Si Boeing usara dos sensores en lugar de uno simultáneamente, ¿no estarían en la misma posición hoy?

este artículo establece que se suponía que la versión original de MCAS dependía de dos sensores,

Un sensor detectará un alto ángulo de ataque, por lo tanto, activará MCAS

El otro sensor detectará una fuerza G alta y, por lo tanto, activará el MCAS.

Pero lo que no entiendo es por qué la gente usa esto como un argumento en contra de Boeing, como si deberían haber optado por esa idea. Si el sensor de fuerza G alta estuviera defectuoso, ¿no necesitaría técnicamente un segundo sensor que mire una fuerza G alta para comparar los dos?

Entonces, básicamente, si se hubieran quedado con esa idea, ¿todavía estaríamos aquí hoy?

El diseño combinado de carga AOA y G de "2 entradas" solo se usó en las pruebas y nunca se usó en el avión de producción. El diseño final del MCAS utiliza solo 1 de las 2 indicaciones AOA disponibles. El sistema cambia automáticamente del AOA izquierdo al derecho para cada vuelo.
No, el artículo del Seattle Times dice "dos factores", no "dos sensores". El reportero no conoce la diferencia entre un parámetro y un sensor y cree que los dos parámetros utilizados originalmente para activar MCAS (AOA y g-loading) fueron reemplazados por un sensor AoA, cuando en realidad los nuevos parámetros de activación eran: AOA, Flaps retraídos, piloto automático apagado. El sistema usaba un sensor AOA por FCC antes, y TODAVÍA usaba uno por FCC cuando el MAX entró en servicio. Solo otro ejemplo de la basura total que los medios de comunicación publicaron mientras investigaban un accidente, aunque eran completamente incompetentes en aviación.

Respuestas (2)

El problema es que no hay redundancia en la entrada del sensor. La cita del artículo es:

Esta versión original de MCAS, según dos personas familiarizadas con los detalles, se activaba solo si dos sensores distintos indicaban una maniobra tan extrema: un ángulo de ataque alto y una fuerza G alta.

Entonces, en el diseño original, la activación de MCAS requería dos sensores que detectaran una entrada por encima de un cierto umbral, y en sí mismo esto crea protección contra falsos positivos.

Hay dos modos principales de falla para los subsistemas:

  • Salida cero, donde el subsistema simplemente deja de emitir una señal.
  • Falla Hard-Over, donde el subsistema genera un falso positivo. Esto es lo que sucedió con el sensor AoA en los dos desastres MCAS.

Con el diseño original, si un sensor fallara, el MCAS no se activaría y el sistema estaría protegido contra una sola falla. Pero en la configuración certificada, la entrada de activación no se verificó con ninguna señal y MCAS se activó repetidamente.

Notas adicionales sobre los sensores AoA, del informe final del accidente, página 45:

  • Hay dos indicadores AoA en el B737Max, y solo uno se usó para la entrada de MCAS.

  • Se instaló una detección de desacuerdo de AOA, como una opción que Lion Air no había seleccionado en el momento del accidente:

    En consecuencia, el software activaba la alerta AOA DISAGREE solo si una aerolínea optaba por el indicador AOA. En el momento del accidente, Boeing informó que el indicador AOA ha sido seleccionado por aproximadamente el 20% de las aerolíneas.

    Cuando se identificó la discrepancia entre los requisitos de visualización del AOA y el software, Boeing determinó que la ausencia de la alerta AOA EN DESACUERDO no tuvo un impacto adverso en la seguridad o la operación de la aeronave. En consecuencia, Boeing concluyó que la funcionalidad existente era aceptable hasta que la funcionalidad prevista originalmente pudiera implementarse en una actualización del software del sistema de visualización, programada para el tercer trimestre de 2020.

    Lion Air no seleccionó la función de indicador AOA opcional en el PFD de su avión 737-8 (MAX). Como resultado, el AOA DISAGREE no apareció en las aeronaves PK-LQP, a pesar de que se cumplieron las condiciones necesarias.

El análisis de seguridad del sistema certificado ha demostrado ser fatalmente incorrecto, y esto es lo que resulta tan desconcertante. La compañía aeroespacial más experimentada del mundo permitió que un solo modo de falla activara un sistema crítico de vuelo. Además: el análisis de seguridad incorrecto fue aceptado por la autoridad aeronáutica cuya función es protegernos a nosotros, los pasajeros.

Creo que también puede agregar que Boeing y la FAA también decidieron que los pilotos no necesitaban capacitación en este sistema.
Pero incluso si usan un sensor, ¿cómo no puede rechazarlo solo en función de la diferencia de los sensores? Sé que funcionan simultáneamente, pero ¿no podría haber sido un cambio fácil?
@ Firefighter1 ¡Muy, muy buen punto!
La respuesta es seriamente defectuosa. Una de las condiciones que debe cumplirse para que el sistema se active no puede servir como "protección contra falsos positivos" de la otra condición porque los parámetros son independientes y no relacionados, y completamente inconscientes de la validez de cada uno. El autor del artículo no tenía conocimientos de ingeniería básica pero intentó realizar una investigación del accidente y realizar un análisis de ingeniería. Además, los parámetros se utilizan como variables analógicas que activan MCAS y modulan su ciclo de trabajo, no como binarios discretos que simplemente activan o desactivan MCAS.
@Robin Bennett "Boeing y la FAA también decidieron que los pilotos no necesitaban capacitación en este sistema". En realidad, Boeing y la FAA decidieron que no había entrenamiento para este sistema, es decir, no era posible entrenar. Es por eso que el avión ha regresado al servicio y TODAVÍA no hay entrenamiento en simulador de vuelo para MCAS. Pero como crees que debería haberlo, por cierto, no eres el único que piensa así, por favor, ilumínanos con algunos detalles sobre en qué debería consistir ese entrenamiento.
@PeteP. Hubiera pensado que eso era obvio. Los pilotos deben saber que el sistema está ahí, que es vulnerable a una falla del sensor AoA, cómo reconocer una falla y cómo desactivar el sistema y recuperar el control.
@Robin Bennett Los pilotos no pueden detectar el funcionamiento normal del MCAS, no pueden controlarlo/ajustarlo, no pueden encenderlo o apagarlo, no se menciona en los mensajes de falla del sistema, listas de verificación o procedimientos. La operación no normal se manifiesta como un ajuste del estabilizador fuera de control, que tiene múltiples causas y es manejado sin aislamiento de fallas, por el mismo NNC sin importar la causa, y para el cual el entrenamiento inicial y recurrente con simulador es estándar. El sistema es transparente para la tripulación de vuelo, por lo que no es necesario ni posible un entrenamiento de simulación de vuelo específico de MCAS y no es necesario incluirlo en el FCOM.
@PeteP. Evidentemente, era necesario incluir la existencia de MCAS en el FCOM. Causó un desbocamiento repetitivo del trim de puñalada, y el trim no se escapó por completo.
@Koyovis El Runaway Stab Trim NNC ya estaba en el FCOM y no se enumeraron ninguna de las posibles causas. La definición de RST: la puñalada se mueve, sin control, a una posición en la que no debería estar. Aproximadamente 2-3 segundos después de un RST, el piloto notará que la actitud de cabeceo se desvía e instintivamente la restaurará usando el elevador. A los 4 o 5 segundos, siente que la fuerza de elevación necesaria para mantener la actitud de cabeceo es anormalmente alta y empeora. A los 6–8 segundos, él/ella está alcanzando el trim eléctrico para ayudar con la fuerza del elevador y se da cuenta de que la cuchilla se está recortando, excesivamente...
…No sirve de nada discernir si el descontrol es intermitente o continuo o qué lo está causando. El sistema no solo no está diseñado para un aislamiento de fallas más profundo y rápido por parte de los pilotos más allá del "piloto automático" y "otro", sino que el procedimiento de recuperación no le importa; independientemente de la causa, es esencialmente: apague el piloto automático... si eso no funciona, apague el trim eléctrico...
La pregunta a todos aquellos expertos que insistían en que el piloto necesita saber si el runaway es continuo o intermitente… ¿Cómo determinarías eso? ¿Observando y esperando, es decir, sin hacer absolutamente nada mientras el morro gira hacia el Cielo y un puesto, o hacia el Hades y su tumba ad hoc, hasta que el estabilizador alcance el límite de viaje físico o se detenga antes de llegar a él? Y entonces, ¿para qué usas esa pequeña pepita de información? (mientras tu compañero piloto te mira con creciente alarma, sin saber si estás paralizado por la conmoción o si tienes tendencias suicidas).
Es alucinante que todos los expertos que declararon que a los pilotos les faltaba entrenamiento para el nuevo e inesperado tipo de fugitivo porque Boeing "ocultó" el sistema, nunca se molestaron en repasar el escenario en su cabeza para validarlo... y descubrir su absurdo.
@PeteP. Hay validez en su argumento. Sin embargo, los pilotos de los 2 aviones estrellados estaban entrenados para apuñalar y no reconocieron el comportamiento del MCAS como tal. Entonces, algo en el comportamiento del MCAS no coincidía con su entrenamiento en el simulador.

Esa es una comprensión completamente incorrecta del artículo. El resumen debe ser:

MCAS se activa si: a) El sensor detecta un ángulo de ataque alto y b) El sensor detecta una carga G normal alta

Si un sensor es erróneo y el otro no, entonces MCAS no se activaría erróneamente.

¿Y qué sucede si el sensor de fuerza G alta está defectuoso y no lee correctamente, pero el avión experimenta una fuerza G alta y un ángulo de ataque alto?
@Firefighter1 Entonces el MCAS no se activará. Es posible que se produzca una inversión de la fuerza de la palanca y, como resultado, un cabeceo hacia arriba. Todavía tendrás activado el stick shaker en este régimen de vuelo.
En realidad, el artículo en sí mismo no tiene sentido. El autor carece de competencia básica en ingeniería y ha confundido las diversas condiciones que deben cumplirse para que el sistema se active como "múltiples puntos de falla", sin darse cuenta de que son parámetros independientes y no relacionados. Tampoco se da cuenta de que el sistema modificado requería Flaps_Up y Autopilot_Off además de AOA_High para activar MCAS, lo que hace estallar su conspiración de "punto único de falla".
@JZYL Cierto, MCAS no se activaría, pero no habría ninguna inversión de fuerza de palanca, esa no es una característica del avión. Tampoco habría ningún cabeceo, ya sea debido a las fuerzas de la palanca o cualquier otra cosa (que no sea inducida por el piloto); eso tampoco es una característica del avión. Y si el stick shaker se activa o no depende únicamente del ángulo de ataque: si es lo suficientemente alto como para activar la advertencia de entrada en pérdida, se activará; no tiene nada que ver con MCAS. Para mayor claridad, MCAS NO es un sistema antibloqueo o un sistema de recuperación de bloqueo, independientemente de lo que diga un reportero de noticias.
@PeteP. Nunca dije que MCAS fue diseñado originalmente para evitar que se detenga. Según tengo entendido, según las fuentes disponibles públicamente, se requiere para la certificación y cumplir con los requisitos de la Parte 25 relacionados con las características de pérdida y la estabilidad de maniobra.
@JZYL Entendido, fue el reportero quien describió erróneamente el sistema. Aunque indicó correctamente los valores del sensor de carga G y AOA como las condiciones a) y b) que deben cumplirse para la activación del MCAS, su siguiente oración impugna la primera al implicar que la activación depende de la validez de esos valores del sensor. ¿Cómo sabe el sistema si el valor de un sensor es erróneo o válido? Si MCAS se activa o no simplemente depende de si los valores del sensor están en el rango para satisfacer las condiciones a) yb) o no, independientemente de su validez.
Si Boeing usara dos sensores en lugar de uno simultáneamente, ¿no estarían en la misma posición hoy?
RespuestasAquíPolítica de privacidad1y, 0v