Ist es üblich, dass automatisierte Steuerungssysteme nicht redundante Sensoren verwenden?

Beim Lesen eines Artikels über den Lion Air Crash mit einer Boing 737 Max 8 hat mich folgender Absatz sehr überrascht:

Bei der Entwicklung der 737 Max entschied sich Boeing dafür, MCAS mit Daten von jeweils nur einem der beiden Anstellwinkelsensoren zu füttern, je nachdem, welcher von zwei redundanten Flugsteuerungscomputern – einer auf der Seite des Kapitäns, einer auf der Seite des Ersten Offiziers – zufällig auf diesem Flug aktiv war.

Meine naive Annahme war, dass jedes System, das in der Lage ist, ein Flugzeug auf den Boden zu richten, sicherlich einen redundanten Sensoreingang haben und abschalten würde, wenn es ernsthafte Meinungsverschiedenheiten zwischen den Sensoren gibt.

Ist es in kommerziellen Flugzeugen üblich, nicht redundante Sensoren für diese Art von Zwecken zu haben?

Dieser Artikel scheint zu sagen, dass die automatische Steuerung als nachträglicher Gedanke hinzugefügt wurde ...
@sean Da Sie dafür gestimmt haben, dass die erste und einzige Frage von mir ein Duplikat davon ist , würden Sie zumindest versuchen, tatsächliche Beispiele für diese Art von System zu erstellen, abgesehen von dem, das ymb1 bereits in seiner Antwort auf meine gegeben hat angeblich doppelte Frage?

Antworten (3)

Generell ja. Außer in bestimmten Konfigurationen, nämlich Autoland, werden Autoflight-Funktionen normalerweise mit einem Satz Sensoren gespeist.

Dazu passt, dass auch die Fluginstrumente der Piloten aus einer Hand gespeist werden. Daher sollten das Verhalten und die Instrumente des Autopiloten kohärent und vorhersagbar reagieren.

Der Hauptgrund ist die Fehlerisolierung. Wenn die Flugbesatzung einen Fehler bei den Instrumenten des Kapitäns feststellt, garantiert das Deaktivieren der Instrumentierung und der Autoflight-Funktionen auf der Seite des Kapitäns, dass die fehlerhaften Daten die Instrumente und Steuerungen des Copiloten nicht beeinflussen.

Wenn Sie versuchen, das System "intelligent" abzustimmen, laufen Sie Gefahr, einen fehlerhaften Sensor nicht isolieren zu können, insbesondere in 2-von-3-Sensor-Situationen. Ein weiteres klassisches Problem ist, wie verhindert werden kann, dass das Wahlsystem zu einem Single Point of Failure wird.

Die Instrumente werden von einem Komparator begleitet, der signifikante Unterschiede zwischen redundanten Messwerten erkennt und eine entsprechende Warnung auslöst. Die meisten Systeme behandeln die Warnung als binär: Die Flugbesatzung vergleicht manuell alle Messwerte und entscheidet anhand menschlicher Logik, welche nicht übereinstimmen.

"einen fehlerhaften Sensor nicht isolieren können" ... und dann kommt es zu Situationen wie XL Airways 888.
Anscheinend war die Diskrepanzwarnung beim B737 MAX nur eine kostenpflichtige Option, bis jetzt, nehme ich an.
Heute gibt es einen neuen Artikel in der Seattle Times mit vielen interessanten Informationen über die (fehlerhafte) FAA-Zertifizierung. Es wird behauptet, dass Geräte, die „schwerwiegende Ausfälle“ verursachen, was bedeutet, dass sie Menschen körperlich belasten könnten, sich auf einen Sensor verlassen können, während potenzielle Ursachen für „gefährliche Ausfälle“, was bedeutet, dass sie schwere oder tödliche Verletzungen verursachen könnten, erforderlich sind mindestens zwei. In welche Kategorie MCAS fällt, ist also entscheidend.
Ich frage mich, warum Bücher über sicherheitskritische Systeme über TMR, Abstimmungskriterien und andere Dinge wie diese sprechen, wenn es am Ende besser ist, es der menschlichen Logik zu überlassen, und der Zweck dieser Systeme nur darin bestehen sollte, zu sagen: "Vielleicht gibt es eine Problem, schau es dir an und schau, was du tun kannst" (was ist mit der Überlastung von info?). Ich nehme an, ein Abstimmungssystem kann auch redundant sein ( wer kontrolliert die Controller? ), oder man könnte je nach Komplexität der Komponente die Wahrscheinlichkeit eines Ausfalls angeben und sagen, dass es ausreicht, eines zu haben. (Schließlich geht es um Wahrscheinlichkeiten...)
@ user71659 Da Sie dafür gestimmt haben, dass die erste und einzige Frage von mir ein Duplikat davon ist, würden Sie zumindest versuchen, tatsächliche Beispiele für diese Art von System zu erstellen, abgesehen von dem, das ymb1 bereits in seiner Antwort auf meine gegeben hat angeblich doppelte Frage?
@PeterA.Schneider Die Aussage "'gefährliche' Gefahrenstufe hätte die Aktivierung des Systems basierend auf der Eingabe eines einzelnen Sensors ausschließen sollen" in dem Artikel ist eine Vereinfachung dessen, was wahrscheinlich eine komplexe Fehlerbaumanalyse gemäß ARP4761 ist. Es gibt keine feste Regel, dass gefährliche zwei Sensoren erforderlich sind, aber normalerweise ist Redundanz erforderlich, da Sensoren mit ~ 1 Ausfall / 100 Millionen Flugstunden fast unmöglich sind.
@CodyP Also für praktische Zwecke ist der Satz richtig, weil die komplexe Fehlerbaumanalyse fast immer dazu führt, dass Redundanz notwendig ist? Wie Sie sagen, ist der für eine einzelne Eingabe erforderliche hohe MBF "fast unmöglich" zu erreichen. Übersehe ich etwas?
@PeterA.Schneider Du hast recht. Ich erkläre hauptsächlich den Hintergrund für diese Aussage und bin (vielleicht zu) wählerisch in Bezug auf den Unterschied zwischen einer harten Regel, die zwei Sensoren erfordert, und der normalerweise zwei Sensoren.

Die erste Antwort befasst sich mit der Avionik (Displays, Autopilot, Ansagen, Überziehwarnung), deren Einzelquellenausfall normalerweise von untergeordneter Bedeutung ist. Wenn Ihre Überziehwarnung fehlschlägt, ist dies keine große Sache, da vom Piloten erwartet wird, dass er die anderen Quellen (Bildschirm des Co-Piloten, ISI usw.) Hand, ist eine ganz andere Sache). Bei einem Fly-by-Wire-Flugzeug ist die andere Seite der Automatisierung jedoch die Flugsteuerung.

Da Flugkontrollgesetze die Handhabungseigenschaften hinter den Kulissen modifizieren, ist viel mehr Redundanz erforderlich. Laut Gesetz darf jeder einzelne Fehler in der Flugsteuerung, unabhängig von der Wahrscheinlichkeit, nicht katastrophal sein. Je nach Wahrscheinlichkeit von Ausfallkombinationen müssen diese dann ebenfalls entsprechend behandelt werden. Dies bedeutet, dass kritische Quellen in den Flugsteuerungscomputern redundant sein müssen. Dazu gehören Trägheitsdaten, Luftdaten, AOA, Oberflächenpositionen usw. Die Computer selbst müssen auch redundant und ausreichend unterschiedlich sein, um Gleichtaktfehler zu vermeiden, die sie alle gleichzeitig ausschalten.

Da MCAS nun Teil der Flugsteuerung ist, würden Sie denken, dass Redundanz erforderlich ist, um die Ausfallwahrscheinlichkeit mit ihrer Kritikalität abzugleichen (ursprünglich als gefährlich, aber nicht katastrophal bewertet). Darin liegt die Kontroverse.

Im Allgemeinen nein. Nur in Fällen, in denen ein Systemausfall nur sehr geringe Auswirkungen auf den weiteren sicheren Betrieb des Flugzeugs hat.

Wie in dieser Frage erwähnt , muss Folgendes analysiert werden:

  • Schwere der Folgen eines Systemausfalls.
  • Expositionszeit gegenüber dem Fehlerzustand.
  • Die Ausfallrate der Hardware.

Die Folgen eines Ausfalls des Autopiloten im Reiseflug sind normalerweise harmlos (mit Ausnahme einiger hartnäckiger Ausfälle), außerdem gibt es viel Reserve in Höhe und Zeit für die Flugbesatzung, um einzuschätzen, was falsch ist. In einem solchen Fall ist ein einzelner Wandler tolerierbar.

Diese Antwort gibt ein Beispiel für die Redundanz im CATIII-Autoland-System, das in allen Systemen, einschließlich der Sensoren, dreifach redundant ist. Es ist ein Beispiel für ein kritisches System, aber nicht das einzige. Wie @Jimmy erwähnt, sind Flugsteuerungen per Definition flugkritisch.

Ist es üblich, dass automatisierte Steuerungssysteme nicht redundante Sensoren verwenden?
AntwortenHierDatenschutz-Bestimmungen1y, 0v