個人資料
看海闊天空
看海闊天空
給我悄悄話
  • 博客訪問:
正文

一個理工男對波音737 MAX -8事故的疑問:傳感器和波音737-8的機動特性增強係統(MCAS)是如何工作的?

(2019-04-03 19:47:16) 下一個

過程控製(Process Control)中,最基本的概念:開環和閉環,反饋控製係統,控製係統的穩定性。

傳感器提供反饋信號,波音737-8的機動特性增強係統(MCAS)是一個閉環反饋控製係統。

根據飛機的飛行數據分析,這個閉環反饋控製係統是不穩定的。

從根本上說,波音737 MAX -8事故是過程控製(Process Control)的問題,閉環反饋控製係統讓飛機的飛行變得不穩定,上下擺動,不是傳感器的問題。如果一個係統在閉環反饋控製下不穩定,那麽一個開環(無控製)的係統會比有閉環反饋控製的係統更好。

一個本來穩定的係統,加了閉環反饋控製之後,反而變得不穩定了,這在工業界中,很常見。

很奇怪,波音人才眾多,為什麽至今沒有人提到閉環反饋控製係統不穩定的問題?

 

本人拋磚引玉。

[ 打印 ]
[ 加入書簽 ]
閱讀 ()評論 (26)
評論
Etornado 2019-04-04 23:45:58 回複 悄悄話 "為了證明波音飛機的安全可靠, 波音CEO親自乘坐軟件更新後的737-MAX,,,
但他乘坐的不是出事故的 MAX-8, 而是MAX-7 " --- 因為現在Max -8 不能升空,起飛即是違法。
曲肱而枕 2019-04-04 21:28:05 回複 悄悄話 不對。如果傳感器壞了,那就不再是閉環了。
方玉 2019-04-04 20:06:15 回複 悄悄話 為了證明波音飛機的安全可靠, 波音CEO親自乘坐軟件更新後的737-MAX,,,
但他乘坐的不是出事故的 MAX-8, 而是MAX-7 。
看海闊天空 2019-04-04 19:32:17 回複 悄悄話 多謝各位的參與和討論
偶然從錯誤中發現事實和規律,是理工男的樂趣。

波音737 MAX -8事故的疑問很多。
1) 據說,MCAS的軟件更新後,就可以杜絕事故的發生,波音的CEO也親自乘坐軟件更新後的飛機,證明波音飛機的安全可靠。這說明,原來的軟件有Bugs, 可是Bugs 在哪裏?如何消除?波音公司並沒有具體說明。反而是英國和加拿大的航空管理局說是要獨立評估該飛機的安全可靠性。可見,連鐵杆盟友都不相信FAA了,波音這事情弄得,,,糾結。
2) 攻角傳感器失靈:如果預計傳感器會失靈,就會裝兩個傳感器(Redundancy),由飛行員任選一個,作為信號輸入值。
3) 如果裝了兩個攻角傳感器, 就會裝兩個攻角傳感器誤差指示燈。如果誤差指示燈亮了,說明有一個攻角傳感器失靈。飛行員會根據經驗,選用可靠的信號輸入。
如果你把這些信息匯集在一起,波音公司告訴你,飛行員不需要知道MCAS係統,不需要經過培訓,那麽你得出的結論就是:波音是一個偉大的公司,但智者千慮,必有一失。
或許,這就是英國和加拿大的航空管理局說要獨立評估該飛機的安全可靠性的理由。

Fool me once, shame on you. Fool me twice, shame on me。
紅米2015 2019-04-04 19:11:35 回複 悄悄話 我就不明白這MCAS起什麽作用。按照報告,攻角數據出現錯誤之後,是晃杆失速警告首先啟動,然後足足過了大半分鍾MCAS才啟動。如果真是失速,收到警報後駕駛員不會采取措施嗎,MCAS有什麽必要?
夢千尋01 2019-04-04 18:49:21 回複 悄悄話 結合汽車Cruise control 係統,中文講刹車是爺係統,一旦踩刹車,Cruise control自通失效,飛機的自控係統也應該如此,應隻按一個按鈕就切換到手動,這按鈕就是自控係統的爺,它一按,別的都廢了,它是唯一的爺,別的都是孫子,飛機的自控係統邏輯有問題,不能設計成倆個按鈕同時按或先後按,也不能設計成轉輪子,隻能設計成一腳踩刹車,刹車是爺!
紅米2015 2019-04-04 16:19:51 回複 悄悄話 獅航事故之後,美國駕駛員都采用一起飛就起動autopilot的方式以避開MCAS,看來埃航駕駛員也是這樣做的。但是在傳感器數據出錯的情況下,autopilot似乎也很難控製好飛機。這時的正確做法應該是關閉autopilot,關閉電動trim電源,必要的話手動轉動轉輪將trim的位置調整到適當數值,保持這個狀態盡快返航著陸。埃航駕駛員做對了前兩步。從報告看不出他們到底有沒有用手動轉輪。從其他飛行員的經驗看,這個手動轉輪需要轉很多圈才能移動一點點,很費體力。如果埃航駕駛員之一確實使用了手動轉輪,那應該是副駕,他隻有200小時飛行經驗,也許對手動轉輪沒有體驗,以為它不工作。匆忙之中轉而使用電動,殊不知一通電MCAS也起動了!
紅米2015 2019-04-04 16:09:21 回複 悄悄話 唐西 發表評論於 2019-04-04 14:09:27
高度太低,就開啟自動駕駛是不對的,應該手動拉升更高才對。

現在這好像不算問題了,美國飛行員也是這麽幹的,按他們說法,輪子一離地就開自動。再說這次事故與自動駕駛關係也不大。
6ba6 2019-04-04 15:09:43 回複 悄悄話 放棄手動操縱尾舵簡直是致命的改版!這一直是波音跟空客的區別!玩砸了。活生生的例子,就是現在好多汽車手動刹車竟是一電動按鈕,而不是手拉把手,想像一下高速公路上, 按了那個按鈕竟無效.....,去看新車,第一問手動刹車是咋樣,按鈕的,直接拒掉..開車不是打遊戲,哈哈,
唐西 2019-04-04 14:09:27 回複 悄悄話 在大約1000英尺,開啟自動駕駛。
。。。。。。。
高度太低,就開啟自動駕駛是不對的,應該手動拉升更高才對。
紅米2015 2019-04-04 12:26:21 回複 悄悄話 根據剛剛發布的初步報告,埃航事故簡要過程如下:
1。幾乎一起飛,左側攻角數據就出錯,達到75度並一直保持到最後。晃杆失速警告啟動。左側速度高度數據全出錯(當初獅航飛機好像也是這樣,各種數據全錯)。
2。在大約1000英尺,開啟自動駕駛。不久飛機出現晃動。半分鍾後關閉自動駕駛。晃動持續。
3。很快MCAS第一次啟動。駕駛員以電動trim按鈕應對。數次後副駕關閉trim電源。
4。其後MCAS還發出了啟動信號,但trim並沒有動作,說明電源確實關閉了。
5。之後的2分半中trim緩慢下降。
6。機長要求副駕提高trim,副駕表示trim不工作,要求嚐試手動。(我理解這實際是要求嚐試電動trim,這也意味著需要重新開啟trim電源。這是最要命的一步!)
7。電動trim啟動了兩次,稍微提升了trim位置,但很快MCAS再次啟動,最終將機頭壓低到40度向下,盡管駕駛員拚命拉舵,飛機還是高速撞地。

http://www.ecaa.gov.et/documents/20435/0/Preliminary+Report+B737-800MAX+,(ET-AVJ).pdf
路邊的蒲公英 2019-04-04 10:11:00 回複 悄悄話 Etornado 發表評論於 2019-04-04 07:41:42
發動機的設計位置做了移動不是什麽大不了的事,隻要整體配重合理不會有什麽問題,這個凡是有飛行駕駛經驗的(例如我本人)、懂空氣動力工程的、甚至製作過航模的人都知道。應該不存在網上流傳的所謂發動機前置容易低頭或抬頭的事情,那些基本是不懂的人瞎猜的。
===============================================
“抬頭問題” 波音都承認的,油管上有視頻。
紅米2015 2019-04-04 08:24:57 回複 悄悄話 從目前得到的信息看,兩次墜機都是攻角數據出現錯誤導致的。如果攻角數據沒有錯誤的情況下MCAS曾經工作過,那麽這個係統在正常情況下還是穩定的。需要應對的就是攻角數據出錯的情況,原來對此估計不足。最簡單的就是交給駕駛員判斷。
hagerty 2019-04-04 08:14:56 回複 悄悄話 波音公司有救啦,這裏有大能人呀,快請去給你洗地吧,人家可是專業的嘔
Etornado 2019-04-04 08:12:41 回複 悄悄話 嗬嗬,您大概是波音737 Max -8 項目的工程師吧?久仰。
hagerty 2019-04-04 08:07:05 回複 悄悄話 樓下幾個半瓶子醋的人在這裏拽,可就是否定不了一個事實。波音是不得已才在max係列裏新加了這個係統的。因為他們自己知道,這個飛機隨時可能失速掉下來,才不得已加了這個係統好自動調節(墜地)
hagerty 2019-04-04 08:02:34 回複 悄悄話 常態 發表評論於 2019-04-04 07:32:14
老兄,現在連汽車都是電腦輔助駕駛的,沒有電腦的輔助駕駛功能,你連車都不會開。
沒有電腦,無論哪家的飛機都是板磚。
===================
你是說現在隻要不是max係列的飛機就都是手動駕駛的? 我無話可說了
Etornado 2019-04-04 07:47:30 回複 悄悄話 從理論上說,基本上,波音隻要把該係統function 某些係數設定調整一下,把bugs修正,再修改係統界麵,讓飛行員更容易調整係統、甚至關閉係統,即可。

歸根結底應該是波音在該項目上的測試時間不夠所置。
Etornado 2019-04-04 07:41:42 回複 悄悄話 發動機的設計位置做了移動不是什麽大不了的事,隻要整體配重合理不會有什麽問題,這個凡是有飛行駕駛經驗的(例如我本人)、懂空氣動力工程的、甚至製作過航模的人都知道。應該不存在網上流傳的所謂發動機前置容易低頭或抬頭的事情,那些基本是不懂的人瞎猜的。

隻要配重得宜,飛機發動機的安裝位置並不影響飛機整體飛行性能。例如單發螺旋槳小形機發動機都在機頭,客機發動機通常在機翼下方,水上飛機的在機翼上方,英國舊三叉戢客機三個發動機都在機身最末端......等等,再例如波音747還能駝架航天飛機在機背上。這些例子都說明其實配重得當,飛機飛行性能不會有問題。

那個737 MCAS係統的可能有某些設計缺陷都可能是真的。應該是由於短時間要上馬,所以測試效果不完整導致。就像樓下所說的,係統 function 某些 Delta 或 Lambda 係數調整量在某些情況下調整過大之故。
常態 2019-04-04 07:32:14 回複 悄悄話 老兄,現在連汽車都是電腦輔助駕駛的,沒有電腦的輔助駕駛功能,你連車都不會開。
沒有電腦,無論哪家的飛機都是板磚。

hagerty 發表評論於 2019-04-04 06:57:19
如何升級此係統我都不會座的。波音以前的飛機根本不需要此係統。max係列為了跟空客競爭更省油不惜以乘客生命為代價把飛機設計成了空中極易失去穩定的狀態不得已而增加了此係統。
hagerty 2019-04-04 06:57:19 回複 悄悄話 如何升級此係統我都不會座的。波音以前的飛機根本不需要此係統。max係列為了跟空客競爭更省油不惜以乘客生命為代價把飛機設計成了空中極易失去穩定的狀態不得已而增加了此係統。
westshore 2019-04-04 06:39:28 回複 悄悄話 這個事故更像是傳感器失效,MCAS獲得錯誤讀入導致的,否則所有使用MCAS的737都會栽了。
洛克希德開發F35的人員的平均年齡是60歲,兩百多人,波音大概也不會有太大區別,美國工業後繼無人。其實看看學校裏學STEM到了研究生院一級的有多少是美國人就知道了。
MCAS是個不得已的東西,否則就不能利用737的市場聲譽。用增加一個功能來保證以前已經具有的整體能力的維持,這屬於設計失敗,因為新增的內容並沒有增加整體能力,卻增加了一個失敗的可能。
但偏偏在這件事上屬於最大限度利用市場價值,也就是在錢與安全的矛盾中選擇什麽的概念。
唐西 2019-04-04 05:26:49 回複 悄悄話 其實波音這款機型是設計上有誤,配置的新發動機的設計位置做了移動,使得飛行中易低頭,於是就給點”偉哥”藥來補救,硬起,但時間不夠。結果軟硬不配,就出大事了。

cc44 2019-04-04 02:53:36 回複 悄悄話 閉環控製是肯定的,但是閉環控製還有一個魯棒控製的問題,how robust is it? 如果遇到一點點修正,係統做了很大的調整,那麽調整量delta太突然太大,則會導致係統突然做大幅度的調整,會使得係統崩潰。
Etornado 2019-04-03 22:21:44 回複 悄悄話 波音的事情可能更多是project management的問題。據說波音為了市場競爭,737 MAX -8從設計到定型製造隻用了9個月!當然也可以想象波音為了加快項目的進度,肯定是利用超級電腦做了N次模擬。但電腦模擬的測試和長時間實體測試還是有分別。

另外就是公眾注意力的問題,例如特斯拉的自動駕駛出了幾起由係統設計缺陷而導致的車禍,大家都在聲討特斯拉為了市場草管人命。其實按統計,使用特斯拉那個有缺陷的自動駕駛係統還是要比人手控製要安全得多!但公眾和媒體99.999999%都不是受過專業統計學訓練的工業工程師,很多事情觀點和看法不見得正確。
Etornado 2019-04-03 22:03:23 回複 悄悄話 類似機動特性增強係統的東西本不是什麽新鮮事,通常使用在放靜不穩定飛行器上,而且在70年代就開始使用了,例如F-16戰鬥機,或後來的F-117等。原理是通過傳感器把飛行姿態反饋到係統,讓係統自動調節機翼控製板麵,從而達到想要的飛行模式。這種係統能把本來不能“飛”的機器變成飛機。例如F-117。F-117是架為了達到隱身效果而違反傳統空氣動力學而設計的飛機,但通過電腦係統自動調節居然能讓它飛翔。

客機都是放靜穩定設計,如果飛行員不犯錯誤的話其實是挺安全的,本不太需要類似MCAS的東西。但波音把MCAS放到客機上使用其實是種技術上的升級,為的是減少飛行員犯錯的空間。無奈可能因係統有缺陷,或對飛行員訓練不足等因素導致兩起墜機意外。

另外飛行姿態控製係統做的比較好的不是波音,而是洛克希德。“閉環反饋控製係統不穩定的問題”並未係統原理本身,而完全是設計者自己本身技術能力的問題。洛克希德把閉環反饋設計的飛行姿態控製係統使用了50年了,從F-16、F-117、到F-35,從來沒大問題。故波音的事情大概是波音自己技術不成熟之故。
登錄後才可評論.