Re: [新聞] 波音前工程師告白:不會讓家人坐737 Max
※ 引述《Vett (Vett)》之銘言:
: 原文 https://bit.ly/2M2k7hJ
: 這篇文章我看起來是另外一個意思 稍微解釋如下
: 1. 位元反轉這個是宇宙射線導致的
: 2. 737ng系列的2億小時的飛行時間內並未出現過這樣的錯誤
: 那為什麼這個事情會被提出來?
: 因為 MCAS 是自主啟動的 不是由飛行員控制的
: 所以FAA定了 33 個測試場景
: 當電腦發生位元反轉 (例如襟翼收起/沒收起的訊號剛好反轉)
: 意外啟動了MCAS 那飛行員能不能救回飛機
變成英文教室了...
1.
737 飛控電腦一直都有兩套,但是每次飛行輪流用,下次換另一個
而不是同時動作互相比對
這次波音打算大改架構變成同時動作,理論上作得好的話是比較安全的設計
但又在趕時間壓時程,要改掉陳年架構又要完整驗證符合醒過來的 FAA 要求
難讓人樂觀看待進度...
2.
以五個位元來說扣掉正常的情形應該是 31 種組合,
可能是和記者溝通失誤,這個我們不強求..
位元反轉在737ng 沒發生過,也不是因為 MCAS 而被放大的問題,
是在重新驗證過程中另外抓出來的問題。
但有輸入就要了解當輸入不可靠時的最壞情形
不知道沒事,既然知道了就要徹底查水表的意思
不過這種驗證流程應該是波音在設計過程就要自己驗證過才對,理論上...
即使發生機率極極極極低,前兩次事故也還沒有跡象指向和位元反轉有關係
既然發現了可能有問題的地方,就要照規定驗證
並且也可以藉此了解當位元反轉發生時,機師所處的情境是什麼,
有什麼方式可以用,救回飛機的機會有多大,並不算是完全無關
因此 FAA 在六月找了兩個FAA 工程測試飛行員(一般是前軍方飛行員)
和一個FAA飛機評估組AEG飛行員(通常是前民航飛行員)來測試這些場景
其中舉的一個例子是 MCAS 作動的位元被反轉,
前後輸入關係大概是這樣我猜:
AoA -- MCAS -(0->1)- FCS
飛控電腦以為 MCAS 作動了(但其實並沒有),
把 control column 的 cut-off switch 「禁用」了 ,
因為 MCAS 需要禁用 cut-off switch 才能控制,
而 cut-off switch 本身卻是用來停止所有的自動動作的
(這看起來像是設計考慮不周導致人機優先權沒有定義得很清楚)
以上測試位元反轉的時候 MCAS 本身並「沒有」作動
: ----
: 我的結論是:
: 這組33個系列測試可能要壓死737MAX了
: 機上電腦即便是備援設計也繞不過測試條件
: 機組人員等於要熟記
: 當這33個場景發生時如何正確在短時間內正確操作來拯救飛機
: 此外 即便正確操作還得面對737max過時的處理器導致的指令延遲問題....
儘管這個理論失效模型未曾在任何情況中發生過,
但由於無法證明它不會發生,所以還是得在設計中考慮它發生的可能性
採訪中的所有人都同意,這幾個位元反轉的場景在現實中發生的機率極極極極低
上述未具名來源同時表示,先前報導處理器因資料過量
而處理變慢導致指令反應變慢的說法並不準確
3.
在測試過程中,測試飛行員依照尾翼落跑(runaway stabilizer)的標準流程,
恢復了正常飛行,但感覺到過程中需要的時間太長,
一個不專心的飛行員可能會產生錯誤的結果。
FAA標準是從狀況發生到飛行員開始反應的時間,
(先前寫成"飛行員查覺狀況到開始反應的時間"是錯誤的,更正如上)
自動駕駛時標準反應時間是3秒,手動駕駛時是1秒。
這看似很短,但對突發狀況來說其實不短。
類比的例子是在冰上開車打滑或遇到爆胎。
但仍然不能排除,每個司機或飛行員不專心的狀況。
測試的重點是要了解一般飛行員遇到這種情形時會如何反應。
(蕯利機長表示: 你測多少嘛,你說你測過多少次嘛)
因此 FAA 在測試中開始反應前加入了延時,重新測試。
這次三人中有一個人無法救回來。
那個人就是前述 AEG 飛行員,通常代表一般飛行員的反應。
這個測試結果讓波音天翻地覆了。
在此之前,波音將此(位元反轉)失效模型歸類為重大失效,
可以由組員操作減緩影響。
測試結果直接將模型重新歸類為「災難性」。
FAA不允許任何失效模型出現災難性結果,
因此波音被迫必須解決問題排除災難性後果。
解決這問題的一個方式是第二組獨立的處理器(系統?)
當兩組輸出不吻合時,不會有自動操控,飛行員必須手動處理。
以這來排除單點失效導致的系統災難性後果。
4.
波音最初的解法是讓 MCAS 接收兩個輸入,
只有當兩個輸入一致時 MCAS 才動作
但現在波音打算大幅翻修,將整個飛控軟體架構更新為雙通道系統。
最初的解法問題在於,即使感應器輸入都沒問題,MCAS都沒問題,
飛控出現的問題,例如位元反轉,仍然可能導致嚴重後果
(貼OK繃無法解決系統架構問題的意思)
在 MAX 系列,MCAS 是附加在原本 737 的飛控系統 Speed Trim System (STS)上,
STS 從一開始 1980 年代在 737-300 上導入時就是單通道系統。
整個飛控都更新為雙系統,不僅可以解決感應器不一致的問題,
也可以解決飛控不一致的問題。一開始就應該這麼作了。
這就帶出了另一個問題: 為何當初 MAX 認證時的系統安全分析沒有抓到這些問題。
本報三月報導過,認證是波音自己作的,FAA 技術人員受到上級壓力簽放。
五月時報導也指出,波音工程師也受到上級壓力要在分析過程中節制安全測試,
(以下略)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.8.250 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Aviation/M.1564907514.A.C05.html
推
08/04 17:50,
4年前
, 1F
08/04 17:50, 1F
推
08/04 18:32,
4年前
, 2F
08/04 18:32, 2F
推
08/04 18:43,
4年前
, 3F
08/04 18:43, 3F
推
08/04 19:21,
4年前
, 4F
08/04 19:21, 4F
→
08/04 19:21,
4年前
, 5F
08/04 19:21, 5F
→
08/04 19:21,
4年前
, 6F
08/04 19:21, 6F
推
08/04 21:19,
4年前
, 7F
08/04 21:19, 7F
推
08/04 21:47,
4年前
, 8F
08/04 21:47, 8F
推
08/04 21:48,
4年前
, 9F
08/04 21:48, 9F
→
08/04 23:06,
4年前
, 10F
08/04 23:06, 10F
其實這比較是系統設計、專案管理和商業決策層級的問題,
不是寫好程式就可以解決的
推
08/04 23:42,
4年前
, 11F
08/04 23:42, 11F
↓修正反應時間的定義
※ 編輯: prussian (220.132.8.250 臺灣), 08/05/2019 04:04:05
推
08/05 08:29,
4年前
, 12F
08/05 08:29, 12F
推
08/05 09:06,
4年前
, 13F
08/05 09:06, 13F
推
08/06 00:35,
4年前
, 14F
08/06 00:35, 14F
推
08/06 06:03,
4年前
, 15F
08/06 06:03, 15F
→
08/06 06:03,
4年前
, 16F
08/06 06:03, 16F
推
08/07 01:17,
4年前
, 17F
08/07 01:17, 17F
→
08/07 01:17,
4年前
, 18F
08/07 01:17, 18F
→
08/07 01:18,
4年前
, 19F
08/07 01:18, 19F
推
08/07 01:27,
4年前
, 20F
08/07 01:27, 20F
→
08/07 01:27,
4年前
, 21F
08/07 01:27, 21F
推
08/07 10:08,
4年前
, 22F
08/07 10:08, 22F
→
08/07 10:08,
4年前
, 23F
08/07 10:08, 23F
→
08/07 10:08,
4年前
, 24F
08/07 10:08, 24F
→
08/07 10:10,
4年前
, 25F
08/07 10:10, 25F
→
08/07 10:10,
4年前
, 26F
08/07 10:10, 26F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 4 之 4 篇):