¿Por qué se desactiva el piloto automático incluso cuando no recibe información del piloto?

Después de haber leído el inquietante

https://en.wikipedia.org/wiki/1999_South_Dakota_Learjet_crash

Me quedo con la pregunta de por qué la computadora permite que el piloto automático se desactive cuando no hay entrada de piloto.

¿Por qué no activa el vibrador de palanca y la alarma como de costumbre, pero mantiene el control hasta que se recibe la entrada del piloto, o requiere que el piloto desactive manualmente el piloto automático?

No soy piloto, así que estoy seguro de que hay un buen razonamiento detrás de esto. Sin embargo, desde mi propia perspectiva ingenua, esta es la razón por la que parece una tontería desactivar automáticamente el piloto automático:

Esto es lo que sucedió después de que se desactivó el piloto automático:

"El objetivo está descendiendo y está haciendo múltiples giros de alerón, parece que está fuera de control... en un descenso severo, solicite un descenso de emergencia para seguir al objetivo".

Imagine que la tripulación recuperó la conciencia, se encontrarían en una situación de desorientación, con una aeronave posiblemente dañada por el estrés aerodinámico al acercarse a mach 1 en una picada de nariz descontrolada. Esto, en comparación con el piloto automático que simplemente mantiene la actitud lo mejor que puede.

Hasta que finalmente, esto: "la aeronave golpeando el suelo a una velocidad casi supersónica y en un ángulo extremo".

La alternativa es, sin intervención del piloto, que la aeronave habría mantenido una actitud algo estable, despliega su tren de aterrizaje, flaps y rezaba por lo mejor: que resulta que hay un terreno bastante suave, sin obstáculos importantes. ¿en la forma?

Ahora, sé que los seis a bordo estaban muertos antes de que el avión se estrellara. Eso no significa que no haya situaciones en las que un aterrizaje forzoso controlado no sea preferible a un choque no controlado.

No soy ingeniero de software de aviónica, así que discúlpeme si no aprecio la complejidad de la tarea, pero como ingeniero de software y alguien con educación en TI, me parece casi trivial extender la funcionalidad de la aeronave a adaptarse a este escenario con un procedimiento mayormente codificado --- sí, aterrizar a ciegas en lo que sea que esté allí y esperar (y con el sistema ampliado con procesamiento visual, tal vez, en el futuro). Si bien ni siquiera voy a esbozar una propuesta completa para tal extensión aquí, es parte de mi motivación para hacer esta pregunta en primer lugar, así que simplemente lo menciono así.

También puedo mencionar, aunque estoy seguro de que cualquier persona calificada para responder a esta pregunta sabrá sobre este caso (y lo sabrá mucho mejor que yo), el Cornfield Bomber https://en.wikipedia.org/wiki/Cornfield_Bomber así que si esto es posible sin ninguna ayuda de la computadora, seguramente sería posible con ayuda, incluso de una computadora que solo tiene instrumentos básicos (altitud, actitud, etc.) y no tiene visión, pero simplemente lo intenta "a ciegas" en lo que respecta a visual. se refiere al procesamiento.

Tenga en cuenta que no me hago ilusiones de que el avión aterrizará sin un rasguño. Este es un juego de estadísticas, como todos los procedimientos de seguridad, y parece (ingenuamente, estoy seguro) que esto podría aumentar las posibilidades de supervivencia por un margen (probablemente pequeño).

Mi propio intento de respuesta:

Solo puedo imaginar que la razón por la que tal funcionalidad no existe es porque rara vez es útil y se considera una curiosidad demasiado grande. Sin embargo, otros accidentes que también parecen ser muy poco probables en general, han visto cambios en la industria de la aviación. Así que esta no es realmente una buena respuesta.

Lo único que se me ocurre es el miedo omnipresente a la IA. La idea de implementar alguna IA, que podría potencialmente, cuando se le otorga la autoridad total del avión, deslizarlo hacia un edificio sin querer, es simplemente impensable por razones obvias. Si bien simpatizo con este punto de vista, no veo por qué esto es más probable que suceda con un avión que vuela sin una IA tan simple; tanto la IA como el avión completamente descontrolado volarían igual de ciegos, ambos en riesgo. de lastimar a transeúntes inocentes. La única diferencia es que el avión asistido por IA que vuela de forma autónoma (a pesar de que en su mayoría tiene los ojos vendados) tiene una probabilidad marginalmente mayor de permitir algunos sobrevivientes.

Tenga en cuenta que parte de lo que sucedió en N47BA es que la tripulación aparentemente no puso oxígeno suplementario de inmediato, pero probablemente estaba tratando de resolver un elemento de la lista de verificación difícil de comprender en una situación que ya era estresante. Si el primer elemento de la lista de verificación hubiera sido "máscaras de oxígeno, póngalas", o si el piloto hubiera pensado simplemente "estamos perdiendo presión, no se meta con la lista de verificación todavía, ¡póngase esa máscara de oxígeno ahora!", es probable que el el resultado habría sido muy diferente, y tengo entendido que, en respuesta a ese accidente, dicho cambio en la lista de verificación se realizó más o menos en todos los ámbitos.
Esencialmente, los pilotos automáticos son mucho, mucho más simples de lo que uno pensaría. Ni siquiera son vagamente como "un coche autónomo".
@Fattie Sí, pero esta es la pregunta: ¿por qué son tan simples? Tenga en cuenta que estoy sugiriendo por qué no continúa manteniendo el control (y aterriza a ciegas, que es mejor que estrellarse). Ya es capaz de mantener el control, ¿no? No estoy sugiriendo una revisión importante del software (aunque me gustaría mucho ver una). Simplemente estoy sugiriendo por qué la funcionalidad ya simple no solo se amplía marginalmente.
hola Alph - hmm, puramente FWIW No lo vería tan simple. Ya conoce el timón automático (mecánico) de los veleros que utilizan los navegantes solitarios. Me sorprende que sea más así. Más cerca de un termostato mecánico que de un "automóvil autónomo", tal como los conocemos ahora.

Respuestas (5)

El "piloto automático" es un sistema de control bastante básico. Por lo general, se compone de solo unos pocos componentes (lógicamente hablando) como un nivelador de alas, modo de rumbo y modo de altitud. El piloto automático puede controlar la aeronave generalmente a través de servos conectados a los cables de control oa través del sistema hidráulico. Los sistemas externos pueden alimentar esto para hacer cosas como seguir una ruta de descenso, seguir rutas GPS/VOR, etc. El piloto automático en sí es básico.

El piloto automático está diseñado para volar una aeronave que de otro modo no tendría ningún otro problema . El piloto automático no está diseñado para volar fuera de las circunstancias normales de funcionamiento. Esto significa que cuando se detecta algún tipo de anomalía (generalmente cuando el piloto automático alcanza sus límites programados), se desconectará automáticamente.

En el caso del Learjet que citó, el piloto automático continuó manteniendo la altitud después de que fallaron los motores, pero debido a que mantener la altitud sin motores significa que su velocidad disminuirá, el piloto automático se desconectó antes de que la aeronave se detuviera en lugar de luchar contra el piloto en una pérdida. Asume que es más seguro realizar un traspaso automático que requerir que el piloto que ahora está tratando de estabilizar la aeronave también tenga que preocuparse por desconectar el piloto automático.

La mayoría de los pilotos automáticos dan algún tipo de advertencia de que se han desconectado. Esto puede ser cosas como un timbre, una alerta de voz, un agitador de palos, etc. Es la forma en que los pilotos automáticos dicen "He alcanzado los límites de lo que puedo controlar, debes tomar el control ahora". De lo contrario, podría empeorar la situación.

El bombardero del campo de maíz no estaba en piloto automático cuando se estrelló. Simplemente recuperó la estabilidad como resultado de la expulsión y permaneció en un camino bastante nivelado (pero descendente) hasta que se hundió en un campo (y continuó corriendo/moviéndose durante bastante tiempo).

Me ganaste. +1 para "De lo contrario, podría empeorar la situación".
¿Cómo puede empeorar mucho una situación cuando no hay intervención del piloto? ¿No es más seguro un avión que tiene algo de control por el piloto automático que uno que no tiene ningún control? Si es una cuestión de temor a que el piloto automático haga movimientos bruscos no deseados en caso de fallas en los sensores, etc., entonces esto no se resolvería trivialmente con un retraso de tiempo de un deseo programado de desconexión, antes (en caso de que no haya ninguna entrada) el piloto automático vuelve a activarse e intenta mantener algún tipo de control? Entiendo que algunos pilotos automáticos tienen poco o ningún software involucrado, pero seguramente las capacidades varían.
@AlphaCentauri Digamos que tiene activado el modo de rumbo y altitud y pierde el motor izquierdo. El derecho está solo al 50% del acelerador, por lo que no puede mantener la altitud. A medida que su velocidad aerodinámica disminuya, comenzará a desviarse hacia la izquierda. Ahora estás descoordinado acercándote a un puesto... ¿qué sucede después? A medida que ingresa al giro, ahora tiene el piloto automático aplicando timón por usted, lo cual no desea. Date prisa, desactiva el piloto automático, pon en bandera la hélice izquierda, alerones neutrales, elevador hacia abajo, timón contra el giro. ¿Recuerdas dónde está el botón para desconectar (no siempre está en la rueda de control)?
¿Con mi idea y en mi escenario (sin intervención del piloto)? El piloto automático se desactiva de inmediato, espera un tiempo razonable (por ejemplo, 10 segundos) para recibir la entrada del piloto y luego se vuelve a activar si no hay ninguna entrada del piloto. Después de volver a participar, intentará usar cualquier autoridad que tenga sobre el avión para mantenerlo nivelado, incluso si esto implica bajar el morro. Sin mi sistema, el piloto automático se desconectaría y nunca volvería. Sin intervención del piloto, el avión probablemente daría vueltas como en el caso del Learjet de 1999 y eventualmente (casi seguro) chocaría mucho más fuerte que durante un choque algo controlado.
Las aeronaves son naturalmente estables, deberían volver a un vuelo nivelado (dentro de un sobre) si se quedan sin entradas (sin intervención). Esta es la razón por la que simplemente "dejarse llevar" a veces es mejor que tratar de combatirlo. Por ejemplo, creo que el C-152 felizmente saldrá de un giro si simplemente "no pasa nada" . El Learjet del que estás hablando no estaba haciendo giros en vuelo nivelado, apuntaba casi hacia abajo en ese momento...
@RonBeyer [primer comentario]: Entonces, haz que el piloto automático abra automáticamente el acelerador en el motor restante. Los aviones ya tienen aceleradores automáticos; no debería ser demasiado difícil agregarle una lógica de compensación de fallas del motor.

Otras respuestas ya indicaron que los pilotos automáticos son esencialmente cosas muy simples. Especialmente para alguien con experiencia en TI.

En algunos pilotos automáticos, hay modos para este tipo de eventos. Por ejemplo, algunos G1000/G3000 en jets ligeros están equipados con modo de descenso de emergencia (EDM). ¿Qué hace?

  • Se activa automáticamente cuando la presión de la cabina se pierde por encima de cierta altitud (~30 000 pies).
  • Establece la retención de altitud para 15000 pies. Esta es una altitud de compromiso donde el aire es respirable pero no se esperan obstáculos.
  • Cambia el rumbo a 90° a la izquierda para no descender a través de una vía aérea.

Simple, y muy lejos de la IA. Además, empeora por el hecho de que en muchos aviones, y en la mayoría de los aviones ligeros, no hay acelerador automático o, si lo hay, a menudo está desacoplado del piloto automático. Entonces, si el piloto está inconsciente y no puede reducir el empuje (e idealmente desplegar los frenos de velocidad), este 'descenso de emergencia' se convierte en un descenso de crucero suave a la velocidad aérea máxima permitida, unos 300-1000 pies por minuto, si es que hay alguno.

Una vez más, se trata más bien de una herramienta para reducir la carga de trabajo que de un "piloto".

¿Porque? Esta es una cuestión filosófica aparte. Pero, en general, mientras que un piloto humano es el último responsable en la cabina, los pilotos (y la aviación en general) prefieren soluciones deterministas conocidas en lugar de "inteligencia" impredecible. Muchos incidentes ya surgen de la confusión de los pilotos sobre lo que está haciendo la aeronave; agregar 'inteligencia' aquí puede contribuir a eso. Pero puede mejorar en algunos casos. Simplemente no hay una respuesta obvia como 'simplemente póngale más poder de cómputo'. Solo piense en la terrible experiencia del 737MAX/MCAS .

Tenga en cuenta que el Modo de descenso de emergencia se desarrolló en respuesta directa al accidente del Learjet de Dakota del Sur citado y tiene una complejidad mucho menor (y, por lo tanto, un riesgo) que la solución propuesta por el OP.

El piloto automático está diseñado para hacer exactamente lo que se le indica, hasta que ya no pueda hacerlo de manera segura. En ese punto, la situación va más allá de lo que se diseñó para el piloto automático, por lo que devuelve el control a los pilotos. Incluso los pilotos automáticos modernos no están diseñados para tomar muchas decisiones por sí mismos, y mucho menos un Learjet diseñado en la década de 1970.

Agregar algún tipo de funcionalidad para "volar el avión hacia abajo" en tal situación agregaría complejidad al sistema por muy poco beneficio. Este tipo de situación es bastante rara. Y la mayor parte del mundo es agua, y gran parte del resto no es muy plano. Es extremadamente improbable que, a pesar de todo ese esfuerzo, un sistema de este tipo pueda realizar aterrizajes de supervivencia.

E incluso si pudiera hacer un aterrizaje sobreviviente, estamos hablando de la tripulación y los pasajeros que podrían haberse desmayado durante horas y que de todos modos podrían no sobrevivir. Tal vez haya algún valor en una especie de "interruptor de hombre muerto" que derribaría automáticamente el avión si los pilotos no respondieran, pero esto tiene la mayoría de los problemas anteriores.

También está la cuestión de agregar aún más funciones automatizadas a los controles de vuelo. ¿Cómo manejamos las situaciones en las que esto funciona mal y comienza a descender inesperadamente del avión sin razón aparente? Ese tipo de cosas sería especialmente impopular en este momento.

Algunos aviones de combate tienen un sistema llamado Auto-GCAS que está diseñado para evitar que un piloto inconsciente vuele hacia el suelo, pero ese es un problema mucho más simple de resolver que aterrizar de manera segura.

Por si a alguien le interesa, aquí tenéis un vídeo de un Auto-GCAS .

La filosofía general es que el piloto automático es una herramienta, no un piloto extra, y como tal, se desactiva cuando algo sale mal. ¿Fallo del sensor de inercia? pérdida de motor? Actitud inusual? Control manual de vuelta a los pilotos con un agradable sonido de advertencia. Esta opción no se toma a la ligera, especialmente en situaciones de gran carga de trabajo como el aterrizaje, pero es la solución general para condiciones poco comunes.

Sí, puede parecer desde la perspectiva del software como una pequeña característica para agregar robustez aquí y ciertamente hay espacio para la innovación, pero el costo y la responsabilidad de desarrollar para situaciones raras e incluso peligrosas generalmente no valen el beneficio raro que brinda. Por ejemplo, aquí el piloto automático se desconectó porque el avión bajó por debajo de la velocidad de pérdida o vmin. La solución estándar para una entrada en pérdida es descender y aumentar los aceleradores para aumentar la velocidad nuevamente, pero la recuperación automática de la pérdida tiene complicaciones como evitar el tráfico y el terreno, y la integración de la gestión del empuje. La recuperación automática de pérdida es especialmente complicada cuando no tiene combustible como en este incidente, o en 1999 cuando el TAWS mejorado y el TCAS II eran bastante nuevos y anteriores al GCAS.

Además, ahora existen soluciones preventivas que hacen que el análisis de costo-beneficio aquí sea aún más desequilibrado. En primer lugar, debe tenerse en cuenta que, en general, los aviones son estables y que volar sin la entrada del piloto o del piloto automático hace que el avión vuele más o menos recto y nivelado , aunque eso sirvió de poco aquí. La protección automatizada a baja velocidad basada en cabeceo o la protección AoA son estándar en algunas aeronaves como los jets Dassault. Airbus y otras compañías han desarrollado una función de descenso rápido/de emergencia para manejar a los pilotos incapacitados debido a la despresurización. Los aviones de combate están desarrollando un GCAS automático, como ha mencionado footot, que ya ha salvado la vida de algunos pilotos incapacitados.

Creo que la filosofía de diseño general es que si el piloto automático simplemente indicara cortésmente que un piloto humano debe tomar el control, eso puede llevar a situaciones en las que un humano piense que el piloto automático está volando el avión cuando en realidad nada lo está controlando. Habiendo dicho eso, podría ser útil tener un interruptor de "emergencia humana" para indicar al sistema de control que, aunque siempre debe haber un humano en posición de hacerse cargo en cualquier momento, la realidad ha intervenido. Las reglas pueden prohibir el uso de dicho interruptor en situaciones que no sean de emergencia, pero si, por ejemplo,...
...una aeronave tiene dos pilotos a bordo y ningún otro personal, y uno de los pilotos sufre un paro cardíaco inesperado durante lo que se espera que sea un vuelo recto y nivelado en una ruta despejada por IFR, creo que si un piloto intenta rescatar el otro después de activar una llamada de socorro automática de "emergencia humana" y configurar los instrumentos para volar el avión, sería mejor que simplemente dejar morir al piloto incapacitado.
@supercat La generación actual de piloto automático ya se adaptará a ese escenario en un vuelo normal; sin embargo, si hay una emergencia tanto en el avión como en el piloto, desde la perspectiva de la clasificación, el piloto no incapacitado probablemente debería continuar volando el avión.
@crasic: Un piloto que está esperando o manejando una emergencia de avión obviamente debe permanecer en los controles, pero si lidiar con una emergencia de "contenido [posiblemente humano] del avión" durante un vuelo aparentemente normal ha causado que el piloto abandone los controles, el el cálculo de riesgo de si una turbulencia inesperada debe hacer que un piloto automático entregue los controles al piloto que no está allí, o intente volar el avión lo mejor que pueda hasta que el piloto regrese, parecería favorecer a este último aunque, con un piloto presente, favorecería al primero.

El piloto automático de crucero se comporta de esta manera por diseño. De esta respuesta: parámetros de diseño para la seguridad del sistema de aeronaves.

ingrese la descripción de la imagen aquí

Para los sistemas aerotransportados, se realiza un análisis muy completo sobre la probabilidad de falla y sobre los modos de falla.

  • Un modo de falla seguro es: el sistema deja de funcionar por completo. Un modo de falla inseguro: una salida no deseada, como una falla total de un actuador hidráulico con una servoválvula atascada.
  • Además, desea que el sistema solo lleve a cabo la función prevista. Sin embargo, es difícil predecir todo lo que puede suceder, y tanto por razones de seguridad como de costos, el sistema simplemente se desconecta por completo y se notifica a los pilotos.

El piloto automático de crucero tiene requisitos de confiabilidad relativamente bajos porque los pilotos toman el control cuando falla el sistema. En crucero, hay suficiente margen de altitud y tiempo de reacción para responder a una falla del piloto automático, por lo que el A/P está diseñado para ser Pasivo ante fallas: simplemente se desconecta ante cualquier anomalía detectada, mientras notifica a los pilotos. "Tu trabajo ahora".

Tenga en cuenta que el funcionamiento del piloto automático durante el aterrizaje, la capacidad de aterrizaje automático CAT III, tiene requisitos de seguridad mucho más estrictos: falla funcional menos de una vez cada millón de horas en lugar de una vez cada 1000 horas para el piloto automático de crucero. Esto se debe a que, durante el aterrizaje, el suelo está muy cerca, la velocidad es muy baja y no hay tiempo para transferir el control de forma segura a la tripulación de vuelo. Por lo tanto, el sistema de aterrizaje automático está diseñado para fallar activo: tres canales redundantes realizan exactamente el mismo trabajo, al fallar uno de estos, los otros dos desconectan el canal fallido y continúan con el aterrizaje automático.

Con el piloto automático de crucero, no se requieren canales redundantes porque hay una tripulación de vuelo :)

Me encanta el tipo de diagrama. Nunca lo había visto antes, pero es una buena manera de conceptualizar la confiabilidad.
¿Por qué se desactiva el piloto automático incluso cuando no recibe información del piloto?
RespuestasAquíPolítica de privacidad1y, 6v