Ну почему же - полная шляпа? Это типичная отказобезопасная архитектура. Любые расхождения между А и Б гарантировано приводят (а) к безопасному отключению обоих от исполнительых механизмов и (б) уведомлению экипажа о том, что системе капец и ему надо выкручиваться как-то без нее.Два одновременно работающих компьютера (FCC) просто для того чтобы сличать показания двух датчиков - это полная шляпа как в плане дизайна так и в плане надежности системы в целом.
Судя по словам и действиям Кэлхуна, как то не горит он желанием сесть в одну лодку с шляподелами.Ну почему же - полная шляпа? Это типичная отказобезопасная архитектура. Любые расхождения между А и Б гарантировано приводят (а) к безопасному отключению обоих от исполнительых механизмов и (б) уведомлению экипажа о том, что системе капец и ему надо выкручиваться как-то без нее.
Ну это я могу объяснить только тем, что отказобезопасной архитектуры тут будет недостаточно. Видимо отказ MCAS - это не простое усложнение условий полета, а нечто потяжелее. Значит - архитектура должна быть отказоустойчивой. А тут двух каналов будет маловато...Судя по словам и действиям Кэлхуна, как то не горит он желанием сесть в одну лодку с шляподелами.
Ну почему же - полная шляпа? Это типичная отказобезопасная архитектура. Любые расхождения между А и Б гарантировано приводят (а) к безопасному отключению обоих от исполнительых механизмов и (б) уведомлению экипажа о том, что системе капец и ему надо выкручиваться как-то без нее.
Там нет ни про то, ни про другое. Но каждый мыслит в меру...Трамп заявлял, что правительство США окажет помощь Боингу, обходными путями протащить опасный самолет через ФАА???
Или все-таки, что подкинет деньжат и военных контрактов на бедность?
То есть третий датчик и "синтетическая скорость" получается неизбежны?
Ну давайте разбираться. Если рассматривать на уровне компонента системы (кстати компонент часто сам является системой) тоНу почему же - полная шляпа? Это типичная отказобезопасная архитектура.
Но на других моделях Боинга то работало. Флюгарки стоят с обоих сторон. В каждой по два резольвера. Корпус флюгарки предусматривает установку четырех!!! резольверов. Куда ещё третий то пихать. Вот только в иных моделях Боинга были заложены процедуры валидации сигналов от резольверов. А в Максе нет. Отдельный блок SMYD наверное таки устранили, а система валидации сигнала в блоках ADIRU стала опцией, если заказан указатель угла атаки на дисплее пилота. Сигнал от резольвера вносит коррекцию в данные по воздушной скорости и давлению. В одном из случаев, при неправильном сигнале АОА, коррекция сигналов не осуществлялась. В отчёте они пишут о зарегистрированных неисправностях в системе техобслуживания, но пилоты об этом не информировались. Они сами пишут, что система должна выявлять невалидные сигналы и в течении не более одной секунды отработать алгоритм, устранение ошибки, отказ или игнорирование сигнала, с одновременным информированием пилотов. Но на Максе это тоже не было реализовано. И зачем там два компьютера, если и один не работает.Ну давайте разбираться. Если рассматривать на уровне компонента системы (кстати компонент часто сам является системой) то
отказобезопасность на уровне этого компонента это неспособность при его отказе спровоцировать цепочку отказов способную привести к отказу системы целиком.
Если это критически важный для работы системы компонент, без которого функционирование системы невозможно, то тогда вопрос решается резервированием с ручным или автоматическим переключением на резерв - и для компонента и для системы в целом это есть мера обеспечения отказоустойчивости.
Если это компонент второстепенный, без которого система не теряет большей части своей функциональности то вопрос решается ручным или автоматическим отключением компонента, дабы его неправильная работа не могла спровоцировать неправильную работу системы в целом - ее ложное срабатывание например (естественно архитектура системы должна предусматривать такого рода горячие отключения) - для компонента отключение это будет мера обеспечения его отказобесопасности, а для системы в целом это по-прежнему мера обеспечения ее отказоустойчивости.
MCAS как компонент системы автоматического управления положением стабилизатора не является критически важным ни для ее функционирования ни для продолжения полета (при условии что пилоты информированы об ее отказе и следят за тангажом разумеется) поэтому нужно было всего лишь разумно организовать ее отключение - в ручную "по старым добрым боинговским традициям" с выключателем на передней панели отдельной строчкой в QRH (между выключением автопилота и автомата тяги) и парой-тройкой инструктажей, или автоматически - в случае "скрытого ношения" - как оно вообще и должно быть по приведенной выше логике построения отказоустойчивых систем [управления].
По поводу третьего датчика - изначально проблема MCAS была не в его отсутствии, и сам третий датчик ситуации принципиально бы не улучшил если был бы единственным изменением - не нужен он короче в архитектуре FCC B737 - сто лет без него как-то летали и STS работала, но если клоуны с обезьянами придут к выводу что проще пересадить целиком систему где третий датчик есть, чем дорабатывать тестировать и сертифицировать старую, то я и такому повороту событий теперь не удивлюсь.
По поводу второго компьютера - мне кажется Святой Му предложил такой вариант следуя своей концепции "минимум изменений" - они "просто" включают второй FCC он "просто" в качестве концентратора перегоняет через себя данные своего борта и передает их по шине связывающей FCC в компьютер назначенный главным - архитектурные изменения минимальные - все что нужно переписать код, морока с сертификацией которого наверняка много меньше по сравнению с описанной мною выше надсистемой сличающей параметры и являющейся классическим решением. Помимо того что такое использование второго FCC само по себе идиотизм (т.к. концептуально в 737 назначенный вторым FCC всегда резервный и если будут использоваться оба то резервного просто нет), оно еще и снижает отказоустойчивость системы в целом, по-сравнению с однокомпьютерной, так как причинам недостоверных показаний - к вероятности отказа датчиков добавляется вероятность отказа хотя бы одного из двух FCC, каковая больше чем отказ одного, после чего исчисление достоверности параметров станет невозможным.
Косвенно то что про MCAS уже столько времени ничего не говорят свидетельствует об отсутствии единодушия и четкой позиции по этому поводу.
Давайте. В нашем конкретном случае говорить нужно не о способности какого-либо элемента при его отказе спровоцировать какие-либо другие цепочки отказов системы в целом, а о свойстве системы (а) обнаруживать свой отказ и безопасно отключаться - т.е. прекращать функционирование без негативных последствий для безопасности полета и (б) своевременно уведомлять экипаж о своем отказе с тем, чтобы экипаж мог адекватно прореагировать на отказНу давайте разбираться. Если рассматривать на уровне компонента системы (кстати компонент часто сам является системой) то
отказобезопасность на уровне этого компонента это неспособность при его отказе спровоцировать цепочку отказов способную привести к отказу системы целиком.
В авиации главное не критичность какой-либо компоненты для работы системы, а критичность самой системы для безопасности полета. Если система критична в этом смысле, то ее архитектура должна быть устойчива к возможным отказам внутри системы. Как минимум - терпеть один любой отказ без последствий для функционала этой системы, критичного для безопасности полета.Если это критически важный для работы системы компонент, без которого функционирование системы невозможно, то тогда вопрос решается резервированием с ручным или автоматическим переключением на резерв - и для компонента и для системы в целом это есть мера обеспечения отказоустойчивости.
Вот это Ваше утверждение и есть камень предкновения во всей истории с тотальным зеземлением всех МАХ-ов. Правильно ли разработчики самолета (!) отнесли данную систему к классу систем не критичных для безопасности полета? Чтобы понять, была ли тут ошибка с неверной классификацией системы по влиянию на БП, нужно хотя бы попробовать полетать на МАХ-е без MCAS.MCAS как компонент системы автоматического управления положением стабилизатора не является критически важным ни для ее функционирования ни для продолжения полета (при условии что пилоты информированы об ее отказе и следят за тангажом разумеется)
Есть системы полное отключение (не функционирование) которых делает продолжение полета невозможным, гарантированной катастрофой - система подачи топлива, или системы обеспечения устойчивости в F-117 без которых пилот с управлением просто не справится, MCAS к таковым однозначно не относится это и есть критерий критичности. Но при том отключение это одно а ложное срабатывание это другое (один неработающий на пробеге реверс - допустимая ситауция, а один сработавший ложно реверс на эшелоне...) - и то что конструкторы не предусмотрели для MCAS последствий такой разновидности отказа как ложное срабатывание и не предусмотрели мер это и есть их главный косяк.Вот это Ваше утверждение и есть камень предкновения во всей истории с тотальным зеземлением всех МАХ-ов. Правильно ли разработчики самолета (!) отнесли данную систему к классу систем не критичных для безопасности полета? Чтобы понять, была ли тут ошибка с неверной классификацией системы по влиянию на БП, нужно хотя бы попробовать полетать на МАХ-е без MCAS.
и этогоВ нашем конкретном случае говорить нужно не о способности какого-либо элемента при его отказе спровоцировать какие-либо другие цепочки отказов системы в целом, а о свойстве системы (а) обнаруживать свой отказ и безопасно отключаться - т.е. прекращать функционирование без негативных последствий для безопасности полета
то я не понимаю какой реакции вы от меня ждете сначала выражая несогласие, а потом в качестве контрагумента тут же другими словами пересказывая содержание поста с которым вы это несогласие выразили)).В авиации главное не критичность какой-либо компоненты для работы системы, а критичность самой системы для безопасности полета. Если система критична в этом смысле, то ее архитектура должна быть устойчива к возможным отказам внутри системы. Как минимум - терпеть один любой отказ без последствий для функционала этой системы, критичного для безопасности полета.
Ну, после этого мне стало неинтересно обсуждать данную тему с Вами. Похоже, ни с гражданской авиацией, ни с нормами летной годности, ни к системой сертификации авиационной техники в ГА Вы никогда не сталкивались. Заполнить этот пробел в Ваших знаниях я не берусь. Извините...MCAS к таковым однозначно не относится это и есть критерий критичности
Теперь уже не жду. Вы просто не видите разницы. Не потому, что ее нет, а потому что не хватает специфических знаний. Здесь наверняка вы будете сильно возмущаться, но я Вас все-таки попрошу - давайте прервем этот спор.я не понимаю какой реакции вы от меня ждете сначала заявляя несогласие, а потом тут же другими словами пересказывая содержание поста с которым вы это несогласие выразили)).
Скажем, не сделали всего возможного для предотвращения ложного срабатывания. А формально они правы, есть процедура, позволяющая парировать самопроизвольный уход стабилизатора. Ситуация напоминает анекдот, в котором инспектор показал фермеру удостоверение, потом убегал от быка, требовал помощи от фермера, на что последний посоветовал показать быку удостоверение.и то что конструкторы не предусмотрели для MCAS последствий такой разновидности отказа как ложное срабатывание и не предусмотрели мер это и есть их главный косяк
Согласен нет ничего бессмысленнее чем обсуждение того согласен ли я со своим собственным мнением. Что же касается специфических знаний в указанных вами областях применительно к теме ветки - никто не мешает вам демонстрировать их здесь в виде своего мнения, без собственно диалога, я с удовольствием почитаю и возможно даже самостоятельно восполню некоторые пробелы в своих знаниях)).Ну, после этого мне стало неинтересно обсуждать данную тему с Вами. Похоже, ни с гражданской авиацией, ни с нормами летной годности, ни к системой сертификации авиационной техники в ГА Вы никогда не сталкивались. Заполнить этот пробел в Ваших знаниях я не берусь. Извините...
Вы просто не видите разницы. Не потому, что ее нет, а потому что не хватает специфических знаний. Здесь наверняка вы будете сильно возмущаться, но я Вас все-таки попрошу - давайте прервем этот спор.
В том-то и дело что формализм тут не катит. Там выше я приводил цитаты из отчетов о назначении MCAS - в первом по времени отчете указана формальная причина необходимости этой системы, во втором - уже гораздо более близкая к правде. И зная только формальную причину можно сделать не те умозаключения, чем если знать основную. Про быка в точку поржал спасибо.Скажем, не сделали всего возможного для предотвращения ложного срабатывания. А формально они правы, есть процедура, позволяющая парировать самопроизвольный уход стабилизатора. Ситуация напоминает анекдот, в котором инспектор показал фермеру удостоверение, потом убегал от быка, требовал помощи от фермера, на что последний посоветовал показать быку удостоверение.
Видите ли ув.eton, мнение чье-либо имеет значение ровно до тех пор, пока у человечества в загашнике нет никакого знания по данному предмету. Как только обнаруживается наличие такового, цена любого персонального мнения на этот счет тут же обращается в нольЧто же касается специфических знаний в указанных вами областях применительно к теме ветки - никто не мешает вам демонстрировать их здесь в виде своего мнения
Ребята, завязывайте фантазировать на эту тему! Разработчик не прав просто потому, что АВПКО - это его собачий бизнес. И если в ходе сертификации логику рассуждений разработчика в этой части никто не перепроверил, промах сертифицирующего органа не освобождает разработчика от ответственности.Скажем, не сделали всего возможного для предотвращения ложного срабатывания. А формально они правы, есть процедура, позволяющая парировать самопроизвольный уход стабилизатора.
Парадокс устранил. Бывайте здоровы!Парадокс?
Какие то рекламные агитки с минимумом информации.А тем временем компания Боинг продолжает работать для возвращения MAX в небо. На сайте компании раздел посвящён этому. Меры предпринимаются разносторонние, и всё это на фоне пандемии, всё смешалось.