Автоматика как фактор безопасности в современных транспортных средствах

Вот тот самый пример. Смотрите алгоритм в статье про Эрбас. Используются данные с двух датчиков угла атаки с построением медианы. Это не мажоритарный элемент, это жалкая попытка его изобразить из того что есть (два датчика)
PS. Пардон, не обратил внимание на просьбу не отвечать сразу.
Вот видите, вы только что выступили в роли человеческого фактора, демонстрируя, так сказать, тему топика во плоти. Вы статью не прочитали, сделали выводы, выступили глашатаем. Хорошо что топик не safety critical.
Цитаты оттуда:

1. The FCPC compared the three ADIRUs’ values of each parameter for consistency. If any of the values differed from the median (middle) value by more than a threshold amount for longer than a set period of time, then the FCPC rejected the relevant part of the associated ADIRU (that is, ADR or IR) for the remainder of the flight.

2. For most of the ADIRU parameters, the FCPC software used the median value when computing the control orders. The use of the median of three values as the system input was a common technique to ensure that significant discrepancies in one value would not influence system performance. Although the use of the median values as the input is generally a robust process, there are still many aspects that need to be considered to ensure that an algorithm works effectively.

3. The FCPC software did not use the median as the AOA value for computing flight control orders (AOAFCPC input) because of the physical location of the AOA sensors. The AOA 1 sensor was located on the left side of the fuselage and the AOA 2 and AOA 3 sensors were located close together on the right side of the fuselage (section 1.6.4). As a result, there was a potential for the AOA 2 and AOA 3 sensors to provide values that were significantly different to the AOA 1 sensor in some situations such as aircraft sideslip.79 If both AOA 2 and AOA 3 varied from the correct value in a consistent manner, then AOA 1 would be rejected even if it was closest to the correct value.
In order to minimise these effects, the FCPCs used the average value of AOA 1 and AOA 2 (AOAaverage) to calculate AOAFCPC input. In addition to the monitoring logic discussed in section 2.1.4, the FCPCs used other mechanisms to prevent discrepancies in either AOA 1 or AOA 2 from influencing AOAFCPC input.
(а ещё рассказывается, как и когда всплыло, что AoA2 и AoA3 могут врать вместе).

659423


4. Each AOA sensor utilised two independent outputs (‘A’ and ‘B’). The relevant ADIRU compared the A and B signals and, if they agreed, processed the data.

Решение было не лучшее, скорее вынужденное. Но и самолёт не самый новый. А вы всё-таки "современную авиацию" обвиняете.
 
Реклама
Так современная авиация при расхождении показаний двух датчиков угла атаки крутит стабом. Еще и при неисправном радиовысотомере (единственном на борту) умудряется на посадке малый газ включать (ТК 1951). Кому предъявлять?
 
А я сказал, что "закостенелость" в данном случае - к сожалению, дань безопасности полётов.
Как показывает практика - это не так. Закостенелость ждет определенного количества трупов вместо устранения ОЧЕВИДНЫХ точек отказа, и только потом начинает шевелиться.
Аргументация обычно в стиле "диды так летали".
Лично мне ближе подход Аэробус. С ними и постараюсь летать.
 
Так современная авиация при расхождении показаний двух датчиков угла атаки крутит стабом. Еще и при неисправном радиовысотомере (единственном на борту) умудряется на посадке малый газ включать (ТК 1951). Кому предъявлять?
Разработчику. Если Б доминирует по количеству проданных narrow-body, то это не отменяет того факта, что у многих конструкторов его решения зачастую вызывают недоумение.
 
Как показывает практика - это не так.
Как показывает практика, в авиации - это так.

Закостенелость ждет определенного количества трупов вместо устранения ОЧЕВИДНЫХ точек отказа,
Устранение ОЧЕВИДНЫХ точек отказа может вносить НЕОЧЕВИДНЫЕ, которые пилоту труднее распознать, что тоже заканчивается трупами. Плюс эффект излишнего доверия автоматике.

Вон, например, Ан-148 "Саравиа". Тройное резервирование с мажоритарным контролем. "Недостоверных показаний скорости быть не может".
 
Как показывает практика, в авиации - это так.
Устранение ОЧЕВИДНЫХ точек отказа может вносить НЕОЧЕВИДНЫЕ, которые пилоту труднее распознать, что тоже заканчивается трупами. Плюс эффект излишнего доверия автоматике.
Вон, например, Ан-148 "Саравиа". Тройное резервирование с мажоритарным контролем. "Недостоверных показаний скорости быть не может".
Неудачный пример. Датчики не отказывыли, замерзли трубки, вследствие забывания включить обогрев (что отдельная тема для обсуждения). С таким же успехом можно не снять чехлы с ПВД. Это не относится к автоматизации.
И вы все время пытаетесь подвести к тому, что я предлагаю увеличить объем автоматизации - это не так. Я предлагаю сделать ту что есть по-нормальному, чтобы она не крутила стабы при рассинхроне показаний и не включала малый газ при отказе единственного радиовысотомера.
 
Неудачный пример. Датчики не отказывыли, замерзли трубки, вследствие забывания включить обогрев (что отдельная тема для обсуждения). С таким же успехом можно не снять чехлы с ПВД. Это не относится к автоматизации.
Относится. Если бы разработчики не настаивали, что автоматизация решает проблемы недостоверной скорости, катастрофы могло было не быть.

И вы все время пытаетесь подвести к тому, что я предлагаю увеличить объем автоматизации - это не так. Я предлагаю сделать ту что есть по-нормальному, чтобы она не крутила стабы при рассинхроне показаний и не включала малый газ при отказе единственного радиовысотомера.
Вы пытаетесь внести дополнительную зависимость "рассинхрон показаний" в систему, построенную так, чтобы иметь резервирование на уровне полностью независимых контуров управления. Не будучи разработчиком Боинга, вы не знаете, к появлению каких неочевидных точек отказа это может привести.
 
чтобы она не крутила стабы при рассинхроне показаний и не включала малый газ при отказе единственного радиовысотомера
Что удивительно: система Speed Trim System при рассогласовании датчиков УА и разнице показаний скорости перестаёт подкручивать стабилизатор.

По радиовысотомеру: это было на части 737, не на всем парке. Исправили заменой прошивки.
 
Относится. Если бы разработчики не настаивали, что автоматизация решает проблемы недостоверной скорости, катастрофы могло было не быть.
Вы пытаетесь внести дополнительную зависимость "рассинхрон показаний" в систему, построенную так, чтобы иметь резервирование на уровне полностью независимых контуров управления. Не будучи разработчиком Боинга, вы не знаете, к появлению каких неочевидных точек отказа это может привести.
На том и закончим, с вашего позволения.
Повторюсь, мне как инженеру автоматизированных систем на опасных промышленных объектах гораздо ближе инженерные решения компании Аэробус. Постараюсь исключить возможную точку отказа под названием Боинг из своей жизни.
 
Реклама
Почитал последние 10 страниц... Можно добавить следующее:
  1. Если сравнивать с суперджетом, то при сваливании там сначала выпускаются закрылки, далее тяга увеличивается до взлетной. Т.е. совершенно иные механизмы борьбы с ситуацией. А пилоту остается штурвал.
  2. МСАS упорно перекладывает стабилизатор, самолет начинает разгонятся, скорости явно далеки от режима сваливания. И все равно перекладка стабилизатора продолжается. Явный дефект ПО, даже если предположить что в МСАS не поступают данные от датчиков скорости. По углу тангажа можно определить что ситуация не критическая для полета.
На Суперджете стоит ЭДСУ , а не качалки с тягами и роликами аля Ту-154, поэтому Боингу проще было приделать МКАС к управлению стабилизатором, чем городить новый дополнительный привод в канал руля высоты. Хотя правильней было бы действовать именно ,через РВ.
Я не изучал ЭДСУ Суперджета, но и там кроме закрылков и дачи режима по идее должен быть управляющий сигнал на пикирование в канал руля высоты .
 
Повторюсь, мне как инженеру автоматизированных систем на опасных промышленных объектах гораздо ближе инженерные решения компании Аэробус. Постараюсь исключить возможную точку отказа под названием Боинг из своей жизни.
Для меня они обе - из прошлого века. И мажоритарный контроль тоже. 21 век - это век байезианской, а не булевой логики в системах принятия решений.

А байезианская логика нам говорит, что по факту различия в безопасности подходов Боинга и Эйрбаса в авиации находятся в пределах статистического шума.
 
Прогресс неумолим и автоматика уже заменила двух членов экипажа, но при всем своем опыте строительства самолетов , человечество пока не имеет возможности избежать ошибок при проектировании автоматических систем. Думаю это частично обусловлено экономическими факторами. Самолет должен быть дешевым и уметь летать с отложенными неисправностями.
Что касается сваливания , то Ивану Корогодину на 85185 такая система бы не помешала, точно так же она бы не помешала Косте Иванову на 86060.
Есть случай когда эта система спасла самолет на взлете.
Согласен! Только вот насчет дешевизны самолетов сомнительно, так как цены заоблачные.
В случае с Карагодиным это было преступление, не побоюсь этого слова. Или преступная ошибка, если угодно.
Но когда автоматика, которая призвана предотвратить ошибку, убивает самолет и людей это уже что-то другое.
Наверное, просто надо проектируя автоматику все же не исключать возможность быстрого вмешательства человека для исправления ошибки автоматики. То есть пусть будет взаимность, что ли.
И немного о процессе выхода на критические углы.
Мы в испытательных полетах (на Ту134 во втором, а на АН26 в первом) для проверки правильности регулировок АУАСП выводили самолет на критический угол. Процесс сей не быстрый и чтобы загнать самолет на этот угол надо потрудиться еще.
Фото сделано на Ту134Ш №95949.

DSC00819.JPG
 
И это еще только критический угол для срабатывания сигнализации, если я правильно понимаю? До начала сваливания там еще запас чуть ли не в 20%?
Естественно, запас есть! Но для того и предупреждающая сигнализация существует, чтобы оставалось время для того, чтобы не пеерйти грань жизни и смерти.
Но субъективно что Ан26 на 15 градусах атаки, что Ту134 на 9,5 (при выпущенных закрылках, понятное дело) ведут себя чудесно! Никакой тряски и уходит с критического угла без проблем. Только добавь режим и штурвал от себя. Но это аэродинамика такая у самолета!
Их делали с упором на надежность, а не на маркетинг.
 
Что то пошло не так при тестировании алгоритма. Не был учтен отказ датчика углов и последующее поведение всего алгоритма.
Ну как можно так проектировать? В любом автоматическом режиме САУ при отказе своих датчиков отключает подрежим или вообще отключается, с соответствующей сигнализацией. Что ни возьми, отказ радиовысотомера или бортового оборудования системы ILS на посадке или отказ курсовой системы , авиагоризонта, все это приведет к автоматическому отключению режима "Заход" или всего АП (во втором случае)
А здесь ни кворума , с автоматическим отключением, ни сигнализации работы, ни возможность ручного отключения.
 
Ну как можно так проектировать? В любом автоматическом режиме САУ при отказе своих датчиков отключает подрежим или вообще отключается, с соответствующей сигнализацией. Что ни возьми, отказ радиовысотомера или бортового оборудования системы ILS на посадке или отказ курсовой системы , авиагоризонта, все это приведет к автоматическому отключению режима "Заход" или всего АП (во втором случае)
А здесь ни кворума , с автоматическим отключением, ни сигнализации работы, ни возможность ручного отключения.
Как же все усложнено!
 
Ну как можно так проектировать? В любом автоматическом режиме САУ при отказе своих датчиков отключает подрежим или вообще отключается, с соответствующей сигнализацией. Что ни возьми, отказ радиовысотомера или бортового оборудования системы ILS на посадке или отказ курсовой системы , авиагоризонта, все это приведет к автоматическому отключению режима "Заход" или всего АП (во втором случае)
А здесь ни кворума , с автоматическим отключением, ни сигнализации работы, ни возможность ручного отключения.
Поэтому я не понимаю почему эту ошибку пропустили, как вообще проводилось тестирование. Или просто спешили и решили что потом допилят. Но это совсем не вяжется с такой компанией как Боинг.
 
Поэтому я не понимаю почему эту ошибку пропустили, как вообще проводилось тестирование. Или просто спешили и решили что потом допилят. Но это совсем не вяжется с такой компанией как Боинг.
Это пример , как все реализовано на современном самолете Антонова
"Откл ОАО" это я подписал так функцию "Опр альфа", то есть подключение флюгарки к ЭДСУ
659440
 
Последнее редактирование:
Как показывает практика, в авиации - это так.


Устранение ОЧЕВИДНЫХ точек отказа может вносить НЕОЧЕВИДНЫЕ, которые пилоту труднее распознать, что тоже заканчивается трупами. Плюс эффект излишнего доверия автоматике.

Вон, например, Ан-148 "Саравиа". Тройное резервирование с мажоритарным контролем. "Недостоверных показаний скорости быть не может".
Это плохой пример. Экипаж грубо и многократно нарушил РЛЭ и самолет тут абсолютно не при чем. При соблюдении элементарных правил ,Вы не найдете вариантов когда самолет Антонова останется без правильных показаний высотноскоростных параметров, да и примеров таких нет в реальной эксплуатации, хотя отдельные отказы элементов этой системы были.
 
Реклама
Относится. Если бы разработчики не настаивали, что автоматизация решает проблемы недостоверной скорости, катастрофы могло было не быть.
Я не понял Вас, в чем настаивали разработчики? По моему они создали систему измерения скорости, которая исправно работала все эти годы.
 
Назад