Was ist der Zweck mehrerer Autopiloten?

Ich habe gelesen, dass einige Flugzeuge mehrere Autopiloten haben, insbesondere Verkehrsflugzeuge.

Was ist der Grund dafür und wie funktioniert dieses System?

Ein Grund ist unter anderem die höhere kosmische Strahlung in großer Höhe, zB im Vergleich zum Meeresspiegel beträgt der Neutronenfluss ~4X bei 1,5 km (Höhe von Denver) und ~300X bei 12km (wo Flugzeuge fliegen). Dies verursacht weiche Fehler in elektronischen Komponenten. Siehe dieses Umfragepapier als Referenz (Abschnitt 2.3).

Antworten (1)

Redundanz , insbesondere während des Autoland- Betriebs.

Wie es funktioniert, hängt vom jeweiligen Flugzeugtyp ab. In den fortschrittlichsten Systemen mit dreifachen (oder mehr) Flugführungscomputern (FGCs) wird während kritischer Operationen wie Autoland ein "Abstimmungs" -Konzept verwendet. Alle 3 Computer berechnen ihre Befehle unabhängig voneinander und stimmen darüber ab, was zu tun ist. Der mittlere Wert oder manchmal der Durchschnitt der 2 "ähnlichsten" Werte wird dann an die Flugsteuerungsaktuatoren weitergegeben. Auf diese Weise werden, wenn einer der Computer ausfällt und anfängt, Müllbefehle zu erzeugen, diese fehlerhaften Befehle nicht ausgewählt (sie werden automatisch durch das Abstimmungsschema zurückgewiesen). Ein Überwachungssystem kann auf diese Weise auch einen ausgefallenen Computer erkennen und ihn offline schalten, wodurch eine „Fail-Active“-Funktionalität ermöglicht wird – ein Autoland kann auf den 2 verbleibenden funktionsfähigen Computern fortgesetzt werden.

Weniger komplexe Flugzeuge und Flugzeuge ohne automatische Landung haben manchmal immer noch 2 FGCs, unterstützen aber keinen Fail-Active-Betrieb. In diesen Systemen ist immer nur einer der beiden Computer aktiv oder ausgewählt. Ein Transferschalter im Cockpit ermöglicht es dem Piloten, die Steuerung von einem Computer auf den anderen zu übertragen, wenn einer ausfällt.

Und es sind nicht nur Flugzeuge. Geschäftsflugzeuge haben üblicherweise auch duale FGCs, und in letzter Zeit haben sogar kleine Flugzeuge der allgemeinen Luftfahrt wie die Diamond DA-42 duale Systeme (Garmin G1000 in Dual-GFC700-Konfigurationen).

CJPlus

Dieses Foto (klicken für hochauflösende Version) zeigt einen Cessna Citation CJ Business Jet mit zwei Garmin-Autopiloten. Beachten Sie, dass sich oben auf dem PFD ein kleiner grüner Pfeil befindet, der nach links zeigt; dies zeigt an, dass derzeit die linke FGC ausgewählt ist. Das Foto zeigt auch die XFR-Taste (Transfer) auf dem Modusauswahlfeld, oben in der Mitte, direkt unter dem Hauptwarnungs-/Warnanzeigefeld. Durch Drücken dieser Taste wird zum rechten (Nr. 2) FGC gewechselt und der Pfeil auf dem PFD so geändert, dass er nach rechts zeigt. Diese Angaben sind ziemlich repräsentativ für andere Dual-FGC-Systeme.

Hier ist ein weiteres Foto eines Hawker 800 mit Rockwell Collins Pro Line 21. Sie können den gleichen Pfeil auf den Schwimmwesten sehen. In diesem Flugzeug ist der Transferschalter mit "AP XFR" gekennzeichnet und befindet sich wieder auf dem Autopilot-Bedienfeld direkt unter dem Blendschutz oben auf dem Bedienfeld auf der linken Seite.

Und zum Schluss noch ein Foto einer 767 mit 3 FGCs und voller Autoland-Fähigkeit. Auf diesem Foto ist es etwas schwer zu lesen, aber direkt über der Deaktivierungsleiste des Autopiloten (das nach "Leertaste" aussehende Ding auf der rechten Seite des Modusauswahlfelds direkt unter dem Blendschutz) sind die 3 Tasten mit "A/P ENGAGE" beschriftet. „L“ „C“ und „R“ für die linken, mittleren und rechten FGCs. Während einer automatischen Landung würden alle 3 ausgewählt und beleuchtet werden.

if any one of the computers fails and starts producing garbage commandsDa die FGC ein Stück Software ist und jede Software anfällig für Bugs und Fehler ist, ist es wahrscheinlich , dass jede gegebene FGC mit der Zeit Müll produziert. Das Abstimmungssystem verhindert, dass das Flugzeug in diesem Fall abstürzt.
@Jumbogram Eigentlich ist es extrem unwahrscheinlich . FGC und andere flugkritische Software werden nach strengen Richtlinien für die Softwareentwicklung sorgfältig entworfen und getestet . Es wird dann vor der Flugzulassung umfassend analysiert und getestet. Fehlbefehle aufgrund eines Softwarefehlers sind äußerst unwahrscheinlich (aber ja, technisch möglich und durch Redundanz tolerierbar ausgelegt).
@Jumbogram Weitaus wahrscheinlicher ist, dass die Mülldaten das Ergebnis eines Kommunikationsproblems mit anderer Avionik (z. B. Empfang schlechter Navigationsdaten) oder elektrischer / HF-Interferenzen oder Schäden durch Überspannung oder ähnliches sind.
@dvnrrs Obligatorische Fallstudie zu CS/Engineering-Vorlesungen - erwarten Sie immer ein Scheitern, daher das Abstimmungssystem :-)
@voretaq7 Ja, und beachten Sie, dass der Vorfall, auf den Sie sich beziehen, zur Erstellung des Softwarestandards IEC 62304 geführt hat, der wahrscheinlich weniger restriktiv ist als der in der Luftfahrt verwendete DO-178B . Ich bin selbst Software-Ingenieur und behaupte, dass Software-Bugs zwar in der Vergangenheit in sicherheitskritischen Bereichen aufgetreten sind, aber in der flugkritischen Avionik aufgrund der heute eher extremen Vorsicht immer noch äußerst unwahrscheinlich sind.
Ich kann den "kleinen grünen Pfeil" oben auf dem PFD auch auf dem vergrößerten Foto nicht sehen. Es muss etwa 1 Pixel breit sein?
@RedGrittyBrick Aww komm schon, es sind mindestens 3 Pixel :-) Direkt unter der violetten Unschärfe. Entschuldigung, beste Auflösung, die ich finden konnte.
@Jumbogram Es wurde festgestellt, dass die meisten Avionik-Softwarefehler auf Fehler im Design und in der Spezifikation oder auf das Versäumnis zurückzuführen sind, mögliche Eckfälle zu identifizieren .
Was ist der Zweck mehrerer Autopiloten?
AntwortenHierDatenschutz-Bestimmungen1y, 0v