Si el software MCAS actualizado necesita dos sensores AOA, ¿eso no introduce un nuevo punto único de falla?

Con respecto a la historia del 737 MAX, el New York Times escribe :

"La actualización del software de Boeing requeriría que el sistema dependiera de dos sensores, en lugar de solo uno, y no se activaría si los sensores no estuvieran de acuerdo en cierta medida, según las tres personas. Dado que el 737 Max ya tiene ambos sensores, muchos pilotos y funcionarios de seguridad han cuestionado por qué el sistema fue diseñado para depender de un solo sensor, creando, en efecto, un punto de falla [énfasis mío]"

Ahora entiendo que esto evita un falso positivo, cuando un sensor erróneo activa el MCAS.

Pero, considerando la situación opuesta, ¿esta actualización no introduce un nuevo punto único de falla , un Falso Negativo, cuando una parada debería ser contrarrestada con MCAS pero no lo es, porque solo un sensor la detecta?

(O si no, ¿qué me estoy perdiendo aquí? ¿Es que un sensor defectuoso falla de cierta manera y no leerá erróneamente el AOA normal?)

Respuestas (4)

Tenga en cuenta que Boeing aún no ha confirmado públicamente los detalles de la actualización de MCAS; no, no creo que se esté perdiendo nada.

MCAS estaba destinado a ser un sistema que solo se activaba cuando los pilotos dejaban que la situación se les fuera de las manos. Fue para ayudar en la prevención de pérdida, pero no hace nada que los pilotos no puedan (siempre que su conocimiento de la situación lo permita). En un millón de vuelos, MCAS no se usaría una sola vez a menos que hubiera otras dificultades graves en juego.

En tal sistema es mucho mejor tener un falso negativo que un falso positivo. Un falso negativo significa que la aeronave no cambia nada y continúa siguiendo las órdenes del piloto. Un falso positivo significa... bueno, parece que hay 2 bloqueos que demuestran lo que sucede.

Otra forma de ver las cosas es decir que la inacción del MCAS nunca puede representar un único punto de falla, ya que el único momento en que el MCAS necesitaría hacer algo sería después de que ya haya habido dos puntos de falla (generalmente uno que involucre al capitán ) . y/o los controles operados por él, y el otro que involucra al copiloto y/o los controles operados por él).

Todo sistema automatizado tiene la posibilidad de un falso positivo y la posibilidad de un falso negativo. En el diseño del sistema hay que tener en cuenta

(Probabilidad de un falso positivo * consecuencia de un falso positivo) versus (probabilidad de un falso negativo * consecuencia de un falso negativo).

Un equipo de ingenieros de Boeing ciertamente analizó la compensación anterior en el diseño inicial. La probabilidad de falla del sensor AoA probablemente se basó en las tasas de falla de aeronaves históricas como el 737 original. La consecuencia de cada falla fue probablemente un poco más difícil de estimar, porque no existía tal sistema MCAS en aeronaves anteriores, pero de alguna manera surgieron. con una estimación de lo que sucedería en cada caso. En base a eso, creían que tenían la compensación correcta.

Ahora, nueva información ha salido a la luz. Específicamente, "consecuencia de falso positivo" es una situación absolutamente inaceptable (dos accidentes fatales). Por lo tanto, el sistema necesita ser rediseñado. Una mayor probabilidad de falsos negativos puede ser aceptable, si puede reducir significativamente la probabilidad de falsos positivos. Ambos errores aún son posibles y ambas consecuencias aún existen, pero la compensación se desplaza para favorecer uno frente al otro.

Un positivo no debe activar un ajuste descendente no ordenado en la medida en que la aeronave no pueda volar, aunque se podría discutir si se activa automáticamente o no. La falta de entrenamiento de anulación fue fatal. El MCAS en sí no lo era, pero podría mejorarse.
La falla de @RobertDiGiovanni MCAS se ve exactamente como un ajuste fuera de control, que supuestamente las tripulaciones de B737 han sido entrenadas para manejar durante décadas. De hecho, muchos pilotos de MAX en los EE. UU. informaron que lo manejaron bien, por lo que la decisión de Boeing parecía acertada. Sin embargo, no tuvieron en cuenta que los pilotos extranjeros no estaban tan bien entrenados ni con qué frecuencia fallaba el sistema.
Así que se necesita hacer más. Buena idea, mala ejecución. Sí, mejor entrenamiento. Y más aportes de los pilotos. Podría ser mejor. Si el 737 está al final de su vida útil, esto (y la ubicación de los motores de gran tamaño) puede haber sido un paso demasiado lejos, pero la investigación y el desarrollo continuos de MCAS pueden ayudar a salvar más vidas en el futuro.
La falla de @StephenS MCAS no parece un ajuste descontrolado. El ajuste desbocado sería un movimiento constante en una dirección u otra. El MCAS no hizo esto. Recortaría el morro hacia abajo, pero la entrada de ajuste del piloto lo detendría y lo recortaba hacia donde ellos querían. Luego pasarían unos segundos antes de que se activara de nuevo. Sin el conocimiento de MCAS, ese comportamiento sería muy confuso para el piloto.
Entiendo el equilibrio entre FP / FN, mi punto fue el concepto de un solo punto de falla. No todos los sistemas automatizados tienen un único punto de falla. Especialmente aviones.
@DanielSparing, un punto único de falla no es necesariamente un factor decisivo en el diseño si el sistema general sigue siendo aceptable y, por el contrario, un sistema triplemente redundante puede no ser más seguro que uno solo si no está diseñado correctamente (busque el accidente de Sioux City). Una vez más, todo se reduce a sopesar las probabilidades por las consecuencias. Reducir los puntos únicos de falla es ciertamente bueno, pero a veces no hay mejor alternativa

El nuevo sistema no será un único punto de falla.

Normalmente, los sensores AOA no deberían estar en desacuerdo. Pero, de nuevo, normalmente los pilotos no deberían volar la aeronave cerca de los márgenes de pérdida.

Sin embargo, si los sensores no están de acuerdo, les dirá a los pilotos con una indicación en la cabina: efectivamente, "MCAS no lo rescatará hoy, observe su ajuste". También debe registrar automáticamente un informe de la falla para el personal de mantenimiento. Esto se convierte en un elemento de mantenimiento que debe corregirse pronto.

Tiene razón en que la falla de cualquiera de los sensores causará esto, y tiene razón, ese es un punto único de falla del sistema MCAS ; pero esto aún requeriría una serie ininterrumpida de errores del piloto para causar un accidente, y esa serie de errores no está sucediendo hoy en los miles de 737 clásicos y NG sin ningún MCAS en absoluto.

Es posible que tener dos sensores del mismo tipo no mejore las cosas, ya que las condiciones de formación de hielo fácilmente podrían causar desacuerdos justo cuando más se necesitaban. Un segundo sistema, como la comparación de la velocidad aerodinámica, el cabeceo hacia el horizonte, el ajuste de potencia y la velocidad vertical (además de lo que hacen los pilotos) puede ser mucho más útil.

Cambiar bruscamente el paso del estabilizador horizontal sin control solo empeora la situación cuando el piloto necesita tener el control. Romper un puesto se hace soltando el elevador. Una aeronave correctamente diseñada se desplomará casi de inmediato, especialmente si se detecta temprano. El cumplimiento estricto de los límites de popa del CG también mejora en gran medida la seguridad.

Un MCAS más amigable para el piloto puede funcionar de la siguiente manera. Diseñe el elevador de tal manera que, junto con el estabilizador horizontal, no tenga suficiente autoridad de cabeceo para detener el avión en condiciones normales de vuelo. Una aeronave de este tipo, con un centro de gravedad configurado correctamente, con el elevador de popa completo, perderá velocidad aerodinámica, comenzará a hundirse y se "desplazará" hacia adelante con el morro caído. Tener luces de advertencia de calado ámbar y rojo.

Si ocurre una advertencia de entrada en pérdida (real o no), el piloto y la computadora verifican los datos del segundo sistema. Si la pérdida es real, el piloto activa el MCAS. (interruptor de palanca)

El MCAS SÓLO aumentaría la tasa de lanzamiento y el recorrido del ascensor. Al igual que las velocidades duales en los aviones R/C, esto aumentaría enormemente la autoridad de cabeceo, pero siempre estaría bajo el control del piloto. Una vez que se restablece el vuelo estable, el piloto apaga el MCAS.

La mejor suerte para que Boeing arregle esto.

El factor agravante es que la compensación B737 mueve todo el estabilizador, por lo que incluso la deflexión total del elevador no puede deshacer la compensación incorrecta. Una solución sería el ajuste automático inverso cuando se desvía completamente hacia el otro lado.
Eso me asusta. Con un elevador de doble velocidad no habría pérdida de control (aunque la alta velocidad tendría que manejarse con mucha delicadeza). El ajuste del estabilizador estaría allí como respaldo. La jerarquía tradicional es Hstab más fuerte que El, El es más fuerte que Trim. Me imagino un ajuste grueso para Hstab y un ajuste fino para la pestaña de ajuste (otra copia de seguridad potencial).
@StephenS En circunstancias normales, hay suficiente autoridad de ascensor en el 737 para contrarrestar el ajuste completo de la nariz hacia abajo. La situación aquí es un poco más compleja, ya que parece que los pilotos de Lion Air aumentaron la velocidad debido a la advertencia de entrada en pérdida incorrecta. El aumento de la velocidad puede tener una autoridad de ascensor limitada debido a la purga.
Entonces, ¿necesitan fortalecer el Hstab? Otro dato, cuando McDonnell Douglas se fusionó, el MD90 y el 737 cumplieron roles similares. El MD80/90/95 vivió como el 717 antes de que terminara la producción. Sus motores estaban montados en la parte trasera. Un desarrollo fue un sistema de flaps montado cerca de los motores para ayudar a bajar en los puestos. ¿Podría ser esto un precursor de una solución de empuje vectorial?
Esto no parece responder a la pregunta real, pero parece más un ensayo general sobre cómo cree que debería diseñarse el sistema MCAS.
Tal vez, pero existía la preocupación de que 2 del mismo sensor siguieran siendo un solo punto y no mejoraran significativamente la situación. Es por eso que sugerí una asistencia secundaria aumentada por computadora para revisar el AOA y la condición de pérdida utilizando la velocidad aerodinámica, el cabeceo hacia el horizonte, la velocidad vertical y el ajuste de potencia (como lo hace un piloto). Por ejemplo: 250 nudos, 0 ascenso/descenso vertical, potencia de crucero normal, 5 grados sobre el horizonte, ¿estoy estancado? Incluso si AOA dice que sí, el piloto lo sabe mejor. Sentí la necesidad de decir algo. Espero que reconsideren el 717.
Si el software MCAS actualizado necesita dos sensores AOA, ¿eso no introduce un nuevo punto único de falla?
RespuestasAquíPolítica de privacidad1y, 0v