He tenido miedo de volar durante los últimos años y una de las formas en que se manifiesta esta fobia irracional es la preocupación por el ciclo de energía del avión en el aire: los motores se apagan, el equipo de control se apaga, etc.
Ocasionalmente, una computadora o un teléfono inteligente fallará y se reiniciará solo, o en el peor de los casos, la fuente de alimentación o la batería fallarán y el dispositivo no se volverá a encender.
¿Sucede esto alguna vez con aviones comerciales? Espero que estén conectados electrónicamente de una manera fundamentalmente diferente a las computadoras, de modo que una falla del sistema no afecte al resto, pero nunca le pedí a un piloto.
Soy programador y piloto privado, así que tal vez pueda ayudar a disipar algunos de esos temores.
Las computadoras que manejan un avión comercial son conceptualmente mucho más simples que la que maneja su teléfono. Esto significa muchas menos posibilidades de que se produzca un error en el software, simplemente porque el programador tiene menos que hacer un seguimiento.
Si su teléfono se reinicia, no pone en peligro la vida de nadie. Por lo tanto, las pruebas y el control de calidad de dicho dispositivo son básicamente lo que la empresa quiera hacer. Por otro lado, las computadoras en la aviación se prueban mucho más a fondo antes de que puedan ser certificadas para volar.
De manera similar al punto 1, las computadoras en un avión tienen cada una solo un trabajo. Muchos de los bloqueos en una PC o teléfono inteligente típicos provienen de diferentes aplicaciones que se pisan los dedos de los pies. (Se supone que el sistema operativo debe mantener cada aplicación separada para que no puedan hacer eso, pero el punto 2 también se aplica a los sistemas operativos).
El avión no es una sola computadora, como su teléfono. Sí, es probable que su teléfono tenga múltiples procesadores, cada uno con múltiples núcleos, pero están estrechamente acoplados para formar una computadora. Las computadoras en un avión están conectadas en red, pero son computadoras separadas. Si su teléfono falla, incluso si el tipo que está sentado a su lado está en la misma red, no lo afecta, ¿verdad? Del mismo modo, si el FADEC de un motor falla (algo extremadamente raro, porque los FADEC se encuentran conceptualmente entre las computadoras más simples), todo lo que sucederá es que un motor se apagará, sin efecto en el resto del avión.
Por otro lado, las computadoras realmente importantes (como los controladores fly-by-wire) tienen múltiples redundancias. Entonces, si uno falla, el resto de ellos puede tomar el relevo. Incluso el piloto no se daría cuenta excepto por la luz de advertencia que se mostraría en la cabina.
Si quieres ver lo que realmente sucede cuando las cosas fallan en un avión, echa un vistazo a los siguientes videos:
El piloto voló el avión a mano mientras apagaba y reiniciaba la aviónica. A continuación, el vuelo se desarrolló con normalidad.
El piloto en realidad dejó que el piloto automático lo tuviera durante unos segundos, solo por curiosidad sobre a dónde los llevaría. Pero una vez que comenzó a ladearse más de lo que se suponía, desactivó el piloto automático y asumió el control manual sin problemas.
El motor siguió funcionando a pesar de perder toda la energía eléctrica de todo el avión. Aterrizó con seguridad.
Editar: Bueno, hace solo dos horas mientras escribo esto, apareció otro video de una falla en vuelo en mi feed de YouTube:
Cambió a su generador de respaldo y, aparte de un molesto zumbido en los auriculares, no tuvo ningún otro problema con el vuelo.
Antes de comenzar, es importante decir que su preocupación no es irracional. Si esto sucediera, o si los sistemas de control de su avión funcionaran mal de manera peligrosa, su vida estaría verdaderamente en peligro.
Sin embargo, no eres la primera persona que ha pensado en esto. Por esta razón, tenemos una categoría de sistemas de control que describimos técnicamente como relacionados con la seguridad , y existe toda una rama de la ingeniería llamada ingeniería de seguridad dedicada a evaluar formalmente estos sistemas y tratar de prevenir accidentes. Esto incluye los sistemas de control del avión, pero también los frenos antibloqueo, los dispositivos médicos y cualquier otro sistema en el que las personas puedan resultar dañadas si fallan. El grado en que esto puede dañar a las personas se evalúa formalmente como un Nivel de integridad de la seguridad.basado en el riesgo. El riesgo es una combinación de qué tan probable es el evento, qué tan malo será el resultado y si las personas involucradas pueden tomar alguna medida de mitigación, y se evalúa por cada forma en que un sistema relacionado con la seguridad puede comportarse mal.
Tenga en cuenta que esta evaluación puede no ser tan intuitiva como cree. Una vez trabajé en un sistema dispensador de bengalas y bengalas para aviones militares. Usted pensaría que el riesgo de no disparar las contramedidas y que el piloto sea derribado sería su mayor riesgo, pero la evaluación de seguridad (usamos un FMEA) mostró que el piloto tenía otras opciones de mitigación, como armadura y un asiento eyectable, ser derribado es una posibilidad que ya habían aceptado cuando aceptaron el trabajo, y el riesgo de que un avión se estrellara contra edificios era minúsculo y algo que ya había ocurrido. aceptado institucionalmente como parte de tener una fuerza aérea. El riesgo más serio era en realidad que el sistema fallara mientras un armero lo recargaba, porque entonces recibirían una andanada de 36 cartuchos de escopeta en la cabeza a quemarropa. El armero no se inscribió para correr ese riesgo, y no había forma práctica de protegerlos. Como resultado, nuestro sistema tenía que no activarse de forma predeterminada si había alguna discrepancia.
Hay muchas maneras de garantizar la fiabilidad. La redundancia es la más popular. Puede tener múltiples sensores en múltiples ubicaciones, por lo que el sistema siempre puede averiguar qué sucede si uno (o más, quizás) falla. Por lo general, hay múltiples actuadores para superficies de vuelo importantes, o múltiples superficies de vuelo en las que la aeronave puede mantener el control si una o más están dañadas. Los aviones de pasajeros generalmente también tienen múltiples motores y múltiples tanques de combustible que pueden aislarse entre sí en caso de daño. En varios casos, puede haber múltiples sistemas de control que "voten" sobre la acción correcta, por lo que se ignorará una unidad que no funcione correctamente. En el caso extremo, cada sistema de control puede incluso haber sido programado por un equipo de software diferente, de modo que un error en un equipo Es extremadamente improbable que el software de s esté presente en el software de otro equipo. Y puede haber otros sistemas de respaldo, como controles mecánicos.
Otro buen método de mitigación es el entrenamiento. Es perfectamente aceptable que las cosas salgan mal si las personas que lo operan son capaces de lidiar con esa falla y seguir adelante. Es importante no subestimar lo buenas que pueden ser las personas. Las personas pueden y también causan fallas, por lo que el entrenamiento también puede ser un caso de decirles "no hagas eso". Los aviones grandes son relativamente lentos para responder a los controles, por lo que es relativamente común que los pilotos puedan corregir en exceso y empeorar las cosas. Para algunas aeronaves comerciales, la respuesta estándar que se les enseña a los pilotos en caso de inestabilidad es soltar la palanca y permitir que la aeronave se corrija sola.
Vale la pena señalar que estos dos factores explican por qué los desastres del Boeing-737MAX son tan graves, hasta el punto de que deberían presentarse cargos penales contra las personas individualmente y contra la organización colectivamente. El sistema en cuestión no utilizaba entradas redundantes, aunque estaban disponibles; no se evaluó ni mitigó el impacto de que el sistema no respondiera correctamente; y la tripulación no recibió capacitación sobre cómo lidiar con su falla, ni siquiera se les dijo que existía. En el Reino Unido, existe el delito de "homicidio corporativo" para perseguir exactamente este tipo de fallas.
Sin embargo, el otro elemento de todo esto es la calidad , por lo que debe intentar asegurarse de que los sistemas no funcionen mal en primer lugar. La confiabilidad del software depende casi por completo de la cantidad de revisiones y pruebas que se realicen. Actualmente estoy trabajando en software para equipos científicos y calculo que dedico alrededor del 10-20 % de mi tiempo de desarrollo a las pruebas. Las PC y los teléfonos móviles serán más o menos lo mismo. Cuando trabajé en sistemas automotrices y aeroespaciales, esto se invirtió por completo: calculábamos que dedicábamos entre el 5 y el 10 % de nuestro tiempo a la codificación, entre el 10 y el 20 % de nuestro tiempo al diseño, y el resto del tiempo se dedicaba a revisar y probar. .
El control de cambios también está radicalmente más bloqueado. Microsoft puede lanzar una actualización y luego controlar los daños en los pocos casos en los que se comporta mal, e introducir algunas características adicionales al mismo tiempo. Sin embargo, en el desarrollo relacionado con la seguridad, no cambia una sola línea de código sin una aprobación formal de que (a) todos entienden lo que hará ese cambio, (b) que este cambio corrige este error y no cambia nada más , y (c) que este cambio es incluso necesario. Muchas sesiones de clasificación de errores implican que detectemos errores en los que eventualmente decidimos que el impacto del error es pequeño (tal vez 10 ms después encendamos una luz de advertencia, por ejemplo), pero el riesgo de intentar corregir el error podría ser alto si nos equivocamos, por lo que es más seguro que este error trivial se quede.
Como nos muestra el caso del Boeing-737MAX, todos estos procesos solo valen un carajo si la gente los sigue. Sin embargo, los procesos existen y son las mejores prácticas en una industria de decenas de miles de ingenieros en todo el mundo que tiene muchos estándares formales a nivel internacional para establecer esto. El incumplimiento de estos estándares es casi por definición negligencia grave, y la mayoría de los países tienen leyes que permiten el enjuiciamiento de personas y empresas que son negligentes en este grado. A la mayoría de los ingenieros les gustaría hacer un buen trabajo de todos modos; pero las leyes aseguran que una organización en su conjunto se mantenga honesta y no tome atajos.
Sus preocupaciones son razonables y justificadas. Un apagado o reinicio en pleno vuelo sería catastrófico para un avión. Es por eso que los ingenieros diseñaron los sistemas de tal manera que este escenario es prácticamente imposible de suceder.
Un avión de pasajeros tiene múltiples fuentes de energía eléctrica. Cada motor a reacción tiene un generador incorporado. Cuando la turbina gira, se genera electricidad. Cada generador se puede apagar de forma independiente en caso de que surja un problema. La mayoría de los aviones también tienen una unidad de energía auxiliar o APU. La APU se puede iniciar en caso de emergencia para proporcionar energía eléctrica e hidráulica de respaldo al avión, como se hizo en el famoso Hudson Riving Landing .
Si todo falla (por ejemplo, si el avión se queda sin combustible), se puede proporcionar energía eléctrica limitada mediante molinos de viento, ya sea utilizando la turbina de aire Ram (p. ej., Boeing 777) o mediante el molino de viento de las turbinas mismas (p. ej., Boeing 747), ya que el avión se desliza lentamente hacia un lugar de aterrizaje.
Luego está la batería, por supuesto, que está cargada en todo momento. Puede proporcionar energía limitada en caso de emergencias.
Todos los aviones vienen con múltiples computadoras de control de vuelo. Las unidades están construidas por diferentes fabricantes, en diferentes arquitecturas de CPU y diferentes códigos fuente. La posibilidad de que todas las unidades fallen al mismo tiempo debido a un error o defecto es muy baja. En el improbable caso de que una de las unidades falle, los pilotos pueden desconectar esa unidad del resto del sistema.
Por ejemplo, el Airbus A320 tiene 2 computadoras de alerón de elevador, 3 computadoras de elevador de spoiler y 2 computadoras de aumento de vuelo. Cada unidad se puede desactivar en caso de mal funcionamiento.
En el caso extraordinario e improbable de que la energía eléctrica se pierda por completo, ciertos controles de vuelo están conectados a la cabina por medios mecánicos y pueden ser operados con fuerza humana. Por ejemplo, el procedimiento de emergencia para una falla completa de la computadora de vuelo en el Airbus A320 es aterrizar la aeronave utilizando nada más que los repiques del timón, la rueda de ajuste del elevador y los aceleradores. Esto nunca ha sucedido en la historia.
como alguien que hizo pruebas de software en un sistema sin importancia (clase D, lo explicaré pronto) para que un avión sea aprobado para aterrizar en aeropuertos civiles: En avión hay una jerarquía estricta sobre qué tipo de funciones de software significan; se enumeran en DO-178B .
La lógica aquí es que un accidente de sistemas sin importancia nunca obstaculizará la función de los sistemas importantes (el piloto puede elegir cuándo descansar estos). La mayoría de los sistemas en un avión son doblemente redundantes. Los microcontroladores y la arquitectura HW utilizados están diseñados de manera que las fallas simples en una placa tengan un impacto limitado. La red principal (por ejemplo, AFDX) también es redundante, y se toman medidas en la interfaz para que el software que se ejecuta de forma salvaje no se salga de sus límites al usar los buses.
Los procedimientos normales de reinicio son seguros con respecto a dejar el avión siempre en un estado controlable. Un ejemplo de un procedimiento de reinicio incorrecto (apagar ambas computadoras de control de vuelo, lo que no está permitido mientras se está en el aire porque el piloto no estaba satisfecho con los resultados de la forma estándar de reiniciar las computadoras) fue el vuelo 8501 de Air Asia .
Ocasionalmente, una computadora o un teléfono inteligente se bloquea y se reinicia solo
Esto puede ocurrir por dos motivos: un error de software o un error de hardware. Ambos pueden hacer que la CPU deje de procesar nuevas instrucciones ( es decir, un "bloqueo" ) o que la máquina se reinicie. Este último está cerca de colgarse, porque el sistema operativo detecta que no puede continuar funcionando normalmente y emite un reinicio de hardware.
Las posibles causas son infinitas, pero los resultados se reducen a lo mismo: el procesador no puede ejecutar ninguna operación nueva y, por lo tanto, no puede seguir funcionando con normalidad. Esto es subóptimo si las vidas humanas dependen de su funcionamiento continuo.
Los errores de hardware pueden ser causados por una funcionalidad degradada, por daño o desgaste. Por ejemplo, una fuente de alimentación que no puede entregar la energía requerida en todo momento, o un módulo de memoria que está dañado por una descarga electrostática , lo que hace que los bits aleatorios se "inviertan" (un 1 se lee involuntariamente como un 0 o viceversa).
Los errores de software son causados por errores del programador o errores de instalación. Una instalación limpia del sistema operativo (Windows, Linux, MacOS, ...) en su computadora o teléfono inteligente, con un hardware que funcione bien, dado que el hardware es compatible con el sistema operativo y los controladores apropiados están instalados para que el sistema operativo pueda comunicarse correctamente con el hardware, no se bloqueará . Claro, hace décadas, algunos sistemas operativos eran propensos a fallar después de estar activos durante un cierto período de tiempo, pero ahora estamos en 2020. Todos esos problemas se han solucionado en los sistemas operativos modernos.
El problema con el hardware y el software de nivel de consumidor es que no es crítico para la vida, no es redundante, y la gente quiere poder instalar aplicaciones aleatorias en sus dispositivos, distribuidas por desarrolladores de software aleatorios. No verá a un piloto abrir la tienda de aplicaciones en su Airbus en el aire e instalar la nueva aplicación Christmas Lights para que las luces de la cabina parpadeen festivamente, lo que simplemente detiene las bombas de combustible porque el desarrollador nunca lo probó en vuelo.
Entonces, ¿cómo evitan los fabricantes de aviones que esto suceda?
Con respecto al ciclo de energía específicamente (a diferencia de las fallas basadas en software en general, que otras respuestas han detallado muy bien), no es un problema en absoluto. A diferencia de una PC o un teléfono inteligente típicos que tardan en volver a encenderse y pueden perder datos cuando se corta la energía, los sistemas de control en un avión generalmente están diseñados de tal manera que reanudarán la operación completa en el momento en que se restablezca la energía.
Piense en ello más como el monitor de temperatura interna de su refrigerador que como su computadora personal. Si lo vuelve a encender, inmediatamente comenzará a funcionar de nuevo como si nada hubiera pasado.
A veces, los reinicios también pueden ser aceptables si puede reiniciar rápidamente sin perder información crítica. Esto ocurrió como parte del aterrizaje del Apolo 11 cuando tenían la alarma 1202 :
Se dio cuenta de que el 1202 era un código que significaba que la computadora de guía a bordo de la lancha de desembarco se estaba sobrecargando de tareas. Los programadores habían anticipado que esta sobrecarga podría ocurrir algún día, por lo que habían establecido un aspecto interno del sistema que haría automáticamente un reinicio rápido y luego una restauración de la memoria para intentar que la computadora volviera a funcionar.
J...
J...
Marca
pie
Vikki