Warum dürfen Bordcomputer die Steuerung ändern, ohne die Piloten zu benachrichtigen?

Kürzlich hatten wir das 737-MAX-Debakel, bei dem es zunehmend den Anschein hat, dass das bordeigene MAX-MCAS-System wiederholt Nose-Down-Ereignisse ausgeben würde , was zum Absturz der Lion Air und möglicherweise zu einem weiteren führte

Als das MCAS auf dem Lion Air-Flug die Nase des Jets nach unten drückte, zog der Kapitän sie mit den Daumenschaltern an der Steuersäule wieder nach oben. MCAS arbeitete immer noch unter dem falschen Anstellwinkelwert und trat jedes Mal ein, um das horizontale Heck zu schwenken und die Nase wieder nach unten zu drücken.

Anscheinend gibt es eine Benachrichtigungsleuchte für MCAS, die ein optionales Paket war, aber jetzt benötigt wird .

Es erinnert mich an zwei andere Vorfälle, die zu Abstürzen führten

  1. Air France 447 A330 - Ein eingefrorenes Pitot-Rohr veranlasste den Computer, auf Alternate Law 2 umzuschalten , was bedeutete, dass der Computer gefährliche Flugeingaben nicht mehr verhindern würde. Obwohl es nicht dasselbe wie das MCAS-Problem ist, führte es zu Verwirrung der Cockpit-Crew (die bei TOGA-Leistung maximale Eingaben mit der Nase nach oben gemacht hatte), und daher stürzte das Flugzeug aufgrund von Strömungsabriss ab. Es wurde festgestellt, dass die Piloten nicht direkt darauf aufmerksam gemacht wurden, dass der Wechsel stattgefunden hatte.
  2. Scandanavian Air 751 MD81 - An den Flügeln hat sich Eis angesammelt. Als das Flugzeug abhob, löste sich das Eis und traf die Triebwerke. Die Piloten stellten fest, dass die Triebwerke auftrieben und die Drosselung reduzierten, aber ein den Piloten nicht mitgeteiltes automatisches Drosselsystem erhöhte die Leistung immer wieder auf die volle Leistung, was zu einem Triebwerksausfall und einer Bruchlandung führte.

Hat jemals jemand erklärt, warum Flugzeugsysteme Änderungen vornehmen dürfen, ohne die Piloten zu benachrichtigen? Ist es etwas, das bisher einfach nicht groß genug war, um es anzugehen?

Der AF447-Flug hatte eine alternative Rechtsanzeige für die Piloten sowie viele andere (eigentlich zu viele) Warnungen, die weitere Verwirrung stifteten. In Automatisierungssystemen liegt der Schlüssel darin, die geeigneten Informationen zu präsentieren, ohne den Bediener mit zu vielen widersprüchlichen oder verwirrenden Warnungen zu überfordern. AF447 hat gezeigt, dass ein Pilot angesichts zu vieler Informationen alles ignoriert, was das System ihm sagt, und so fliegt, wie er denkt, dass das Flugzeug geflogen werden sollte.
Bei den meisten modernen Flugzeugen ist es ein Konstruktionsmerkmal, dass einige Eingriffe für Piloten unsichtbar sind. Das Ruder hat automatisch unsichtbare kleine Anpassungen vorgenommen, um einen symmetrischen Flug aufrechtzuerhalten und Gierschwingungen für mindestens ein halbes Jahrhundert zu dämpfen, und modernere Flugzeuge lindern Turbulenzen oder andere kleine Störungen durch getrimmten Flug, ohne dies anzukündigen, da dies recht schnell lästig werden würde. ..
Ich denke, die zu stellende Frage ist eher nicht „Warum werden nicht alle automatischen Eingaben angesagt“ (was eigentlich ziemlich oft in Ordnung ist), sondern „Warum sollte jemand eine Automatik entwerfen, die mit einer riskanten Kante des Flugbereichs verbunden ist und dann nicht? der Crew von seiner Existenz erzählen“ (weil das nicht in Ordnung ist).
Das Problem sind Computersysteme, die von Menschen mit einem Informatikhintergrund entwickelt wurden, und nicht von Menschen mit einem Hintergrund in der Luftfahrt. Informatiker werden ganz selbstverständlich Sicherheitssubroutinen hinzufügen, da ihnen das nötige Urteilsvermögen eines erfahrenen Piloten fehlt und sie nicht wissen, dass eine Informationsüberlastung schlecht für den Piloten ist, wenn die Reaktionszeit von höchster Bedeutung ist. Der übermäßige Einsatz von Sicherheitssystemen verbirgt die entscheidenden Warnungen vor dem Piloten, der möglicherweise nicht in der Lage ist, die unwichtigen in der verfügbaren Zeit zu beseitigen. Dies ist ein Konstruktionsfehler und kann nicht durch Pilotentraining behoben werden.
@Ed999 Die Anforderungen für das MCAS-System wären von jemandem mit Erfahrung in der Entwicklung von Luftfahrtsystemen gekommen. Außerdem sind sich die meisten Leute, die in DO-178-gesteuerten Projekten arbeiten, ziemlich bewusst, in welcher Domäne die Software läuft. Ob die Anzeige des Betriebs dem Piloten bereitgestellt wird, ist eine menschliche Faktorentscheidung, nicht eine der Software.
In der Tat. In AF447 zog der dumme Copilot, der sie alle getötet hatte, den Steuerknüppel ganz nach hinten . Normalerweise tut man das, um das Flugzeug böswillig zum Stehen zu bringen und alle zu töten, und hätte er das in einer Boeing getan, wäre es als Massenmord gewertet worden. Aber der Copilot hatte gelernt, dass Normal Law eingreifen wird , um Sie zu stoppen, wenn Sie das in einem Airbus tun . Er war darauf trainiert worden, Stall abzuwenden , indem er Stall dazu veranlasste, Normal Law zu zwingen, ihn zu beheben. Leider war sein Flugzeug in Alt Law 2.
SelectStriker2 scheint darauf hinzuweisen, dass dies ein menschliches Versagen (des Systemdesigners) ist, während Harper es sowohl als menschliches Versagen (des Co-Piloten) als auch als einen Konstruktionsfehler zu sehen scheint (indem er ihn nicht darauf hinweist, dass das System in Alt Law war 2), und ich sehe es als einen (anderen) Konstruktionsfehler an. Gibt es einen Konsens darüber, was es ist? Der erste Schritt zur Lösung des Problems besteht sicherlich darin, zu entscheiden, ob das Computersystem fehlerhaft ist, und (falls nicht) dann zu entscheiden, ob die Piloten es verstehen.
Ich sage, dass die berüchtigte Mulhouse-Demo den Piloten beigebracht hat, dass falsche Steuereingaben zu richtigen Steuerausgaben führen. Airbusse bringen Piloten bei, schlecht zu fliegen, und lassen den großen Bruder routinemäßig reparieren. Der Konstruktionsfehler ist da.

Antworten (3)

Es gibt ein allgemeines Konstruktionsprinzip, dass einige, aber nicht alle Verhaltensweisen des Flugführungssystems oder Autopiloten für den Piloten sichtbar sein sollten. Normalerweise wird ein automatisches Ein- oder Ausrücken eines Steuerungssystems angezeigt, aber Untermodi dieser Steuerungen oder manuelle Änderungen können nicht angezeigt werden. Das klingt einfach und logisch, ist aber in Wirklichkeit ein komplexes und kniffliges Human-Factors-Thema. Den Piloten zu viele Informationen anzuzeigen, ist genauso schlecht wie zu wenig, da zu viele Informationen dazu führen können, dass sie die wichtigsten Anzeigen ignorieren, wie z.

Ich weiß, dass dies keine sehr befriedigende Antwort ist, aber es ist für jeden anderen als einen Experten für menschliche Faktoren schwierig, eine sehr allgemeine Frage wie diese mit festen Regeln zu beantworten.

Zum Beispiel überspringen viele Autopiloten die akustische Warnung vor dem Ausrücken, wenn das Ausrücken direkt durch eine Aktion des Piloten verursacht wurde. Der Pilot erhält in dieser Situation nur eine visuelle Anzeige, dass AP sein Verhalten geändert hat. Das klingt perfekt, aber bei Aeroflot Flug 593 ließ ein Pilot sein Kind ins Cockpit, das dann genug Druck auf das Steuerhorn ausübte, um die automatische Querrudersteuerung zu deaktivieren. Es gab keinen Warnton, da der Autopilot das Ausrücken als beabsichtigt betrachtete. Dies war anders als bei früheren Flugzeugen, die der Pilot geflogen hatte, was zur Verwirrung des Piloten beitrug, als das Flugzeug begann, sich zu drehen und dann in eine scharfe Kurve zu geraten.

Die Anzeigelampe, die Sie für den Absturz der 737 Max Lion Air erwähnen, steht für "AoA-Uneinigkeit", nicht für MCAS-Engagement, wie Sie vorschlagen. Während diese Art von AoA-Indikatoren allgemein als gute Ideen angesehen werden, ist es immer noch ein Bereich der Debatte, wie sehr sie verwirrten Piloten wie beim Absturz der Lion Air oder dem Absturz der Air France 447 helfen würden .

Ebenso war die Qualität der Indikation nicht die Hauptursache für die von Ihnen aufgeführten Unfälle. Zum Beispiel hätte der Flug 751 von Scandinavian Airlines wahrscheinlich erfolgreich zum Flughafen zurückkehren können, aber ein Stillstand des Kompressors aufgrund von Eis, das beide Triebwerke in geringer Höhe trifft, ist eine schlechte Situation, unabhängig vom automatischen Schubverhalten. Schlechte Sensoren und verwirrte Piloten können ein Flugzeug mit perfekt gestalteten Anzeigen zum Absturz bringen.

Bearbeiten: Da diese Antwort viel Aufmerksamkeit erhält, ist es meiner Meinung nach wichtig zu beachten, dass ich keine besonderen Überlegungen zum Rand des Flugbereichs, zum automatischen Trimmen im Vergleich zum automatischen Ausrücken im Vergleich zum Wechseln der Untermodi oder anspreche Idiotensicherheit von Flugsystemen. Ich würde gerne sehen, dass dies von erfahrenen Personen ausführlicher behandelt wird.

Das ist ein guter Punkt. Informationsüberlastung ist ein sehr reales Problem.
Ich erinnere mich an eine Flut von widersprüchlichen und verwirrenden Systemmeldungen, die ein Problem in Qantas 32 waren . Zum Glück konnten die Piloten das durcharbeiten und das Flugzeug größtenteils intakt auf den Boden bringen (abgesehen von den Teilen, die vom Motor und Flügel weggeblasen wurden, als die Turbinenscheibe explodierte), aber ich erinnere mich, dass ich die Piloten sprechen hörte darüber, wie viele überflüssige Systemmeldungen sie sich durchwühlen mussten, um an die wichtige Information „ein Triebwerk ist explodiert, ein anderes ist unkontrollierbar und ein Loch im Flügel“ zu gelangen.
Es gibt ein Argument für einen Flugingenieur, sich durch all das Zeug zu wühlen, aber dieses Zeug ist dazu da, den Flugingenieur überhaupt zu ersetzen. Stelle dir das vor.

Es gibt zwei Arten von Autopiloten, einen für das Verhalten um die CoG und einen für die Steuerung der CoG, wie in dieser Antwort erwähnt . Wird manchmal auch als Inner Loop und Outer Loop bezeichnet. Zusamenfassend:

  1. Die F-16 ist aerodynamisch instabil und verfügt über ein schnelles Steuersystem, das Steuerflächenauslenkungen anwendet, um künstliche Stabilität zu gewährleisten. Dies geschieht, um das Flugzeug extrem wendig zu machen. Der Pilot wird von all diesen schnellen Steuerausschlägen bewusst nicht wahrgenommen, es erscheint ihm nur so, als ob das Flugzeug stabil wäre. Inner Loop-Autopiloten geben den Piloten konstruktionsbedingt kein Feedback.

  2. Die automatischen Piloten, die eingestellt werden können, um zu einem bestimmten Sollwert zu fliegen, sind Outer-Loop-Steuerungssysteme. Von Natur aus geben sie dem Piloten eine Rückmeldung darüber, was sie tun, sodass der Pilot fühlen und sehen kann, welche Art von Eingaben gegeben werden, und sie überschreiben kann, wenn er sie für falsch hält. Der A320 hat keine Möglichkeit, den Steuerknüppel zu bewegen, daher ist dieser Feedback-Hinweis nicht verfügbar und Aufmerksamkeit wird durch Warnungen gefordert.

Dieser Artikel erläutert die Designphilosophie des MCAS-Systems: Es war als automatische Stabilisierungsfunktion in einem Flugzustand außerhalb des normalen Bereichs gedacht – die Umstände, unter denen die Inner Loop-Steuerung normalerweise angewendet wird.

Um Ihre Frage zu beantworten: Ja, einige Flugcomputer ändern die Auslenkung der Steuerfläche, ohne die Piloten zu benachrichtigen.

Genau das ist die Ursache. Die B737 war früher aerodynamisch stabil, aber die Neupositionierung der Triebwerke nach vorne engte den Raum stabiler Flugparameter so stark ein, dass ein Softwareeingriff so gestaltet wurde, dass sie sich gleich anfühlen und verhalten würde, obwohl sich ihre Aerodynamik geändert hatte. (Für einen gewissen Kontext siehe latimes.com/local/california/… ) Der F16-Vergleich ist genau richtig. Das Verbergen dieser Störung ist der springende Punkt. Das unsichtbare Design war sicherlich der Grund, warum es nicht einmal in die Schulungen und Handbücher aufgenommen wurde.
@PeterA.Schneider stimme da voll und ganz zu, und ich sehe den Sinn, MCAS nicht in den Lehrplan aufzunehmen, wenn er für diese Umstände konzipiert wurde. Das lässt die Frage offen, warum ein einziger fehlerhafter Wandler dazu führen kann, dass das System in normale Flugbereichszustände eingreift.

Im Fall von MCAS und der Stabilisatorsteuerung gibt es eine "Benachrichtigung", dass die Stabilisatoren automatisch in Form der beiden Räder zu beiden Seiten der Schubsteuerung eingestellt werden. Sie drehen sich, haben Markierungen und sind sehr laut, sodass die Piloten nicht übersehen haben können, dass sie handeln. Das Problem war, dass sich die Piloten (anscheinend) der Möglichkeit nicht bewusst waren, die automatischen Stabilisatoreingaben von MCAS auszuschalten, und weiterhin versuchten, die MCAS/Stabilisatoreinstellungen manuell zu überschreiben. Die Schalter zum Abschalten der Stabilisatoreingänge befinden sich direkt vor den Schubreglern auf der Copilotenseite.

Sie wussten auch nichts von dieser speziellen, von MCAS gesponserten Trimmfunktion, die bei der Fehlerdiagnose wahrscheinlich nicht besonders hilfreich war.
Nun, die tatsächliche Position der Verkleidungsflächen wird direkt neben dem nervigen Klapperding deutlich angezeigt. Wenn sie auch nur nachschauten, woher das Geräusch kam, würden sie sagen: „Wow, das ist eine Menge Aufwärtstrimmung“, das erklärt das schwere Joch.“ Wenn sie es dann zurücktrimmten, hörten sie Clacky Wieder Ding und „Genug!" ausschalten oder einfach mit dem Knie das Trimmrad anhalten. Es sieht wirklich eher nach einem Problem von grünen Piloten aus, die ihre ganzen Flugstunden damit verbracht haben, Knöpfe in hochautomatisierten Flugzeugen zu drücken. Die Automatisierung ruckelt überhaupt, und Sie haben keine Ahnung, was sie tun sollen.
@Harper "das erklärt das schwere Joch" Mir ist das während eines Trainingsfluges passiert, als der Ausbilder (sehr wahrscheinlich versehentlich; dies war von eher berührungsempfindlichen Tasten oben auf dem gemeinsamen Steuerknüppel) die Trimmeinstellung auf geändert hat , IIRC, volle Nase nach unten. Meine erste Reaktion, als ich die Steuerung zurücknahm und versuchte, den Horizontalflug beizubehalten, war in etwa so: „Verdammt, das ist schwer!“. Obwohl ich zu diesem Zeitpunkt nur etwa 15-20 Stunden hatte, war meine erste Reaktion, die über die unmittelbare Notwendigkeit hinausging, eine positive Kontrolle herzustellen, einen Blick auf den Trimm zu werfen, und das deutete tatsächlich auf ein Extrem hin.
"Die Piloten konnten sich ihres Handelns nicht bewusst sein" . Das Speed ​​Trim System passt die Trimmung aber auch automatisch an. Sie hätten also sehr gut denken können, dass der STS die Trimmung einstellt, was relativ harmlos ist.
Warum dürfen Bordcomputer die Steuerung ändern, ohne die Piloten zu benachrichtigen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v