Airbus A330 crashte bijna door softwarefout

Uit een onderzoek naar een vliegincident met een Airbus A330 van de Australische luchtvaartmaatschappij Qantas, waarbij 119 gewonden vielen, is gebleken dat de oorzaak lag bij een foutief algoritme in de boordcomputer van het toestel.

Airbus A330 Qantas Op 7 oktober 2008 maakte een Airbus A330 tweemaal een geheel onverwachte duikvlucht. Het verkeersvliegtuig van Qantas had op dat moment 303 passagiers en 12 bemanningsleden aan boord. Door de plotselinge dalingen raakten 110 passagiers en negen bemanningsleden gewond, van wie 12 ernstig. Veel inzittenden vlogen door de cabine en raakten, omdat zij geen gordel om hadden, met hun hoofden lockers en het plafond. Bovendien viel kortstondig de cabinedruk weg.

De piloten zouden tijdens het incident zijn overstelpt met incorrecte waarschuwingen en onjuiste indicaties van de hoogte en de snelheid. Ook werd de automatische piloot uitgeschakeld. De piloten wisten na een noodoproep een noodlanding te maken op het vliegveld van de Australische plaats Learmonth.

Australische autoriteiten stelden een onderzoek in naar het incident. Uit het onderzoek, dat ruim drie jaar in beslag nam, is gebleken dat een van de drie snelheidssensoren onjuiste informatie doorgaf aan de boordcomputer. Deze besloot, na de foutieve input te hebben verwerkt, om de Airbus flink te laten dalen, zo meldt Fairfax Media.

Behalve het defect aan de snelheidssensor constateerden de onderzoekers dat een algoritme in de boordcomputer die de snelheidsinformatie moet verwerken, niet in staat was om de incorrecte snelheidsinformatie van slechts één sensor op een juiste manier te verwerken. Twee soortgelijke incidenten zouden zich hebben voorgedaan bij een Airbus A330 en A340, toevallig beide van Qantas. Inmiddels zou Airbus de software in de boordcomputer hebben aangepast, waardoor de onderzoekers er vrij zeker van zijn dat soortgelijke incidenten niet meer zullen voorkomen.

Reacties (208)

Verwijderd 20 december 2011 17:41

Ik werk zelf aan dergelijke complexe software voor *************** *edit: beter niet noemen* installaties, en neem maar gerust aan dat het zeer lastig is om vrijwel iedere combinatie uit te sluiten en 100% altijd werkend te maken.

Dat 1 van de 3 niet functioneert en dat er dan rare dingen gebeuren zal of niet in geprogrammeerd zitten, of het is wel geprogrammeerd maar tijdelijk valt naast bijvoorbeeld de 2e kapotte sensor ook het contact met een 3e sensor weg. Daar valt je mooie algoritme of regelcircuitje al. Je gaat nu vergelijken tussen een goede en een slechte. Tja welke is nu goed, en welke slecht? Zeg het maar...

Ik kan me heel goed inbeelden dat er op een gegeven ogenblik de informatie van een tweede sensor tijdelijk niet voor handen is door dat er op het gebruikte protocol andere data voorrang krijgt. Krijgt de software dan gedurende een aantal loops geen nieuwe input dan kan hij dus ook niet meer detecteren dat de 3e sensor defect is, of een rare waarde aangeeft. En wat er dan gebeurd is maar de grote vraag.

Wat ik hiermee aan wil geven is dat vaak het in de software wel afgevangen is, maar dat je ook nog afhankelijk bent van een bepaald netwerk/protocol waarop de data overdracht verwerkt wordt. Denk bijvoorbeeld aan profibus protocol of een optifiber netwerk etc. Deze netwerken kunnen door bepaalde factoren volstromen met info waarbij bepaalde data voorrang gaat krijgen op andere. En dat kan hele rare effecten geven op de software die opeens bepaalde data niet ontvangt en zonder de vereiste input toch moet proberen de automatische piloot juist te laten functioneren...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:43]

Soldaatje @Verwijderd • 20 december 2011 17:48

Ok niemand zegt dat het een makkelijke puzzel is, en daarom moeten dit soort dingen dus extra gecontroleerd worden. Wat dus geld kost en geen enkel bedrijf zin heeft om te betalen tenzij het verplicht is.
Dus verplichten dat alle software door een extern bedrijf nagelopen wordt zou al een hoop schelen.
Maar ja, dan gaan de ticketprijzen weer omhoog en dat wil ook niemand.
En daarnaast is het maar een incident, uiteindelijk blijft vliegen veiliger dan autorijden, met of zonder extra maatregelen.
Die paar doden per jaar moeten we maar voor lief nemen.

mashell @Soldaatje • 20 december 2011 18:27

Ondervinden de ticketprijzen nou echt invloed van de toestelprijzen? Die toestellen kosten vele miljoenen, worden over vele jaren afgeschreven hebben enorm veel duur onderhoud nodig. Dan is expliotatie van een luchtvaartmaatschappij met vele kosten (salarissen), brandstoffen, belastingen, landingsrechten etc toch van veel meer van invloed op de ticketprijzen dan een paar maandjes extern testen?

Stannieman @Verwijderd • 20 december 2011 18:04

Wat al veel zou oplossen in zo'n gevallen is de piloot een melding geen in de aard van "het vliegtuig krijgt deze data binnen en wil dat doen voor de veiligheid".
Dan kan de piloot toestemming geven of zeggen "neen ik weet wat ik doe".
Als hij voor ik weet wat ik doe kiest komt er dan nog een melding die vraagt of hij zeker is dat hij niet gedesoriënteerd is en dergelijke. Zo blijft de piloot altijd het laatste woord hebben.
Het feit dat een vliegtuig met autopiloot duikvluchten maakt hoort niet te gebeuren. Zulke bruuske bewegingen zouden enkel mogen gebeuren indien de piloot daar expliciet toestemming voor geeft.

Stoney3K @Stannieman • 21 december 2011 00:10

Wat al veel zou oplossen in zo'n gevallen is de piloot een melding geen in de aard van "het vliegtuig krijgt deze data binnen en wil dat doen voor de veiligheid".
Dan kan de piloot toestemming geven of zeggen "neen ik weet wat ik doe".
Als hij voor ik weet wat ik doe kiest komt er dan nog een melding die vraagt of hij zeker is dat hij niet gedesoriënteerd is en dergelijke. Zo blijft de piloot altijd het laatste woord hebben.

Ik zou zelfs willen stellen dat in zo'n situatie de co-piloot zoiets zou moeten bevestigen.

Volledige FBW uitschakelen zou je dus moeten doen met een combinatie van knoppen van zowel de piloot als de co-piloot als het nodig is.

corl @Verwijderd • 20 december 2011 18:06

Dat is wel zo maar... Snelheid en Hoogte zijn (denk ik) de meest belangrijke waarden die een computer krijgt. Als er kans is op verstopping of processing tijd dan zouden deze altijd voorrang moeten krijgen. Indien dat niet zo is is er toch echt iets mis in de software en/of hardware.
Om een vliegtuig rechtdoor te laten vliegen zijn er maar een tiental waarden echt belangrijk (die moeten dus altijd gecontroleerd voorhanden zijn).

Verwijderd 20 december 2011 18:26

Als vliegtuigtechnicus jeuken mijn vingers om me te mengen in deze discussie...maar als trouwe tweakers.net lezer wil ik vooral opmerken dat ik het zonde vind dat het woord "softwarefout" een trigger is om hier een artikel aan te wijden op Tweakers.net.

De meesten hier hebben geen benul wat voor techniek er schuilgaat achter het in de lucht krijgen en houden van een vliegtuig. De reacties op een artikel als deze leiden veel te vaak tot generalisatie door het gebrek aan kennis en dat vindt ik zonde.

Het is een heel andere wereld dan die van de pc's, supercomputers en stille koelers...

The_Butler 20 december 2011 19:32

Als engineer van veiligheids software heb ik zo mijn bedenkingen dat het een simpele "two out of three" fout is, als dat wel zo is dan wil ik niet weten wat voorn andere potentiele fouten er rondsluipen in die vluchtcomputer(s). In de chemische industrie zie je de laatste tijd steeeds meer sensoren die zichzelf bewust zijn van hun omgeving. Doordat de sensoren steeds beter worden begint er een nieuwe koploper te komen als oorzaak van incidenten in de chemische en olie and gas industrie; veiligheids sensoren moeten namelijk om de zoveel tijd (denk aan 8 maanden tot 3 jaar) getest worden. En na het testen vergeet men wel eens zo'n sensor weer goed "online" te brengen. Denk aan een temperatuur sensor die niet goed in de pijpleiding wordt terug gezet, of een PH meter die geisoleerd is en dus alleen de PH in 10cm pijp meet, en niet van het process. Moderne sensoren kunnen de karakterestiek van het proces "aanleren" en geven een alarm signaal als ze niet blij zijn met hun omgeving. In de software kan je dan besluiten om die sensor niet meer te gebruiken in de 2oo3 berekening (uiteraard wordt het alarm bericht aan de operators getoond en gelogd). Ik mag hopen dat de zelfde technologie op vliegtuig sensoren wordt toegepast?

Astennu 20 december 2011 17:24

Toch wel een kwalijke zaak. Maar dat krijg je helaas met steeds complexere software.
Er zitten gelukkig al wel meerdere sensors in. Maar als de software vervolgens niet kan concluderen dat een niet klopt en die data gaat gebruiken gaan er natuurlijk rare dingen gebeuren

rsbroer @Astennu • 20 december 2011 17:37

Maar het ergste is dat dit helemaal geen complexe software zaken zijn

2 out of 3 selectie is zo'n beetje de basis van fault tolerant systemen.
Ongelovelijk dat dit niet getest wordt, je moet bij iedere sensor ervanuit gaan dat hij stuk gaat of een verkeerde waarde aangeeft tov de andere. Dat moet ten alle tijden een veilige aktie tot gevolg hebben.
We hebben het hier nog niets eens over meervoudige fouten.

Garyu @rsbroer • 20 december 2011 18:58

Dit wordt in principe ook getest, wat denk je hoe een software-ontwikkelproces eruit ziet als je dit in de boordcomputer wil implementeren?

Even als achtergrond: boordcomputersoftware moet volgens DO-178B DAL-A (hoogst mogelijke niveau) ontwikkeld worden, wat betekent dat je hele proces enorm gedetailleerd wordt. Dit betekent onder andere:

hazard analysis en failure-analysis: wat gebeurt er als er iets niet werkt, en hoe ga je daarmee om. Van elke mogelijke bitflip (radiation, etc) moet beschreven worden hoe je ermee omgaat en waarom dat niet tot een failure kan leiden
je hele concept moet fail-operational en 3x- (onafhankelijk) redundant zijn.
3x redudant betekent meestal niet alleen hetzelfde systeem 3x inbouwen, maar drie verschillende systemen die hetzelfde doen, om een design-failure uit te kunnen sluiten.
van elke requirement moet precies beschreven worden in welke line-of-code(s) die requirement afgehandeld wordt
van elke line-of-code moet precies beschreven worden welke requirement(s) het afhandelt
je moet middels tests -alles- bewijzen, maar dan ook -alles-.
je moet je code door meerdere collegae laten controleren, en bij elke review waar fouten gevonden worden, moeten de requirements aangepast worden
etc, etc.

Bugs zijn onvermijdelijk, maar ze moeten niet tot een crash leiden. In dit geval schijnen ze er eentje te hebben gevonden - als dat alle 10.000 jaar gebeurt (is omgerekend je statistisch toelaatbare kans ongeveer (10^-9), dan hoop ik dat dat niet nog vaker gaat gebeuren.

[Reactie gewijzigd door Garyu op 23 juli 2024 00:43]

latka @Garyu • 20 december 2011 22:15

Formele verificatie is geen onderdeel van die standaard? Bizar: met testen kun je helemaal niet de afwezigheid van fouten aantonen, alleen de aanwezigheid...

Garyu @latka • 21 december 2011 14:45

Nee, dat bestond ten tijde van de ontwikkeling van de standaard nog niet. Er wordt al jaren geknutseld aan de opvolger (DO-178C) waar model-based verificatie en formele verificatie wel beschreven zijn.

Xanaroth @rsbroer • 20 december 2011 19:22

Maar hoe weet je dan dat de 2 out of 3 moet zijn, niet 1 out of 3? Dat is juist het probleem met dit soort algoritmes, bepalen welke goed/fout zit onder sterk variabele omstandigheden. Zie ook:

Bovendien viel kortstondig de cabinedruk weg.

De piloten zouden tijdens het incident zijn overstelpt met incorrecte waarschuwingen en onjuiste indicaties van de hoogte en de snelheid

Als ik het goed begrijp, bepaalde de software in dit geval dat juist de overige 2 incorrect waren (waarschijnlijk door een vergelijking op basis van andere meetinstrumenten). Daarop volgde de rekensom dat onder andere ook de hoogte foutief was met als gevolg veel alarmen (immers werd de verkeerde sensor als correct verwerkt, waardoor andere waarden onveilig werden en ingrijpen door de computer vereist was).

Probleem in de software was dus niet het 2 out of 3 selectie in de basisvorm, maar de onderliggende criteria waarmee in dit geval onjuist werd vastgesteld welke er kapot was. Dan zit je al een aardig stuk complexer in de randvoorwaarden. Vooral als je het hebt over een fout die 0,000001% keer voorkomt (als ik het zo zie slechts 3 fouten over de miljoenen vluchten) zal zelfs een doorgewinterde expert of zelfs menig computerprogramma de fout niet kunnen ontdekken.

[Reactie gewijzigd door Xanaroth op 23 juli 2024 00:43]

hidden @Xanaroth • 20 december 2011 19:45

Mocht het zo zijn dat er 2 "stuk" zijn lijkt het mij sterk dat ze dan samen de zelfde snelheid aangeven.

indigo79 @hidden • 20 december 2011 22:52

Als ze correct werken geven ze ook niet dezelfde snelheid weer. Vergelijk in je auto bijvoorbeeld eens de snelheid van je teller met de snelheid van je GPS. In een vliegtuig zijn verschillende sensoren liefst ook gebaseerd op verschillende meetprincipes, dus daar heb je dat probleem ook. OK, ze zijn beter geijkt, maar er blijft een belangrijk verschil tussen zitten.

pe1dnn @rsbroer • 20 december 2011 22:16

Er worden massa's fouten gemaakt met software. Bekende anekdotes over bijvoorbeeld de 1e Airbus proeven die op Schiphol op de landingsbaan stuiterden omdat het fly by wire systeem niet lager wou dan 11 meter boven de baan, dat omdat het systeem dacht dat lager dan 0 meter niet kan; Schiphol ligt op 11 meter beneden NAP. Een andere over een F16 die bij een testvlucht de evenaar kruist naar het zuidelijk halfrond en meteen op z'n kop gaat vliegen: foutje in het teken in het navigatie systeem. Dit zijn de smaakmakende voorbeelden bij cursussen defensief programmeren; of ze kloppen weet ik niet.

Wat in elk geval wel klopt zijn de zeer vele incidenten die worden gemeld in Usenet nieuwsgroep comp.risks, een nieuwsgroep over computer gerelateerde risico's. Soms erg treurig wat je daar leest, echt de meest stompzinnige bugs in echt kritieke applicaties. Ik denk dat in de volgende editie ook deze Airbus bug aan de orde zal komen. Oude edities nalezen kan hier: http://catless.ncl.ac.uk/Risks/. Er is ook een zoekfunctie, zoek eens op Airbus en je ziet dat dit bepaald niet het eerste software probleem is van Airbus.

zeeg @pe1dnn • 21 december 2011 08:03

Het laagste punt van Nederland is 1) niet Schiphol en 2) 6.76m onder NAP. Zie ook http://nl.wikipedia.org/wiki/Laagste_punt_van_Nederland

carlo @rsbroer • 20 december 2011 18:53

Maar het ergste is dat dit helemaal geen complexe software zaken zijn

In dit sterk vereenvoudigde nieuwsartikel klinkt het inderdaad als een stomme fout die eenvoudig voorkomen had kunnen worden, toch hebben ze er drie jaar over gedaan om de oorzaak van het probleem te vinden...
Blijkbaar zijn de zaken toch iets ingewikkelder dan dit nieuwsartikel doet geloven.

latka @carlo • 20 december 2011 22:14

Of moest er een 'politiek wenselijk antwoord' komen en wilde Airbus de boel eerst ff. fixen voordat het bekend werd?

AlexanderB @rsbroer • 20 december 2011 17:54

Dat moet ten alle tijden een veilige aktie tot gevolg hebben.

in principe ging dat dus precies goed, want op t moment dat t vliegtuig stilstaat in de lucht, valt het als een steen naar beneden. de enige manier om de controle terug te krijgen is de neus naar beneden drukken en weer snelheid opbouwen, en dat is precies wat de computer (onterecht) deed. alleen, wat je al zegt, die 2 out of 3 faalde blijkbaar..

player-x @AlexanderB • 20 december 2011 18:47

Aan de andere kant is het eigenlijk best raar dat deze vliegtuigen geen noodknop hebben om alle sensors te negeren en alleen de acties van de piloot uit te voeren, door het vliegtuig dom te maken en te laten reageren als een pre computer, mechanisch bestuurd vliegtuig.

Want de software is zo complex, en word met elke generatie weer meer complex, een noodsysteem dat terugval op de ervaring van de piloten is denk zeer wenselijk imho.

@Ricochet

Dit soort grote vliegtuigen kun je simpelweg niet mechanisch besturen.

Dat is niet wat ik zij.

door het vliegtuig dom te maken en te laten reageren als een pre computer, mechanisch bestuurd vliegtuig.

Niet de computer uitzetten, maar in een stand te zetten dat de piloot 100% controle heeft over wat het vliegtuig doet, en van de computer geen zelfstandige correcties toe te laat.

[Reactie gewijzigd door player-x op 23 juli 2024 00:43]

Ricochet @player-x • 20 december 2011 19:42

Als die zelfde noodknop ervoor zorgt dat je gelijk een BWK aan boord hebt, die voor jou (als piloot zijnde) al je vlieg kritische systemen in de gaten houdt en je ook gelijk waarschuwt als er iets mis is, ja dan heb je helemaal gelijk.

Maar de werkelijkheid is niet zo eenvoudig. Dit soort grote vliegtuigen kun je simpelweg niet met spierkarcht besturen. De krachten op de besturingsvlakken zijn dermate groot, dat je die met spierkracht niet in beweging krijgt. Alles is servo gestuurd.

Dat Airbus er toevallig voor kiest om zijn vliegtuigen met fly-by-wire uit te rusten, maakt dat principe niet meer of minder (on)veilig.

Als je het orginele eind rapport doorleest, zul je ook merken dat het de AoA sensor was, die het niet goed deed. Daarnaast wist ADIRU #1 dat de meeste data invalid was. Toch is er een situatie opgetreden waarop ADIRU #1 zelf het hoogteroer heeft aangestuurd ivm AoA pieken. Orginele rapport hier, samenvatting hier

Overigens zijn er nog 2 van deze incidenten voor gekomen, ook beide bij Qantas. Nu is alles onderzocht en er is geen reden om aan te nemen dat manuals en / of procedures van Qantas hebben bijgedragen aan deze incidenten. Een ander detail, het is niet Airbus, maar de fabrikant van de ADIRU, die de software schrijft. Voor dit soort componenten worden altijd 3e partijen ingehurd, immers een vliegtuig bouwer, bouwt echt niet meer alles zelf.

@ S0epkip hieronder:

Je hebt helemaal gelijk, ik druk me volledig verkeerd uit. Ik bedoel te zeggen, dat een vliegtuig geen directe mechanische verbinding met de cockpit meer heeft, maar alleen nog een indirecte, immers er zit servo besturing tussen (en hoe die servo's dat doen, kan inderdaad hydraulisch zoals by Boeing en Airbus.)

[Reactie gewijzigd door Ricochet op 23 juli 2024 00:43]

S0epkip @Ricochet • 20 december 2011 21:34

Met behulp van hydraulica (Boeing) is een vliegtuig zeker nog wel mechanisch te besturen, handmatig (op spierkracht) gaat inderdaad niet lukken.

freaq @Ricochet • 20 december 2011 19:55

desalniettemin wil je de servo's handmatig kunnen besturen, het is geen supermanouvreerbare jet die je zonder computer niet onder controle kan houden, maar een stabiel vliegtuig en handmatige controle (by wire of niet) is gewoon wenselijk.

Verwijderd @player-x • 20 december 2011 19:26

kan, gewoon automatische piloot uitzetten. op de airbus heb je nog alternate- en direct law. Dat is vliegen zonder de computerbeveiligingen. maar geen piloot die dat handmatig zou inschakelen, want je kunt er "op het randje" mee vliegen zonder te crashen.
edit: dit was dus niet de automatische piloot maar de bijwerkingen van de beveiligingen in normal law met foute inputs. info hier:http://www.avherald.com/h?article=40de5374/0010&opt=0

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:43]

Nextron @player-x • 20 december 2011 19:07

Eens, maar dan introduceer je weer een situatie waar de computer de noodknop verkeerd interpreteert en zichzelf ongewenst uitschakelt. Dus op naar 3 van de 5 noodknoppen.

mrdemc @player-x • 20 december 2011 19:23

Die is er wel. De auto-pilot uitschakelen

Dan moet de piloot alles zelf doen, wat ze uiteindelijk ook hebben gedaan, en handmatig gaan landen.

Anonnymous! @player-x • 20 december 2011 19:52

Sensoren zitten in een vliegtuig omdat de zintuigen en waarnemingen van een mens bij lange na niet in staat zijn om de positie, snelheid en richting van het vliegtuig te bepalen op een hoogte van 10km, laat staan s'nachts.
En die ''Noodknop" zit er zeker wel op genaamd de Auto-Pilot overide, maar wat heeft dat voor nut in dit geval? de beslissing die de computer maakt in een fractie van een seconde kan je niet voorkomen voordat dat uitgevoerd word.

player-x @Anonnymous! • 21 december 2011 03:49

Niet de eerste keer maar wel om te ver komen dat het een tweede keer gebeurd.

Verwijderd @player-x • 20 december 2011 21:44

ze hebben wel degelijk een noodknop, ze noemen dat ook wel gewoon de autopilot uit zetten, en op basis van standby instrumenten te werk gaan

Stoney3K @Verwijderd • 20 december 2011 23:47

ze hebben wel degelijk een noodknop, ze noemen dat ook wel gewoon de autopilot uit zetten, en op basis van standby instrumenten te werk gaan

Je instrumentarium staat helemaal los van je autopilot hoor.

Bovendien heeft een Airbus ook nog een fly-by-wire systeem wat het vliegtuig beschermt tegen wat minder slimme vliegbewegingen van een piloot, en dat is een systeem wat iets lastiger (maar niet onmogelijk) is uit te schakelen.

mjtdevries @player-x • 21 december 2011 08:56

Aan de andere kant is het eigenlijk best raar dat deze vliegtuigen geen noodknop hebben om alle sensors te negeren en alleen de acties van de piloot uit te voeren

Wat je je moet realiseren is dat een piloot de sensors niet kan negeren om een vliegtuig te besturen.
Een piloot kan en mag niet alleen op zijn zicht naar buiten vertrouwen, dat zou juist extra ongelukken veroorzaken. De orientatie van de vlieger zit er veel vaker naast dan de instrumenten.

scsirob @rsbroer • 20 december 2011 18:13

2 out of 3 werkt goed als er 1 duidelijk foutieve informatie geeft. Het wordt een ander verhaal als de sensors informatie afgeven die binnen de design spec vallen maar toch fout zijn.

ari

@scsirob • 20 december 2011 19:25

Ook dan kun je eenvoudig constateren dat twee van de drie meters één waarde geven, en de derde afwijkt. Welke dan foutief is laat zich raden. Wil je helemaal fail-safe werken, dan schakel je de hele boel uit en laat je de piloot op de hand verder vliegen.

hackerhater @ari • 20 december 2011 22:30

Het probleem is alleen als er 2 van de 3 defect zijn
dan concludeerd de computer onterecht dat de werkende sensor fout zit.........

if something can go wrong, it will go wrong

Verwijderd @hackerhater • 21 december 2011 08:26

Tenzij natuurlijk die 2 foutieve ook nog niet dezelfde waarden van elkaar aangeven....

Stel voor je hebt een Snelheids sensor waarvan je gebruik maakt in de lucht van een Accelerometer die je integreert of 2x weet zo ff nie meer uit mijn hoofd.

Dan heb je één correcte sensor die aangeeft van 500km/u
Twee foute welke één 200 en 400 aangeven. Dan weet de computer inderdaad niet meer welke nou de correcte waarde is omdat je 2 sensoren nodig hebt die ongeveer dezelfde waarden moet hebben.

De software kan ook naar de TIJD kijken. Hey welke sensor faalde als eerste? Want twee sensoren die tegelijk op de nanoseconde stuk gaan is onmogelijk.
Je zet een microcontroller op die van alle drie een sample neemt per... zoveel uS.

Dan kun je dus ook dit omzeilen en duidelijk zien welke als eerste faalt. Een vliegtuig heeft geen plotselingen snelheids verminderingen. En als een sensor defect is kan dat dus wel gebeuren. Als dit gedetecteerd wordt door het samplen met tijd dan kun je dus ook met 3 sensoren feilloos fout correctie toepassen. Ook al falen er 2.

Ik denk gewoon dat het inderdaad een menselijke software fout is want je kan dit soort algoritmes wel goed waterdicht krijgen met allerlei controle posten. Die ook dubbel zijn uitgevoerd met verschillende soort werkingen.

indigo79 @ari • 20 december 2011 22:48

Er zijn geen drie dezelfde sensoren waarvan twee dezelfde waarden doorgeven en één iets anders. Er zijn drie verschillende sensoren, liefst gebaseerd op verschillende meetprincipes die altijd verschillende waarden doorgeven en om te beslissen welke waarde juist of fout zou kunnen zijn wordt ook nog gekeken naar wat andere (niet-snelheids) sensoren meten

En in dat geval is een sensor die een beetje maar net teveel afwijkt al heel wat lastiger te detecteren.

Een modern vliegtuig 'op de hand' besturen is trouwens niet bepaald evident en vaak veel risicovoller dan de automatische piloot z'n werk laten doen. Daarom dat die systemen zich niet voor elke futiliteit uitschakelen.

timberleek @rsbroer • 20 december 2011 17:56

2 out of 3 is inderdaad al iets waar het systeem mee verder zou moeten kunnen.

maar waarom moet hij alles zelf doen. waarom niet meteen een melding op het scherm toveren om de piloten in te lichten dat de sensoren van elkaar afwijken. dan is de piloot op de hoogte van het probleem en kan deze eventueel een juiste sensor selecteren om verder te gebruiken.

johnkessels87 @timberleek • 20 december 2011 18:46

Toch niet! Wanneer er slecht 1 foutieve/andere waarde wordt geregistreerd zal de auto-pilot/fd niet meer mogen funcioneren maar zal moeten worden gevolgen doormiddel van raw-date ofwel op het handje.

elteck @Astennu • 20 december 2011 18:01

Ja inderdaad. Een collega van mij was betrokken bij de ontwikkeling van een sensor systeem voor het monitoren van vibratie in de turbine motor. Dit was een opdracht van GE. Hij vertelde me dat er maar liefst 7000 vibratie sensoren in 1 turbine zitten. Het gaat om monitoren van ombalans en slijtage in de lagering.
Het schijnt dat er de laatste decenia een "sensor revolutie" in de vliegtuig industrie heeft plaats gevonden. Alleen zijn de kwalificatie testen verouderd, die stammen nog van voor die "sensor revolutie", en testen onvoldoende op falende sensoren.

Wulfklaue @elteck • 20 december 2011 19:03

Het probleem is dat deze zelfde sensor revolutie, zich niet enkel voorgedaan heeft in de Vliegtuig industrie, maar ook op allerhande apparatuur.

Bekijk een auto van de jaren 90, en een nieuwe "moderne" auto. De elektronica, met de 1001 sensors is zo gegroeid, dat tegenwoordig je meer in panne staat wegens een sensor / elektronica probleem, dan een echt mechanische probleem.

Ergste van al is, dat mensen dit blijven slikken.

Je wasmachine stopt ineens met werken... 1 slechte sensor in gans het geheel, en de reparatiekosten zijn zowat 50% van wat je wasmachine kost.

Printers ... zelfde zooi. Hebben in het verleden op mijn bedrijf, meerdere keren een technieken laten komen, om uiteindelijk te ontdekken, dat 1 dom sensor lastig deed, met enorm productie verlies, en natuurlijk kosten. Zou actueel bijna goedkoper geweest zijn om een nieuwe te kopen, dan de reparatie kosten.

Ergste van al is, dat men natuurlijk geen deftig handleidingen meer meegeeft. Je toestel piept, of blinkt een waarschuwing ... en je denkt ... WFT betekend dat nu.

Ik rij met een bijna antieke auto, maar die rijd perfect. Bijna geen sensors, en elektronica. Als ik zie de problemen dat mensen om mij al gehad hebben met hun voertuigen, vaak wegens de elektronica ...

Soms vind ik dat men gewoon te ver gaat. Het is niet omdat je kunt een sensor installeren voor x, dat je moet. Zeker als x niet "belangrijk" is.

Nu, bij zaken zoals wasmachine, printers, auto's is de schade nog "beperkt", maar als men idd ziet dat bij vliegtuigen, bij een beetje sensor probleem, het vliegtuig bijna gaat crashen...

En dan was er daar ene van RyanAir, of welke goedkope vliegmaatschappij dat het ook weer was, dat, omdat vliegtuigen toch zo geautomatiseerd zijn, dat men de co-piloot wilde afschaffen. Beeld je in. Piloot moet naar WC, vliegtuig sensor fout, ...

VNA9216 @Astennu • 20 december 2011 18:43

Doet me een "mop" denken:

"At a recent software engineering management course in the US the participants were given an awkward question to answer. "If you had just boarded an airliner and discovered that your team of programmers had been responsible for the flight control software how many of you would disembark immediately?"

Among the ensuing forest of raised hands, only one man sat motionless. When asked what he would do, he replied that he would be quite content to stay onboard.

With his team's software, he said, the plane was unlikely to even taxi as far as the runway, let alone take off. "

Je zal toch de verantwoordelijkheid hebben....

Cpt Placeholder 20 december 2011 17:26

3 instrumenten die het niet met elkaar eens zijn maar de software doet daar niks mee? Crash van Turkish Airlines bij Schiphol werd ook mede mogelijk gemaakt door zo'n programmeer fout. Vraag me toch sterk af wat voor mensen die software maakt en door hoeveel mensen het gecontroleerd wordt.

Ximinez @Cpt Placeholder • 20 december 2011 18:20

Je hebt waarschijnlijk het rapport van de De Onderzoeksraad Voor Veiligheid niet gelezen wat die Turkish Airlines crash was niet het gevolg van een software fout.

Dan is er nog een wezenlijk verschil tussen de betreffende toestellen. Boeing is geen voorstander van volledige fly by wire en past dat dan ook niet zo ver toe als Airbus. Airbus toestellen zijn volledig fly by wire. De software heeft hier nadrukkelijk een veel prominentere rol.

Reden waarom er een type en class ratings bestaan voor het mogen besturen van een bepaald type toestel.

Maar mocht je de AOPA stukken lezen dan is recent een interessant artikel verschenen dat namelijk de piloten in de commerciële burgerluchtvaart zijn "vergeten" hoe ze moeten vliegen. Dat klinkt wat vreemd maar de jonge generatie is "opgevoed" met ver gevorderde automatisering en is in interactie met die automatisering en niet meer met de basis vaardigheden van het vliegen. Hoe herken en corrigeer je een overtrek. Er zijn genoeg voorbeelden van noodlottige crashes die het gevolg zijn van een te groot vertrouwen in de automatische piloot. Maar goed dit is niet waar het bovengenoemde artikel over gaat.

Ik wilde alleen duidelijk maken dat die vergelijking met de crash van de Turkish Airlines in dit geval mank gaat.

Stoney3K @Ximinez • 21 december 2011 00:00

Maar mocht je de AOPA stukken lezen dan is recent een interessant artikel verschenen dat namelijk de piloten in de commerciële burgerluchtvaart zijn "vergeten" hoe ze moeten vliegen. Dat klinkt wat vreemd maar de jonge generatie is "opgevoed" met ver gevorderde automatisering en is in interactie met die automatisering en niet meer met de basis vaardigheden van het vliegen. Hoe herken en corrigeer je een overtrek. Er zijn genoeg voorbeelden van noodlottige crashes die het gevolg zijn van een te groot vertrouwen in de automatische piloot. Maar goed dit is niet waar het bovengenoemde artikel over gaat.

En daar tegenover staat nog steeds dat de industrie te weinig vliegers heeft én de selectie voor het opleiden van nieuwe vliegers veel te streng is. Ze willen duidelijk wel voor een dubbeltje op de eerste rang zitten.

Cpt Placeholder @Ximinez • 21 december 2011 00:33

Ik zal niet zeggen dat ik alle rapporten volledig heb gelezen, maar wat ik er wel van heb gelezen zegt mij genoeg om te kunnen zeggen dat een software fout de crash mogelijk gemaakt heeft. De piloten hadden in de gaten moeten hebben dat het toestel te langzaam vloog. Het toestel vloog langzaam omdat de autothrottle uit ging van een hoogte van -7 voet. Deze waarde kwam van een van de 2 hoogtemeters, die op een eerdere vlucht ook al had gefaalt en vervangen had moeten worden.

Daar stopte het rapport ongeveer. Conclusie > fout piloten/Turkish Airways. Toch vind ik het vreemd dat het flightsystem dus geen input van de piloot vraagt op het moment dat de instrumenten sterk afwijkende waarde meten.

rapture @Cpt Placeholder • 20 december 2011 18:27

Het is gemakkelijk om een scriptje aan 1 instrument te hangen om iets te automatiseren ipv eerst controleren of er een instrument raar aan het doen is.

Naast 3 pitotbuizen, kan je ook GPS, gronddetectieradar, gyroscopen,... als informatiebronnen gebruiken. Het is belangrijk dat je andere technologieën gebruikt om een single point of failure zoals het bevriezen van pitotbuizen uit te sluiten. De ene bron is accurater dan de andere. Je kan andere gewichten en/of boven/ondergrenzen van acceptabele meetwaarden eraan hangen.

Als 1 instrument te ver afwijkt van de rest, dan gooi je die uit de vergelijking om te voorkomen dat het boeltje scheef te trokken wordt. Je kan het verdachte instrument nakijken en indien nodig manueel heractiveren.

Nu trekt de software een rare conclusie uit 1 defect instrument, bv gooi het vliegtuig tegen de grond bij Turkish Airlines crash bij Schiphol.

S0epkip @rapture • 20 december 2011 21:49

Wat me ook slim lijkt is steeds vergelijken met de vorige (gemiddelde) waardes voor hoogte (en positie van de roeren etc.) als hier voor EEN sensor opeens grote stappen worden gemaakt in een klein tijdsbestek (wellicht zelfs buiten de fysieke stijg- en daalvermogens van het toestel) dan kan de informatie van deze sensor vanaf dat moment als onbetrouwbaar worden aangeduid.

IceM @Cpt Placeholder • 20 december 2011 17:33

Die software wordt vast niet gecontroleerd en getest, als de programmeur het stukje software goed acht wordt het gecommit en uitgerold.....

Natuurlijk wordt die software tot in den treuren getest en er zullen allerlei (test)procedures zijn om incidenten en fouten zoveel mogelijk uit te sluiten. Bugvrije software is echter een utopie, fouten maken is menselijk en dat zal bij menselijke arbeid ook altijd blijven gebeuren. In dit soort gevallen kunnen die fouten echter grote gevolgen hebben, het is een beetje hetzelfde verhaal als chirurgen die fouten maken; onmogelijk om volledig uit te sluiten maar helaas wel met grote gevolgen.

Cpt Placeholder @IceM • 20 december 2011 17:39

Als een vliegtuig 2 hoogtemeters heeft, lijkt het mij niet een programmeerbugje als de software helemaal niets doet met de informatie van de tweede hoogtemeter, zeker als beide hoogtemeters een totaal andere waarde door geven. Dat noem ik een hele grote ontwerpfout. In dit geval had de autothrottle uit moeten gaan en de landing volledig over moeten laten aan de piloten.

Moartn @Cpt Placeholder • 20 december 2011 17:42

Met 2 meters is het nog best lastig, want als er 1 stuk gaat, welke van de 2 geeft de correcte waarde? Dat is moeilijk te bepalen. Met 3 zou het toch te doen moeten zijn: als er 1 waarde afwijkt van de andere 2 moet die genegeerd worden.

Maargoed, we versimpelen het hier natuurlijk gigantisch met z'n allen: die systemen zijn gigantisch complex en het ontwikkelen en testen van software van vliegtuigen kost tienduizenden manuren (zo niet meer), en fouten komen nauwelijks voor. Vliegen blijft toch een van de meest veilige manieren van vervoer

[Reactie gewijzigd door Moartn op 23 juli 2024 00:43]

timberleek @Moartn • 20 december 2011 18:00

maar wie zegt dat het systeem het op moet lossen?

waarom niet input vragen van de piloot.
ik krijg 2 afwijkende waardes van de hoogtemeter:
meter 1: 20.000 voet
meter 2: 8.000 voet

welke te gebruiken?

de piloot zal wel weten op welke hoogte hij hoort te zitten (al dan niet via analoge meter) of hij kan het opvragen bij de luchtverkeersleiding. zo'n beetje elke moderne toren ziet ook oa hoogte en snelheid van de toestellen. of is dat info die doorgestuurd wordt uit het toestel?

AlexanderB @timberleek • 20 december 2011 18:05

wrong, de hoogte van t toestel word afgelezen van de hoogtemeter van t toestel en opgestuurd via de beacon van t toestel.. zo zijn dr in de jaren 80 nog n paar flink gecrashed..

timberleek @AlexanderB • 20 december 2011 18:37

dat wist ik dus niet zeker, vandaar de vraag.

dan valt die optie dus af

VNA9216 @AlexanderB • 20 december 2011 18:46

Hoeft niet, op veel plaatsen kunnen ze je met actieve radar ook nog wel peilen. Alleen moet je wel weten waar je mee bezig bent, en het is natuurlijk veel minder precies. maar in een noodgeval zou het best nog wel haalbaar kunnen zijn om via die route je hoogte iig "in te schatten"

Mischa_NL @VNA9216 • 20 december 2011 20:32

Primary rader bedoel je dus. Dat is een passief systeem.
Secondary radar werkt dmv transponders in een vliegtuig, en deze sturen de informatie richting de grond. Fout in vliegtuig = fout op de grond.

johnkessels87 @AlexanderB • 20 december 2011 18:53

Ofwel via mode C of S van de transponder

Niosus @timberleek • 20 december 2011 18:21

Hoe weet de piloot dat nu in gods naam? het verschil tussen 8k en 20k is duidelijk, maar als het minder is dan kan je dat echt niet zomaar raden.

Stoney3K @Niosus • 20 december 2011 23:58

Hoe weet de piloot dat nu in gods naam? het verschil tussen 8k en 20k is duidelijk, maar als het minder is dan kan je dat echt niet zomaar raden.

Daar heeft hij, naast de twee hoogtemeters op de PFD's (Primary Flight Displays) die hun informatie halen uit de GNADIRU's, digitale hoogtemeters, dus ook een standby hoogtemeter voor.

Dat is een ouderwetse, mechanische hoogtemeter die niks anders is dan een veredelde barometer. Als die dus door de piloot goed is ingesteld (1013 millibar boven transition altitude, weersafhankelijk onder transition altitude), dan zal die altijd de juiste waarde aan de piloot doorgeven.

Is dat nu 20.000 voet in plaats van 8.000, dan kan de piloot ervoor kiezen om allebei de PFD's vanuit de GNADIRU van informatie te voorzien die juist is. De foutieve unit wordt dan door de piloot zelf uitgezet.

Moderne verkeersvliegtuigen hebben mede om die reden ook 3 units, als er 1tje een afwijkende waarde geeft wordt die naar de piloot gemeld als defect.

timberleek @Niosus • 20 december 2011 18:38

dergelijke grote afwijkingen zijn er dan al makkelijk uit te halen. en als het kleiner is is het alsnog verstandig om de piloot op de hoogte te stellen, dan kan hij (m/v)het in de gaten houden.

Jegorex @Niosus • 20 december 2011 18:49

Op dat moment geef je aan de verkeersleiding door dat er problemen zijn met de hoogtemeting en de verkeersleiding zal zorgen dat andere vliegtuigen uit de buurt blijven.
Vervolgens ga je naar het dichtstbijzijnde vliegveld waar je op zicht kunt landen en het zou mogelijk moeten zijn zonder exacte hoogtemeting.

Permutor @timberleek • 20 december 2011 18:08

Die kennen we! Dan leest de luchtverkeersleiding de hoogte op die op het radarbeeld bij het betreffende vliegtuig staat. Laat dat getal nu juist de meting zijn dat de transponder van het vliegtuig zelf heeft doorgegeven aan de verkeersleiding.

corl @Moartn • 20 december 2011 17:54

Toch zou het in de basis! niet zo moeilijk moeten zijn. Het blijft gewoon een vliegtuig dat onder normale omstandigheden gewoon in de lucht blijft vliegen.

Indien er een hoogte sensor afwijkt en de software heeft geen andere waarmee een goede waarde verkregen kan worden dient de software de volledige controle aan de vliegers over te laten. Die kunnen dan de beste afweging maken.

De software mag op dat moment niet zomaar een duikvlucht inzetten.

Verwijderd @corl • 20 december 2011 18:27

Maar daar zit je in een cirkelredenering. Hoe moet de software in godsnaam weten dat de sensor afwijkt zonder dat hij de correcte waarde weet? Je zou er wel probabiliteit ofzo kunnen opzetten (kans dat het vliegtuig 100m zakt op 10 sec op dit punt in de vlucht is klein) maar dan kan je nog altijd gevallen tegenkomen die er net tussen glippen.

johnkessels87 @Verwijderd • 20 december 2011 18:52

Daarom wordt er ook nog ge-cros-checked met de gps'. Llaag boven de grond kan dat ook nog met de radio-hoogte-meter.

mjtdevries @johnkessels87 • 21 december 2011 09:14

Een gps is ontzettend onnauwkeurig wat betreft hoogte meting. Het lijkt me extreem onwaarschijnlijk dat ze dat in een verkeersvliegtuig gebruiken.

johnkessels87 @mjtdevries • 22 december 2011 17:16

Bij 6 of meer sattelieten is dit naukeurig op enkele meters.

timberleek @Verwijderd • 20 december 2011 18:56

waarom niet een 'simpele' inclinometer erin.

als de hoogtemeter ineens een enorm verschil in hoogte ziet moet dat ook te zien zijn op de verticale versnelling.

Verwijderd 20 december 2011 17:27

Tja, Airbus... die laten veel te veel door computers regelen i.t.t. Boeing.
Daar gaat men er vanuit dat de piloot nog moet kunnen vliegen als de computers 't niet meer weten.
"If it ain't boeing, I'm not going!".

foobar79 @Verwijderd • 20 december 2011 17:40

Ja, maar deze fout is er nu wel voor altijd uit.

In tegenstelling tot een piloot, die kan altijd zijn dag niet hebben en een miscalculatie maken.

Veel mensen maken een onrealistische vergelijking:
Een automaat mag onder geen geval een fout maken terwijl dat bij een mens makkelijker wordt geaccepteerd.

Navi @foobar79 • 20 december 2011 17:45

En die automaat is geprogrammeerd door mensen..

Dus als de automaat het fout doet, is dat ofwel een hardwarematig defect waardoor hij het niet goed kan doen, of een softwarefout wat dus uiteindelijk weer menselijk is.

S0epkip @Navi • 20 december 2011 17:57

En hoe ontstaat die hardwarefout dan? Daar is zeker geen invloed van de mens geweest...?

Navi @S0epkip • 20 december 2011 18:48

Als je doorzoekt kom je daar meestal wel uit ja, bijvoorbeeld door slecht onderhoud of matige controle.

Hoewel het doorbranden van elektronica onverwachts kan gebeuren.

wildhagen

Beveiliging

@Verwijderd • 20 december 2011 17:29

Jij denkt dat een Boeing geen computers bevat, of dat die computers geen enkele controle uitvoeren?

Newsflash: een Boeing is ook best wel volgestopt met computers, net zoals elk groot passagierstoestel tegenwoordig

En ook Boeings bevatten fouten. Iets met Turkish Airlines een tijdje geleden die neerstorte bij Schiphol. Was een Boeing, met o.a. (technische) fouten van o.a. de automatische piloot. Laat die nou net computergestuurd zijn...

De tijd dat een toestel alleen door de piloot bestuurd werd, zonder enige mechanische/electronische hulp (noodgevallen uitgesloten) ligt al tientallen jaren achter ons...

[Reactie gewijzigd door wildhagen op 23 juli 2024 00:43]

kaasboer09 @wildhagen • 20 december 2011 17:58

Boeing bevat natuurlijk weldegelijk 'computers'. Groot verschil is dat Airbus de filosofie heeft dat computers het 'beter weten' dat piloten. Deze filosofie uit zich in dit geval als volgt: de piloot kan in een airbus de computer niet uitschakelen (overrulen) zoals dat wel kan in een boeing. Airbus maakt gebruik van zogenaamde laws (normal-law, alternate-law en direct-law). Deze laws geven aan in hoeverre de piloot controle heeft over het vliegtuig. Direct law wordt meestal (automatisch) geactiveerd als het toestel zich in een ongewone situatie bevindt. Klinkt natuurlijk alsof de piloot in direct law volledige en directe controle heeft over het vliegtuig maar niks is minder waar. Bovendien kan de direct law niet zomaar handmatig geactiveerd worden. Dus als hij in de normal-law blijft zal de computer voorkomen dat het toestel voorbij zijn operational limits gestuurd wordt (dus geen 'gekke' dingen doen zoals loopings, stalling etc). Als een snelheidsmeter aangeeft dat je te langzaam vliegt, wilt de boordcomputer voorkomen dat je gaat stallen. Resultaat: emergency decent. Oftewel een duikvlucht waarbij je ogen uit je schedel worden gedrukt.

Dit is dus NIET het geval bij een boeing. Een boeing geeft alleen (erg overtuigende) waarschuwingen. Maar laat de uiteindelijke beslissing over aan de piloot. (het systeem grijpt wel in maar dit kan altijd overruled worden)

EDIT: En wat betreft het turkish airlines hoogtemeter incident; het probleem daar was dat het toestel slechts 2 radiohoogtemeters bevatte. Als één stuk is, weet het algoritme niet welke stuk is en welke niet. In dat geval gaat het systeem uit van het slechtste scenario (dus die de laagste hoogte aangeeft) In het geval van airbus hoogtemeters zijn er 3 aanwezig. Als ééntje stuk is hoort een juist geprogrammeerd algoritme te beseffen dat twee identieke waarden (van de werkende meters) de juiste zijn. Maar dit was dus hier niet echt het geval denk ik ...

[Reactie gewijzigd door kaasboer09 op 23 juli 2024 00:43]

SanderHG @kaasboer09 • 20 december 2011 18:04

Direct law wordt meestal (automatisch) geactiveerd als het toestel zich in een ongewone situatie bevindt. Klinkt natuurlijk alsof de piloot in direct law volledige en directe controle heeft over het vliegtuig maar niks is minder waar.

Je haalt de 'normal law' en de 'direct law' door elkaar.

Tijdens 'normal law' zijn inderdaad die berschermingen ingebakken die niet te overrulen zijn door de vlieger.

Bij 'alternate law' valt de pitch bescherming en de roll bescherming weg, alleen de low speed, high speed, load factor limitation en yaw demping blijven actief. Je kan in alternate law dus een barrel roll doen mocht je daar zin in hebben (lijkt me niet handig).

Tijdens 'direct law' zijn er geen enkele beschermingen meer, het is dus feitelijk een Boeing geworden. Hij gaat bijvroorbeeld in direct law als alle (verschillende) fly-by-wire computers niet meer werken. De control inputs worden rechtstreeks doorgegeven aan de flight controls. In direct law kan je dus wel degelijk het vliegtuig over z'n operating limits heen krijgen.

[Reactie gewijzigd door SanderHG op 23 juli 2024 00:43]

kaasboer09 @SanderHG • 20 december 2011 18:26

Ja, maar probeer maar eens een barrel roll als je het systeem niet in direct law krijgt... Daar ligt het probleem.. het zijn geen computersystemen die falen. Het was een hoogtemeter dus het systeem zag geen aanleiding om naar alernate law of direct law te gaan. Maar misschien ik heb het inderdaad een beetje onzorgvuldig geformuleerd

SlasZ @SanderHG • 20 december 2011 19:44

Allemaal goed en wel maar dan moeten de piloten wel op de hoogte zijn van die verschillende 'laws'. Blijkbaar was dat een van de oorzaken van de Air France crash in 2009: http://www.popularmechani...ance-447-6611877?page=all
Andere waren natuurlijk weersomstandigheden, geen duidelijke command structure en pech

SanderHG @SlasZ • 20 december 2011 21:19

Al die laws hoor je als piloot van op de hoogte te zijn ja, hoort allemaal bij de typerating die je moet halen om op een bepaald vliegtuig te mogen vliegen

Verwijderd @kaasboer09 • 20 december 2011 19:11

Dit is dus NIET het geval bij een boeing. Een boeing geeft alleen (erg overtuigende) waarschuwingen. Maar laat de uiteindelijke beslissing over aan de piloot.

Naar aanleiding van je reactie. Ik heb je strekking verkeerd begrepen.
IMO kijk je door een erg rose bril c.q. wat veel Nederlanders hebben wat uit de VS komt is goed wat uit Nederland / Europa komt niet.

Kijk ook even naar deze link.
nieuws: FAA: Boeing 787 Dreamliner gevoelig voor hackers

En een reportage over de A380 kijk tot het einde c.q. mis de laatste minuten niet. Daar wordt het waarde oordeel over de A380 gegeven.
Qantas A380 pilot speaks about 'finest landing'.

Ik denk dat alle vliegtuigbouwer zo goed mogelijk vliegtuigen proberen te bouwen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:43]

kaasboer09 @Verwijderd • 20 december 2011 19:43

Ik heb nergens een waardeoordeel gegeven volgens mij.. Ik ben juist voorstander van de Airbus-filosofie. Ook ik heb minder vertrouwen in mensen dan in computers. Ik denk dat het fly-by-wire law systeem zichzelf dubbel en dwars heeft bewezen. De menselijke piloot zit op zijn operationele top. Bij computers zijn de haalbare groeimogelijkheden nog erg groot (misschien zelfs oneindig groot). Een combinatie van de twee lijkt op het eerste gezicht misschien de beste oplossing maar de recente vooruitgangen zijn te groot om de noodzaak van stevigere integratie te onderkennen als volgende stap. Bovendien heeft Boeing zijn filosofie meer bijgesteld richting Airbus dan andersom (dreamliner, of nieuwe generatie B777, etc). "

S0epkip @kaasboer09 • 20 december 2011 21:58

Hoe wil je oneindige groeimogelijkheden van computers definiëren?

kaasboer09 @S0epkip • 21 december 2011 12:33

Gedefinieerd als dat ik voorlopig nog geen beperkingen zie voor computers waarin zij de piloten zouden kunnen vervangen. Ethisch gezien is het voorlopig nog ondenkbaar maar dat zal veranderen naar mijn mening. Het merendeel van de crashes tegenwoordig wordt veroorzaakt voor human error als response op een "non-normal" situatie.

Verwijderd @wildhagen • 20 december 2011 17:43

Waar lees jij dat ik denk dat een Boeing helemaal geen computers bevat of geen controle uitvoeren

Aannames...

Ik vind het systeem van Airbus téveel afhankelijk van computers, er worden beslissingen gemaakt zonder dat een piloot er zich al te bewust van wordt gemaakt.
Boeing gaat er net even wat anders mee om in mijn optiek (zo limiteerd airbus bijv. standaard de maximale bank van een toestel (is uit te schakelen), goed voor de veiligheid, maar ik heb toch liever dat een piloot een goed doordachte beslissing maakt dan een computer die bepaald dat er een duikvlucht gemaakt moet gaan worden).
Ik zie dan ook liever een stuurtje dan een joystick in een cockpit.

Turkish Airlines was voor een heel groot gedeelte pilot error, die niet reageerde op waarschuwingen die (ruim van te voren) werden afgegeven doordat 1 van de hoogtemetersystemen het niet juist deed. Ding was nog prima te landen geweest zodra men correct had gehandeld en het toestel zelf aan de grond had gezet (desnoods op een veld waar het zicht beter was dan op Schiphol), de fuel was er, de skills ook, alleen de uitvoering niet.

Sissors @Verwijderd • 20 december 2011 18:55

Uit mijn hoofd zijn veruit de meeste vliegrampen toch echt gebeurd door menselijk falen, dan kan je beter een computer het laten doen. Vreemd genoeg echter wordt van een computer ineens verwacht dat hij 100% juist geprogrammeerd is en er mag absoluut geen enkele fout in zitten, en anders moet een mens (piloot) het maar doen, terwijl die een hoop meer fouten maken.

Verwijderd @Sissors • 20 december 2011 20:32

Klopt, de laatste tientalen jaren blijft het aandeel menselijke fouten (zowel direct als indirect) rond de 70% bij ongevallen met vliegtuigen, en dit cijfer blijkt te stagneren.

S0epkip @Sissors • 20 december 2011 22:00

Op zich heb je een punt, de oosterscheldekering wordt ook niet voor niets door een computer (BOS) gestuurd, mensen worden o.a. gedreven door emotie, kunnen vermoeid raken, etc.

Verwijderd @Verwijderd • 20 december 2011 17:30

Dat is een standpunt wat je kunt innemen. Je kunt ook stellen dat als er iets misgaat in een Boeing de piloot te veel handelingen moet uitvoeren en daardoor het overzicht sneller verliest.

Verwijderd 20 december 2011 17:33

Typisch. De Airbus fabrikant gelooft meer in de computer om het vliegtuig te vliegen. Bij Boeing geloven ze meer in het kunnen van de piloot.

http://www.differencebetw...etween-airbus-and-boeing/

Dreamvoid @Verwijderd • 20 december 2011 18:15

Ah die oude discussies uit de jaren 80 en begin 90. Maar inmiddels is bij Boeing ook alles fly by wire en is de kwestie al lang achterhaald. Software gedraagt zich niet altijd zoals verwacht, menselijke piloten gedragen (zeker onder druk) zich ook niet even perfect, het is de kunst om de juiste balans te vinden.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 00:43]

Verwijderd @Dreamvoid • 20 december 2011 19:49

Ze vertelden dit punt laatst nog bij het programma Air Crash Investigation.

Verwijderd @Verwijderd • 20 december 2011 17:39

Bij auto's is het ook nog wachten op de eerste die crashed na falen van lane assist en adaptieve cruise control

corl @Verwijderd • 20 december 2011 18:00

Volgens mij hadden we al priussen die automatisch het gas in trapte (door een software foutje). Dus zo ver weg zijn we hier niet vanaf....

Stoney3K @corl • 21 december 2011 00:07

Volgens mij hadden we al priussen die automatisch het gas in trapte (door een software foutje).

Dat was geen software-foutje, wel een gaspedaal wat door ongelukkig ontwerp gewoon fysiek achter de mat bleef steken.

Stannieman 20 december 2011 17:29

Iemand die ooit die aflevering van air crach investigation heeft gezien waarbij er een insect de snelheidsmeter ontregelde?
Ik dacht dat er toen al voor gezorgd moest worden dat de boordcomputer niet zondermeer van de waarde van 1 meter uit mocht gaan. Blijkbaar heeft dus dit type vliegtuig (of enkel dit toestel) indertijd geen update gekregen.
Misschien moeten ze er dan maar eens naar kijken hoe DAT dan weer komt...
Ik mag er toch vanuitgaan dat als er in 1 vliegtuig een kwetsbaarheid wordt ontdekt, dat direct alle rondvliegende types van eender welk merk even gecontroleerd worden of ze niet dezelfde kwetsbaarheid hebben?

SanderHG @Stannieman • 20 december 2011 17:58

Een vliegtuig heeft meerdere autopilot computers die inderdaad elkaars data met elkaar vergelijken, al krijgt de ene informatie van het 1ste air data systeem, en de andere van een 2e, volledig onafhankelijk air data systeem. Zouden ze een verschil zien dan gaat als het goed is de autopilot eraf, en dat zal ongetwijfeld ook gebeurd zijn hier.

Op het moment dat een autopilot rare dingen aan het doen is, kun je deze als piloot altijd(!) overrulen. Dit kan door de autopilot uit te zetten, of gewoon control inputs te geven tegen de autopilot in en dan gaat ie er vanzelf af, of zelfs door de circuit breaker van de autopilot eruit te trekken. Als dit met een Boeing zou gebeuren zou je als piloot altijd de controle over het vliegtuig houden.

Bij een Airbus wordt dit moeilijker aangezien hij fly-by-wire is. In de computer zit de flight envelope ingeprogrammeerd en dat zijn de limieten die het vliegtuig kan. Als je dus bijvoorbeeld de control stick helemaal naar links zal duwen en hem daar houd zal hij tot 60 graden bank rollen, maar niet verder, dan grijpt de computer in en houdt hem op 60 graden. Zo zit het ook met de snelheid, zodra hij merkt dat hij de stallspeed naderd zal hij dit tegen proberen te gaan door of meer gas te geven, de neus naar beneden te doen of beide, ongeacht wat voor input de piloot geeft. Al geeft de piloot een full nose up input, dan nog zal hij met z'n neus naar beneden gaan door die beveiliging tegen stallen. Dit is ook te overrulen door alle fly-by-wire computers uit te zetten, dan valt dat weg en is het gewoon een normaal vliegtuig kwa inputs, maar dit staat nergens in de manuals van airbus. Dit is dus wat er bij dit vliegtuig gebeurt is. Is een ander probleem dan die crash door een beestje in de pitotbuis.

Tijdens takeoff horen beide piloten de snelheidsmeter te checken. De pilot monitoring roept het passeren van een bepaalde snelheid, bijvoorbeeld 80 knots (verschilt per type vliegtuig welke snelheid er geroepen wordt aangezien die voor meer dingen van belang is, maar dat is niet relevant voor dit verhaal), en de pilot flying checkt dan of zijn snelheidsmeter hetzelfde aangeeft. Is dit niet het geval dan word de start afgebroken, om dit soort rare dingen te voorkomen (zoals met dat insect in de pitotbuis). Bij die crash waar je naar refereert hadden de vliegers het gezien dat een snelheidsmeter niet goed werkte maar ze hebben de start niet afgebroken, terwijl dit wel zou moeten.

Glashelder

@SanderHG • 21 december 2011 00:54

Een 777 is ook fly-by-wire.

SanderHG @Glashelder • 21 december 2011 11:13

Dat klopt, alleen Boeing hanteert een andere filosofie dan Airbus met hun systeem, zij vinden dat de piloot altijd het laatste woord moet hebben en zo nodig het vliegtuig over z'n operating limits heen kan krijgen. De flight envelope kan overschreden worden door de piloten mochten ze dat nodig achten, iets wat bij een Airbus onder normale omstandigheden niet kan.

Glashelder

20 december 2011 17:27

Behalve het defect aan de snelheidssensor constateerden de onderzoekers dat een algoritme in de boordcomputer die de snelheidsinformatie moet verwerken, niet in staat was om de incorrecte snelheidsinformatie van slechts één sensor op een juiste manier te verwerken

Dit is overigens ook een probleem bij Boeing (in ieder geval bij de 737). Het gaat dan alleen niet om de snelheidsmeter maar om de hoogtemeter.

Erg slordig in ieder geval en in begrijp niet helemaal dat het niet in het hoofd van de ontwikkelaars op komt om in ieder geval standaard een waarschuwing te geven als instrumenten afwijkende metingen doen. Al is dit volgens mij nu wel het geval bij de 737

Ximinez @Glashelder • 20 december 2011 18:28

Als je de static ports of de pitot port afplakt (wat ooit is gebeurd waardoor een vliegtuig is gecrashed), wat is dan je referentie waarde om te constateren dat er een afwijking is. Zonder referentie is afwijkend gedrag niet te constateren.

Hoogte meting berust nog steeds op een zeer basaal principe. Met de komst van GPS is een extra parameter in de evaluatie mogelijk echter GPS is niet nauwkeurig in de verticale dimensie. Wel bruikbaar maar de basis is nog steeds luchtdruk en temperatuur voor de bepaling van de hoogte.

Om meteen maar te roepen dat de ontwikkelaars daar niet over nadenken is erg kort door de bocht.

Glashelder

@Ximinez • 20 december 2011 19:10

Ik verwacht ook niet dat de softwareontwikkelaars hier een oplossing voor hadden moeten bedenken. Ze hadden vanaf het begin af aan moeten doen wat ze nu doen: de piloot attenderen op de verschillende metingen. Dat daar behoefte aan is hadden ze toch wel eerder kunnen bedenken?

Mischa_NL @Glashelder • 20 december 2011 20:37

Ik kan je mededelen dat als jij in IMC conditions aan het vliegen bent, je gevoel je heel erg in de war kan brengen zelfs als je weet dat al je instrumenten werken. Op het moment dat ze elkaar gaan tegenspreken is het erg lastig om te bepalen wat correct en incorrect is.

Glashelder

@Mischa_NL • 21 december 2011 00:39

Is dat echt je argument om geen waarschuwing te geven dat een belangrijke instrumenten (waar je automatische piloot afhankelijk van is) tegenstrijdige waardes geven?

Het lijkt me een goede zaak dat je daar in ieder geval op geattendeerd wordt. Dan zie je maar wat je ermee doet als piloot..

Flying 20 december 2011 17:29

Zolang er mensen betrokken zijn bij de ontwikkeling van gelijk wat (software of hardware) zullen er defecten en fouten voorkomen. Fouten maken is nu eenmaal menselijk. Dat het nu juist in dit geval moet gebeuren, is jammer.

Meer testen, kun je dan roepen, maar zoals we al gemerkt hebben staan vooral deze mensen onder zware tijdsdruk om vliegtuigen op tijd afgeleverd te krijgen. Laat dat nu net een moment zijn waarop fouten gemaakt worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (208)

Sorteer op:

Weergave: