Wenn die aktualisierte MCAS-Software zwei AOA-Sensoren benötigt, führt das nicht zu einem neuen Single Point of Failure?

Zur Geschichte der 737 MAX schreibt die New York Times :

„Das Software-Update von Boeing würde erfordern, dass sich das System auf zwei Sensoren stützt, anstatt nur auf einen, und würde nicht ausgelöst, wenn die Sensoren um einen bestimmten Betrag nicht übereinstimmen, so die drei Personen. Angesichts der Tatsache, dass die 737 Max bereits beide Sensoren hatte, Viele Piloten und Sicherheitsbeamte haben sich gefragt, warum das System so konzipiert wurde, dass es sich auf einen einzigen Sensor stützt, wodurch tatsächlich ein Fehlerpunkt entsteht [Hervorhebung von mir]“

Jetzt verstehe ich, dass dies ein falsch positives Ergebnis vermeidet, wenn ein fehlerhafter Sensor das MCAS auslöst.

Aber führt dieses Update angesichts der gegenteiligen Situation nicht einen neuen Single Point of Failure ein , ein False Negative, wenn einem Strömungsabriss mit MCAS entgegengewirkt werden sollte, dies aber nicht der Fall ist, weil nur ein Sensor dies erkennt?

(Oder wenn nicht, was übersehe ich hier? Ist es, dass ein fehlerhafter Sensor auf eine bestimmte Weise ausfällt und fälschlicherweise kein normales AOA liest?)

Antworten (4)

Beachten Sie, dass die Details des MCAS-Updates noch von Boeing öffentlich bestätigt werden müssen - nein, ich glaube nicht, dass Sie etwas vermissen.

MCAS sollte ein System sein, das nur einsetzt, wenn die Piloten die Situation außer Kontrolle geraten lassen. Es sollte bei der Vermeidung von Strömungsabriss helfen, tut aber nichts, was die Piloten nicht können (solange ihr Situationsbewusstsein dies zulässt). Bei einer Million Flügen würde MCAS kein einziges Mal verwendet werden, es sei denn, es gäbe andere ernsthafte Schwierigkeiten im Spiel.

In einem solchen System ist es viel besser, ein falsches Negativ als ein falsches Positiv zu haben. Ein falsches Negativ bedeutet, dass das Flugzeug nichts ändert und weiterhin den Pilotenbefehlen folgt. Ein falsches Positiv bedeutet ... nun, es sieht so aus, als ob es 2 Abstürze gibt, die zeigen, was passiert.

Eine andere Betrachtungsweise ist zu sagen, dass die Untätigkeit von MCAS niemals einen Single Point of Failure darstellen kann, da MCAS nur dann etwas unternehmen müsste, wenn bereits zwei Points of Failure aufgetreten sind (normalerweise einer, an dem der Kapitän beteiligt ist ) . und/oder die von ihm betriebenen Kontrollen, und die andere betrifft den Ersten Offizier und und/oder die von ihm betriebenen Kontrollen).

Jedes automatisierte System hat die Möglichkeit eines falschen Positivs und die Möglichkeit eines falschen Negativs. Bei der Systemauslegung müssen Sie berücksichtigen

(Wahrscheinlichkeit eines falsch-positiven Ergebnisses * Folge eines falsch-positiven Ergebnisses) versus (Wahrscheinlichkeit eines falsch-negativen Ergebnisses * Folge eines falsch-negativen Ergebnisses).

Ein Team von Ingenieuren bei Boeing hat sich im ursprünglichen Design sicherlich den oben genannten Kompromiss angesehen. Die Wahrscheinlichkeit eines Ausfalls des AoA-Sensors basierte höchstwahrscheinlich auf Ausfallraten von historischen Flugzeugen wie der ursprünglichen 737. Die Folgen jedes Ausfalls waren vermutlich etwas schwieriger abzuschätzen, da in früheren Flugzeugen kein solches MCAS-System existierte, aber sie kamen irgendwie zustande mit einer Schätzung dessen, was in jedem Fall passieren würde. Auf dieser Grundlage glaubten sie, den richtigen Kompromiss gefunden zu haben.

Nun sind neue Informationen ans Licht gekommen. Konkret ist „False-Positive-Folge“ eine absolut inakzeptable Situation (zwei tödliche Unfälle). Daher muss das System überarbeitet werden. Eine erhöhte Wahrscheinlichkeit falsch-negativ kann akzeptabel sein, wenn sie die Wahrscheinlichkeit falsch-positiv signifikant verringern kann. Beide Fehler sind immer noch möglich, und beide Konsequenzen existieren immer noch, aber der Kompromiss wird verschoben, um den einen gegenüber dem anderen zu begünstigen.

Ein Positiv sollte eine nicht befohlene Abwärtstrimmung nicht in dem Maße aktivieren, dass das Flugzeug nicht flugfähig ist, obwohl diskutiert werden könnte, ob es automatisch aktiviert wird oder nicht. Das Fehlen eines Override-Trainings war fatal. Das MCAS selbst war es nicht, könnte aber verbessert werden.
@RobertDiGiovanni Der MCAS-Ausfall sieht genauso aus wie eine außer Kontrolle geratene Trimmung, für die B737-Besatzungen angeblich seit Jahrzehnten geschult wurden. In der Tat haben viele MAX-Piloten in den USA berichtet, dass sie gut damit umgehen, also schien Boeings Entscheidung vernünftig zu sein. Sie berücksichtigten jedoch nicht, dass ausländische Piloten nicht so gut ausgebildet waren oder wie oft das System ausfiel.
Es muss also mehr getan werden. Gute Idee, schlechte Ausführung. Ja, besseres Training. Und mehr Input von den Piloten. Es könnte besser sein. Wenn die 737 das Ende ihrer Lebensdauer erreicht hat, war dies (und die Platzierung der übergroßen Triebwerke) möglicherweise ein Schritt zu weit, aber die fortgesetzte Forschung und Entwicklung von MCAS kann dazu beitragen, in Zukunft mehr Leben zu retten.
@StephenS MCAS-Fehler sieht nicht nach außer Kontrolle geratener Trimmung aus. Eine außer Kontrolle geratene Trimmung wäre eine ständige Bewegung in die eine oder andere Richtung. Das MCAS hat dies nicht getan. Es würde die Nase nach unten trimmen, aber die Trimmeingabe des Piloten würde es stoppen und es zurück trimmen, wo sie es wollten. Dann würde es ein paar Sekunden dauern, bis es wieder aktiviert wird. Ohne Kenntnis von MCAS wäre dieses Verhalten für den Piloten sehr verwirrend.
Ich verstehe das Gleichgewicht zwischen FP / FN, mein Punkt war das Konzept eines Single Point of Failure. Nicht jedes automatisierte System hat einen Single Point of Failure. Vor allem Flugzeuge.
@DanielSparing, Ein einzelner Fehlerpunkt ist nicht unbedingt ein Dealbreaker im Design, wenn das Gesamtsystem akzeptabel bleibt, und umgekehrt ist ein dreifach redundantes System möglicherweise nicht sicherer als ein einzelnes, wenn es nicht richtig entworfen wurde (siehe Sioux City-Absturz). Auch hier kommt alles darauf zurück, Wahrscheinlichkeiten mal Konsequenzen abzuwägen. Single Points of Failure zu reduzieren ist sicherlich gut, aber manchmal gibt es keine bessere Alternative

Das neue System wird kein Single Point of Failure sein.

Normalerweise sollten die AOA-Sensoren nicht widersprechen. Andererseits sollten Piloten das Flugzeug normalerweise nicht in der Nähe von Stallrändern fliegen.

Wenn die Sensoren jedoch nicht einverstanden sind, teilt es den Piloten mit einer Cockpit-Anzeige mit: "MCAS wird Sie heute nicht retten, achten Sie auf Ihre Trimmung". Es sollte auch automatisch eine Meldung des Ausfalls an das Wartungspersonal protokollieren. Dies wird dann zu einem Wartungspunkt, der bald behoben werden muss.

Sie haben Recht, dass der Ausfall eines der beiden Sensoren dies verursacht, und Sie haben Recht, das ist ein einzelner Fehlerpunkt des MCAS-Systems . aber dies würde immer noch eine ununterbrochene Reihe von Pilotenfehlern erfordern, um einen Absturz zu verursachen, und diese Reihe von Fehlern passiert heute bei den Tausenden von 737 Classic und NGs ohne MCAS überhaupt nicht.

Zwei Sensoren des gleichen Typs zu haben, kann die Dinge möglicherweise nicht verbessern, da Vereisungsbedingungen leicht zu Meinungsverschiedenheiten führen können, gerade wenn sie am dringendsten benötigt werden. Ein zweites System, wie ein Vergleich von Fluggeschwindigkeit, Neigung zum Horizont, Leistungseinstellung und Vertikalgeschwindigkeit (zusätzlich zu dem, was die Piloten tun), kann viel nützlicher sein.

Eine grobe Änderung der Neigung des Höhenleitwerks auf unbefohlene Weise verschlechtert nur die Situation, wenn der Pilot die Kontrolle behalten muss. Das Aufbrechen eines Stalls erfolgt durch Lösen des Höhenruders. Ein richtig konstruiertes Flugzeug wird fast sofort aus dem Stall geraten, besonders wenn es früh gefangen wird. Die strikte Einhaltung der hinteren Schwerpunktgrenzen verbessert die Sicherheit ebenfalls erheblich.

Ein pilotenfreundlicheres MCAS kann wie folgt funktionieren. Konstruieren Sie das Höhenruder so, dass es in Verbindung mit dem horizontalen Stabilisator nicht genügend Nickautorität hat, um das Flugzeug unter normalen Flugbedingungen abzuwürgen. Ein Flugzeug dieses Typs mit einem richtig eingestellten Schwerpunkt verliert bei vollem hinteren Höhenruder an Fluggeschwindigkeit, beginnt zu sinken und "matscht" mit nach unten fallender Nase nach vorne. Haben Sie gelbe und rote Stallwarnlichter.

Wenn eine Überziehwarnung auftritt (echt oder nicht), überprüfen Pilot und Computer zweite Systemdaten. Wenn der Strömungsabriss echt ist, aktiviert der Pilot MCAS. (Kippschalter)

Das MCAS würde NUR die Wurfrate und den Hub des Aufzugs erhöhen. Ähnlich wie Dual Rates in RC-Flugzeugen würde dies die Pitch-Autorität enorm erhöhen, wäre aber immer unter der Kontrolle des Piloten. Sobald der stabile Flug wiederhergestellt ist, schaltet der Pilot das MCAS aus.

Viel Glück für Boeing, das Problem zu beheben.

Hinzu kommt, dass die B737-Trimmung den gesamten Stabilisator bewegt, sodass selbst ein vollständiger Höhenruderausschlag eine falsche Trimmung nicht rückgängig machen kann. Eine Lösung wäre die automatische Rückwärtstrimmung bei vollständiger Auslenkung in die andere Richtung.
Das macht mir Angst. Bei einem Aufzug mit doppelter Geschwindigkeit gäbe es keinen Kontrollverlust (obwohl eine hohe Geschwindigkeit sehr vorsichtig gehandhabt werden müsste). Stabilisatorverkleidung wäre da als Backup. Traditionelle Hierarchie ist Hstab stärker als El, El ist stärker als Trim. Ich stelle mir eine grobe Trimmung für Hstab und eine feine Trimmung für die Trimmklappe vor (noch ein weiteres potenzielles Backup).
@StephenS Unter normalen Umständen gibt es in der 737 genug Aufzugsautorität, um der vollen Trimmung der Nase nach unten entgegenzuwirken. Die Situation hier ist insofern etwas komplexer, als es scheint, dass die Piloten von Lion Air aufgrund der falschen Überziehwarnung die Geschwindigkeit erhöht haben. Die erhöhte Geschwindigkeit kann aufgrund von Blowdown eine eingeschränkte Aufzugsautorität haben.
Müssen sie also den Hstab stärker machen? Ein weiterer Leckerbissen: Als McDonnell Douglas fusionierte, erfüllten MD90 und 737 ähnliche Rollen. Der MD80/90/95 lebte als 717 weiter, bevor die Produktion eingestellt wurde. Ihre Motoren waren hinten montiert. Eine Entwicklung war ein Klappensystem, das in der Nähe der Motoren montiert war, um das Absenken in Stalls zu unterstützen. Könnte dies ein Vorläufer einer vektorisierten Schublösung sein?
Dies scheint die eigentliche Frage nicht zu beantworten, sondern scheint eher ein allgemeiner Aufsatz darüber zu sein, wie das MCAS-System Ihrer Meinung nach gestaltet sein sollte.
Vielleicht, aber es gab Bedenken, dass 2 gleiche Sensoren immer noch ein einziger Punkt wären und die Situation nicht wesentlich verbessern würden. Aus diesem Grund habe ich eine zusätzliche computergestützte Unterstützung vorgeschlagen, um die AOA- und Stall-Bedingungen zu überprüfen, indem Fluggeschwindigkeit, Neigung zum Horizont, vertikale Geschwindigkeit und Leistungseinstellung (wie es ein Pilot tut) verwendet werden. Zum Beispiel: 250 Knoten, 0 vertikaler Steig-/Sinkflug, normale Reisegeschwindigkeit, 5 Grad über dem Horizont, bin ich ins Stocken geraten? Selbst wenn AOA ja sagt, weiß der Pilot es besser. Ich hatte das Bedürfnis, etwas zu sagen. Ich hoffe, sie überdenken die 717 noch einmal.
Wenn die aktualisierte MCAS-Software zwei AOA-Sensoren benötigt, führt das nicht zu einem neuen Single Point of Failure?
AntwortenHierDatenschutz-Bestimmungen1y, 0v