アカウント名:
パスワード:
着陸時に特定のタイミングでペダル操作するとFCPCが落ちるということ?むしろよく今まで問題にならなかったな。
操作系マッピングが各種センサーの数値で決まるモードによっていろいろ切り替わるようになっていて、かつ切替タイミングが個別自主判断で、判断タイミングが一致しないと異常と判定されるようですね。今回は何らかの原因でFCPC2のみがタイヤは未接地で機体は飛行中と誤認し、既に地上滑走モードで指示しているFCPC1を観察して、飛行中マッピングに照らしてペダル踏込量と舵角が不一致になっており異常、と判断したようです。FCPC1が切り離された後もFCPC2はタイヤ接地を認めず、FCPC2と3も不一致を見て冗長性が失われ、操作モードが直接則(Direct law)モードに切り替わってスポイラーやリバーサーがロックされたと報じられています。
どのみちモード不一致によって連鎖的に異常検知してしまうことの方が問題だからか、FCPC2のみがタイヤ未接地と誤認した原因は書かれていないですが、長期保管による劣化でタイヤ重量センサーの線が緩んでた切れてたとか、乗客が少なくて閾値に達しなかったみたいなオチはありそう。
FCPC1(地上)とFCPC3(地上) vs FCPC2(飛行中)、の2対1でFCPC2が切り離されるべきだったのにFCPC1が切り離されてしまったということ?
どこかで聞いた合議制になっているわけではなくて、FCPC1(コマンド)とFCPC2(モニタ)で判断結果が一致せず、FCPC2をコマンドに昇格、予備のFCPC3と比較してもやはり判断結果が一致せず、という流れっぽいね。
狂ったやつが生き残ってしまった3系統積むなら1:1比較をA:B,B:C,C:Aと3つやらんと積んだ3系統目を積むだけ重量無駄じゃね3つやっとけばBが狂ってもA:BとB:Cが切断されてA:Cが生き残ったのに。
3つを比較する部分が複雑になると、3つは正常だけどジャッジする機構が狂って全部死ぬパターンも発生する
その可能性は今回の事故の可能性より高いのかい?
それが事前にわかるようなら苦労しないわ
一か所壊れても他がカバーできるようにするのが目的なのに、一か所壊れたらすべてが機能しなくなるポイントを作ってしまうことのリスクを甘く見ていないかい?
ジャッジも3系統独立でいいじゃない。NGが報告されるまではどの系統の結果が使われてもいいんだから、どの系統を使うかジャッジする上位のシングルトンはいらないよ。
3系統のジャッジが別の結果を返した場合はどのジャッジを採用するかの判断が必要じゃないか。
多重化すれば優先順位の問題は避けて通れない。その中でも比較的ポピュラーなのが「メインとバックアップ」という優先順位決め打ちで、ジャッジの機構がシンプルになることで異常が出る可能性がある箇所を減らすメリットもある。
A,B,Cの3系統があってA:B,B:C,C:Aの判定がそれぞれ独立して行われているとして、A,B,Cの出力がそれぞれ正常の範囲内であればどの系統の値を採用しても構わないし、なんなら全部採用してもいいのだから、どの系統を採用するかジャッジする必要はない。仮にB系統が異常になってA:B,B:Cの判定がNGとなったら、出力が止まってC:Aの出力だけが生き残って採用される。
正常の場合は気にする必要がないのは当たり前。食い違いが起きたときにどれを信用するかが問題。現実にはOK/NGの二択で判断されるわけではなく、それぞれの判断が食い違ったときにどれをOKと判断するかが問題になる。どうやってOK/NGの二択に持ち込むかが問題になるのに、そこは解決済みのような都合の良すぎる理屈を持ち出しても無意味だぞ。
>食い違いが起きたときにどれを信用するかが問題。判定で食い違いが起きたら出力を返さないから信用問題は起きない。
> 判定で食い違いが起きたら出力を返さないから信用問題は起きない。
本気ですか?「どれを信用するか判断せず食い違いがあれば出力しない」というのは「(許容値以上の)食い違いがあればシステムを停止する」と変わりないですよ。今回のエアバス機のケースに近いものがお望みの挙動なんですか?
だから A:B, B:C, C:A の判定が独立して動くと言ってるじゃないか。Bに異常が起きて A:B と B:C が許容値以上の食い違いを検出して停止しても、C:A が出力を続けるから大丈夫。
コマンドとモニターは同一FCPC内での構成ですよ。地上と空中の判定で値が乖離していたら異常と判定して、メイン制御を他へ移して自分は故障とする。オートブレーキ以外は1台でも動いていれば使えるけど、今回は全てのFCPCが異常判定したので手動操作になった話です。
現実には0か1かで判断してるわけじゃないので多数決で決めるのは難しい。この場合FCPC1の決めたペダル踏込量や舵角をFCPC2は異常と判断した。事後で調べてその食い違いの原因が飛行モード/地上モードの違いによるものだったと判明しただけ。
3系統の個別自主判断のタイミングのズレを吸収するに十分なディレイを入れればいい(1msとかの高速で操舵する意味はない)同格で独立であることに意味があるはずの多重化システムに、なんで他を観察してダメ出しする機能なんかつけた?首をひねることだらけだ
なんのために多重化してるのか考えないで、多重化を神聖視してたのか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
障害発生条件 (スコア:0)
着陸時に特定のタイミングでペダル操作するとFCPCが落ちるということ?
むしろよく今まで問題にならなかったな。
Re:障害発生条件 (スコア:5, 参考になる)
操作系マッピングが各種センサーの数値で決まるモードによっていろいろ切り替わるようになっていて、かつ切替タイミングが個別自主判断で、判断タイミングが一致しないと異常と判定されるようですね。今回は何らかの原因でFCPC2のみがタイヤは未接地で機体は飛行中と誤認し、既に地上滑走モードで指示しているFCPC1を観察して、飛行中マッピングに照らしてペダル踏込量と舵角が不一致になっており異常、と判断したようです。FCPC1が切り離された後もFCPC2はタイヤ接地を認めず、FCPC2と3も不一致を見て冗長性が失われ、操作モードが直接則(Direct law)モードに切り替わってスポイラーやリバーサーがロックされたと報じられています。
どのみちモード不一致によって連鎖的に異常検知してしまうことの方が問題だからか、FCPC2のみがタイヤ未接地と誤認した原因は書かれていないですが、長期保管による劣化でタイヤ重量センサーの線が緩んでた切れてたとか、乗客が少なくて閾値に達しなかったみたいなオチはありそう。
Re: (スコア:0)
FCPC1(地上)とFCPC3(地上) vs FCPC2(飛行中)、の2対1で
FCPC2が切り離されるべきだったのにFCPC1が切り離されてしまったということ?
Re: (スコア:0)
どこかで聞いた合議制になっているわけではなくて、FCPC1(コマンド)とFCPC2(モニタ)で判断結果が一致せず、
FCPC2をコマンドに昇格、予備のFCPC3と比較してもやはり判断結果が一致せず、という流れっぽいね。
Re: (スコア:0)
狂ったやつが生き残ってしまった
3系統積むなら1:1比較をA:B,B:C,C:Aと3つやらんと積んだ3系統目を積むだけ重量無駄じゃね
3つやっとけばBが狂ってもA:BとB:Cが切断されてA:Cが生き残ったのに。
Re:障害発生条件 (スコア:1)
3つを比較する部分が複雑になると、3つは正常だけどジャッジする機構が狂って全部死ぬパターンも発生する
Re: (スコア:0)
その可能性は今回の事故の可能性より高いのかい?
Re: (スコア:0)
それが事前にわかるようなら苦労しないわ
Re: (スコア:0)
一か所壊れても他がカバーできるようにするのが目的なのに、一か所壊れたらすべてが機能しなくなるポイントを作ってしまうことのリスクを甘く見ていないかい?
Re: (スコア:0)
ジャッジも3系統独立でいいじゃない。
NGが報告されるまではどの系統の結果が使われてもいいんだから、どの系統を使うかジャッジする上位のシングルトンはいらないよ。
Re: (スコア:0)
3系統のジャッジが別の結果を返した場合はどのジャッジを採用するかの判断が必要じゃないか。
多重化すれば優先順位の問題は避けて通れない。その中でも比較的ポピュラーなのが「メインとバックアップ」という優先順位決め打ちで、ジャッジの機構がシンプルになることで異常が出る可能性がある箇所を減らすメリットもある。
Re: (スコア:0)
A,B,Cの3系統があってA:B,B:C,C:Aの判定がそれぞれ独立して行われているとして、
A,B,Cの出力がそれぞれ正常の範囲内であればどの系統の値を採用しても構わないし、
なんなら全部採用してもいいのだから、どの系統を採用するかジャッジする必要はない。
仮にB系統が異常になってA:B,B:Cの判定がNGとなったら、出力が止まってC:Aの出力だけが生き残って採用される。
Re: (スコア:0)
正常の場合は気にする必要がないのは当たり前。
食い違いが起きたときにどれを信用するかが問題。
現実にはOK/NGの二択で判断されるわけではなく、それぞれの判断が食い違ったときにどれをOKと判断するかが問題になる。
どうやってOK/NGの二択に持ち込むかが問題になるのに、そこは解決済みのような都合の良すぎる理屈を持ち出しても無意味だぞ。
Re: (スコア:0)
>食い違いが起きたときにどれを信用するかが問題。
判定で食い違いが起きたら出力を返さないから信用問題は起きない。
Re: (スコア:0)
> 判定で食い違いが起きたら出力を返さないから信用問題は起きない。
本気ですか?
「どれを信用するか判断せず食い違いがあれば出力しない」というのは「(許容値以上の)食い違いがあればシステムを停止する」と変わりないですよ。
今回のエアバス機のケースに近いものがお望みの挙動なんですか?
Re: (スコア:0)
だから A:B, B:C, C:A の判定が独立して動くと言ってるじゃないか。
Bに異常が起きて A:B と B:C が許容値以上の食い違いを検出して停止しても、C:A が出力を続けるから大丈夫。
Re: (スコア:0)
コマンドとモニターは同一FCPC内での構成ですよ。
地上と空中の判定で値が乖離していたら異常と判定して、メイン制御を他へ移して自分は故障とする。
オートブレーキ以外は1台でも動いていれば使えるけど、今回は全てのFCPCが異常判定したので手動操作になった話です。
Re: (スコア:0)
現実には0か1かで判断してるわけじゃないので多数決で決めるのは難しい。
この場合FCPC1の決めたペダル踏込量や舵角をFCPC2は異常と判断した。
事後で調べてその食い違いの原因が飛行モード/地上モードの違いによるものだったと判明しただけ。
Re: (スコア:0)
3系統の個別自主判断のタイミングのズレを吸収するに十分なディレイを入れればいい(1msとかの高速で操舵する意味はない)
同格で独立であることに意味があるはずの多重化システムに、なんで他を観察してダメ出しする機能なんかつけた?
首をひねることだらけだ
なんのために多重化してるのか考えないで、多重化を神聖視してたのか?