¿Es común que los sistemas de control automático utilicen sensores no redundantes?

Mientras leía un artículo sobre el accidente de Lion Air con un Boing 737 Max 8 , me sorprendió mucho el siguiente párrafo:

Al diseñar el 737 Max, Boeing decidió alimentar el MCAS con datos de solo uno de los dos sensores de ángulo de ataque a la vez, dependiendo de cuál de las dos computadoras de control de vuelo redundantes: una del lado del capitán, otra del lado del primer oficial. — pasó a estar activo en ese vuelo.

Mi suposición ingenua era que cualquier sistema que sea capaz de apuntar un avión hacia el suelo ciertamente tendría una entrada de sensor redundante y se apagaría si hubiera un desacuerdo serio entre los sensores.

¿Es común tener sensores no redundantes para este tipo de propósitos en aviones comerciales?

Este artículo parece decir que el control automático se agregó como una idea posterior...
@sean Dado que votó para decir que la primera y única pregunta mía es un duplicado de esta , ¿al menos le importaría intentar hacer ejemplos reales de este tipo de sistema, más allá del que ya proporcionó ymb1 en su respuesta a mi pregunta supuestamente duplicada?

Respuestas (3)

En general, sí. Excepto en ciertas configuraciones, a saber, aterrizaje automático, las funciones de vuelo automático generalmente se alimentan con un conjunto de sensores.

Esto coincide con el hecho de que los instrumentos de vuelo de los pilotos también se alimentan de una sola fuente. Por lo tanto, el comportamiento del piloto automático y los instrumentos deben tener una respuesta coherente y predecible.

La razón principal es el aislamiento de fallas. Si la tripulación de vuelo identifica una falla en los instrumentos del capitán, la desactivación de las funciones de instrumentación y vuelo automático por parte del capitán garantizará que los datos defectuosos no influyan en la instrumentación y los controles del copiloto.

Si hace que el sistema intente votar "inteligentemente", corre el riesgo de no poder aislar un sensor defectuoso, especialmente en situaciones de 2 de 3 sensores defectuosos. Otro problema clásico es cómo evitar que el sistema de votación se convierta en un único punto de falla.

Los instrumentos van acompañados de un comparador, que detecta diferencias significativas entre lecturas redundantes y provoca una advertencia adecuada. La mayoría de los sistemas tratan la advertencia como binaria: la tripulación de vuelo compara manualmente todas las lecturas y, utilizando la lógica humana, decide cuáles son discrepantes.

"no poder aislar un sensor defectuoso" ... y ahí es cuando terminas con situaciones como XL Airways 888.
Aparentemente, la advertencia de discrepancia era solo una opción paga en el B737 MAX, hasta ahora, supongo.
Hoy hay un nuevo artículo en el Seattle Times con mucha información interesante sobre la (defectuosa) certificación de la FAA. Afirma que los dispositivos que causan ""falla importante", lo que significa que podría causar angustia física a las personas", pueden depender de un sensor, mientras que las posibles causas de ""falla peligrosa", lo que significa que podría causar lesiones graves o fatales", necesitan al menos dos. Por lo tanto, en qué categoría cae MCAS es crucial.
Me pregunto por qué los libros sobre sistemas críticos para la seguridad hablan de TMR, criterios de votación y otras cosas como estas, si al final es mejor dejarlo en manos de la lógica humana y el propósito de esos sistemas debería ser solo para decir "tal vez hay un problema, obsérvelo y vea lo que puede hacer" (¿qué pasa con la sobrecarga de información?). Supongo que un sistema de votación también puede ser redundante (¿ quién controla los controladores? ), o, dependiendo de la complejidad del componente, se podría afirmar que es improbable que falle y decir que es suficiente tener uno. (Después de todo, todo se trata de probabilidades...)
@user71659 Dado que votó para decir que la primera y única pregunta mía es un duplicado de esto, ¿ al menos le importaría intentar hacer ejemplos reales de este tipo de sistema, más allá del que ya proporcionó ymb1 en su respuesta a mi pregunta supuestamente duplicada?
@PeterA.Schneider La declaración "el nivel de peligro 'peligroso' debería haber impedido la activación del sistema en función de la entrada de un solo sensor" en el artículo es una simplificación de lo que probablemente sea un análisis complejo del árbol de fallas según ARP4761. No existe una regla estricta y rápida de que los peligros requieren dos sensores, pero generalmente requiere redundancia porque los sensores con ~ 1 falla / 100 millones de horas de vuelo son casi imposibles.
@CodyP Entonces, para fines prácticos, la oración es correcta porque el análisis complejo del árbol de fallas casi siempre llega a la redundancia ¿es necesaria? Como usted dice, el alto mbf requerido para una sola entrada es "casi imposible" de cumplir. ¿Me estoy perdiendo de algo?
@PeterA.Schneider Tienes razón. Principalmente explico los antecedentes de esa declaración y soy (quizás también) exigente con la diferencia entre una regla estricta que requiere dos sensores y, por lo general, requiere dos sensores.

La primera respuesta se ocupa de la aviónica (pantallas, piloto automático, anuncios, advertencia de entrada en pérdida), cuya fuente única de fallas suele ser de criticidad menor. Si su advertencia de entrada en pérdida falla, no es gran cosa ya que se espera que el piloto coteje con las otras fuentes (pantalla del copiloto, ISI, etc.) y finalmente corte el vibrador de palanca (empujador de palanca, por otro lado). mano, es un asunto totalmente diferente). Sin embargo, para un avión fly-by-wire, el otro lado de la historia de la automatización son los controles de vuelo.

Dado que las leyes de control de vuelo modifican las características de manejo entre bastidores, se requiere mucha más redundancia. Por ley, cualquier falla individual en los controles de vuelo, independientemente de la probabilidad, no debe ser catastrófica. Luego, dependiendo de la probabilidad de combinaciones de fallas, también deben tratarse en consecuencia. Esto significa que las fuentes críticas en las computadoras de control de vuelo deben tener redundancia. Esto incluye datos inerciales, datos aéreos, AOA, posiciones en la superficie, etc. Las propias computadoras también deben ser redundantes y lo suficientemente diferentes para evitar fallas de modo común que las destruyan todas a la vez.

Ahora, dado que MCAS es parte de los controles de vuelo, pensaría que se requiere redundancia para hacer coincidir la probabilidad de falla con su criticidad (inicialmente evaluada como peligrosa, pero no catastrófica). Ahí radica la controversia.

En general, no. Solo en los casos en que la falla del sistema tenga muy poco impacto en la operación segura continua de la aeronave.

Como se menciona en esta pregunta , es necesario realizar un análisis sobre:

  • Gravedad de las consecuencias del fallo del sistema.
  • Tiempo de exposición a la condición de falla.
  • La tasa de falla del hardware.

Las consecuencias de la falla de un piloto automático de crucero suelen ser benignas (a excepción de algunas fallas graves), además hay mucha reserva en altitud y tiempo para que la tripulación de vuelo evalúe qué es lo que está mal. En un caso como este, un solo transductor es tolerable.

Esta respuesta da un ejemplo de la redundancia en el sistema de aterrizaje automático CATIII, que tiene triple redundancia en todos los sistemas, incluidos los sensores. Es un ejemplo de sistema crítico, pero no el único. Como menciona @Jimmy, los controles de vuelo son, por definición, críticos para el vuelo.

¿Es común que los sistemas de control automático utilicen sensores no redundantes?
RespuestasAquíPolítica de privacidad1y, 0v