¿Por qué se permite que las computadoras de a bordo cambien los controles sin notificar a los pilotos?

Recientemente tuvimos la debacle del 737-MAX, donde parece cada vez más que el sistema MCAS a bordo del MAX repetidamente emitiría eventos de morro hacia abajo , lo que llevaría al accidente de Lion Air, y posiblemente a otro

En el vuelo de Lion Air, cuando el MCAS empujó la nariz del avión hacia abajo, el capitán lo volvió a subir, usando interruptores de pulgar en la columna de control. Todavía operando bajo la lectura falsa del ángulo de ataque, MCAS se activó cada vez para girar la cola horizontal y empujar la nariz hacia abajo nuevamente.

Aparentemente hay una luz de notificación para MCAS que era un paquete opcional pero ahora será obligatorio .

Me recuerda a otros dos incidentes que provocan accidentes

  1. Air France 447 A330: un tubo de Pitot congelado hizo que la computadora cambiara a la Ley Alternativa 2 , lo que significaba que la computadora ya no evitaría entradas de vuelo peligrosas. Si bien no es lo mismo que el problema de MCAS, condujo a la confusión de la tripulación de la cabina (que había estado haciendo entradas máximas con el morro hacia arriba mientras estaba en potencia TOGA) y, por lo tanto, el avión se estrelló debido a la entrada en pérdida. Se observó que no había nada directo para alertar a los pilotos de que se había producido el cambio.
  2. Scandanavian Air 751 MD81 - Hielo acumulado en las alas. Cuando el avión despegó, el hielo se desprendió y golpeó los motores. Los pilotos notaron que los motores estaban acelerando y redujeron la aceleración, pero un sistema de aceleración automática que no se reveló a los pilotos siguió aumentando la potencia al máximo, lo que provocó una falla del motor y un aterrizaje forzoso.

¿Alguien ha dicho alguna vez por qué los sistemas de aeronaves pueden hacer cambios sin notificar a los pilotos? ¿Es algo que simplemente no ha sido un problema lo suficientemente grande como para abordarlo hasta ahora?

El vuelo AF447 tenía una indicación de ley alternativa disponible para los pilotos, así como muchas otras (demasiadas) advertencias que causaron más confusión. En los sistemas de automatización, la clave es presentar la información adecuada sin abrumar al operador con demasiadas advertencias contradictorias o confusas. AF447 demostró que un piloto ante demasiada información ignorará todo lo que el sistema le dice y volará como cree que debería volar la aeronave.
Para la mayoría de los aviones modernos, es una característica de diseño que alguna intervención sea invisible para los pilotos. El timón ha realizado automáticamente pequeños ajustes invisibles para mantener un vuelo simétrico y amortiguar las oscilaciones de guiñada durante al menos medio siglo, y los aviones más modernos alivian las turbulencias u otras pequeñas perturbaciones del vuelo compensado sin anunciarlo tampoco, ya que se convertiría rápidamente en una molestia. ..
Supongo que la pregunta que se debe hacer no es "¿por qué no se anuncian todas las entradas automáticas?" (ya que con bastante frecuencia eso está bien) sino "¿por qué alguien diseñaría una automática que está asociada con un borde arriesgado de la envolvente de vuelo y luego no informar a la tripulación sobre su existencia” (porque eso no está bien).
El problema son los sistemas informáticos diseñados por personas con experiencia en informática, en lugar de personas con experiencia en aviación. Los informáticos agregarán subrutinas de seguridad como algo natural, sin el juicio necesario de un piloto experimentado, ignorantes del hecho de que la sobrecarga de información es mala para el piloto cuando el tiempo de reacción es escaso. La aplicación excesiva de los sistemas de seguridad oculta las advertencias cruciales al piloto, quien puede ser incapaz de eliminar las que no son importantes en el tiempo disponible. Esta es una falla de diseño y no puede ser curada por el entrenamiento de pilotos.
@Ed999 los requisitos para el sistema MCAS habrían venido de alguien con experiencia en el diseño de sistemas de aviación. Además, la mayoría de las personas que trabajan en proyectos impulsados ​​por DO-178 son muy conscientes del dominio en el que se ejecuta el software. Si la indicación de operación se proporciona al piloto es una decisión de factores humanos, no de software.
En efecto. En AF447, el tonto copiloto que hizo que los mataran a todos estaba tirando de la palanca hacia atrás . Normalmente haces eso para detener maliciosamente el avión y matar a todos, y si lo hubiera hecho en un Boeing, se habría considerado un asesinato en masa. Pero el copiloto había aprendido que si haces eso en un Airbus, la Ley Normal intervendrá para detenerte . Se había entrenado para evitar el bloqueo induciendo el bloqueo para obligar a Normal Law a solucionarlo. Desafortunadamente, su avión estaba en Alt Law 2.
SelectStriker2 parece estar advirtiendo que se trata de un error humano (del diseñador de sistemas), mientras que Harper parece verlo como un error humano (del copiloto) y una falla de diseño (al no alertarlo de que el sistema estaba en Alt Law 2), y lo veo como un defecto de diseño (diferente). ¿Hay algún consenso sobre cuál es? El primer paso para resolver el problema es, sin duda, decidir si el sistema informático tiene fallas y (si no es así) decidir si los pilotos lo entienden.
Estoy diciendo que la infame demostración de Mulhouse enseñó mal a los pilotos que las entradas de control incorrectas provocarán salidas de control correctas. Los Airbus enseñan a los pilotos a volar mal y dejan que el hermano mayor lo arregle, como una cuestión de rutina. El defecto de diseño está ahí.

Respuestas (3)

Existe un principio de diseño general, que parte, pero no todo, del comportamiento del sistema de guía de vuelo o piloto automático debe ser visible para el piloto. Por lo general, se indica la activación o desactivación automática de un sistema de control, pero los modos secundarios de estos controles o los cambios manuales pueden no estar indicados. Eso suena simple y lógico, pero en realidad es un tema de factores humanos complejo y engañoso. Mostrar demasiada información a los pilotos es tan malo como mostrar muy poca, ya que demasiada información puede hacer que ignoren los indicadores más importantes, como un vibrador de palos que advierte sobre una pérdida inminente.

Sé que esta no es una respuesta muy satisfactoria, pero es difícil para alguien que no sea un experto en factores humanos responder una pregunta tan general como esta con reglas estrictas.

Por ejemplo, muchos pilotos automáticos omitirán la advertencia sonora sobre la desconexión si la desconexión fue causada directamente por una acción del piloto. El piloto en esta situación solo obtiene una indicación visual de que AP ha cambiado de comportamiento. Esto suena perfecto, pero en el vuelo 593 de Aeroflot, un piloto dejó entrar a su hijo en la cabina, quien luego aplicó suficiente presión en el yugo para desactivar el control automático de los alerones. No se escuchó un timbre de advertencia porque el piloto automático consideró que la desconexión fue intencional. Esto era diferente a los aviones anteriores que el piloto había volado, lo que contribuyó a la confusión del piloto cuando el avión comenzó a girar y luego se inclinó bruscamente.

La luz indicadora que menciona para el accidente del 737 Max Lion Air es para el "desacuerdo de AoA", no para el compromiso de MCAS como sugiere. Si bien este tipo de indicadores de AoA generalmente se consideran buenas ideas, todavía es un área de debate cuánto ayudarían a los pilotos confundidos como en el accidente de Lion Air o el accidente de Air France 447 .

Del mismo modo, la calidad de la indicación no fue la principal causa de los accidentes que ha enumerado. Por ejemplo, el vuelo 751 de Scandinavian Airlines probablemente podría haber regresado al aeropuerto con éxito, pero una parada del compresor debido a que el hielo golpeó ambos motores a bajas altitudes es una mala situación sin importar el comportamiento del empuje automático. Los sensores defectuosos y los pilotos confundidos pueden estrellar un avión con indicadores perfectamente diseñados.

Editar: dado que esta respuesta está recibiendo mucha atención, creo que es importante tener en cuenta que realmente no cubro ninguna consideración especial para el borde de la envolvente de vuelo, el recorte automático frente a la desconexión automática frente al cambio de submodos, o a prueba de idiotas de los sistemas de vuelo. Me encantaría ver esto cubierto con más detalle por personas con experiencia.

Ese es un buen punto. La sobrecarga de información es un problema muy real.
Me parece recordar que una avalancha de mensajes del sistema contradictorios y confusos es un problema en Qantas 32 . Afortunadamente, los pilotos pudieron resolver eso y lograr que el avión aterrizara casi intacto (aparte de las partes que habían volado el motor y el ala cuando explotó el disco de la turbina), pero me parece recordar haber escuchado hablar a los pilotos. sobre cuántos mensajes superfluos del sistema tuvieron que leer para llegar a la información importante de "un motor explotó, otro es incontrolable y hay un agujero en el ala".
Se debe argumentar que un ingeniero de vuelo debe revisar todas esas cosas, pero esas cosas están ahí para reemplazar al ingeniero de vuelo en primer lugar. Imagínate.

Hay dos tipos de pilotos automáticos, uno para el comportamiento alrededor del CdG y otro para el control del CdG, como se menciona en esta respuesta . A veces también llamado Bucle interior y Bucle exterior. En breve:

  1. El F-16 es aerodinámicamente inestable y tiene un sistema de control rápido que aplica desviaciones en la superficie de control para proporcionar estabilidad artificial. Esto se hace para que el avión sea extremadamente maniobrable. El piloto se mantiene deliberadamente inconsciente de todas estas desviaciones rápidas del control, para ellos simplemente parece que la aeronave está estable. Los pilotos automáticos Inner Loop no brindan retroalimentación a los pilotos, por diseño.

  2. Los pilotos automáticos que se pueden configurar para volar a un determinado punto de ajuste son sistemas de control de bucle externo. Por diseño, brindan retroalimentación al piloto sobre lo que están haciendo, de modo que el piloto pueda sentir y ver qué tipo de información se proporciona y puede anularlas si las considera incorrectas. El A320 no tiene medios para mover la palanca, por lo que esta señal de retroalimentación no está disponible y las alertas exigen atención.

Este artículo explica la filosofía de diseño del sistema MCAS: se pensó como una característica de autoestabilización en un estado de vuelo fuera de la envolvente normal, las circunstancias en las que normalmente se aplica el control de bucle interno.

Entonces, para responder a su pregunta: sí, algunas computadoras de vuelo cambian la desviación de la superficie de control sin notificar a los pilotos.

Esta es exactamente la causa. El B737 solía ser aerodinámicamente estable, pero el reposicionamiento hacia adelante de los motores redujo tanto el espacio de parámetros de vuelo estables que se diseñó una interferencia de software para que se sintiera y se comportara igual a pesar de que su aerodinámica había cambiado. (Para un poco de contexto ver latimes.com/local/california/… ) La comparación F16 es acertada. Ocultar esta interferencia es todo el punto. Diseñarlo para que sea invisible seguramente fue la razón por la que ni siquiera se incluyó en la capacitación y los manuales.
@PeterA.Schneider Totalmente de acuerdo allí, y puedo ver el punto de no incluir MCAS en el plan de estudios si fue diseñado para esas circunstancias. Eso deja la pregunta de por qué un solo transductor defectuoso puede hacer que el sistema se active en estados de envolvente de vuelo normales.

En el caso del MCAS y el control de los estabilizadores, hay una "notificación" de que los estabilizadores se ajustan automáticamente en forma de dos ruedas a ambos lados de los controles de empuje. Giran, tienen marcas y son muy ruidosos, por lo que los pilotos no podrían haber sido inconscientes de su actuación. El problema era que los pilotos (aparentemente) desconocían la posibilidad de apagar las entradas automáticas del estabilizador desde el MCAS y seguían tratando de anular manualmente los ajustes del MCAS/estabilizador. Los interruptores para apagar las entradas del estabilizador están justo en frente de los controles de empuje en el lado del copiloto.

Tampoco estaban al tanto de esa función de ajuste específica patrocinada por MCAS que probablemente no fue particularmente útil en el diagnóstico de fallas.
Bueno, la posición real de las superficies de las molduras se muestra claramente justo al lado de la cosa molesta de Clackey. Si siquiera miraran para ver de dónde venía el sonido, dirían "guau, eso es un montón de recorte", eso explica el yugo pesado". Luego, cuando lo recortaron, escucharían a Clacky ¡Otra vez la cosa y "¡Basta!", apague o simplemente detenga la rueda de ajuste con la rodilla. Realmente parece más un problema de pilotos novatos que han pasado todas sus horas de vuelo presionando botones en aviones altamente automatizados. no tienen idea de qué hacer.
@Harper "eso explica el yugo pesado" Me sucedió eso durante un vuelo de entrenamiento cuando el instructor (muy probablemente sin darse cuenta; esto fue debido a los botones bastante sensibles al tacto en la parte superior de la palanca de control compartida) cambió la configuración de ajuste a , IIRC, nariz completa hacia abajo. Mi primera reacción cuando recuperé los controles y traté de mantener el vuelo nivelado fue como "¡maldita sea, eso es pesado!". A pesar de tener solo entre 15 y 20 horas en ese momento, mi primera reacción más allá de la necesidad inmediata de establecer un control positivo fue mirar el recorte y, efectivamente, indicó un extremo.
"los pilotos no podían ser ajenos a su actuación" . Sin embargo, el sistema Speed ​​Trim también ajusta la compensación automáticamente. Así que bien podrían haber pensado que era el STS el que ajustaba el ajuste, lo cual es relativamente inofensivo.
¿Por qué se permite que las computadoras de a bordo cambien los controles sin notificar a los pilotos?
RespuestasAquíPolítica de privacidad1y, 0v