パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

着陸直後のエアバス A330 型機でフライトコントロールコンピューターが 3 台すべて停止したトラブル、最終報告書が公開される」記事へのコメント

  • ハードウェア3台冗長構成でも、ソフトウェアが同じだとソフトに問題があると全部止まる

    ソフトウェアも、完全に独立して製作された共用部分が無い3つのソフトウェアが必要
    仕様書部分から完全に独立した3つの制御ソフトウェアが必要

    • by Anonymous Coward on 2021年09月09日 17時50分 (#4109541)

      一応3系統とも別の会社が開発したソフトウェアで動作していると聞いた記憶がありますが、流石に同一入力同一出力を保証する以上仕様書部分は同一とせざるを得ないでしょうね。

      親コメント
      • by Anonymous Coward on 2021年09月09日 18時31分 (#4109580)
        スペースシャトルなんかだと、5台のうち1台だけ別の実装になってたはず。
        4台同時に落ちたときのバックアップで、4台同時に落ちる状態として想定されてたものが、まさに今回の条件みたいです。
        幸い実フライトでこのバックアップが活躍することは一度もなかったらしいですけどね。
        親コメント
        • by Anonymous Coward

          最新ロケットのFalcon9は3台だけどデュアルコアで計6プロセス
          3台全部が一致したときだけ実際にハードウェア操作が行われる
          一致してないときは直前の命令実行を続ける
          3台全部が壊れたときに起動する、予備の3台がある

      • by Anonymous Coward

        違うソフトで同じことを同じようにやるように作った。
        んなもん無理に決まってた。
        終わりみたいな。
        それでも落ちなかったので良かった?

    •  まだRTOSが出始めたころの教科書で、センサーを冗長化して多数決とるとき3個にしがちだけど間違い、というのを読んだ記憶があるのだがあれはその著者独自の主張だったのだろうか
       ひとつが故障したら残り2個が異なる場合に故障した方に決定が偏るから、と
      #著者名覚えてないからググってもどの本かわからん……
      #なお、おじいちゃんだからセンサー3個あるの忘れて4個目を欲しがっているわけではないのじゃよ

      親コメント
    • 「a330 TheAvionicsHandbook」で検索すると"12 Electrical Flight Controls, From Airbus A320/330/340 to Future Military Transport Aircraft: A Family of Fault-Tolerant Systems"とかいう詳細なPDFが何だか見れるんだが…斜め読みしてみると、

      件の3系統はFCPC1つとFCSC2つで構成されている。それぞれにcommandチャンネルとmonitorチャンネルのコンピューターを載せていて、commandとmonitorが乖離すると別系統にフェイルオーバーする感じ(読み間違ってたらゴメン)。FCPCだけ自動コーディングを使ってる(多分仕様のパラメータなんかを入れるとcommand側とmonitor側のソースを吐き出すんだろう。開発中等の仕様変更にもすぐに対応できるようにしてるんだろうね。)2つのFCSCは普通に人の手でコーディングされているみたい(開発中はFCPCのみで、ある程度仕様が固まってからFCSCの方を作ってるのかな?)(12.6.3.2 Automatic programming)

      A320のシステムでは例として80186と68010を使って2つのメーカーが別々に開発してるようなことが書いてある。(12.3.1.2 Dissimilarity)だから、3系統別メーカー開発の可能性も大いにある。

      //このPDF興味深いけど基本英語苦手なんだよなぁ…読むしかないことが多いけど…

      親コメント
      • A330は分かりませんが、
        ボーイング777のFBWは3台の別会社のプロセッサを使用していますが、 その設計者はエアバスから引き抜いた技術者で作ったと言われているので、A330も恐らく同じようなデザインだと思われます。

        簡単な概要としては
        高機能なFBW機能を提供するPFCは3台有って、それぞれがCMD/MONIT/STBYのチャンネルがあり、
        プロセッサもINTEL80486/AMD29050/MOTOROLA68040(CH割当はランダム)を採用して、プロセッサ固有の問題を回避しています。
        つまり3台実働,3台監視,3台予備が3BOXの計9台のプロセッサを利用しています。
        これが使用できなくなるとまたACEと呼ばれる別のBOXによって、
        乗員の操縦操作が単純にそのまま反映されるDIRECT MODE(マニュアルモード)によって飛行を継続します。
        ただし、今回のA330と同様に自動機能が一切無いので乗員にとっては相当面倒くさいです。

        A320はA330より先に作られてるのと短距離路線用の小型機種なので
        操縦舵面ごとの分類でELACとSECという2つのBOXに分けた上で、それぞれCMD/MONITORの2CHで作られてるようです。
        親コメント

日々是ハック也 -- あるハードコアバイナリアン

処理中...