Wie funktioniert das Abstimmungssystem des Airbus-Flugcomputers?

Was ich über Airbus-Flugzeuge gelesen habe, ist, dass ihr Fly-by-Wire-System so funktioniert, dass drei verschiedene Flugsteuerungscomputer berechnen, was das Flugzeug tun soll, und dann über alle drei Ergebnisse abstimmen, über die es gehen soll. Ich würde hoffen, dass sie alle immer das gleiche Ergebnis liefern, aber so wie ich es verstehe, wird dies verwendet, um sicherzustellen, dass Entscheidungen auf der Grundlage fehlerhafter Daten das Flugzeug nicht über den Boden streuen. Wie funktioniert das eigentlich? Wie stimmt der Computer ab, welches Ergebnis das richtige ist, ist es nur eine Mehrheitsabstimmung? Was passiert, wenn alle drei Ergebnisse nicht übereinstimmen?

Ist dieses System auch nur vorhanden, wenn es nach normalem Recht betrieben wird? Und handelt es sich tatsächlich um unterschiedliche Softwareimplementierungen oder besteht der einzige Unterschied darin, dass sie mit Eingaben von unterschiedlichen redundanten Sensoren gespeist werden?

Könnten Sie weitere Details hinzufügen, um die Wahrscheinlichkeit zu verbessern, dass die Antwortenden genauere Informationen geben können, die nicht bereits in den Airbus-Materialien enthalten sind? Zum Beispiel: Wo haben Sie etwas über die drei Flugsteuerungscomputer gelesen? Im Allgemeinen ist die einfachste Methode zur Auswahl der zu verwendenden Berechnung die Verwendung der "mittleren". Die Airbus-Schulungsmaterialien behandeln diese Themen sehr ausführlich. (Alle drei Ergebnisse sind nie völlig gleich (sie können kleine Unterschiede haben, aber es gibt immer einen Unterschied).
@GürkanÇetin Ich bin ein kompletter Laie, daher wäre eine Antwort, die mir sagt, wo ich die Informationen in öffentlich zugänglichen Airbus-Dokumenten finden kann, ebenfalls sehr willkommen. Grundsätzlich finde ich das vom Standpunkt eines Softwareentwicklers aus faszinierend und würde gerne mehr darüber erfahren, wie Airbus sicherstellen will, dass das Flugzeug nicht in Stücke zerfällt. So wie ich es verstehe, spielen die redundanten Flugcomputer eine Rolle.
@GürkanÇetin Danke, ich wusste nicht, dass diese Dokumente öffentlich zugänglich sind. Ich weiß, was ich nächste Woche auf meinem Transatlantikflug lesen werde :)
Viel Spaß beim Lesen :) Das Internet hat kein Ende. Mit etwas mehr Mühe finden Sie fast alle designrelevanten Daten für Flugsteuerungssysteme von Airbus, Boeing, MD, Embraer-Flugzeugen (Architektur, Grundfunktionen usw.). Sie sind dort.
Zur Frage der Abstimmung in Flugzeugsystemen: Vielleicht könnte auch der Vorfall mit dem Tornado-Kampfflugzeug "babbling idiot" relevant sein.
Und wenn es nicht im normalen Recht ist, gibt es möglicherweise keine FCC.

Antworten (1)

Soweit ich in diversen Dokumenten über A320 gelesen habe und mich richtig an sie erinnere:

Es gibt drei Systeme, die verschiedene Teile der primären Flugsteuerung handhaben:

  • ELAC (Höhenruder- und Querrudercomputer) steuert die Neigung mit Höhenrudern + Trimmung und Roll mit Querrudern.
  • SEC (Spoiler & Höhenruder Computer) steuert Rollen mit Spoilern und wenn ELACs ausfallen, Nicken mit Höhenrudern + Trimmung.
  • FAC (Flight Augmentation Computer) implementiert Gierdämpfer. Sein Befehl wird dem Ruderbefehl hinzugefügt . Beim A320 haben die Ruderpedale eine direkte mechanische (hydraulische) Verbindung.

ELAC und FAC bestehen jeweils aus zwei identischen Einheiten, die SEC aus drei identischen Einheiten (aber nur zwei der Einheiten werden als Backup für ELAC verwendet).

Jede Einheit besteht aus zwei unterschiedlichen Computerplatinen. Eine verwendete i386-CPU, die andere m86k-CPU und jede hat unabhängig voneinander Software entwickelt (um das Risiko des gleichen Softwarefehlers in beiden zu minimieren).

Eine der Platinen in jedem Paar berechnet die Ausgabe und die andere verifiziert sie. Wenn die Überprüfung fehlschlägt, erklärt diese Einheit einen Fehler und trennt die Verbindung. Dies ist die primäre Methode zur Erkennung von Fehlern.

Ich habe keinen Hinweis auf den Vergleich der Ausgänge identischer Einheiten gefunden. Abgesehen von der Spoilerkontrolle gibt es nur zwei Ausgänge und das Checkboard ist sowieso die zuverlässigere Möglichkeit, Fehler zu erkennen.

Wenn die FAC ausfällt, wird das Flugzeug den koordinierten Flug nicht gut aufrechterhalten und neigt zum Holländerrollen, aber die Piloten können dies durch Rudereingaben kompensieren.

Wenn der SEC ausfällt, kann der ELAC allein die Steuerung übernehmen. Nur Spoiler werden nicht verfügbar sein.

Fällt der ELAC aus, kann auch der SEC übernehmen. Das Drehen mit Spoilern kann etwas mehr Luftwiderstand verursachen, ist aber kein großes Problem.

Wenn sowohl ELAC als auch SEC ausfallen, haben die Pitch-Trimmräder eine direkte mechanische (hydraulische) Verbindung und das Rollen kann durch das Ruder gesteuert werden, indem die Gierstabilität ausgenutzt wird. Ich glaube nicht, dass es jemals in der Praxis benötigt wurde. Beachten Sie, dass dies für die A320-Familie gilt; welche Steuerungen bei Ausfall aller Flugcomputer zur Verfügung stehen, ist bei jedem Airbus-Typ unterschiedlich.

  • Update: Seit diese Antwort geschrieben wurde, ereignete sich der Unfall Smartlynx A320 Trainingsflüge MYX-9001 in Tallinn am 28. Februar 2018 , bei dem die ELAC-Pitch-Steuerung aufgrund eines Fehlers im Stabilisatoraktuator ausfiel und dann beide SECs aufgrund der unterschiedlichen Reaktion der Befehls- und Monitorplatinen ausfielen zu einem kurzen Sprung, was zu einer Herabstufung bis hin zum mechanischen Gesetz führt. Rückblickend scheint es für die Besatzung eher unklug gewesen zu sein, das Training mit den intermittierenden Stellantriebsfehlern fortzusetzen, die sie bekamen.

Für die Dateneingabe gibt es drei ADIRUs (Air Data and Inertial Reference Unit) und jeder Flugcomputer nimmt Eingaben von allen drei entgegen und vergleicht sie. Es benötigt zwei übereinstimmende (innerhalb einiger Grenzen ähnliche) Werte, um es als vertrauenswürdig zu betrachten. Wenn entweder mehr als eine Einheit ausfällt oder keine zwei übereinstimmen, degradieren die Flugcomputer zu alternativem Recht oder direktem Recht .

Nach alternativem Recht bietet das System keinen Alpha-Schutz (Stall), Übergeschwindigkeitsschutz und, je nachdem, was fehlgeschlagen ist, einen anderen Flugbereichsschutz (es gibt zwei Arten, bei denen unterschiedliche Schutzmaßnahmen verloren gehen).

Im direkten Gesetz kehrt es dazu zurück, die Steuerknüppelposition direkt auf die Position der Steuerfläche abzubilden, ähnlich wie bei mechanischen Steuerungen. Aber die meisten Fehler führen nur zu einem alternativen Gesetz, außer wenn alle Trägheitsreferenzen verloren gingen (das wäre sehr schwierig zu handhaben, da es auch unzuverlässige Einstellungsindikatoren bedeuten würde, aber ich glaube auch nicht, dass das jemals passiert ist; die Trägheitssysteme sind sehr zuverlässig). .

Ein alternatives oder direktes Gesetz kann auch eingegeben werden, wenn eine Steuerfläche (oder ihr Stellglied) ausfällt und irgendwo in der Computerfehlersequenz, aber ich erinnere mich nicht an die genaue Bedingung (FACs berechnen die Grenzen, wenn also FACs ausfallen, wird es sich sicherlich verschlechtern ).

tolle antwort!
Das ist genau das, wonach ich gesucht habe. Vielen Dank, wirklich tolle Antwort! :)
@JustSid: Ich habe einige Dokumente überprüft und es heißt, nur SECs sind drei, ELACs sind nur zwei, und es wird nicht erwähnt, dass ihre Ausgaben verglichen werden. Es verlässt sich auf die Prüftafel zum Erkennen von Fehlern; Es ist sowieso die zuverlässigere Methode.
Gelöscht und positiv bewertet, danke für die Klarstellung.
Wie genau geht das mit Softwarefehlern um, wenn die Einheiten gleich sind? Wenn theoretisch sowohl ELAC als auch SEC einen Softwarefehler haben, was zu falschen Berechnungen bei einigen Eingaben führt (sagen wir nur im i386). Wenn dieser Eingang eingeht, würden nicht ALLE ELAC- und SEC-Einheiten als fehlerhaft deklarieren und aufhören zu arbeiten?
@Josef: ELAC und SEC haben unterschiedliche Software.
Sicher, aber beide können scheitern. Oder es gibt einen Fehler in der CPU, der bei bestimmten Werten abstürzt. CPUs haben heutzutage auch viele Fehler.
@Josef: Es kann alles auf einmal scheitern und man kann nichts dagegen tun. Es geht darum, die Fehler unabhängig zu machen, um das Risiko zu reduzieren. Eine CPU kann bei einem bestimmten Wert abstürzen, aber da sie unterschiedliche Software haben, sehen sie nicht beide denselben Wert zur gleichen Zeit. Und dann sind die Einheiten natürlich gut getestet; Sie sind dafür bekannt , nicht viele Fehler zu haben . Und wenn der Test die Wahrscheinlichkeit eines Ausfalls auf 10⁻⁶/Stunde reduziert (es ist wahrscheinlich weniger), sinkt die Wahrscheinlichkeit, dass beide Fehler auftreten, auf 10⁻¹²/Stunde, und das ist und das ist einmal in mehreren tausend Jahren, selbst wenn die Anzahl fliegt .
Wie funktioniert das Abstimmungssystem des Airbus-Flugcomputers?
AntwortenHierDatenschutz-Bestimmungen1y, 0v