Wenn Boeing zwei Sensoren gleichzeitig anstelle von einem verwenden würde, wären sie heute nicht an derselben Position?

In diesem Artikel heißt es , dass die ursprüngliche Version von MCAS sich auf zwei Sensoren stützen sollte.

Ein Sensor erkennt einen hohen Anstellwinkel und aktiviert daher MCAS

Der andere Sensor erkennt eine hohe G-Kraft und aktiviert daher MCAS.

Aber was ich nicht verstehe, ist, warum die Leute das als Argument gegen Boeing verwenden, als ob sie dieser Idee hätten folgen sollen? Wenn der Sensor für hohe g-Kraft defekt wäre, wäre dann technisch nicht ein zweiter Sensor erforderlich, der eine hohe g-Kraft betrachtet, um die beiden zu vergleichen?

Wenn sie also bei dieser Idee geblieben wären, wären wir heute immer noch hier?

Das kombinierte AOA- und G-Last-Design mit „2 Eingängen“ wurde nur zu Testzwecken und nie im Serienflugzeug verwendet. Das endgültige MCAS-Design verwendet nur 1 von 2 verfügbaren AOA-Anzeigen. Das System schaltet bei jedem Flug automatisch vom linken auf den rechten AOA um.
Nein, der Artikel der Seattle Times sagt „zwei Faktoren“, nicht „zwei Sensoren“. Der Reporter kennt den Unterschied zwischen einem Parameter und einem Sensor nicht und denkt, dass die beiden Parameter, die ursprünglich zum Auslösen von MCAS (AOA und g-Laden) verwendet wurden, durch einen AoA-Sensor ersetzt wurden, obwohl die neuen Auslöseparameter tatsächlich waren: AOA, Landeklappen eingefahren, Autopilot aus. Das System verwendete zuvor einen AOA-Sensor pro FCC und NOCH einen pro FCC, als der MAX in Betrieb genommen wurde. Nur ein weiteres Beispiel für den totalen Müll, den die Nachrichtenmedien während einer Unfalluntersuchung veröffentlicht haben, obwohl sie in der Luftfahrt völlig inkompetent sind.

Antworten (2)

Das Problem ist, dass es keine Redundanz im Sensoreingang gibt. Das Zitat aus dem Artikel lautet:

Diese ursprüngliche Version von MCAS wurde laut zwei mit den Details vertrauten Personen nur aktiviert, wenn zwei verschiedene Sensoren ein so extremes Manöver anzeigten: einen hohen Anstellwinkel und eine hohe G-Kraft.

Beim ursprünglichen Design erforderte die MCAS-Aktivierung also zwei Sensoren, die eine Eingabe über einem bestimmten Schwellenwert erkannten, und dies an sich schafft Schutz vor Fehlalarmen.

Es gibt zwei Hauptfehlermodi für Subsysteme:

  • Nullausgabe, bei der das Subsystem einfach aufhört, ein Signal auszugeben.
  • Hard-Over-Fehler, bei dem das Subsystem ein falsches Positiv ausgibt. Dies geschah mit dem AoA-Sensor bei den beiden MCAS-Katastrophen.

Beim ursprünglichen Design würde MCAS nicht aktiviert und das System wäre vor einem einzelnen Ausfall geschützt, wenn ein Sensor hart durchfallen würde. Aber in der zertifizierten Konfiguration wurde der aktivierende Eingang nicht gegen irgendein Signal geprüft und MCAS wiederholt aktiviert.

Weitere Hinweise zu den AoA-Sensoren, aus dem abschließenden Unfallbericht Seite 45:

  • Es gibt zwei AoA-Anzeigen auf dem B737Max, und nur eine wurde für MCAS-Eingabe verwendet.

  • Es war eine AOA-Nichteinigkeitserkennung installiert - als Option, die Lion Air zum Zeitpunkt des Unfalls nicht ausgewählt hatte:

    Dementsprechend aktivierte die Software den AOA DISAGREE-Alert nur dann, wenn sich eine Fluggesellschaft für den AOA-Indikator entschieden hat. Zum Zeitpunkt des Unfalls teilte Boeing mit, dass der AOA-Indikator von etwa 20 % der Fluggesellschaften ausgewählt wurde.

    Als die Diskrepanz zwischen den AOA-Anzeigeanforderungen und der Software festgestellt wurde, stellte Boeing fest, dass das Fehlen der AOA-DISAGREE-Warnung keine negativen Auswirkungen auf die Sicherheit oder den Betrieb des Flugzeugs hatte. Dementsprechend kam Boeing zu dem Schluss, dass die bestehende Funktionalität akzeptabel sei, bis die ursprünglich beabsichtigte Funktionalität in einem für das dritte Quartal 2020 geplanten Software-Upgrade des Anzeigesystems implementiert werden könne.

    Lion Air hat die optionale AOA-Anzeigefunktion auf dem PFD ihres 737-8 (MAX)-Flugzeugs nicht ausgewählt. Infolgedessen erschien der AOA DISAGREE nicht auf PK-LQP-Flugzeugen, obwohl die erforderlichen Bedingungen erfüllt waren.

Die Sicherheitsanalyse des zertifizierten Systems hat sich als fatal falsch erwiesen, und das ist das Verwirrende. Das erfahrenste Luft- und Raumfahrtunternehmen der Welt hat zugelassen, dass ein einziger Fehlermodus ein flugkritisches System aktiviert. Plus: Die fehlerhafte Sicherheitsanalyse wurde von der Luftfahrtbehörde akzeptiert, deren Aufgabe es ist, uns, die Passagiere, zu schützen.

Ich denke, Sie können auch hinzufügen, dass Boeing und die FAA auch entschieden haben, dass die Piloten nicht auf diesem System geschult werden müssen.
Aber selbst wenn sie einen Sensor verwenden, wie kann er nicht nur aufgrund der unterschiedlichen Sensoren zurückweisen? Ich weiß, dass sie gleichzeitig funktionieren, aber hätten sie nicht einfach geändert werden können?
@Firefighter1 Sehr, sehr guter Punkt!
Die Antwort ist ernsthaft fehlerhaft. Eine der Bedingungen, die erfüllt sein müssen, damit das System aktiviert wird, kann nicht als "Schutz gegen falsche Positive" der anderen Bedingung dienen, da die Parameter unabhängig und nicht miteinander verbunden sind und sich der Gültigkeit voneinander völlig nicht bewusst sind. Der Autor des Artikels hatte kein Verständnis für Basic Engineering, versuchte jedoch, eine Unfalluntersuchung durchzuführen und eine technische Analyse durchzuführen. Außerdem werden die Parameter als analoge Variablen verwendet, die MCAS auslösen und seinen Arbeitszyklus modulieren, nicht als binäre diskrete Werte, die MCAS lediglich ein- oder ausschalten.
@Robin Bennett "Boeing und die FAA haben auch entschieden, dass die Piloten nicht auf diesem System geschult werden müssen." Tatsächlich haben Boeing und die FAA entschieden, dass es für dieses System kein Training gibt, dh kein Training möglich ist. Aus diesem Grund wurde das Flugzeug wieder in Betrieb genommen und es gibt NOCH kein Flugsimulatortraining für MCAS. Aber da Sie der Meinung sind, dass dies der Fall sein sollte – Sie sind übrigens nicht der einzige, der so denkt –, erklären Sie uns bitte einige Details darüber, woraus diese Schulung bestehen sollte.
@PeteP. Ich hätte gedacht, das sei offensichtlich. Piloten sollten wissen, dass das System vorhanden ist, dass es anfällig für einen Ausfall des AoA-Sensors ist, wie man einen Ausfall erkennt und wie man das System deaktiviert und die Kontrolle wiedererlangt.
@Robin Bennett Die Piloten können den normalen MCAS-Betrieb nicht erkennen, können ihn nicht steuern/einstellen, können ihn nicht ein- oder ausschalten, es wird in Systemfehlermeldungen, Checklisten oder Verfahren nicht erwähnt. Ein nicht normaler Betrieb manifestiert sich als außer Kontrolle geratene Trimmung des Stabilisators, die mehrere Ursachen hat und ohne Fehlereingrenzung von demselben NNC unabhängig von der Ursache gehandhabt wird und für die anfängliches und wiederkehrendes Simulatortraining Standard ist. Das System ist für die Flugbesatzung transparent, sodass kein MCAS-spezifisches Flugsimulationstraining erforderlich oder möglich ist und es nicht in das FCOM aufgenommen werden muss.
@PeteP. Offensichtlich bestand die Notwendigkeit, die Existenz von MCAS in das FCOM aufzunehmen. Es verursachte einen wiederholten Stich-Trimm-Ausreißer, und der Trimm lief nicht vollständig weg.
@Koyovis Der Runaway Stab Trim NNC war bereits im FCOM und keine der möglichen Ursachen wurde aufgeführt. Die Definition von RST: Der Stich bewegt sich – ohne Befehl – ​​in eine Position, in der er nicht sein sollte. Etwa 2–3 Sekunden nach Beginn eines RST bemerkt der Pilot, dass die Nicklage abweicht, und stellt sie instinktiv mit dem Höhenruder wieder her. Nach 4–5 Sekunden spürt er/sie, dass die Höhenruderkraft, die erforderlich ist, um die Nicklage aufrechtzuerhalten, ungewöhnlich hoch ist und immer schlimmer wird. Nach 6–8 Sekunden greift er/sie nach der elektrischen Trimmung, um die Höhenruderkraft zu unterstützen, und bemerkt, dass der Stich getrimmt wird – übermäßig …
… Es hat keinen Sinn zu unterscheiden, ob der Ausreißer intermittierend oder kontinuierlich ist oder was ihn verursacht. Das System ist nicht nur nicht für eine schnelle und gründlichere Fehlereingrenzung durch die Piloten jenseits von „Autopilot“ und „Sonstiges“ ausgelegt, sondern das Wiederherstellungsverfahren kümmert sich nicht darum; Unabhängig von der Ursache ist es im Wesentlichen: Autopilot ausschalten ... wenn das nicht hilft, elektrische Trimmung ausschalten ...
Die Frage an all jene Experten, die darauf bestanden haben, dass der Pilot wissen muss, ob die Ausreißer kontinuierlich oder intermittierend sind … Wie würden Sie das feststellen? Durch Beobachten und Abwarten – dh absolut nichts tun, während die Nase in Richtung Himmel und einem Stall oder in Richtung Hades und Ihrer Ad-hoc-Grabstätte schwenkt – bis der Stabilisator entweder die physische Bewegungsgrenze erreicht oder kurz davor stoppt?! Und dann, wofür verwenden Sie dieses kleine Nugget an Informationen? (Während Ihr Mitpilot Sie mit wachsender Besorgnis anstarrt, unsicher, ob Sie durch Schock gelähmt sind oder Selbstmordgedanken haben).
Es ist verblüffend, dass all die Experten, die erklärten, dass den Piloten das Training für die neue und unerwartete Art von Ausreißern fehlte, weil Boeing das System „versteckte“, sich nie die Mühe machten, das Szenario in ihrem Kopf durchzugehen, um es zu validieren … und es zu entdecken Absurdität.
@PeteP. Ihre Argumentation hat Gültigkeit. Die Piloten der 2 abgestürzten Flugzeuge waren jedoch auf Stichausreißer trainiert und erkannten das MCAS-Verhalten nicht als solches. Also stimmte etwas im MCAS-Verhalten nicht mit ihrem Simulatortraining überein.

Das ist ein völlig falsches Verständnis des Artikels. Die Zusammenfassung sollte lauten:

MCAS wird aktiviert, wenn: a) der Sensor einen hohen Anstellwinkel erkennt und b) der Sensor eine hohe normale G-Last erkennt

Wenn ein Sensor fehlerhaft ist und der andere nicht, dann würde MCAS nicht fälschlicherweise aktiviert werden.

Und was passiert, wenn der Sensor für hohe g-Kraft fehlerhaft ist und nicht richtig liest, das Flugzeug aber eine hohe g-Kraft und einen großen Anstellwinkel erfährt?
@Firefighter1 Dann würde MCAS nicht eingreifen. Als Ergebnis kann es zu einer Umkehrung der Stick Force und einer Steigung kommen. In diesem Flugregime ist der Stick Shaker immer noch aktiviert.
Eigentlich ist der Artikel an sich unsinnig. Dem Autor mangelt es an grundlegender technischer Kompetenz, und er hat die verschiedenen Bedingungen, die erfüllt sein müssen, damit das System aktiviert wird, als "mehrere Fehlerpunkte" verwechselt, ohne zu erkennen, dass es sich um unabhängige und nicht zusammenhängende Parameter handelt. Er erkennt auch nicht, dass das modifizierte System Flaps_Up und Autopilot_Off zusätzlich zu AOA_High benötigte, um MCAS auszulösen, was seine „Single Point of Failure“-Verschwörung in Stücke sprengt.
@JZYL Stimmt, MCAS würde nicht eingreifen, aber es würde keine Umkehrung der Stick Force geben, die nicht charakteristisch für das Flugzeug ist. Es würde auch keine Steigung geben, sei es aufgrund von Stick-Kräften oder irgendetwas anderem (außer vom Piloten verursacht); das ist auch keine Eigenschaft des Flugzeugs. Und ob der Stick Shaker losgeht oder nicht, hängt allein vom Anstellwinkel ab: Ist er hoch genug, um die Stall-Warnung auszulösen, wird er aktiviert; hat nichts mit MCAS zu tun. Zur Klarstellung: MCAS ist KEIN Anti-Stall-System oder Stall-Recovery-System, unabhängig davon, was ein Nachrichtenreporter sagt.
@PeteP. Ich habe nie behauptet, dass MCAS ursprünglich für Anti-Stall entwickelt wurde. Soweit ich anhand öffentlich zugänglicher Quellen verstehe, ist dies für die Zertifizierung erforderlich und erfüllt die Anforderungen von Teil 25 in Bezug auf Stalleigenschaften und Manöverstabilität.
@JZYL Verstanden, es war der Reporter, der das System falsch charakterisiert hat. Obwohl Sie die AOA- und G-Last-Sensorwerte korrekt als die Bedingungen a) und b) angegeben haben, die beide für die MCAS-Aktivierung erfüllt sein müssen, widerspricht Ihr nächster Satz der ersten, indem er impliziert, dass die Aktivierung von der Gültigkeit dieser Sensorwerte abhängt! Woher weiß das System, ob ein Sensorwert fehlerhaft oder gültig ist? Ob MCAS aktiviert wird oder nicht, hängt einfach davon ab, ob die Sensorwerte in dem Bereich liegen, um die Bedingungen a) und b) zu erfüllen oder nicht, ungeachtet ihrer Gültigkeit.
Wenn Boeing zwei Sensoren gleichzeitig anstelle von einem verwenden würde, wären sie heute nicht an derselben Position?
AntwortenHierDatenschutz-Bestimmungen1y, 0v