Катастрофа Boeing 737-800 Turkish Airlines, Амстердам, 25.02.2009.

Немного не так.
0-й шаг: Разобраться бы для начала с самими источниками A и B. Самодиагностика в первую очередь.
1-й шаг: В АТ использовать два входа от обоих РВ. Если дельта показаний больше удвоенной погрешности РВ, тупо выключать автоматику с соответствующим сообщением. Хуже уже не будет. Дополнительный сигнал привлечет внимание экипажа.
2-й шаг: Экипаж получает хороший стимул искать кто виноват и что делать. Сам выберет источник C исходя из своего опыта и начнет управлять тягой вручную когда скорость еще и измениться не успеет.
 

Вот задачка - борт заходит на посадку. Речевой отсчитывает - 50, 30, 10... И в этот момент программа определяет неисправность высотомера... Что прикажете тогда делать?
Я это к тому что двумя строчками в коде не ограничется все это.
 
DmitryVS,
Я всетаки говорил больше применительно к алгоритму работы программы компьютера - тому самому что пишется перед написанием самого кода.
Вот Вы говорите самодиагностика РВ - а кто решение будет принимать что изделие исправно, и самое главное - на сколько этому решению можно доверять?

Использование 2-х высотомеров шаг наверное правильный, и ,как я понял, даже применяемый на некоторых моделях, но опять же - вопрос надежности не снимается и парный отказ возможен. А так-же см. мой пост выше...

Всетаки высота это один из китов, на котором зижтится полет, и следить за ней человек должен. Информировать - безусловно надо, но ни руку с РУД-ов ни глаза с приборов убрать не удасться.
 
Господа, чем изобретать велосипед, почитайте fail operational принцип автоматики. Тут речь о другом.....
 
Скажите, а на Airbus-ах какой принцип работы АТ ? Точно так же по одному высотомеру смотрится высота или как-то по-другому ?
 
AndyM, не стоит превращать ветку в обсуждение принципов работы автоматики. Если хочется - это лучше в авиацию для чайников. На A320 (да и 310) система сильно интегрирована и дублирована, дубляж позволяет делать взаимные проверки систем. А в варианте с Boeinгом сделано просто - зато, как известно, где просто - там и ломается меньше.
 
blck - согласен что обсуждать принципы работы автоматики надо не в этом форуме (и модераторы без проблем могут перенести это обсуждение куда нужно). Но вот в данном случае сломалось и повлекло за собой катастрофу. При более сложной системе по этой причине катастрофы бы не было. Увы так
 
AndyM, это не простой или сложный вариант автоматики - это принципиальный концепт производителя: не идти по пути черезмерной автоматизации

Поясню:

На аэроплане братьев райт не было приборов, был пилот.....
На АН-2 автоматика уровня обычного бытового автомобиля.... но скорости не те
На Ту154 - 4 человека и чуть больше автоматики, уже и скорости те и системы сложные
На 737 - 2 человека и еще больше автоматики, заменившие 2х человек.
на 320 - те-же два человека, но еще больше уровень автоматизации. При этом самолет стал намного менее понятным для пилотов

Можно было остановиться на любом из этих уровней в концепте человек-система, учитывая экономику (4 человека + их обучение стоит куда дороже 2х). Боинг прошел всю цепочку и вернулся на шаг назад. Аэробус прошел всю цепочку и сейчас планирует идти еще дальше. Это именно концепт, подразумевающий, что пилоты в кабине занимаются работой, а не щелкают клювом
На Аэробусе тоже еще те фокусы бывают, уже из-за слишком сложной автоматизации. Если сидеть спиной к приборам - тоже гробанешься будьте-нате.
А истина, как обычно, посредине

Мое мнение - тут чуть чуть недоавтоматизировано, чтобы снимать показания и сверять их. Но это не отменяет контроля экипажем.......
 
При более сложной системе по этой причине катастрофы бы не было.
Очень смелое ктверждение...
Мне сразу вспоминаются вводные лекции по "Деталям авиационных приборов и автоматов", где краешком затрагивалась "теория отказов".
Так вот уважаемый blck, фактически Вам свормулировал один из основных постулатов
где просто - там и ломается меньше
А спор что лучше - машина или человек, сейчас не актуален. И то и другое далеко от идиала, но человек наделен интелектом. Да и работа ему находится и на А и на Б.
 
Хочу сразу извиниться, дискуссия про авионику действительно не по теме. Модераторы, перенесите, пожалуйста, хвост этой темы в отдельную.

Stavbar,
по поводу самодиагностики. Конечно, это не панацея. Многие отказы сам РВ не определит никогда. Но есть простые случаи. Если мы получаем заведомо невозможный сигнал с РВ, то верить ему нельзя. Так же как и предохранитель спасает схему не во всех случаях, но не ставить его вообще - глупо. Мог РВ "заклинить" на "реальных" показаниях, 1000 футов скажем? Конечно, и тут уже никакая самодиагностика на жесткой логике не спасет, или надо делать какой-то эвристический анализатор динамики данных, но это будет уже скорее мина замедленного действия, а не предохранитель.

Парный отказ. Интересный случай. Если оба РВ просто отрубились, на то есть 'fault flag'. Зафиксировали последний расчетный режим, выключили автомат, просигналили экипажу. Это все, что можно сделать для его безопасности. Чтобы получить единовременный и одинаковый отказ (по типу данные на выходе есть, но ложные) двух приборов прошедших целый комплекс испытаний на надежность, это надо чтобы фантастически не повезло.

Ну и по поводу пилотирования. Я всеми конечностями "за", что нельзя бросать управление самолетом на волю автоматов. Контроль человеком обязан быть. Но тихо умирающий автомат, это всегда большая "подлянка": Пилот включил АТ, подержал руку на РУДах, посмотрел на приборы - все в норме. Перед посадкой много чего надо выполнить, может внимание рассеялось, может автоматизма у него нехватило для постоянного контроля всего. АТ перешел на другой режим молча, РУДы уехали на МГ тоже молча, сигнализации о малой высоте (по сигналу от аварийного РВ) не было. А скорость у пилота из поля зрения выпала, он же на подкорке помнит, что АТ работает, а недоверять машине может еще не натаскан. Они же сразу бросились спасать ситуацию, когда машина явным образом дала знать о потере скорости. Получи они хоть какой выделяющийся сигнал раньше, велика вероятность, что бросились бы на АТ гораздо раньше.

Мы тут, к сожалению, ничего изменить не можем. Никто из авиастроителей этот форум всерьез изучать не станет. Тем более, как заметил уважаемый blck, у каждой компании свой концепт. В этом они правы, что последовательно проводят свою идеологию кокпита. Хотелось бы только пожелать им, чтобы они не окостеневали в своих концептах. Чтобы реагировали на такие случаи серьезной работой над всеми системами самолета, а не отписками об основополагающих принципах. Очень хочется надеяться, что так оно и есть, и только со стороны этого не видно.
 
Последнее редактирование:
авто пилот, авто тяга, авто...

смешно вы пишете...
Но тихо умирающий автомат, это всегда большая "подлянка": Пилот включил АТ, подержал руку на РУДах, посмотрел на приборы - все в норме. Перед посадкой много чего надо выполнить, может внимание рассеялось, может автоматизма у него нехватило для постоянного контроля всего. АТ перешел на другой режим молча, РУДы уехали на МГ тоже молча, сигнализации о малой высоте (по сигналу от аварийного РВ) не было.
Большая подлянка, это как раз тот случай, когда люди целиком и полностью доверились автоматике. Зачем там нужен хотябы один пилот, который не следит ни за скоростью, ни за высотой?
Очень интересно на самом деле наблюдать, как люди доверяются автоматике... Я автоматику разрабатываю, и мне очень страшно, как люди ей доверяются. Я знаю, что из 1000 раз она срабатывает правильно 1000 раз. Но даже зная, что в программе всё правильно и схема защищена от ошибок, я не буду утверждать, что так будет всегда. При испытаниях всё будет гладко. Как только начнется реальная эксплуатация, найдется что-то, что может автоматику зававалить. Начиная от ошибок в программе, заканчивая продвинутыми эксплуататорами. За этим до сих пор в кабине находится человек. Вот пример: сделали автоматику. Человек следит за процессом. Должен находится в защитной маске. Мало-ли что, горячим металлом глаза шибанет. Всё работает, всё хорошо. Приходим через два месяца. Защитная маска давно лежит в шкафу, человек ходит смотрит и курит. Он уверен- она не подведет. А я эту автоматику делал. И я хожу в маске. Хотя знаю, что ничего не должно случится, но знаю, что может... Вот так.
 

Так писать - совсем не профессионально.

К слову, там инструктор сидел. По-крайней мере, пилот с инструкторским допуском.
 
alx63 сказал(а):
Перед посадкой много чего надо выполнить, может внимание рассеялось,
Мда... Идут в посадочной конфигурации, минимум радиообмена, так что же ешё делать, как не контролировать параметры полёта !? В окошко на прелести природы смотреть- вроде погода не позволяла. Сколько раз заходили на посадку по ИЛС в полном автомате (ИЛ-76, крайне редко), так у пилотов, по-моему, концентрация внимания была на порядок выше, чем на руках. А тут такое.
И, честно, не понятно зачем так долго обсуждать отказ РВ, когда главный "отказ" случился в экипаже. Да на с-те куча оборудования, чьи глюки могут "выбить" автопилоты. И что? Каждый раз падать? Да люди садились с замёрзшей статикой, без скорости, по одному углу атаки или даже на полностью обесточенном с-те.
Короче-очередной печальный случай. Людей жалко....
 
Так писать - совсем не профессионально.
Денис, Victor25, я не пытался написать профессионально с точки зрения пилота (и я не пилот, даже не симер). Я не пытаюсь делать заключений о степени подготовки того экипажа, это Ваша вотчина. Я попытался проанализировать алгоритм автоматики с точки зрения foolproof. И, по моему скромному мнению, довольно безрассудно проектировать автоматы в расчете на то, что их воздействие будет отслежено по реакции системы в целом.

alx63, а я эксплуатирую сложные автоматизированные системы (правда, убиться ими затруднительно) и, случается, что обучаю ими пользоваться и решаю возникающие проблемы. И очень хорошо знаю, что людям бывает сложно отследить переход системы в другой режим, если это не сопровождается хорошо читаемым сообщением. Типичная реакция на это: "А что это она вдруг глючить стала!?", раскрыть глаза и развести руки.

А тех парней как и пострадавших жалко, как не крути.
 
Последнее редактирование:
И очень хорошо знаю, что людям бывает сложно отследить переход системы в другой режим, если это не сопровождается хорошо читаемым сообщением.

Тут как бы другой случай... Там всё-таки пилоты, а не просто пользователи. Они обязаны следить за скоростью и высотой. По крайней мере на заключительном этапе полёта.
 
Дмитрий. Философия Боинга заключается в том, что автоматика в самолет - не для замены пилота, а для дополнения.

Первая заповедь пилота - "Fly the airplane" - означает, что пилот обязан быть в контуре управления всегда,в любую минуту времени полета.


В данном случае - самолет, уверен, кричал всеми возможными способами, что происходит хрень какая то.
 
Последнее редактирование:
Скажите, а насколько часто пилоты сравнивают показания двух высотомеров ? Ведь это как раз та процедура "следить" по философии Боинга. А вот если бы высотомер заглючил не в минус а в плюс ? Следим за высотой, а тут раз и земля. И прощальный "п#$дец" даже крикнуть не успеешь...

Не знаю, мне как-то в свете этих событий больше по душе "философия Airbus". Где автоматика все проверяет и действительно помогает пилотам. Да и роняли Эйрбасы в основном "философы Боинга", отключавшие автоматику...
 
Денис, а Вы не имеете доступа к тренажёру? Не пробовали смоделировать ситуацию хотя бы по тем параметрам, которые известны?
 
Вопрос: на современных бортах остались барометрические указатели (я имею ввиду именно приборчик со стрелкой и веньером давления), или уже канули в историю?