Автоматика как фактор безопасности в современных транспортных средствах

[Little Squirrel]

Верно. Исполнитель конкретного рабочего задания может и не знать, что стоит за пределами этого задания. Однако сей факт не означает, что в Ханивел нет подразделений и групп, ведущих разработку на уровне системы (подсистемы) и хорошо понимающих задачу в комплексе. В авиации и ракетно-космической технике разработчики алгоритмов и программисты - это разные специалисты. И сделано так не потому, что одни - умеют программировать, а другие - нет, а исключительно для того, чтобы всегда можно было бы разобраться, где ошибка - в алгоритме или в коде...

Так в automotive такое же самое разделение. Я другое пытался обьяснить: разрабатывая, скажем, систему авто-торможения я всегда мог порыться в архитектуре сам и подергать системного архитектора в свое удовольствия до полного моего понимания. Когда меня отговаривали идти в Ханивел чуть не основной аргумент коллег был что там я такое делать не смогу. Зная что Боинг тоже делает разные проекты и в целях "оптимизации" пул програмистов может быть один на всех я б не удивился такому же подходу.

 

[Yuha]

Извините что влезаю. но для систем ASIL D(он же SIL3/Level B) 10E9. Раньше(4-5 лет назад) трактовали как 10Е9 километров, теперь как operational hours. И это не до фатального исхода, именно до сбоя в системе.

Вряд ли это можно каким-то образом натянуть на safety. Мы же говорим именно о safety. А здесь важно, может ли данный конкретный функциональный отказ привести к катастрофическим последствиям. Для этого и проводят АВПКО. Если выяснится, что сбой никак не может привести к чему-нибудь такому просто потому, что функция ни прямо ни косвенно на безопасность не влияет, то и ладно. А если влияет, будь добр примени резервирование и докажи, что после всего этого любой единичный отказ в твоей системе не приводит к катастрофическим последствиям, т.е. является событием практически невероятным... Практически невероятно - это когда вероятность менее 10 в минус 9-й степени за час полета по типовому профилю...

 

[Kit.]

Вот отсюда и непонимание. Для справки:
Катастрофическая ситуация (КС) - это такое состояние, при котором предотвратить гибель людей практически невозможно. В автомобильном транспорте таких ситуаций не бывает? Теперь понятно, чего Вы не понимаете, проецируя свой опыт на авиацию...

С чего вы решили, что их не бывает? Они не нормируются. А с чего вы решили, будто я чего-то здесь не понимаю?

А где я утверждал нечто подобное?

Там, где вы начали обсуждать ТЗ программистам на MCAS.

Вы и здесь проецируете свой опыт на другую отрасль. В авиации всегда есть системщики (или - интеграторы), отвечающие за всю систему вместе с железом и софтом. От них исходят требования к системе, аллокированные на софт. Они решают, какая часть требований к системе будет реализована в железе, а какая - в софте. Они снабжают разработчика софта всей необходимой информацией о системе и используемом в ней железе. Ну а под раздаботчиком софта я имею в виду профильное подразделение организации, разрабатывающей систему.

Я правильно понял, что вы не знаете, как в той отрасли, которую вы обсуждаете, работают именно программисты? И именно поэтому считаете, что в ТЗ программистам для MCAS будет что-то о физических датчиках, которые прицеплены даже не к FCC, а вообще к ADIRU?

 

[Little Squirrel]

Вряд ли это можно каким-то образом натянуть на safety. Мы же говорим именно о safety. А здесь важно, может ли данный конкретный функциональный отказ привести к катастрофическим последствиям. Для этого и проводят АВПКО. Если выяснится, что сбой никак не может привести к чему-нибудь такому просто потому, что функция ни прямо ни косвенно на безопасность не влияет, то и ладно. А если влияет, будь добр примени резервирование и докажи, что после всего этого любой единичный отказ в твоей системе не приводит к катастрофическим последствиям, т.е. является событием практически невероятным... Практически невероятно - это когда вероятность менее 10 в минус 9-й степени за час полета по типовому профилю...

Это я неудачно выразился, извините. Я совсем не знаком с русской терминологией в этой области, потому перевожу "близко к тексту". Естественно это требования на функциональные отказы приводящие к "инциденту". В зависимости от тяжести "инцидента" и оценивается класс системы. Например для выше помянутого аварийного торможения отказом было ложное срабатывание. В результате оценки тяжести такого инцидента (авария, но скорее всего без жертв) присваивался класс, ASIL B, и согласно ему выставлялись требования на вероятность отказа и разрабатывались методы как нужную вероятность обеспечить.

TL;DR: Логика процессов и общие принципы для automotive, aerospace и железных дорог одни и те же. Просто из-за мастшабов возможного "инцидента" автомобильный стандарт "на этаж ниже" сидит, между DAL-E и DAL-B.

 

[Yuha]

Я правильно понял, что вы не знаете, как в той отрасли, которую вы обсуждаете, работают именно программисты? И именно поэтому считаете, что в ТЗ программистам для MCAS будет что-то о физических датчиках, которые прицеплены даже не к FCC, а вообще к ADIRU?

Неправильно поняли. В ТЗ программистам будут алгоритмы, в которых будет четко указано где какие входные данные брать и куда складывать какие выходные данные. А также алгоритмы преобразования входных данных в выходные. Программисты могут и не знать ничего про датчики и ADIRU, но те, кто разрабатывает и выдает им ТЗ - обязаны. К тому же программист программисту - рознь. Сеньоры, как правило, знают достаточно много. Иначе им трудно было бы спорить с системщиками. А споры такие в реале происходят часто и густо...

 

[Yuha]

С чего вы решили, что их не бывает? Они не нормируются. А с чего вы решили, будто я чего-то здесь не понимаю?

То есть - бывают, но ненормируются. В авиации не так. Если бы у Вас был опыт разработки авионики, то Ваши ответы на мои вопросы были бы не такими. А главное - Вы бы не настаивали на том, что все здесь понимаете Вот с этого и решил.

 

[Little Squirrel]

Они не нормируются.

Извините, они нормируются, ровно так же.
ISO 26262 - Wikipedia
Automotive Safety Integrity Level - Wikipedia

 

[Yuha]

Извините, они нормируются, ровно так же.

Вот! Таким образом, зафиксировав консенсус, вполне можем продолжить наши терки на тему "Автоматика, как фактор безопасности в современных ВС". И отраслевые различия нам не помешают!

 

[denokan]

Или же потому, что Боинг просто не ожидает наличия разумной разницы в поведении пилота с 200 пассажирами за спиной между ситуациями "собака" и "карапуз"?

Выше написали, что вы вроде бы специализируетесь на автоматизации автотранспорта? Умножьте проблемы на десять, и получите проблематику транспорта воздушного. Начнем с того, что нельзя в случае непоняток попросту остановиться и дать сигнал остановиться всем вокруг. Мелочь вроде бы, но если задуматься...

 

[stranger267]

Выше написали, что вы вроде бы специализируетесь на автоматизации автотранспорта? Умножьте проблемы на десять, и получите проблематику транспорта воздушного. Начнем с того, что нельзя в случае непоняток попросту остановиться и дать сигнал остановиться всем вокруг. Мелочь вроде бы, но если задуматься...

На самом деле большой вопрос, что автоматизировать сложнее. По мне, автотранспорт сложнее. Вести машину вообще-то - куда больше работы чем вести самолет (ну или вести автобус - работы больше чем вести Боинг). Внешние условия много сложнее. Другое дело, что да, с машиной если что - отрулил в сторону и остановился, с самолетом так не сделаешь, и даже если взять супер-квадракоптер приделать к нему парашют и _если что, парашют выстрелил и спустился_ - где гарантия что _спустился_ не в озеро с крокодилами?

 

[Yuha]

На самом деле большой вопрос, что автоматизировать сложнее.

Не вопрос. Посмотрите на количество, разнообразие и сложность функциональных систем на борту магистрального лайнера и сравните это с самым сложным авто.

 

[stranger267]

Не вопрос. Посмотрите на количество, разнообразие и сложность функциональных систем на борту магистрального лайнера и сравните это с самым сложным авто.

Количество систем никак на сложность ПИЛОТИРОВАНИЯ не влияет. У лайнера нет разметки полос, нет ям на дорогах, нет луж, нет дождя снега и льда, нет медведя на шоссе или велосипедиста который пересекает линию движения. Автоматизировать автомашину (чтобы она ехала без водителей) задача в разы (раз в 100) сложнее чем автоматизировать полет авиалайнера от взлета до посадки.

(В эту же струю - когда я кого то вожу на цессне, почти все спрашивают _и чего ты столько учился? Взлетел, поставил автопилот, и час он сам рулит. Завел на посадку, сел. Работы почти никакой, минут 10 за 2 часа полета, ну на посадке немного но это очень легко тоже автоматизируется. А на машине - выехал и только и делаешь что рулишь принимаешь решения оцениваешь обстановку предсказываешь поведение соседей на дороге и состояние дороги и ищешь оптимальный маршрут. Устаешь при вождении машины, особенно ночью, просто в разы больше. Потому что работы для вождения машины - много больше. Естественно сравниваем цессну с Приусом а Б-737 с автобусом, но это мы еще грузовики с прицепами не рассматривали, там еще сложностей добавляется. Короче, машина без водителя - задача много сложнее чем самолет без пилота, не случайно беспилотники давно летают, а машины без водителей как-то не случились еще).

 

[Yuha]

Количество систем никак на сложность ПИЛОТИРОВАНИЯ не влияет. У лайнера нет разметки полос, нет ям на дорогах, нет луж, нет дождя снега и льда, нет медведя на шоссе или велосипедиста который пересекает линию движения. Автоматизировать автомашину (чтобы она ехала без водителей) задача в разы (раз в 100) сложнее чем автоматизировать полет авиалайнера от взлета до посадки.

Я понимаю, что Вы имеете в виду. Однако безопасность полетов - это не только пилотирование. И автоматизация - это не только автопилотирование. Это еще и куча систем, отказ которых может имет нехорошие последствия для жизни и здоровья ни в чем не повинных людей на борту и на земле...

 

[Отто Кац]

У лайнера нет разметки полос, нет ям на дорогах, нет луж, нет дождя снега и льда, нет медведя на шоссе или велосипедиста который пересекает линию движения.

И нет возможности остановиться на обочине, включив аварийку. Это главное.

 

[stranger267]

И нет возможности остановиться на обочине, включив аварийку. Это главное.

Это основное, что не дает сейчас прямо сделать лайнеры без пилотов. Цена ошибки. А сами алгоритмы управления и принятия решений для пилотирования много проще, чем такие же для автомобиля. Про что и речь.

 

[Отто Кац]

Это основное, что не дает сейчас прямо сделать лайнеры без пилотов. Цена ошибки. А сами алгоритмы управления и принятия решений для пилотирования много проще, чем такие же для автомобиля. Про что и речь.

- Дедушка, а правда, что ты в войну пять самолетов сбил?
- Ну как тебе сказать, внучек... Не то, чтобы сбил... Скажем так - недозаправил...

Вам не кажется, что выбор площадки для аварийной посадки на Цессне - задача посложнее, чем вождение автомобиля в потоке? Ну, может для человека это и просто, но как это алгоритмизировать?

 

[Yuha]

А сами алгоритмы управления и принятия решений для пилотирования много проще, чем такие же для автомобиля. Про что и речь.

Да, это - довод. От многих неожиданностей в авиации спасает план полета и система УВД. На автомобиля все едут куда попали и как попало

 

[denokan]

На самом деле большой вопрос, что автоматизировать сложнее. По мне, автотранспорт сложнее. Вести машину вообще-то - куда больше работы чем вести самолет (ну или вести автобус - работы больше чем вести Боинг).

Вспомните про грозы, горы, запретные зоны, неисправные самолеты и насыщенный трафик, и перекресток покажется вам милой детской задачей.

 

[mishk]

Нет возможности читать все 45 страниц,но с 30 летним опытом работы с самолетами я никогда не полечу на чисто автоматическом самолете.Надо помнить,что сломаться может все,и то что сломаться не может и без человека в контуре управления обойтись не возможно. Во всяком случае в пассажирской авиации.

 

[lopast56]

У лайнера нет разметки полос, нет ям на дорогах, нет луж, нет дождя снега и льда, нет медведя на шоссе или велосипедиста который пересекает линию движения.

Взлетел, поставил автопилот, и час он сам рулит. Завел на посадку, сел.

А что это Вы, уважаемый, сравниваете ручное управление авто с полетом на автопилоте? Нееет... Врукопашную, дружище, врукопашную да часика четыре, да в болтаночку, да по грозам и зайти при минимуме 2-й кат. с предельным боковым... Вот после этого я Вам поверю, что и учиться не нужно, и делать в принципе нечего..., но только на автомобиле!)))