Warum ist nicht jedes Flugzeug mit 3 Anstellwinkelsensoren ausgestattet?

Für kritische Systeme ist Redundanz in das System integriert. Es ist unter Designern/Architekten allgemein bekannt, drei verschiedene Eingänge zu haben, so dass, falls einer fehlerhaft ist, der Eingang von den verbleibenden zwei verwendet werden kann, um den fehlerhaften zu finden (und möglicherweise abzuschalten) (zwei gegen einen).

Warum ist nicht jedes Flugzeug mit 3 Anstellwinkelsensoren und dreifacher modularer Abstimmung ausgestattet, wenn diese Geräte sicherheitskritisch sind?

Die Millionen-Dollar-Frage
Kennen Sie Flugzeuge mit 3 AoA-Sensoren?
@DeepSpace: A320 hat drei, und wenn zwei ausfallen, denkt das System, dass der dritte (gute) ausgefallen ist .
Nicht nur A320, alle Airbus-Flugzeuge haben 3 AoA-Sensoren. A350 hat sogar einen zusätzlichen 4. AoA-Sensor.
Interessant. Wäre schön zu wissen, wie 3 bis 4 AoA-Sensoren ausgelesen werden. Es könnten 2 pro Pilot sein und immer noch kein TMR. Verwandte Frage: Aviation.stackexchange.com/questions/60972/…
Soweit ich weiß, sind jeweils 3 AoA-Sensoren mit jeweils 3 ADIRUs verbunden. ADIRUs entscheiden basierend auf den von ihnen empfangenen Eingaben, wann die Funktionalität intern umgeschaltet wird. Beim A350 ist die vierte AoA-Sonde direkt mit dem FCGS-Computer verbunden.
@ymb1 Ist das nicht nur dann der Fall, wenn zwei so ausfallen, dass sie den gleichen Wert liefern? Wenn zwei von drei zufällig ausfallen würden, wäre es ziemlich wahrscheinlich, dass sie so ausfallen würden, dass sie, wenn überhaupt, unterschiedliche Werte liefern würden. IIRC, 888T war ein Gleichtaktfehler: Wasser gefrierte, vermutlich jeweils ungefähr zur gleichen Zeit.
Wenn die NY Times Recht hat, ist tatsächlich nur ein AoA-Sensor gleichzeitig mit dem MCAS-System verbunden und die Option, diesen zwischen den beiden Sensoren umzuschalten.
Die Aussage, dass ein fehlerhafter AoA-Sensor die Ursache für den Absturz sei, wurde weder von den Ermittlern noch von den Aufsichtsbehörden bestätigt.
Sowohl der Absturz von Lion Air als auch von Ethiopian Air werden noch untersucht; Daher ist diese Frage nicht zum Thema.
@ Sean Die Frage bezieht sich nicht auf die Abstürze (insbesondere in der Bearbeitung), daher denke ich nicht, dass dies nicht zum Thema gehört.
Der MQ9 Reaper hatte 3 AOA-Sensoren. Auch der B2-Bomber hat 3, aber sein Absturz in Guam ist (glaube ich) darauf zurückzuführen, dass alle drei schlechte AOA-Messwerte liefern. Die Theorie zur Redundanz ist, wenn derselbe Mechaniker an allen dreien arbeitet ...
Meinst du wirklich "jedes Flugzeug"? Denn wenn Sie GA einbeziehen, lautet die Antwort offensichtlich Kosten und Notwendigkeit: Die Kosten sind unerschwinglich und sie sind nicht notwendig. Ich könnte vorschlagen, dass Sie dies bearbeiten, um den Flugzeugtyp einzugrenzen, bei dem Sie der Meinung sind, dass 3 Sensoren sinnvoll wären.

Antworten (4)

Dreifache Redundanz ist notwendig, um einen Fehler zu erkennen und auszuschließen. Das System arbeitet dann über den Fehler hinweg weiter. Doppelte Redundanz wird verwendet, um einen Fehler zu erkennen, kann ihn aber nicht ausschließen, sodass das System den Betrieb einstellt. Wichtig ist, dass die Fehler, die sie tatsächlich erkennen, identisch sind.

Stall-Ereignisse sind selten und werden normalerweise im Flug nicht erwartet. Es besteht keine unmittelbare Gefahr, wenn die Handhabungsverstärkung oder Stallwarnungen deaktiviert sind. Daher ist keine dreifache Redundanz erforderlich.

Einfach ausgedrückt, wenn das System eine AoA-Diskrepanz erkennt, kann es einfach abschalten und ausgeschaltet bleiben, bis es am Boden repariert wird.

Ist das doppelt redundante System optimal ausgelegt, entgeht nur ein gleichzeitiger Fehler der Erkennung. Beachten Sie auch, dass, wenn derselbe gleichzeitige Fehler an zwei Sensoren in einem dreifach redundanten System auftritt, dieser ebenfalls der Erkennung entgeht, da er den korrekt arbeitenden Sensor übertrifft. Daher haben beide Systeme genau denselben Fehlermodus.

Doppelte und dreifache gleichzeitige Fehler können auftreten und treten aufgrund gemeinsamer Ursachen auf, darunter Umweltfaktoren (AF 447), Wartungsfehler (XL 888) und Vogelschlag (US 1549). Es erlaubt auch Fehler in der Abstimmungslogik (QF 72). Sowohl die jüngsten tödlichen Unfälle mit AF als auch mit XL sind Anzeichen dafür, dass man sich zu sehr darauf verlässt, 3 gleiche Kartons zu kaufen und sie dann als „sicher“ zu bezeichnen.

"Nur ein gleichzeitiger Fehler entgeht der Erkennung" Nur wenn sie auf die gleiche Weise ausfallen. Angenommen, zwei Sensoren, einer liest -1 und der andere +1; Sie können wissen, dass sie unterschiedliche Werte melden, aber ohne zusätzliches Wissen können Sie nicht wissen, welcher richtig ist. Wenn im Fall von drei Sensoren der eingestellte Wert (+1, +1, -1) ist, können Sie vernünftigerweise (siehe XL888T) schlussfolgern, dass -1 ein Fehler ist; Wenn der Wertesatz jedoch (+1, 0, -1) ist, können Sie nicht schlussfolgern, welche Werte richtig oder falsch sind.
Ob Fehler wirklich unabhängig sind, steht auf einem anderen Blatt. Mehrere AOA-Sensoren wurden wahrscheinlich von derselben Fabrik (und wahrscheinlich ungefähr zur gleichen Zeit) hergestellt, von denselben Mechanikern gewartet und fliegen durch dieselbe Luft. Das erhöht die Wahrscheinlichkeit von Gleichtaktfehlern radikal, die jedes Redundanzsystem zunichte machen.
@aCVn Obwohl dies zutrifft, werden AoA-Sensoren, die gleichzeitig ausfallen, mit ziemlicher Sicherheit auf die gleiche Weise ausfallen: Die einzige Möglichkeit, wie sie realistisch ausfallen können, ist durch Blockierung (z. B. Eis oder Trümmer). Eisbildung zum Beispiel wirkt sich wahrscheinlich ähnlich auf ähnliche Sensoren aus (siehe: AF447)

Zwei AoA-Sensoren sind zuverlässiger als drei!

Schauen wir uns die Wahrscheinlichkeitsrechnung an und nehmen wir an, dass die Fehlerwahrscheinlichkeit eines Sensors p = 0,1 % ist (pro Flug, oder was auch immer Sie wählen möchten). Die Wahrscheinlichkeit, dass derselbe Sensor wie erwartet funktioniert, ist q = 1 − p = 99,9 %.

Zwei Sensoren

Die Wahrscheinlichkeit für

  • kein Fehler: q 2 ≈ 99,8 %
  • eine Abweichung (1 Fehler): 2 pq ≈ 0,2 %
  • ein unentdeckter Doppelfehler: p 2 = 10 -6

Drei Sensoren

Die Wahrscheinlichkeit für

  • kein Fehler: q 3 ≈ 99,7 %
  • 1 behobener Fehler: 3 pq 2 ≈ 0,3 %
  • unerkannte Fehler: 1 − q 3 − 3 pq 2 ≈ 3 · 10 -6

Welche Lösung ist vorzuziehen?

Autonomes System

Wenn wir über ein autonomes System wie eine Drohne oder vielleicht einen Satelliten sprechen würden, würden wir die Fähigkeit des Systems betrachten, selbst eine Entscheidung zu treffen.

Eine Entscheidung kann damit nicht getroffen werden

  • 2 Sensoren bei Diskrepanz oder Doppelfehler. Die Wahrscheinlichkeit dafür beträgt 0,2 %.

  • 3 Sensoren, wenn mehr als 1 Fehler auftritt. Die Wahrscheinlichkeit dafür beträgt 3 · 10 -6 .

3 · 10 -6 ist 667 mal besser als 0,2 %. Das autonome System ist mit drei Sensoren und TMR-Voting besser dran.

Flugzeuge mit Piloten

Anders verhält es sich, wenn das System von einem Piloten überwacht wird, der bei Abweichungen eingreifen kann. Ein falsch positiver Alarm ist akzeptabel. Unerkannte Fehler sind nicht akzeptabel. Die Wahrscheinlichkeit für einen unerkannten Fehler beträgt 1 · 10 -6 bei 2 Sensoren und 3 · 10 -6 bei 3 Sensoren. Das 2-Sensor-System ist unter dieser Prämisse 3-mal zuverlässiger !

Außerdem ist ein einzelner Fehler bei der 2-Sensor-Konfiguration auffälliger. Ein einzelner Fehler mit drei Sensoren wird – falls überhaupt bemerkt – leichter ignoriert als beseitigt.

Ah, das gute alte Lusser-Gesetz .
Logik als Antwort erscheint mir etwas seltsam. Warum ist die Wahrscheinlichkeit, dass der Sensor in einem 3-Sensor-Setup funktioniert, q ^ 3 und nicht 1-p ^ 3? Ist es nicht so, dass nicht alle 3 arbeiten müssen, um AoA-Informationen zu erhalten, nur 1 reicht aus, um die Arbeit zu erledigen?
@MadMax: q ^ 3 ist (per Definition) die Wahrscheinlichkeit, dass alle 3 Sensoren funktionieren = kein Fehler. 1-p^3 ist die Wahrscheinlichkeit für 0, 1 oder 2 kombinierte Fehler. In einer TMR-Konfiguration sind 2 Sensoren für korrekte Ergebnisse erforderlich. 1 ist nicht ausreichend.
Ursprünglich +1 gegeben, aber nach ein paar Tagen Nachdenken wurde mir klar, dass dies eigentlich falsch ist. Das Gehäuse mit drei Sensoren funktioniert so nicht. Das System aggregiert den Ok/Fail-Zustand nicht, wenn es diese Daten hat, ignoriert es einfach ausgefallene Sensoren. Was es aggregiert, ist die tatsächliche Messung. Die relevante Statistik für unerkannt ist also eigentlich die Wahrscheinlichkeit, dass zwei Sensoren auf die gleiche Weise versagen und die gleiche falsche Messung liefern. Normalerweise muss dies auch gleichzeitig geschehen, da das System den Sensor im Allgemeinen ignorieren würde, von dem es glaubt, dass er falsche Daten liefert. (Fortsetzung)
Genau diese Fähigkeit, zwischen Fehlern zu unterscheiden , ist der Vorteil von Lösungen mit drei Quellen. Ohne sie wäre es eine Zwei-Quellen-Lösung mit zusätzlichen Fehlerquellen. Das ist im Wesentlichen das, was Sie in der Antwort beschreiben.
Wohlgemerkt setzt das obige voraus, dass die Logik korrekt implementiert ist . Sie können beide Systeme absolut falsch implementieren, und Airbus und Boeing haben genau das getan.
Lieber @VilleNiemi, du hast Recht, dass meine Antwort nicht die Situation in der B737M widerspiegelt. Stattdessen deckt es einen theoretischen Aspekt ab. Zur Beschreibung des Szenarios reicht es nicht aus, die Sensoren zu zählen, sondern es kommt darauf an, wie sie ausgewertet werden. Die Themenfrage ändert sich ständig und passt sich dem unvollständigen Wissen an, das wir über eine laufende Unfalluntersuchung haben. Dies sollte vermieden werden. Haben Sie verlässliche Informationen zum B737M-Design? Ich nicht. Ich erwäge, diese Antwort auf eine andere Frage zu verschieben (zu erstellen).

Unabhängig von der Anzahl der Sensoren muss der Pilot über genügend Erfahrung verfügen, um zu erkennen, was vor sich geht, und das Flugzeug einfach fliegen. Checklisten können helfen, aber vielleicht fehlt die Zeit. Nach dem ersten Absturz der 737 MAX gab es eine Airworthiness Directive und eine Notice to Airmen, die den Umgang mit Stabilisator-Runaway, unabhängig von der Ursache, einschließlich MCAS, darlegten. Der zweite Absturz ereignete sich, nachdem die Piloten diese Verfahren zunächst befolgt, sie dann aber umgekehrt hatten.

MCAS wurde behoben. Die Regulierungsbehörden haben diesen Punkt festgestellt und zertifiziert.

Die Pilotenausbildung wurde nicht festgelegt. Das muss als nächstes passieren.

Ich denke, das beantwortet die Frage nicht. Die Frage konzentriert sich nicht auf das B737 MCAS, sondern auf die Anzahl der AoA-Sensoren in jedem Flugzeug (nicht einmal auf Verkehrsflugzeuge beschränkt), und Ihre Antwort befasst sich nicht mit der Anzahl der AoA-Sensoren.
@Manu H, er macht einen allgemeineren Punkt, dass die Anzahl der AoA-Sensoren irrelevant ist, wenn der Pilot nicht über die Ausbildung oder Erfahrung verfügt, um einen Fehler zu erkennen und richtig darauf zu reagieren. Denn warum bei 3 aufhören? Warum nicht 4 oder 5? Viele Flugzeuge haben überhaupt keinen AoA-Sensor und werden jeden Tag sicher geflogen.

Ich habe in den 80er Jahren für Marconi gearbeitet. Das Triple-System wurde in den 1980er Jahren in Rochester entwickelt. Die dreifache Redundanz war eine Design- und Marketing-/Sicherheitsphilosophie für den neuen Airbus, der das erste Fly-by-Wire-Passagierflugzeug war – Marconis Ingenieure entwarfen elektromechanische Flugsteuerungen für Kampfjets, Drohnen, Luftschiffe und Hubschrauber unter Verwendung des MIL-STD -1553-Standard und das 1773-Protokoll. Jeder leitende Konstrukteur von Marconi wurde intern von der Firma geschult, um sein eigenes Leichtflugzeug zu fliegen - die Firma hatte auch einen eigenen Flughafen. Ich bezweifle, dass irgendein Unternehmen auf der Welt, einschließlich Boeing, mit seiner damaligen internen Expertise in der Flugsteuerung auch nur annähernd mithalten konnte. Wenn Marconi X3-AoA-Sensoren entwickelt hat, hat er dies aus einem sehr guten Grund getan.

Warum ist nicht jedes Flugzeug mit 3 Anstellwinkelsensoren ausgestattet?
AntwortenHierDatenschutz-Bestimmungen1y, 0v