¿Por qué no todos los aviones están equipados con 3 sensores de ángulo de ataque?

Para los sistemas críticos, la redundancia está integrada en el sistema. Es de conocimiento común entre los diseñadores/arquitectos tener tres entradas diferentes, por lo que en caso de que una esté defectuosa, la entrada de las dos restantes se puede usar para encontrar (y posiblemente apagar) la defectuosa (dos contra uno).

¿Por qué no todos los aviones están equipados con 3 sensores de ángulo de ataque y votación modular triple cuando estos dispositivos son críticos para la seguridad?

la pregunta del millon de dolares
¿Conoces alguna aeronave con 3 sensores AoA?
@DeepSpace: A320 tiene tres, luego, nuevamente, cuando dos fallan, el sistema cree que el tercero (bueno) ha fallado .
No solo el A320, todos los aviones de Airbus tienen 3 sensores AoA. A350 incluso tiene un cuarto sensor AoA adicional.
Interesante. Sería bueno saber cómo se leen de 3 a 4 sensores AoA. Podrían ser 2 por piloto y todavía no hay TMR. Pregunta relacionada: Aviation.stackexchange.com/questions/60972/…
Por lo que sé, cada 3 sensores AoA están conectados a cada uno de los 3 ADIRU. Las ADIRU deciden cuándo cambiar la funcionalidad internamente en función de las entradas que reciben. Para A350, la cuarta sonda AoA está conectada directamente a la computadora FCGS.
@ymb1 ¿No es ese el caso solo cuando dos fallan de tal manera que proporcionan el mismo valor? Si dos de tres fallaran aleatoriamente , parece bastante probable que fallaran de tal manera que proporcionen valores diferentes, si es que los hay. IIRC, 888T fue una falla de modo común: congelación del agua, presumiblemente aproximadamente al mismo tiempo en cada uno.
Si el NY Times es correcto, en realidad solo hay un sensor AoA conectado al sistema MCAS a la vez, y la opción de cambiar esto entre los dos sensores.
La afirmación de que un sensor AoA defectuoso es la causa de cualquiera de los choques no ha sido confirmada por los investigadores ni por los reguladores.
Tanto los accidentes de Lion Air como los de Ethiopian Air aún están bajo investigación; como tal, esta pregunta está fuera de tema.
@Sean La pregunta no se trata de los bloqueos (especialmente según lo editado), por lo que no creo que esté fuera de tema.
El MQ9 Reaper tenía 3 sensores AOA. Además, el bombardero B2 tiene 3, pero su accidente en Guam se debe (creo) a que los tres dieron malas lecturas de AOA. La teoría sobre la redundancia es si el mismo mecánico está trabajando en los tres...
¿De verdad quieres decir "todos los aviones"? Porque si incluye GA, la respuesta es obviamente el costo y la necesidad: el costo es prohibitivo y no son necesarios. Podría sugerirle que edite esto para reducir el tipo de avión en el que cree que tendría sentido tener 3 sensores.

Respuestas (4)

La triple redundancia es necesaria para detectar un fallo y excluirlo. El sistema luego continúa operando a través de la falla. La doble redundancia se utiliza para detectar un fallo pero no puede excluirlo, por lo que el sistema deja de funcionar. El hecho importante es que las fallas que realmente detectan son idénticas.

Los eventos de pérdida son raros y normalmente no se esperan en vuelo. No hay peligro inmediato si el aumento de manejo o las advertencias de pérdida están deshabilitadas. Por lo tanto, no hay necesidad de triple redundancia.

En pocas palabras, si el sistema detecta una discrepancia en el AoA, puede desconectarse y permanecer así hasta que se repare en tierra.

Si el sistema de doble redundancia está idealmente diseñado, entonces solo una falla simultánea escapará a la detección. Tenga en cuenta también que si ocurre la misma falla simultánea en dos sensores en un sistema triple redundante, también escapará a la detección porque superará al sensor que funciona correctamente. Por lo tanto, ambos sistemas comparten exactamente el mismo modo de falla.

Las fallas simultáneas dobles y triples pueden ocurrir y ocurren con causas comunes que incluyen factores ambientales (AF 447), errores de mantenimiento (XL 888) y colisiones con pájaros (US 1549). También permite fallas en la lógica de votación (QF 72). Los accidentes fatales recientes de AF y XL son signos de una dependencia excesiva de comprar 3 de la misma caja y luego llamarla "segura".

"solo una falla simultánea escapará a la detección" Solo si fallan de la misma manera. Supongamos dos sensores, uno leyendo -1 y el otro leyendo +1; puede saber que están informando valores diferentes, pero sin conocimiento adicional, no puede saber cuál es el correcto. En el caso de tres sensores, si el valor establecido es (+1, +1, -1) puede razonablemente (ver XL888T) concluir que el -1 es un error; sin embargo, si el valor establecido es (+1, 0, -1), no puede concluir cuál de los valores, si alguno, es correcto o incorrecto.
Si las fallas son verdaderamente independientes es otra cuestión. Es probable que varios sensores AOA hayan sido fabricados por la misma fábrica (y probablemente en la misma época), mantenidos por los mismos mecánicos y volando por el mismo aire. Eso aumenta radicalmente las probabilidades de fallas en el modo común, lo que anulará cualquier sistema de redundancia.
@aCVn Si bien es cierto, los sensores AoA que fallan simultáneamente seguramente fallarán de la misma manera: la única forma en que pueden fallar de manera realista es a través de un bloqueo (por ejemplo, hielo o escombros). Es probable que la acumulación de hielo, por ejemplo, afecte sensores similares de manera similar (ver: AF447)

¡Dos sensores AoA son más confiables que tres!

Echemos un vistazo al cálculo de probabilidad y supongamos que la probabilidad de fallo de un sensor es p = 0,1 % (por vuelo, o lo que quiera elegir). La probabilidad de que el mismo sensor funcione como se espera es q = 1 − p = 99,9 %.

dos sensores

La probabilidad de

  • sin fallo: q 2 ≈ 99,8 %
  • una discrepancia (1 fallo): 2 pq ≈ 0,2 %
  • una doble falta no detectada: p 2 = 10 -6

Tres sensores

La probabilidad de

  • sin fallo: q 3 ≈ 99,7 %
  • 1 falla recuperada: 3 pq 2 ≈ 0.3 %
  • fallas no detectadas: 1 − q 3 − 3 pq 2 ≈ 3 · 10 -6

¿Qué solución es preferible?

Sistema autónomo

Si estuviéramos hablando de un sistema autónomo, como un dron o quizás un satélite, estaríamos viendo la capacidad del sistema para tomar una decisión por sí mismo.

No se puede tomar una decisión con

  • 2 sensores si se produce una discrepancia o un doble fallo. La probabilidad de que eso sea 0,2 %.

  • 3 sensores si ocurre más de 1 falla. La probabilidad de eso es 3 · 10 -6 .

3 · 10 -6 es 667 veces mejor que 0,2 %. El sistema autónomo está mejor con tres sensores y votación TMR.

Aviones con pilotos

La situación es diferente si el sistema es monitoreado por un piloto, quien puede intervenir en caso de discrepancia. Una alarma de falso positivo es aceptable. Las fallas no detectadas no son aceptables. La probabilidad de una falla no detectada es 1 · 10 -6 con 2 sensores y 3 · 10 -6 con 3 sensores. ¡ El sistema de 2 sensores es 3 veces más confiable bajo esta premisa!

Además, una sola falla es más molesta en el caso de la configuración de 2 sensores. Una sola falla con tres sensores, si se detecta, se ignora más fácilmente en lugar de eliminarse.

Ah, buena ley de Lusser .
La lógica en la respuesta me parece un poco extraña. ¿Por qué la probabilidad de que el sensor funcione en una configuración de 3 sensores es q^3 y no 1-p^3? ¿No es necesario que los 3 estén funcionando para obtener información de AoA, solo 1 es suficiente para hacer el trabajo?
@MadMax: q ^ 3 es (por definición) la probabilidad de que los 3 sensores funcionen = sin fallas. 1-p^3 es la probabilidad de 0, 1 o 2 fallas combinadas. En una configuración TMR, se requieren 2 sensores para obtener resultados correctos. 1 no es suficiente.
Originalmente dio +1 pero después de unos días de pensar se dio cuenta de que esto es realmente incorrecto. La caja de tres sensores no funciona así. El sistema no agrega el estado correcto/fallido, si tiene esos datos simplemente ignorará los sensores fallidos. Lo que agrega es la medida real. Entonces, la estadística relevante para no detectados es en realidad la probabilidad de que dos sensores fallen de la misma manera y den la misma medición falsa. Por lo general, esto también debe suceder al mismo tiempo, ya que el sistema generalmente ignoraría el sensor que cree que está dando datos falsos. (continuación)
En realidad, es esa capacidad de distinguir entre las fallas lo que es el beneficio de las soluciones de tres fuentes. Sin él, sería una solución de dos fuentes con puntos adicionales de falla. Que es esencialmente lo que describe en la respuesta.
Tenga en cuenta que lo anterior supone que la lógica se implementa correctamente . Puede implementar cualquier sistema absolutamente mal y entre ellos, Airbus y Boeing han hecho exactamente eso.
Estimado @VilleNiemi, tiene razón en que mi respuesta no refleja la situación en el B737M. En cambio, cubre un aspecto teórico. Para describir el escenario, no es suficiente contar los sensores, pero importa cómo se evalúan. La pregunta del tema sigue cambiando y adaptándose al conocimiento incompleto que tenemos sobre una investigación de accidente en curso. Esto debe evitarse. ¿Tiene información confiable sobre el diseño B737M? Yo no. Considero mover esta respuesta a una pregunta diferente (que se creará).

Independientemente de la cantidad de sensores, el piloto debe tener suficiente experiencia para saber qué está pasando y simplemente volar el avión. Las listas de verificación pueden ayudar, pero es posible que no haya tiempo. Después del primer accidente del 737 MAX, hubo una Directiva de Aeronavegabilidad y un Aviso para los Aerotécnicos que establecía la manera de lidiar con el descontrol del estabilizador, cualquiera que sea la causa, incluido el MCAS. El segundo accidente ocurrió después de que los pilotos primero siguieron esos procedimientos pero luego los invirtieron.

MCAS ha sido arreglado. Los reguladores han declarado y certificado ese punto.

La formación de pilotos no se ha corregido. Eso es lo que tiene que suceder a continuación.

Creo que esto no responde a la pregunta. La pregunta no se centra en el B737 MCAS sino en la cantidad de sensores AoA en cada avión (ni siquiera se limita a un avión) y su respuesta no aborda la cantidad de sensores AoA.
@Manu H, está señalando más ampliamente que la cantidad de sensores AoA es irrelevante si el piloto no tiene el entrenamiento o la experiencia para reconocer y reaccionar correctamente ante una falla. Porque ¿por qué detenerse en 3? ¿Por qué no 4 o 5? Muchos aviones no tienen ningún sensor AoA y vuelan de manera segura todos los días.

Trabajé para Marconi en los años 80. El sistema triple se creó en Rochester en la década de 1980. La triple redundancia fue una filosofía de diseño y marketing/seguridad para el nuevo airbus, que fue el primer avión de pasajeros fly-by-wire: los ingenieros de Marconi diseñaron controles de vuelo electromecánicos para aviones de combate, drones, aeronaves y helicópteros utilizando MIL-STD. -Estándar 1553 y protocolo 1773. Todos los ingenieros de diseño senior de Marconi fueron capacitados internamente para volar su propio avión ligero por la empresa; la empresa también tenía su propio aeropuerto. Dudo que alguna compañía en el mundo, incluida Boeing, pudiera igualar remotamente su experiencia interna en controles de vuelo en ese momento. Si Marconi diseñó sensores AoA x3, lo hizo por una muy buena razón.

¿Por qué no todos los aviones están equipados con 3 sensores de ángulo de ataque?
RespuestasAquíPolítica de privacidad1y, 0v