь такого результата, что вероятность ошибки стремится к нулю,

 

[AleksB]

Я одну (не только одну, конечно) вещь не понял после катастрофы Lion Air:

Есть функция, которая старается помочь пилоту не допустить сваливания и если нос самолета задирается слишком высоко, она пытается его опустить, переставляя соответствующим образом стабилизатор. Проблема в том, что она определяет это дело по данным о угле атаки, и если эти данные окажутся недостоверными, то она может "думать", что угол атаки постоянно слишком большой и будет все время стараться опустить нос и в конечном счете может увести самолет в пикирование до столкновения с поверхностью под большим углом.

Это понятно. Что не понятно (мне): ведь в системах есть независимый (от датчиков угла атаки) источник информации о положении самолета – горизонт, по нему система же должна "видеть", что самолет ушел в пикирование? Почему данные от горизонта не используются для предотвращения "самопроизвольного пикирования"? В чем тут дело?

Так насколько я понял, датчиков угла атаки два. Вот и не пойму, как можно с них продолжать выдавать информацию в систему автоматического управления, когда даже на двух датчиках разошлись показания! Тут алгоритм может быть только один: сигнал "ребята, данные с датчиков угла атаки разошлись, все автоматическое управление выключено, дальше ручками"

 

[gourry]

Это понятно. Что не понятно (мне): ведь в системах есть независимый (от датчиков угла атаки) источник информации о положении самолета – горизонт, по нему система же должна "видеть", что самолет ушел в пикирование? Почему данные от горизонта не используются для предотвращения "самопроизвольного пикирования"? В чем тут дело?

Авиагоризонт все-таки дает угол относительно земной поверхности, а не относительно воздуха, так что тут те же проблемы, что и с ГПС и скоростью, хоть и не в таком объеме. Правильнее смотреть по углу атаки, тем более что для надежности они специально сдублированы.

 

[gourry]

Так насколько я понял, датчиков угла атаки два. Вот и не пойму, как можно с них продолжать выдавать информацию в систему автоматического управления, когда даже на двух датчиках разошлись показания! Тут алгоритм может быть только один: сигнал "ребята, данные с датчиков угла атаки разошлись, все автоматическое управление выключено, дальше ручками"

Так залет в MCAS как раз в том, что какая-то светлая голова в ИТ боинга решила смотреть данные только по одному из двух каналов, если я правильно понимаю.

 

[ads]

Удалите своё сообщение, пожалуйста. Там бред написан.

1. ...
2. Набор слов. В общем случае неверное в корне.
3. .....
4. Невозможно протестировать на все возможные ошибки. Вообще данный факт никак не связан с современным состоянием разработки в данной области.
5. Комбинация этого пункта и п.2 говорит о том, что Ваш знакомый к разработке ПО( или разработке аппаратуры АСУТП) не имеет никакого отношения. По сути - всё равно что написать, что зелёной ручкой можно писать без синтаксических ошибок.
6. Набор слов, смысла нет, комментировать нечего, увы.

Уточнил у него же, он пишет программы, и обслуживает горное предприятие, SCADA - Сименс

1. SCADA при наличии ошибки,. игнорирует, типа такой ошибки не может быть, Simatic WinCC
2. В форуме подтвердили, программа кусками, костыли и т.д. и т.п.

Так что не надо нервничать, что же тогда Боинг после двух катастроф подобного рода, объявил о замене ПО ?
Надо было 300 человек убить, чтобы это заявить. Пока что так складывается

 

[blck]

Так залет в MCAS как раз в том, что какая-то светлая голова в ИТ боинга решила смотреть данные только по одному из двух каналов, если я правильно понимаю.

Ровно как и с 1 RA для выдачи сигнала на уборку РУДов (Нидерланды)

 

[Kit.]

Так насколько я понял, датчиков угла атаки два. Вот и не пойму, как можно с них продолжать выдавать информацию в систему автоматического управления, когда даже на двух датчиках разошлись показания! Тут алгоритм может быть только один: сигнал "ребята, данные с датчиков угла атаки разошлись, все автоматическое управление выключено, дальше ручками"

Там у них два независимых управляющих компьютера (для резервирования), каждый работает со своим комплектом датчиков. Так исторически сложилось, и переделывать это было бы дорого и, видимо, считалось, что небезопасно.

 

[AleksB]

Там у них два независимых управляющих компьютера (для резервирования), каждый работает со своим комплектом датчиков. Так исторически сложилось, и переделывать это было бы дорого и, видимо, считалось, что небезопасно.

Так а кто мешал между компьютерами показания датчиков сравнивать? В случае расхождения отключать все авто и кричать пилотам. Это и есть вопрос грамотности инженеров боинга. Понимаете, сейчас даже в примитивных системах промышленных АСУТП без мажоритарного контроля не обходится, а тут такой кошмар. Я так авиафобом стану.

 

[61701]

Уточните, пожалуйста, Вы хотите такую СВС которой какашки не помеха?

Какашки не помеха той СВС, на приемники давления , которой, техсостав вовремя и согласно регламента ТО устанавливает заглушки.

 

[61701]

В условия стресса и дефицита времени нет времени разбираться, MCAS ли нештатно отработала или стабилизатор сорвало с тормозов.

Не надо тратить время и разбираться, потому что нормальный датчик угла атаки в случае неисправности должен выдать в систему СВС сигнал отказа и система СВС(ads) выдает сигнал на табло (или сообщение на дисплее)сигнализирующее о неисправности функции определения угла атаки(по одной флюгарке). То же самое если сигнала отказа нет , но есть расхождении показаний между левым и правым. Вот как только это табло загорится, то разбираться не надо ,сразу можно и нужно отключать кнопкой функцию спасения(Опр альфа), то есть по сути дела отключать МКАС.

 

[nowhow]

Так что не надо нервничать, что же тогда Боинг после двух катастроф подобного рода, объявил о замене ПО ?

"Замена ПО" не равно "найдена критическая ошибка в ПО".

 

[61701]

Речь идет о том, что при недостоверных показаниях скорости и высоты надо нахер очищать шкалы скорости и высоты от цифр. Оставлять только цветовые диапазоны.

При недостоверных данных скорости и высоты на месте их индикации по идее должны появиться желтые кресты.

 

[61701]

За 38 секунд до столкновения с горой сработал сигнал TAWS (AVOID TERRAIN), но был отключён командиром (сигнал был проигнорирован 6 раз); за 7 секунд до столкновения автоматика сообщила о невыпуске шасси, обнаружив близость поверхности.

TAWS не является автоматикой, это система предупреждения . Экипаж , как и в случае с Ан-148, нарушил РЛЭ и правила полетов , самолеты в этом случае не причем.

 

[61701]

Там у них два независимых управляющих компьютера (для резервирования), каждый работает со своим комплектом датчиков. Так исторически сложилось, и переделывать это было бы дорого и, видимо, считалось, что небезопасно.

Вот как раз на всех самолетах исторически сложилось ТРИ , а не ДВА. И к этим трем плюсуются резервные приборы.

 

[ДенисKGD]

TAWS не является автоматикой, это система предупреждения . Экипаж , как и в случае с Ан-148, нарушил РЛЭ и правила полетов , самолеты в этом случае не причем.

А какой пункт РЛЭ нарушил экипаж Ан-148? Не включил обогрев?