Warum verwendet die KC-46 zwei Sensoren für MCAS, wenn die 737 Max dies nicht tut?

In diesem Artikel heißt es

Die KC-46 verfügt über ein MCAS-System mit zwei Sensoren, das „die beiden Messwerte vergleicht“, sagte die Air Force.

Mir ist bewusst, dass die 737 zwei Sensoren verwendet und immer hat, aber der Computer liest sie gleichzeitig, basierend darauf, welcher Pilot das Flugzeug fliegt. Wenn der Kapitän also fliegt, liest er Daten von der linken Seite, richtig?

An diesem Punkt gehe ich davon aus, dass Boeings Entscheidung, Daten von einem Sensor zu ziehen, darin bestand, die Arbeitsbelastung zu reduzieren und eine frühere Einführung zu ermöglichen?

In Bezug auf Boeings Entscheidung, einzelne Sensordaten für MCAS zu verwenden, fallen mir Worte ein, die dumm und rücksichtslos sind. Die Air Force war höchstwahrscheinlich schlau genug, ein System mit einer gewissen grundlegenden Redundanz zu fordern.
Auch eine Vermutung: Es gab keinen Druck, eine Musterberechtigung für Piloten eines Vorgängermodells zu übertragen.
@ JPEG61-Redundanz ist für das Militär sehr wichtig. Darüber hinaus glaube ich, dass das Militär in einer viel besseren Position ist, um Einblick in das Design eines Flugzeugs zu erhalten; und wenn sie einen Bedarf sehen, Veränderungen einzufordern. MCAS wurde von Boing bewusst so konzipiert, dass die MAX unter die bestehende Zertifizierung der 737 fällt. Wenn die 737 MAX alle bestehenden Vorschriften erfüllt, aus welchen Gründen könnte die FAA Änderungen am MCAS verlangen?
@MSalters Wenn Boeing also den Computer geändert und geöffnet hat, um zwei Sensoren gleichzeitig zu lesen, erfordert das Flugzeug jetzt zusätzliches Training?
@Firefighter1: Sie müssen sie dann vergleichen. Und da man nur zwei hat, braucht man im Konfliktfall ein Pilotverfahren, falls die Messwerte zu stark voneinander abweichen. Kann nicht mit nur zwei Sensoren abstimmen.
Nein, MCAS liest keine Daten von der Seite des fliegenden Piloten. MCAS erhält AOA-Daten entweder von FCC 1 oder FCC 2 und dies wird automatisch für jeden Flug abgewechselt. FCC 1 verwendet das linke AOA und FCC 2 verwendet das rechte AOA.
@Firefighter1 "Wenn Boeing also den Computer geändert und ihn geöffnet hat , um zwei Sensoren gleichzeitig zu lesen, erfordert das Flugzeug jetzt zusätzliches Training?" Ja in der Tat. Bei einer Diskrepanz in den Ausgängen warnt das System die Piloten und schaltet sich ab, da es im Falle von 2 Systemen keine Möglichkeit gibt, festzustellen, welches falsch ist. Die Flugbesatzung muss dann im Umgang mit dem Flugzeug unter den Umständen geschult werden, für die das System ausgelegt ist.
Die Anzahl der Sensoren, die zur Bereitstellung eines Parameters verwendet werden, hängt von der Kritikalität der Funktion ab, die den Parameter verwendet, sowie von der Betriebsphilosophie hinter der Architektur der beteiligten Systeme, die für die 737 "nur auf derselben Seite" für Sensoren, Computer, Anzeigen und Bedienelemente, um die Fehlerisolierung und -behebung zu erleichtern. Somit bekommt das linke Display & FCC Fluggeschwindigkeit, Höhe, AOA von EINEM bzw. Sensor auf der linken Seite, der linke SMYD-Computer erhält AOA vom L-Sensor und steuert den Steuerknüppelschüttler der L-Steuersäule an. Dito für rechts. Ausnahme: Es kann nur ein FCC aktiv sein und beide Flugsteuerungen bedienen.
Wenn ein Sensor eine Seite speist, ist die Reserve bei Diskrepanz die andere Seite, der Pilot entscheidet, welcher gültig ist, indem er mit dem Standby-ASI, dem Höhenmesser, vergleicht. Der AoA-Wert ist für Piloten oder Autopiloten nicht kritisch – im Gegensatz zu Airbus setzt der Autopilot die Eingaben des Piloten nicht außer Kraft, sodass eine automatische Quellenauswahl zur Aufrechterhaltung der Verfügbarkeit und Zuverlässigkeit von Parametern nicht erforderlich ist. Der MCAS-Betrieb ist nicht sicherheitskritisch. Bei 767 KC-46 MCAS, die mit Betankungsvorgängen verwendet werden, kritisch genug, um einen 2. Sensor (zur Gültigkeitsüberwachung), aber keinen 3. (zuverlässige Redundanz) zu erfordern.

Antworten (2)

Laut dem Artikel verwendet der KC-46 den dualen FCC/AoA-Sensor zur Berechnung beider FCC-Kanäle und zum Vergleich der Befehlssignale. Bei zwei widersprüchlichen Signalen gibt es keine Möglichkeit festzustellen, welches das richtige ist, und die übliche Abhilfe besteht darin, beide zu deaktivieren, den Piloten zu warnen und das entsprechende Besatzungsverfahren einzuleiten. Und das erfordert Training.

Der B737MAX wurde beworben, da er im Vergleich zum NG nur sehr begrenzte Unterschiede beim Training erforderte, sodass das Setup für den KC-46 nicht kopiert werden konnte. Das ursprüngliche Design von MCAS im B737MAX verwendete auch zwei Wandler zur Aktivierung - zwei verschiedene Arten von Wandlern, die beide über einem Schwellenwert liegen mussten, wie in dieser Antwort erwähnt . Das ursprüngliche Design des MCAS hatte nur eine begrenzte Autorität des 0,8-Grad-Stabilisators. Aus dem Absturzbericht von Lion Air 610 , Seite 204:

MCAS ist so konzipiert, dass es nur während des manuellen Fluges (Autopilot nicht aktiviert) mit hochgeklappten Klappen des Flugzeugs und einem erhöhten AOA funktioniert. Mit fortschreitender Entwicklung der 737-8 (MAX) wurde die MCAS-Funktion auf niedrige Machzahlen erweitert und auf die maximale MCAS-Befehlsgrenze von 2,5 der Stabilisatorbewegung erhöht.

Der Bericht besagt, dass Boeing in der Fehleranalyse den nicht befohlenen MCAS-Fehlerzustand als schwerwiegend eingestuft hat (der nicht mehr als einmal in 10 auftreten darf 5 Flugstunden), statt Hazardous (1:10 7 ) oder Katastrophal (1:10 9 ), was tatsächlich einen einzelnen Wandlereingang ermöglicht. Nochmals aus dem Bericht, Seite 206:

Wenn die Wahrscheinlichkeit eines unerwünschten Fehlerzustands nicht unter der maximal zulässigen Wahrscheinlichkeit für diese Gefahrenkategorie liegt, sollte eine Neugestaltung des Systems in Betracht gezogen werden. Wenn der nicht befohlene MCAS-Ausfallzustand als schwerwiegender als schwerwiegend eingestuft worden wäre, hätte die Entscheidung, sich auf einen einzelnen AOA-Sensor zu verlassen, vermieden werden sollen.

Warum all dies für die B737 getan wurde, während die KC-46 zwei Sensoren verwendet, ist ein Konglomerat von Faktoren. Zwei Sensoren sind am besten. Zeitdruck für die Auslieferung des Flugzeugs, Druck der Airline-Kunden für Schulungen zur Begrenzung von Unterschieden, die Beobachtung, dass frühere Versionen von B737 mit kumulierten Flugstunden von 250 Millionen keine katastrophalen Ausfälle aufgrund eines Ausfalls des AoA-Sensors hatten (Referenz erneut aus dem Absturzbericht), alles führte dazu der vielleicht berechtigte Glaube, dass der eine Sensor ausreicht. Wenn von der Besatzung schnelle Maßnahmen ergriffen wurden, um den Fehler einzudämmen – der Fehler jedoch nicht rechtzeitig erkannt werden konnte. Nochmals Seite 206:

Während der Einzel- und Mehrfachfehleranalyse aus dem Worst-Case-Szenario des Flugdatensystems „Ausfall eines AOA gefolgt von fehlerhaftem AOA“ kam Boeing zu dem Schluss, dass die Auswirkung gefährlich sein würde, bis die Flugbesatzung das Problem erkannte und geeignete Maßnahmen ergriff, um es zu mindern. Da die Schulung oder Anleitung für Maßnahmen, die in einer solchen Situation ergriffen werden, nicht bereitgestellt wurden, hätte die Wirkungskategorie gefährlich bleiben müssen.

Da die FCC, die das MCAS kontrolliert, von einer einzigen AOA-Quelle abhängig ist, hätte der MCAS-Beitrag zu den kumulativen AOA-Effekten bewertet werden müssen.

Dies kann Anlass für eine neue Frage sein. Wenn ich richtig lese, ist ein Fehler, der 1 in 10 ^ 5 Stunden auftritt, schwerwiegend, während ein Fehler, der 1 in 10 ^ 9 auftritt, katastrophal ist? Wie ist das? 10^5 ist eine viel kleinere Zahl (und kommt daher viel häufiger vor) als 10^9. (Oder ist das ein Tippfehler?)
@FreeMan Ein katastrophaler Ausfall kann nicht mehr als 1 von 10 auftreten 9 Flugstunden hat ein Major Fail per se keine katastrophalen Folgen und darf höchstens einmal in 10 auftreten 5 Flugstunden.
Ach, das ergibt mehr Sinn. Danke schön!
@FreeMan Danke für den Kommentar, habe die Formulierung in der Antwort verbessert.
Zwei Sensoren sind besser , drei (oder mehr) wären am besten.
@Koyovis "kumulierte Flugstunden von 250 Millionen hatten keine katastrophalen Ausfälle aufgrund eines AoA-Sensorausfalls" Wie hängt das mit der Verwendung eines AOA-Sensors für MCAS zusammen? Angesichts der Tatsache, dass MCAS das Ergebnis eines AOA-Ausfalls möglicherweise katastrophal macht, ist es nicht realistischer, nur die Ausfallraten des AOA selbst zu betrachten?
@Berend Nein, die Ausfallrate aller Komponenten im System muss berücksichtigt werden, sowie die Maßnahmen, die ergriffen werden, wenn eine Komponente ausfällt. Systemdesign für Funktionalität, wie erfolgreich im KC-46 MCAS implementiert, wo ein Ausfall des AoA-Sensors erkannt, dann MCAS abgeschaltet und die Piloten benachrichtigt werden konnten. Dies war das Bit, das der MAX nicht implementiert hat.
@Koyovis Sorry, aber das passt einfach nicht zusammen. Welche Folgen ein AOA-Ausfall auf anderen Systemen hatte, ist völlig irrelevant. Unabhängig davon, ob dies zu sehr wenigen oder sehr vielen katastrophalen Ausfällen führte. Es berücksichtigt Komponenten, die nicht in der MCAS-Anwendung enthalten sind, also keine Rolle in seiner Risikobewertung spielen. Das ist so ziemlich jeder Highschool-Absolvent sollte in der Lage sein, das herauszufinden. Aber es spielt keine Rolle. Ich habe die Antwort gefunden, nach der ich in meiner Frage gesucht habe, also werde ich aufhören, Sie zu belästigen. Spaß haben !

Wir können nicht wissen, warum Boeing das getan hat, was sie getan haben, es sei denn, sie sagen es uns und angesichts der rechtlichen Implikationen, wenn man zu viel sagt, gibt es mehr Lärm als Signal. Ich kann mit den anderen über eine Antwort mit den anderen spekulieren.

Das 737MAX MCAS sollte dem Piloten bei bestimmten Manövern ein gewisses „Gefühl“ am Steuerhorn vermitteln. Von MCAS wurde erwartet, dass es geringfügige Korrekturen an der Trimmung vornimmt, dies selten, und es wurde erwartet, dass jeder Fehler wie eine außer Kontrolle geratene Trimmung oder ein anderer Fehler aussieht, für den die Piloten bereits in der 737NG geschult wurden. Dies wurde nicht als flugkritische Funktion angesehen und verwendete daher nur einen Sensor.

Bei der KC-46 bestand der Zweck von MCAS darin, die Verschiebung des Schwerpunkts zu mildern, wenn Treibstoff an andere Flugzeuge geliefert wurde. MCAS würde nahezu ständig in Betrieb sein, es hatte eine weitaus größere Kontrolle über die Leistung des Flugzeugs und verwendete daher zwei AoA-Sensoren für die Redundanz der Eingabe.

Soweit ich mich erinnere, diente die Entscheidung, nur einen AoA-Sensor zu verwenden, nicht dazu, die Arbeitsbelastung für die Entwicklung und das Testen zu verringern, sondern die Arbeitsbelastung der Computer im Flugzeug zu verringern, Computer, die für ihre Leistungsfähigkeit bereits eine beträchtliche Arbeitsbelastung hatten. Ein AoA-Sensor bedeutete, dass keine zusätzliche Rechenleistung benötigt werden musste, um einen Eingang mit dem anderen zu vergleichen.

Ich wünschte, ich könnte mich erinnern, wo ich das gelesen habe, aber jemand, der behauptete zu wissen, wovon er sprach, sagte, dass es möglich gewesen wäre, nicht nur einen AoA-Sensor mit dem anderen zu vergleichen, sondern auch den AoA von anderen Sensoren zu berechnen, um zu bestimmen, welcher Sensor es war gute Daten geben, wenn es Meinungsverschiedenheiten gab. Dies ist in der Tat ein "virtueller" AoA-Sensor, so dass es eine Abstimmung von 2 von 3 geben kann, was der richtige AoA ist. Außerdem soll dies möglich gewesen sein, ohne die Rechenleistung der 737MAX-Bordcomputer zu überschreiten. Angenommen, dies wäre möglich gewesen, hätte dies zusätzliche Arbeit bedeutet, um diese Software zu erstellen und zu validieren, dass sie sicher ist. Angesichts der Tatsache, dass Boeing einen engen Zeitplan hatte und MCAS von der FAA als nicht sicherheitskritisch eingestuft wurde, wurde diese zusätzliche Arbeit nicht durchgeführt.

Obwohl sich die AoA-Sensoren in allen 737MAX-Flugzeugen befinden, stehen diese Informationen der Besatzung nicht bei allen zur Verfügung. Die Besatzung würde nur dann über eine Fehlanpassung des AoA-Sensors informiert, wenn die Fluggesellschaft die Option für AoA-Anzeigen auf dem Flugdeck erworben hätte. Dies war anscheinend keine beliebte Option, nur wenige 737MAX-Flugzeuge hatten AoA-Anzeigen. Auch hier gibt es zwei AoA-Sensoren an allen 737MAX-Flugzeugen, aber nicht alle Flugzeuge hatten AoA-Anzeigen für die Besatzung, MCAS hatte diese Informationen, aber die Besatzung möglicherweise nicht.

Airbus sieht die AoA-Angabe offenbar anders. Sie bauen drei AoA-Sensoren in ihr Flugzeug ein, damit einzelne Sensorausfälle erkannt und korrigiert werden können. Auch hier wird behauptet, dass Boeing einen einzelnen AoA-Sensorfehler korrigieren könnte, indem es AoA aus anderen Sensoreingängen berechnet, aber sie haben sich dagegen entschieden. Es ist möglich, dass sie sich sowohl aus rechtlichen Gründen als auch aus praktischen und technischen Gründen dagegen entschieden haben. Wenn sie die Fähigkeit demonstrierten, AoA zu berechnen, um einen einzelnen AoA-Sensoreingangsfehler zu erkennen und zu korrigieren, könnte dies eine weitere Untersuchung dazu eröffnen, warum dies nicht zuvor getan wurde.

Boeing muss sich möglicherweise zurückhalten, wenn es behauptet, AoA sei eher „nett zu wissen“ als entscheidend für die Kontrolle des Flugzeugs, um nicht noch mehr Anwälte anzuziehen. Ich weiß nicht, wie wichtig es für einen Piloten ist, AoA zu kennen, da ich kein Pilot bin. Ich gehe davon aus, dass dies noch einige Zeit diskutiert wird.

Ihr Herunterspielen des 737MAX MCAS zeichnet ein falsches Bild. Während das MCAS des KC-46 die Stabilisatortrimmung nur einmal und nur um 0,6 Grad korrigierte, würde das 737MAX MCAS dies wiederholt und um einen viel größeren Betrag von 2,5 Grad Trimmung tun , bis die AoA unter seine Grenze fallen würde (ich glaube, das war 8 Grad). Bei einer Fehlfunktion des Sensors erforderte dies eine Reaktion innerhalb von 4 Sekunden , um das Verfahren zum Trimmdurchgehen durchzuführen.
„Ihr Herunterspielen des 737MAX MCAS zeichnet ein falsches Bild.“ Ich spiele die Schwere der 737MAX MCAS-Probleme nicht herunter, ich beantworte die Frage, warum Boeing sich für einen einzigen AoA-Sensor für MCAS entscheiden würde und die FAA zustimmen würde zu dieser Entscheidung. Dies geschah, weil MCAS zu diesem Zeitpunkt nicht als sicherheitskritisch angesehen wurde oder ein eigenes Sicherheitsproblem darstellte. Wir wissen jetzt, dass dies nicht wahr war, aber das ist 20/20 im Nachhinein.
"Warum ... die FAA dieser Entscheidung zustimmen würde" Dies lag ausschließlich daran, dass die FAA erst nach den Abstürzen von den Modifikationen an MCAS erfuhr. Alle bisherigen Zertifizierungsarbeiten wurden von Boeing-Mitarbeitern durchgeführt. Wenn Sie dem Link gefolgt wären, hätten Sie erfahren, dass „autorisierte Boeing-Vertreter Boeing-Mitarbeiter sind, denen eine Sondererlaubnis erteilt wurde, die Interessen der FAA zu vertreten und im Namen der FAA bei der Validierung der Einhaltung der FAA-Anforderungen durch Flugzeugsysteme und -konstruktionen zu handeln“.
@PeterKämpf Ich weiß, dass der FAA die Auswirkungen der Änderungen an MCAS auf dem 737MAX nicht bekannt waren. Auch hier war die Frage, warum sollte die FAA dem zustimmen? Die Antwort: Sie waren sich der Implikationen nicht bewusst. Ich bin mir der Mängel im System zur Überprüfung, dass MCAS kein Sicherheitsrisiko darstellt, durchaus bewusst. Da sie davon nichts wussten, stimmte die FAA zu, dass kein Bedarf an einem redundanten AoA-Sensoreingang für MCAS besteht. Ich habe Ihre Beschwerde bereits angesprochen, warum wiederholen? Was willst du von mir?
Warum verwendet die KC-46 zwei Sensoren für MCAS, wenn die 737 Max dies nicht tut?
AntwortenHierDatenschutz-Bestimmungen1y, 0v