Я читал, что некоторые самолеты имеют несколько автопилотов, особенно авиалайнеры.
В чем причина этого и как работает эта система?
Избыточность, особенно во время операций автосландинга.
Как это работает, зависит от конкретного типа самолета. В самых современных системах с тремя (или более) компьютерами управления полетом (FGCs) используется концепция «голосования» во время критических операций, таких как autoland. Все 3 компьютера самостоятельно вычисляют свои команды и голосуют за то, что делать. Среднее значение, или иногда среднее из 2 «наиболее похожих» значений, затем передается на исполнительные механизмы управления полетом. Таким образом, если какой-либо из компьютеров выйдет из строя и начнет создавать команды мусора, эти ошибочные команды не будут выбраны (они автоматически отклоняются схемой голосования). Система мониторинга также может обнаружить неисправный компьютер таким образом и перевести его в автономный режим, разрешив функцию «fail-active» — автоленд может продолжаться на двух оставшихся функциональных компьютерах.
Менее сложные самолеты, а также самолеты без автоландии, все еще иногда имеют 2 ФСК, но не поддерживают отказоустойчивую работу. В этих системах только один из двух компьютеров активен или выбран в любой момент времени. Переключатель передачи в кабине позволяет пилоту передавать управление с одного компьютера на другой, если он терпит неудачу.
И это не только авиалайнеры. Бизнес-джеты обычно также имеют двойные FGCs, и в последнее время даже небольшие самолеты авиации общего назначения, такие как Diamond DA-42, имеют двойные системы (Garmin G1000 в конфигурациях dual-gfc700).
На этой фотографии (нажмите для версии с высоким разрешением) показан Cessna Citation CJ business jet с двумя автопилотами Garmin. В верхней части PFD обратите внимание на небольшую зеленую стрелку, указывающую влево; это означает, что в настоящее время выбран левый FGC. На фотографии также показана кнопка XFR (передача) на панели выбора режима, в верхнем центре, прямо под панелью master caution/warning annunciator. Нажатие этой кнопки переключится вправо (#2) FGC и изменить стрелку на PFD, чтобы указать вправо. Эти показания достаточно репрезентативны для других двойных систем FGC.
Вот еще одна фотография Hawker 800 с Rockwell Collins Pro Line 21. Вы можете увидеть ту же стрелку на PFDs. В этом воздушном судне переключатель перехода обозначен «AP XFR» и снова на панели автопилота как раз под glareshield вверху панель к левой стороне.
И, наконец, фотография 767 с 3 FGCs и полной возможностью autoland. На этой фотографии немного трудно читать, но чуть выше панели отключения автопилота («пробел», выглядящий с правой стороны панели выбора режима, прямо под гларешитом) кнопки 3 обозначены» a/p ENGAGE»,» L «» C «и» R » для левого, центрального и правого FGCs. Во время autoland все 3 будут выбраны и освещены.
if any one of the computers fails and starts producing garbage commands
Поскольку FGC является частью программного обеспечения, и все программное обеспечение подвержено ошибкам и ошибкам, вполне вероятно, что любой данный FGC будет производить мусор от времени. Система голосования предотвращает крушение самолета, когда это происходит.
@Jumbogram на самом деле это крайне маловероятно . FGC и другое критическое для полета программное обеспечение тщательно разработано и протестировано в соответствии со строгими руководящими принципами разработки программного обеспечения . Это тогда экстенсивно проанализировано и проверено до сертификации полета. Ошибочные команды из-за ошибки программного обеспечения крайне маловероятны (но, да, технически возможны и предназначены для переносимости через избыточность).
@dvnrrs обязательный CS / инженерная лекция case study — всегда ожидать неудачи, следовательно, система голосования 🙂
@voretaq7 да, и обратите внимание, что инцидент, о котором вы говорите, привел к созданию стандарта программного обеспечения IEC 62304, который, вероятно, менее ограничительный, чем DO-178B, используемый в авиации. Я сам инженер-программист, и я утверждаю, что, хотя ошибки программного обеспечения произошли в критических для безопасности областях в прошлом, они по-прежнему крайне маловероятны в критической для полета авионике из-за довольно экстремальных уровней осторожности в использовании сегодня.
@Jumbogram большинство сбоев программного обеспечения авионики, как было обнаружено, возникают из-за ошибок в дизайне и спецификации или неспособности идентифицировать возможные угловые случаи .
Среди прочего, одной из причин является более высокое космическое излучение на большой высоте, например, по сравнению с уровнем моря, поток нейтронов составляет ~4X на высоте 1,5 км (высота Денвера) и ~300X на 12km(где летают самолеты). Это приводит к мягким ошибкам в электронных компонентах. См. этот обзорный документ для справки (раздел 2.3).