¿Qué significa cuando el aterrizaje automático es fallido pasivo / fallido operativo?

La siguiente explicación es lo que obtuve de Internet sobre fallas pasivas y fallas operativas:

Falla operativa: cuando tiene 3 pilotos automáticos activados, de modo que cualquier falla única dará como resultado que los 2 pilotos automáticos restantes puedan aterrizar la aeronave de manera segura. Es decir, si hay una falla, el aterrizaje automático permanece operativo.

Fail Passive: donde tiene 2 pilotos automáticos activados, de modo que una sola falla del piloto automático dará como resultado la desactivación de ambos pilotos automáticos sin una desviación significativa de la ruta de vuelo establecida. En este caso, el piloto debe tomar el control manualmente y dar la vuelta/aterrizar. ( avsim.com )

¿Alguien puede confirmar si la explicación anterior es correcta?

He leído que el Autoland del A320 falla en su funcionamiento , pero eso no coincide con la explicación anterior (ya que el 320 solo tiene 2 AP, por lo que falla de forma pasiva).

Y también (si es posible) ¿alguien puede dar ejemplos de aeronaves cuyo Autoland es fallido operativo / pasivo?

Que yo sepa, el A320 tiene dos pilotos automáticos, cada uno de los cuales tiene dos carriles. Básicamente, tiene cuatro pilotos automáticos y no 3 o 2. Un par de carriles de piloto automático con dos carriles ya es pasivo ante fallas. Involucre el segundo par de carriles (AP2) y tendrá sistemas pasivos de doble falla. Ahora también puede monitorear y comparar las señales AP1 y AP2 de cada carril... Si un carril falla, inmediatamente puede descartarlo, fallar y seguir operando (fail operating) Si solo tuviera dos carriles, nunca sabría cuál era correcto, por lo que deshabilita ambos, falla pasivo.

Respuestas (5)

La explicación citada sobre "falla operativa" y "falla pasiva" es correcta, ya que "falla operativa" significa que el sistema continuará funcionando después de una falla, y "falla pasiva" significa que el sistema no se comportará mal después de una falla.

Sin embargo, la cantidad exacta de pilotos automáticos necesarios para que esto funcione es discutible; y mucho depende de cómo lo definas.

Tomemos el Boeing 777 porque es fácil para empezar. Tiene tres pilotos automáticos. Dirá "TIERRA 3" o "TIERRA 2" respectivamente. En un sistema de tres, se puede detectar una falla si uno no está de acuerdo con los otros dos. En un sistema de dos, no está claro cuál ha fallado, por lo que todas las unidades se desconectan.

Ahora aquí viene la parte interesante: ¿y si puedo distinguir una unidad fallida de una unidad funcional, sin usar otra unidad funcional? En otras palabras, ¿qué pasa si tengo algo que puede monitorear las unidades existentes, pero es incapaz de funcionar de la misma manera que una de las unidades monitoreadas por sí sola?

Así es como se puede implementar la falla operativa con dos pilotos automáticos. Por ejemplo, el sistema de dirección y gestión de vuelo (FMGS) del Airbus A320 puede cambiar de "modo dual" a "modo único". El FCOM no detalla cómo lo hace. (A320 FCOM - Sistemas de aeronaves - Vuelo automático - General)

Pero el FCOM indica que un aterrizaje automático "CAT 3 DUAL" no está operativo.

la parte restante del sistema automático permite que la aeronave complete la aproximación, el enderezamiento y el aterrizaje

mientras que un aterrizaje "CAT 3 SINGLE" es fallido pasivo:

no hay una condición significativa de fuera de equilibrio o desviación de la trayectoria o actitud de vuelo, pero el aterrizaje no se completa automáticamente

A320 FCOM - Procedimientos - Procedimientos normales - Categorías de aterrizaje

El Boeing 737 tiene 3 fuentes inerciales pero solo 2 pilotos automáticos. Implementa fallas operativas en las fuentes inerciales pero fallas pasivas en los pilotos automáticos.

Si se detecta una falla, los controles de vuelo responden al A/P que ordena el movimiento de control menor. Si ocurre una falla en un A/P, el canal fallado es contrarrestado por el segundo canal de tal manera que ambos A/P se desconectan con maniobras mínimas del avión y con advertencias sonoras y visuales al piloto.

Boeing 737 FCOM volumen 2 - Vuelo automático - Descripción del sistema

¿El fallo de aterrizaje automático del A320 está operativo/fallo pasivo?
OK no hay problema. Porque si el A320 es pasivo ante fallas, la explicación anterior tendría más sentido.
@Bianfable, pero entonces, ¿cómo sabes cuál ha fallado? Funciona porque en un sistema de tres, puedes patear al que no está de acuerdo con los otros dos. En un sistema de dos, no sabes cuál es bueno, así que debes patearlos a ambos.
@Bianfable Acabo de sacar el manual B737 como referencia. En LAND 3 tiene dos pilotos automáticos pero tres fuentes inerciales. El manual también describe LAND 3 como operativo ante fallas y LAND 2 como pasivo ante fallas. El capítulo relevante es "Vuelo automático" en FCOM v2.
@kevin Cada piloto automático debe tener un canal de monitoreo. Si el canal de monitoreo no está de acuerdo con el canal de comando, se considera fallido.
Con solo un piloto automático restante, ¿aún es posible verificar cada posible falla del mismo? Como en, ya no hay uno secundario para validar y no sé si las capacidades del monitor van lo suficientemente lejos.

Las definiciones proporcionadas por la FAA se pueden encontrar en AC 120-28D - Criterios para la aprobación de los mínimos meteorológicos de Categoría III para despegue, aterrizaje y lanzamiento . Del documento que encontramos para Fail Operational:

4.3.2. Falla Operaciones de Categoría Operacional III. Un sistema operativo en caso de falla es un sistema que, después de la falla de un solo componente, es capaz de completar una aproximación, un ensanchamiento y un aterrizaje, o una aproximación, un ensanchamiento, un contacto y un despliegue mediante el uso de los elementos operativos restantes del sistema operativo en caso de falla. Los efectos de falla de componentes individuales del sistema, avión o equipo externo al avión que podrían tener un efecto en el rendimiento de toma de contacto o lanzamiento deben considerarse al evaluar los sistemas operativos en caso de falla.

Con los siguientes ejemplos:

Los siguientes son arreglos típicos que pueden ser aceptables para sistemas operativos en caso de falla:

  1. Dos o más pilotos automáticos pasivos con falla monitoreada o sistemas directores de vuelo con piloto automático integrado, cada uno con canales dobles que conforman un sistema operativo automático en caso de falla diseñado de modo que al menos un sistema de vuelo automático permanezca operativo después de la falla de un sistema, y ​​el sistema que falló no se usa o no puede causar un rendimiento inaceptable del sistema de vuelo automático.
    Nota: Después de una falla con esta configuración, no se pretende que el aterrizaje continúe solo con el director de vuelo, a menos que se haya completado con éxito una demostración de prueba de concepto.
  2. Tres pilotos automáticos o sistemas de dirección de vuelo de piloto automático integrado diseñados de modo que al menos dos permanezcan operativos después de fallar para permitir la comparación y proporcionar el monitoreo y la protección necesarios mientras continúa el aterrizaje.
  3. Un sistema de control de vuelo automático pasivo monitoreado contra fallas con capacidad de aterrizaje automático para toma de contacto y lanzamiento, si corresponde, además de un sistema de guía de vuelo manual independiente y adecuadamente protegido contra fallas, adecuado para aterrizaje y lanzamiento con guía proporcionada para el piloto de vuelo y pantallas de monitoreo para el no -piloto volador. Sería necesaria una demostración de prueba de concepto para este arreglo.
  4. Dos sistemas de guía de vuelo manuales independientes y adecuadamente monitoreados con pantallas independientes para el piloto que vuela y el piloto que no vuela, cada uno capaz de soportar un aterrizaje y un lanzamiento. Sería necesaria una demostración de prueba de concepto para este arreglo.

La clave para fallar operativamente es la capacidad de continuar la operación después de una sola falla. Se trata de la capacidad, no de la solución que proporciona la capacidad.

Y para Fail Pasivo:

4.3.4. Fallar operaciones pasivas de categoría III. Un sistema pasivo de falla es un sistema que, en caso de falla, no causa una desviación significativa de la trayectoria o actitud de vuelo de la aeronave. Se puede perder la capacidad de continuar la operación y se puede requerir un curso de acción alternativo (p. ej., una aproximación frustrada).

Con los siguientes ejemplos:

Los arreglos típicos que se pueden usar para cumplir con los requisitos para operaciones pasivas de falla de Categoría III usando una altura de decisión de 50 pies incluyen lo siguiente:

  1. Un único sistema de control de vuelo automático monitoreado con capacidad de aterrizaje automático.
  2. Un sistema de control de vuelo automático operativo en caso de falla con aterrizaje automático que ha vuelto a una configuración pasiva en caso de falla o ha sido despachado en una configuración pasiva en caso de falla.
  3. Un sistema de guía de vuelo monitoreado (por ejemplo, HUD) diseñado para el control manual por parte del piloto que vuela y para el monitoreo por parte del piloto que no vuela. Las aeronaves destinadas a operaciones de Falla Pasiva Categoría III deben tener sistemas de aeronave que cumplan con los criterios especificados en el Apéndice 3. Las aeronaves previamente demostradas para cumplir con los criterios de Falla Pasiva anteriores pueden continuar operando usando mínimos de Categoría III de acuerdo con las especificaciones de operación aprobadas.

La clave de Fail Passive es que no causa ningún peligro, aunque es posible que no pueda continuar con la aproximación.

No creo que la cita que diste sea correcta. Este podría ser el caso de algunos aviones (como el Boeing 777 con 3 pilotos automáticos), pero no en general. Una definición más general es:

Los sistemas de aterrizaje automático normalmente se denominan Fail Operational o Fail Passive.

  • Un sistema Fail Operational debe tener al menos dos pilotos automáticos activados para la aproximación. La falla de un piloto automático aún permitirá que se lleve a cabo un aterrizaje automático. Esto permite llevar a cabo un enfoque de "sin altura de decisión".

  • Un sistema Fail Passive normalmente se asocia con una única aproximación de piloto automático. En este caso, la falla del piloto automático no dará como resultado una desviación inmediata de la ruta de vuelo deseada; sin embargo, el piloto a los mandos debe asumir inmediatamente el control de la aeronave y, a menos que tenga suficiente referencia visual para aterrizar, realizar una aproximación frustrada. La altitud de decisión (DA) más baja permitida para un sistema pasivo de falla es normalmente 50'.

( SKYbrary - Autoland - Seguridad del sistema )

Así que 2 pilotos automáticos son suficientes para un sistema Fallo Operacional . No puedo decir sobre el A320 específicamente, pero el Boeing 737 tiene un modo de aterrizaje automático operativo fallido con solo 2 pilotos automáticos:

Anuncios de estado de aterrizaje automático en caso de falla operativa

Los siguientes anuncios proporcionan a la tripulación de vuelo el estado y el modo del sistema de aterrizaje automático:

  • ATERRIZAJE 3: dos pilotos automáticos, tres fuentes de inercia y los sensores asociados están funcionando normalmente para un aterrizaje y lanzamiento automáticos.
  • TIERRA 2: se ha producido una falla por encima de la altura de alerta y se reduce la redundancia; pero el sistema de aterrizaje automático aún es capaz de realizar un aterrizaje y lanzamiento automáticos.
  • SIN ATERRIZAJE AUTOMÁTICO: el sistema no puede realizar un aterrizaje automático.

Con una indicación LAND 3 (falla operativa), el nivel de redundancia del sistema de aterrizaje automático es tal que una sola falla no puede evitar que el sistema de piloto automático realice un aterrizaje automático.

Con una indicación LAND 2 (falla pasiva), el nivel de redundancia es tal que una sola falla no puede causar una desviación significativa de la ruta de vuelo.

(Boeing 737 NG FCOM v2 - Vuelo automático - Descripción del sistema)

Miremos las afirmaciones y veamos qué tan correctas o incorrectas son.

Declaración 1:

Falla operativa : cuando tiene 3 pilotos automáticos activados, de modo que cualquier falla única dará como resultado que los 2 pilotos automáticos restantes puedan aterrizar la aeronave de manera segura. Es decir, si hay una falla, el aterrizaje automático permanece operativo.

En primer lugar, esta afirmación no es incorrecta. Es como una cuestión de correcto. Sí, si una aeronave tiene 3 pilotos automáticos, permanecerá operativo si uno de ellos falla durante un aterrizaje automático. Pero no necesita 3 pilotos automáticos para lograr la capacidad operativa de falla. Si desea tener capacidad operativa de falla con dos pilotos automáticos, necesita dos sistemas de monitoreo de rendimiento de piloto automático totalmente independientes. Todos los aviones Airbus a partir del A320 tienen dos pilotos automáticos y todos tienen sistemas de aterrizaje automático operativos en caso de falla.

Declaración 2:

Fail Passive : donde tiene 2 pilotos automáticos activados, de modo que una sola falla del piloto automático dará como resultado la desactivación de ambos pilotos automáticos sin una desviación significativa de la ruta de vuelo establecida. En este caso, el piloto debe tomar el control manualmente y dar la vuelta/aterrizar.

Esta declaración es incorrecta. Con dos pilotos automáticos activados, si un solo piloto automático fallara, el sistema se vuelve pasivo ante fallas. No es necesario que el otro piloto automático se desactive. Y en algunos casos, la aeronave puede incluso realizar un aterrizaje automático con un solo piloto automático (en este caso, permanece operativo). Explicaré cómo funciona más adelante.

Aquí están las definiciones JAA (EASA actual) tanto de falla operativa como de falla pasiva.

FALLO OPERACIONAL

Un sistema de aterrizaje automático funciona en caso de falla si, en el caso de una falla por debajo de la altura de alerta , la aproximación, el enderezamiento y el aterrizaje pueden completarse con la parte restante del sistema automático. En caso de falla, el sistema de aterrizaje automático operará como un sistema pasivo ante fallas.

FALLO PASIVO

Un sistema de aterrizaje automático es pasivo ante fallas si, en caso de falla, no hay una condición significativa de fuera de equilibrio o desviación de la trayectoria o actitud de vuelo, pero el aterrizaje no se completa automáticamente. Para un sistema de aterrizaje automático pasivo ante fallas, el piloto asume el control de la aeronave después de una falla.

Si nos fijamos en la definición de falla operativa, puede ver que no dice nada sobre 3 pilotos automáticos. Pero dice algo sobre una altura de alerta. Dice que por debajo de la altura de alerta, un sistema falla en su funcionamiento si después de una falla en el sistema automático, una aeronave aún puede realizar un aterrizaje automático con la parte restante del sistema automático. Entonces, ¿cuál es esta altura de alerta?

Según el Airbus A320 FCTM:

ALTURA DE ALERTA

La Altura de Alerta (AH) es la altura sobre la pista, en base a las características del avión y su sistema de aterrizaje automático operativo en caso de falla, por encima de la cual se descontinuaría una aproximación CATIII y se iniciaría una aproximación frustrada si ocurriera una falla en uno de los partes redundantes del sistema de aterrizaje automático, o en el equipo de tierra correspondiente.

La altura de alerta es una altitud derivada por el fabricante de la aeronave durante la certificación de la aeronave (AH para el A320 es de 100 pies). Es la altura mínima a la cual una aeronave puede realizar un aterrizaje automático o por debajo de ella después de una falla en sus sistemas automáticos redundantes. Entonces, por ejemplo, en un A320, si estaba realizando un aterrizaje automático con ambos pilotos automáticos activados y si uno de los pilotos automáticos falla por encima de la altura de alerta, que es de 100 pies, comenzará inmediatamente un motor y al aire.

Entonces, ¿qué pasa si uno de los pilotos automáticos falla por debajo de los 100 pies? La respuesta para esto es depende. ¿Recuerdas que hablamos de un sistema de monitoreo del rendimiento del piloto automático? En el A320, hay una luz de advertencia AUTOLAND en el protector antideslumbrante de cada piloto. Esta luz parpadea por debajo de los 200 pies si se encuentran las siguientes condiciones:

  • Ambos AP se disparan
  • Se detecta una desviación excesiva del haz
  • El transmisor o receptor del localizador o de la senda de planeo falla
  • Se detecta una discrepancia de RA de al menos 15 pies.

La luz de advertencia es activada por el sistema de monitoreo, si detecta alguna de las fallas anteriores. Por lo tanto, cuando está por debajo de AH, el aterrizaje automático puede continuar incluso si uno de los pilotos automáticos se dispara, siempre y cuando la luz AUTOLAND no se encienda. Si se enciende la luz de ATERRIZAJE AUTOMÁTICO, debe dar la vuelta inmediatamente.

ingrese la descripción de la imagen aquí

Aquí hay un pequeño GIF de la prueba de luz de advertencia AUTOLAND del A320 hecha por mí. Puedes probar si funciona simplemente presionándolo cuando quieras (incluso en vuelo). Si lo presionas, se enciende la luz y se va.

La segunda afirmación es correcta y no incorrecta. Tiene dos pilotos automáticos y compara las salidas entre sí. Si un piloto automático se desvía del otro, sabrá que uno de ellos está defectuoso y el otro es correcto. Pero no puedes decir cuál. Por lo tanto, los desactiva a ambos y eso lo deja sin pilotos automáticos.
El A320 tiene dos pilotos automáticos con dos carriles cada uno, que yo sepa. Eso significa que esencialmente tiene dos pilotos automáticos pasivos fallidos, o cuatro pilotos automáticos en total. Los primeros dos carriles se monitorean entre sí y los segundos dos carriles se monitorean entre sí. Cuando un piloto automático detecta que sus dos carriles cuentan historias diferentes, se desactiva, dejándote con un par de carriles restantes. Esto es una falla operativa.
@Jan La declaración es incorrecta porque dice que si hay una falla en un piloto automático, ambos pilotos automáticos se desconectan. No es así. Si uno falla, el otro toma el control y el sistema se vuelve pasivo ante fallas. Incluso cuando hacemos aproximaciones normales, es un procedimiento normal encender ambos pilotos automáticos, de modo que si uno falla, el otro toma el relevo de inmediato. En ese caso, el FMA cambia de CAT 3 DUAL a CAT 3 SINGLE.
Lo que digo es que el A320 no tiene dos pilotos automáticos, tiene cuatro. Entonces, después de perder un par de carriles de piloto automático (ambos se activan con un solo botón y funcionan como una sola unidad) o si no lo enciende, todavía tiene dos carriles de computadora que se monitorean entre sí. Solo así se puede aplicar la declaración de fallo pasivo.
@Jan La forma correcta de decirlo será cuando falle pasivamente (piloto automático único encendido), y si ese piloto automático también falla, entonces la aeronave se entrega al piloto de manera segura (en ajuste).
Bueno, si tiene una luz encendida (AP1 o AP2), aún le quedan dos carriles de piloto automático activados. Este es un piloto automático pasivo fallido (indicado como un piloto automático para el piloto, pero en realidad dos pilotos automáticos internos) y si uno de estos dos carriles no está de acuerdo (falla detectada), entonces la aeronave se entrega al piloto de manera segura (en ajuste)
@Jan, si un piloto automático se desactiva, el A320 se vuelve pasivo ante fallas. Puede permanecer operativo en caso de falla en esta situación solo si está por debajo de la altura de alerta.
Si tenía AP1 y AP2 activados y uno de ellos detecta una falla, entonces tiene tres carriles de piloto automático contra un carril de piloto automático defectuoso. El par de carriles defectuosos se elimina, dejándolo con un sistema pasivo completamente funcional y fallido, sí.
El A320 también hace esto para sus computadoras de control de vuelo, hasta donde yo sé. Cada FCC se compone de dos carriles, que pueden monitorearse entre sí. De esa manera, puede asegurarse de que la computadora al mando haga lo correcto y que no se detecte ninguna falla. A menos que ocurra una falla dual rara al mismo tiempo :)
@jan Sí. Uno es el control, el otro es el monitor. Los datos deben ser los mismos para ambos canales o dentro de un cierto umbral. Si no, el AP será desconectado.

Fallo operativo es una descripción de un sistema de vuelo automático de aterrizaje automático antes de que falle cualquier piloto automático (AP) y se divide en dos categorías:

  1. Tres AP en el avión.
  2. Dos AP + circuitos de comparación ( este circuito puede considerarse más o menos aproximadamente como un tercer AP).
  • Si un AP falla en cualquiera de las categorías anteriores (el sistema ahora es un fallo pasivo), no hay pérdida de control, pero el piloto no puede iniciar un aterrizaje automático porque el sistema ahora es un fallo pasivo.
  • Si un piloto inició un aterrizaje automático con todo funcionando (fallo operativo) y luego un AP falla, el AP restante ( dos o uno depende de la categoría ) continuará aterrizando automáticamente normalmente.
  • Si ya estamos en una etapa de aterrizaje automático con pérdida de un AP (quedan dos o uno en funcionamiento depende de qué categoría) y luego falla un segundo piloto de AP, el piloto toma el control de inmediato.
  • En cualquier fase del vuelo, si un solo AP falla, el sistema cambia de falla operativa a falla pasiva, independientemente de cuántos AP permanezcan en funcionamiento.
  • Un piloto no puede iniciar (comenzar) un aterrizaje automático desde un sistema pasivo de falla.
  • Entonces, 2 AP que permanecen operando en una categoría de 3 AP es un sistema pasivo de falla, de manera similar, si un AP permanece operando en una categoría de 2 AP, también es un sistema pasivo de falla.

ALI ALSALEEM - Instructor de tierra / Mideast Aviation Academy MEA - Jordania

¿Qué significa cuando el aterrizaje automático es fallido pasivo / fallido operativo?
RespuestasAquíPolítica de privacidad1y, 3v