¿Por qué el KC-46 usa dos sensores para MCAS cuando el 737 Max no lo hace?

este artículo establece

El KC-46 tiene un sistema MCAS de dos sensores, que “compara las dos lecturas”, dijo la Fuerza Aérea.

Soy consciente de que el 737 usa dos sensores y siempre lo ha hecho, pero la computadora los lee simultáneamente según el piloto que está volando el avión. Entonces, si el Capitán está volando, está leyendo datos del lado izquierdo, ¿correcto?

En este punto, asumo que la decisión de Boeing de extraer datos de un sensor fue para reducir la carga de trabajo y hacer una introducción más temprana.

Con respecto a la decisión de Boeing de usar datos de un solo sensor para MCAS, las palabras que me vienen a la mente son estúpidas e imprudentes. La Fuerza Aérea probablemente fue lo suficientemente inteligente como para exigir un sistema con alguna redundancia básica.
También una suposición: no hubo presión para transferir una habilitación de tipo para pilotos de un modelo anterior.
La redundancia de @ Jpe61 es muy importante para el ejército. Además, creo que el ejército está en una posición mucho mejor para obtener información sobre el diseño de un avión; y si ven una necesidad, exigir cambios. MCAS fue diseñado deliberadamente por Boing para que el MAX caiga bajo la certificación existente del 737. Si el 737 MAX cumple con toda la regulación existente, ¿por qué motivos podría la FAA exigir cambios en el MCAS?
@MSalters Entonces, si Boeing cambió la computadora y la abrió para leer dos sensores a la vez, ¿el avión ahora requiere capacitación adicional?
@Firefighter1: luego debe compararlos. Y como solo tiene dos, en caso de conflicto necesita un procedimiento piloto en caso de que las lecturas difieran demasiado. No se puede votar con solo dos sensores.
No, el MCAS no lee los datos del lado del piloto que vuela. MCAS obtiene datos AOA de FCC 1 o FCC 2 y esto se alterna automáticamente para cada vuelo. FCC 1 usa el AOA izquierdo y FCC 2 usa el AOA derecho.
@Firefighter1 "Entonces, si Boeing cambió la computadora y la abrió para leer dos sensores a la vez, ¿el avión ahora requiere capacitación adicional?" . Sí, de hecho. Ante una discrepancia en las salidas, el sistema advertirá a los pilotos y se apagará, ya que no hay forma de saber cuál está mal en el caso de 2 sistemas. Luego, la tripulación de vuelo deberá recibir capacitación en el manejo del avión en las circunstancias para las que el sistema fue diseñado.
La cantidad de sensores utilizados para proporcionar un parámetro depende de la criticidad de la función que utiliza el parámetro, así como de la filosofía operativa detrás de la arquitectura de los sistemas involucrados, que para el 737 es "solo del mismo lado" para sensores, computadoras, pantallas y controles, para facilitar el aislamiento y la resolución de fallas. Por lo tanto, la pantalla izquierda y FCC obtienen velocidad, altitud, AOA de ONE resp. sensor a la izquierda, la computadora SMYD izquierda obtiene AOA del sensor L y acciona el agitador de barra de la columna de control L. Ídem para la derecha. Excepción: solo un FCC puede estar activo y operar ambos controles de vuelo.
Con un sensor alimentando un lado, cuando discrepa, el respaldo es el otro lado, el piloto arbitra cuál es válido comparándolo con el ASI de reserva, el altímetro. El valor de AoA no es crítico para los pilotos o el piloto automático; a diferencia de Airbus, el piloto automático no anula las entradas de los pilotos, por lo que no es necesaria la selección de fuente automatizada para mantener la disponibilidad y confiabilidad de los parámetros. El funcionamiento del MCAS no es crítico para la seguridad. En 767 KC-46 MCAS utilizado con operaciones de reabastecimiento de combustible, lo suficientemente crítico como para requerir un segundo sensor (para monitoreo de validez) pero no un tercero (redundancia confiable).

Respuestas (2)

Según el artículo, el KC-46 utiliza el sensor dual FCC/AoA para calcular ambos canales FCC y comparar las señales de comando. Con dos señales en desacuerdo, no hay forma de determinar cuál es la correcta y el remedio habitual es desconectar ambas, advertir al piloto y realizar el procedimiento de tripulación apropiado. Y eso requiere entrenamiento.

Se promocionó que el B737MAX solo requería un entrenamiento de diferencias muy limitado en relación con el NG, por lo que la configuración del KC-46 no se pudo copiar. El diseño original de MCAS en el B737MAX también usó dos transductores para la activación, dos tipos diferentes de transductores, los cuales tenían que estar por encima de un valor de umbral, como se menciona en esta respuesta . El MCAS de diseño original solo tenía una autoridad limitada de estabilizador de 0,8 grados. Del informe del accidente de Lion Air 610 , página 204:

MCAS está diseñado para funcionar solo durante el vuelo manual (piloto automático no activado), con los flaps de la aeronave hacia arriba, en un AOA elevado. A medida que avanzaba el desarrollo del 737-8 (MAX), la función MCAS se amplió a números Mach bajos y se incrementó al límite máximo de comando MCAS de 2,5 de movimiento del estabilizador.

El informe establece que en el análisis de fallas, Boeing clasificó la condición de falla del MCAS no comandado como Mayor (que no puede ocurrir más de una vez en 10 5 horas de vuelo), en lugar de Peligroso (1:10 7 ) o Catastrófico (1:10 9 ) permitiendo de hecho una sola entrada de transductor. Nuevamente del informe, página 206:

Si la probabilidad de una condición de falla no deseada no está por debajo de la probabilidad máxima permitida para esa categoría de peligro, se debe considerar el rediseño del sistema. Si la condición de falla del MCAS no comandado se hubiera evaluado como más grave que Mayor, se debería haber evitado la decisión de depender de un solo sensor AOA.

Por qué todo esto se hizo para el B737, mientras que el KC-46 usa dos sensores, es un conglomerado de factores. Dos sensores es lo mejor. La presión de tiempo para la entrega del avión, la presión de los clientes de las aerolíneas para limitar las diferencias de capacitación, la observación de que las versiones anteriores de los B737 con horas de vuelo acumuladas de 250 millones no habían experimentado fallas catastróficas debido a la falla del sensor AoA (referencia nuevamente del informe del accidente), todo llevó a la creencia quizás justificable de que el único sensor era suficiente. Si la tripulación tomó medidas rápidas para contener la falla, pero la falla no pudo ser reconocida a tiempo. Nuevamente página 206:

Durante el análisis de falla única y múltiple del peor de los casos del sistema de datos aéreos de "falla de un AOA seguido de un AOA erróneo", Boeing concluyó que el efecto sería peligroso hasta que la tripulación de vuelo reconociera el problema y tomara las medidas adecuadas para mitigarlo. Dado que no se proporcionó la capacitación o la orientación para las acciones tomadas en tal situación, la categoría de efecto debería haber seguido siendo peligrosa.

Dado que la FCC que controla el MCAS depende de una sola fuente AOA, se debería haber evaluado la contribución del MCAS a los efectos acumulativos del AOA.

Esto puede ser motivo para una nueva pregunta. Si estoy leyendo correctamente, una falla que ocurre 1 en 10 ^ 5 horas es mayor, mientras que una falla que ocurre 1 en 10 ^ 9 es catastrófica. ¿Como es que? 10 ^ 5 es un número mucho más pequeño (y, por lo tanto, mucho más frecuente) que 10 ^ 9. (¿O es un error tipográfico?)
@FreeMan Una falla catastrófica puede ocurrir no más de 1 de cada 10 9 horas de vuelo, una falla mayor no tiene consecuencias catastróficas per se y no se permite que ocurra más de una vez en 10 5 horas de vuelo.
Ahh, eso tiene mas sentido. ¡Gracias!
@FreeMan Gracias por el comentario, he mejorado la redacción de la respuesta.
Dos sensores es mejor , tres (o más) sería lo mejor.
@Koyovis "Las horas de vuelo acumuladas de 250 millones no experimentaron fallas catastróficas debido a la falla del sensor AoA" ¿Cómo se relaciona eso con el uso de un sensor AOA para MCAS? Dado que MCAS es lo que hace que el resultado de la falla de AOA sea potencialmente catastrófico, ¿no es más realista observar solo las tasas de falla del AOA en sí?
@Berend No, se debe considerar la tasa de falla de todos los componentes en el sistema, además de las acciones tomadas cuando falla un componente. Diseño del sistema para la funcionalidad, como se implementó con éxito en el KC-46 MCAS, donde se pudo detectar la falla del sensor AoA, luego se apagó el MCAS y se notificó a los pilotos. Esta fue la parte que el MAX no implementó.
@Koyovis Lo siento, pero eso simplemente no cuadra. Las consecuencias que tuvo la falla de AOA en otros sistemas son completamente irrelevantes. Independientemente de si eso resultó en muy pocas o muchas fallas catastróficas. Considera componentes que no están incluidos en la aplicación MCAS, por lo que no desempeña ningún papel en su evaluación de riesgos. Eso es como, casi cualquier graduado de la escuela secundaria debería poder resolver eso. Pero no importa He encontrado la respuesta que buscaba en mi pregunta, así que dejaré de molestarte. Divertirse !

No podemos saber por qué Boeing hizo lo que hizo a menos que nos lo digan y, dadas las implicaciones legales de decir demasiado, hay más ruido que señal. Puedo especular con el resto sobre una respuesta con el resto de ellos.

El 737MAX MCAS estaba destinado a proporcionar una cierta "sensación" en el yugo de control al piloto al realizar maniobras específicas. Se esperaba que el MCAS hiciera correcciones menores al ajuste, lo hacía con poca frecuencia, y se esperaba que cualquier falla pareciera un ajuste fuera de control u otra falla que los pilotos ya estaban capacitados para abordar en el 737NG. Esto no se consideró una función crítica de vuelo y, por lo tanto, utilizó solo un sensor.

En el KC-46, el propósito de MCAS era mitigar el cambio del centro de gravedad a medida que se entregaba combustible a otras aeronaves. MCAS estaría en funcionamiento casi constante, tenía lo que se creía que era un control mucho mayor de cómo funcionaba la aeronave, por lo que usaba dos sensores AoA para la redundancia de entrada.

Como recuerdo, la decisión de usar solo un sensor AoA no fue para reducir la carga de trabajo en la ingeniería y las pruebas, sino para reducir la carga de trabajo en las computadoras de la aeronave, computadoras que ya tenían una carga de trabajo considerable para su capacidad. Un sensor AoA significaba que no era necesario tomar la potencia informática adicional para comparar una entrada con la otra.

Ojalá pudiera recordar dónde leí esto, pero alguien que afirmó saber de qué estaba hablando dijo que habría sido posible no solo comparar un sensor AoA con el otro, sino también calcular el AoA de otros sensores para determinar qué sensor era dando buenos datos si había un desacuerdo. De hecho, se trata de un sensor de AoA "virtual", por lo que puede haber un voto de 2 de 3 sobre cuál es el AoA correcto. Además, esto supuestamente era posible sin exceder la potencia informática de las computadoras a bordo del 737MAX. Suponiendo que esto fuera posible, habría significado trabajo adicional para crear este software y validar que era seguro. Dado que Boeing tenía un cronograma ajustado y que la FAA no consideraba que el MCAS fuera crítico para la seguridad, este trabajo adicional no se realizó.

Si bien los sensores AoA están en todos los aviones 737MAX, no todos tienen esta información disponible para la tripulación. A la tripulación solo se le informaría sobre una falta de coincidencia del sensor AoA si la aerolínea compró la opción para los indicadores AoA en la cabina de vuelo. Aparentemente, esta no era una opción popular, pocos aviones 737MAX tenían indicadores AoA. Nuevamente, hay dos sensores AoA en todas las aeronaves 737MAX, pero no todas las aeronaves tenían indicadores AoA para la tripulación, MCAS tenía esta información, pero es posible que la tripulación no.

Aparentemente, Airbus ve la indicación AoA de manera diferente. Pusieron tres sensores AoA en su avión para que las fallas de un solo sensor puedan detectarse y corregirse. Una vez más, existe la afirmación de que Boeing podría corregir una sola falla del sensor AoA calculando el AoA a partir de otras entradas de sensores, pero optaron por no hacerlo. Es posible que decidieran no hacerlo tanto por razones legales como prácticas y técnicas. Si demostraron la capacidad de calcular AoA para detectar y corregir una sola falla de entrada del sensor de AoA, eso podría abrir otra investigación sobre por qué esto no se hizo antes.

Es posible que Boeing tenga que esforzarse en mantener que AoA es "bueno saberlo" en lugar de ser vital para controlar la aeronave para no atraer a más abogados. No sé cuán importante es conocer AoA para un piloto, ya que no soy piloto. Espero que esto sea debatido durante algún tiempo.

Su minimización del 737MAX MCAS pinta una imagen equivocada. Mientras que el MCAS del KC-46 corrigió el ajuste del estabilizador solo una vez y solo en 0,6 grados, el 737MAX MCAS lo haría repetidamente y en una cantidad mucho mayor de 2,5 grados de ajuste hasta que el AoA cayera por debajo de su límite (creo que eso fue 8 grados). Con un mal funcionamiento del sensor, esta reacción requería dentro de los 4 segundos para seguir el procedimiento de embalamiento del trim.
" Su minimización del 737MAX MCAS pinta una imagen equivocada. " No estoy minimizando la gravedad de los problemas del 737MAX MCAS, estoy respondiendo a la pregunta de por qué Boeing decidiría tener un solo sensor AoA para MCAS y la FAA estaría de acuerdo. a esta decisión. Esto se hizo porque en ese momento el MCAS no se consideraba crítico para la seguridad ni planteaba un problema de seguridad propio. Ahora sabemos que esto no era cierto, pero eso es 20/20 en retrospectiva.
"por qué ... la FAA estaría de acuerdo con esta decisión" Esto se debió completamente a que la FAA se enteró de las modificaciones al MCAS solo después de los accidentes. Todo el trabajo de certificación anterior fue realizado por empleados de Boeing. Si hubiera seguido el enlace, habría aprendido que "los representantes autorizados de Boeing son empleados de Boeing a los que se les otorga un permiso especial para representar los intereses de la FAA y para actuar en nombre de la FAA en la validación del cumplimiento de los sistemas y diseños de aeronaves con los requisitos de la FAA".
@PeterKämpf Sé que la FAA no estaba al tanto de las implicaciones de los cambios realizados en MCAS en el 737MAX. Nuevamente, la pregunta era, ¿por qué la FAA estaría de acuerdo con esto? La respuesta, no eran conscientes de las implicaciones. Soy bastante consciente de las fallas en el sistema para verificar que MCAS no fuera un peligro para la seguridad. Debido a que no sabían de esto, la FAA acordó que no había necesidad de una entrada de sensor AoA redundante para MCAS. Ya atendí tu queja, ¿por qué repetirla? ¿Qué quieres de mí?
¿Por qué el KC-46 usa dos sensores para MCAS cuando el 737 Max no lo hace?
RespuestasAquíPolítica de privacidad1y, 0v