着陸直後のエアバス A330 型機でフライトコントロールコンピューターが 3 台すべて停止したトラブル、最終報告書が公開される 66
ストーリー by nagazou
公開 部門より
公開 部門より
headless 曰く、
昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。
このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。
FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。
ようわからんけど (スコア:1)
入力データや実装されているロジックに問題があればシステムを何重化しようともすべて落ちる、というある意味当たり前の話でしょうか?
Re: (スコア:0)
信頼性向上のために多重化した場合、間欠的に通信しながら演算結果の一貫性を確認しあってるわけだけど、その処理に障害が出たというところですかね
演算能力に余裕があれば改善は可能だと思いますが.....
「FCPC が 3 台ほぼ同時に停止した理由」 (スコア:1)
接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、
これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。
その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。
ええと、自分の理解が正しいのかいまいち自信ないのだが、なんか
「通常の運用の範囲内でも起きます」
と言っているように聞こえるのだが。
Re: (スコア:0)
なんだかなぁ
入力値がおかしくてゼロ割トラップでHALTしたみたいな挙動と
見分けがつかないんだが
台湾の航空会社は危険 (スコア:0, フレームのもと)
那覇空港で炎上するわ
名古屋の空港で墜落するわ
台湾国内でも度々墜落するわ
危険すぎる
Re:台湾の航空会社は危険 (スコア:2, 興味深い)
名古屋の件も本件もエアバス社のソフトが原因のひとつ。
エアバスのソフトは若干あれな気がする。と思ったけどボーイングも737MAXの機種下げとかあるか。
Re: (スコア:0)
姿勢情報がおかしくなる幽霊も無かったっけ。
アップデートで見なくなったというけど、原因分かってないと次のアップデートで現れるかも。
やはり自動が進んでもいざって時は人間がフォローできないとヤバいよな。
Re: (スコア:0)
エバーに乗りなさい
Re: (スコア:0)
俺もメーデー!のせいで中華航空は墜ちるイメージが刷り込まれた
Re: (スコア:0)
「華航四年大限」ですね
でも最後の死亡事故は2002年でそれ以来20年ほど死亡事故は起きていません
Re: (スコア:0)
メーデー!のせいでボンバルディアの機材には乗りたくない
つまりは (スコア:0)
FCPC1 「FCPC2なんとかしろ」
FCPC2 「FCPC3なんとかしろ」
FCPC3 「機長なんとかしろ」
機長 「チッ」
ということか
人間へとフォールバック (スコア:0)
FCPC1 「やべ…フェイルオーバーするしかない。FCPC2なんとかしろ」
FCPC2 「やべ…フェイルオーバーするしかない。FCPC3なんとかしろ」
FCPC3 「やべ…フォールバックするしかない。機長、ブレーキだけでいいから」
機長「え…わたし…フォールバック…副操縦士、お前もブレーキ踏めよ!」
副操縦士(当たらないでよ!)
障害発生条件 (スコア:0)
着陸時に特定のタイミングでペダル操作するとFCPCが落ちるということ?
むしろよく今まで問題にならなかったな。
Re:障害発生条件 (スコア:5, 参考になる)
操作系マッピングが各種センサーの数値で決まるモードによっていろいろ切り替わるようになっていて、かつ切替タイミングが個別自主判断で、判断タイミングが一致しないと異常と判定されるようですね。今回は何らかの原因でFCPC2のみがタイヤは未接地で機体は飛行中と誤認し、既に地上滑走モードで指示しているFCPC1を観察して、飛行中マッピングに照らしてペダル踏込量と舵角が不一致になっており異常、と判断したようです。FCPC1が切り離された後もFCPC2はタイヤ接地を認めず、FCPC2と3も不一致を見て冗長性が失われ、操作モードが直接則(Direct law)モードに切り替わってスポイラーやリバーサーがロックされたと報じられています。
どのみちモード不一致によって連鎖的に異常検知してしまうことの方が問題だからか、FCPC2のみがタイヤ未接地と誤認した原因は書かれていないですが、長期保管による劣化でタイヤ重量センサーの線が緩んでた切れてたとか、乗客が少なくて閾値に達しなかったみたいなオチはありそう。
Re: (スコア:0)
FCPC1(地上)とFCPC3(地上) vs FCPC2(飛行中)、の2対1で
FCPC2が切り離されるべきだったのにFCPC1が切り離されてしまったということ?
Re: (スコア:0)
どこかで聞いた合議制になっているわけではなくて、FCPC1(コマンド)とFCPC2(モニタ)で判断結果が一致せず、
FCPC2をコマンドに昇格、予備のFCPC3と比較してもやはり判断結果が一致せず、という流れっぽいね。
Re: (スコア:0)
狂ったやつが生き残ってしまった
3系統積むなら1:1比較をA:B,B:C,C:Aと3つやらんと積んだ3系統目を積むだけ重量無駄じゃね
3つやっとけばBが狂ってもA:BとB:Cが切断されてA:Cが生き残ったのに。
Re:障害発生条件 (スコア:1)
3つを比較する部分が複雑になると、3つは正常だけどジャッジする機構が狂って全部死ぬパターンも発生する
Re: (スコア:0)
その可能性は今回の事故の可能性より高いのかい?
Re: (スコア:0)
それが事前にわかるようなら苦労しないわ
Re: (スコア:0)
一か所壊れても他がカバーできるようにするのが目的なのに、一か所壊れたらすべてが機能しなくなるポイントを作ってしまうことのリスクを甘く見ていないかい?
Re: (スコア:0)
現実には0か1かで判断してるわけじゃないので多数決で決めるのは難しい。
この場合FCPC1の決めたペダル踏込量や舵角をFCPC2は異常と判断した。
事後で調べてその食い違いの原因が飛行モード/地上モードの違いによるものだったと判明しただけ。
ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:0)
ハードウェア3台冗長構成でも、ソフトウェアが同じだとソフトに問題があると全部止まる
ソフトウェアも、完全に独立して製作された共用部分が無い3つのソフトウェアが必要
仕様書部分から完全に独立した3つの制御ソフトウェアが必要
Re:ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:3, 興味深い)
一応3系統とも別の会社が開発したソフトウェアで動作していると聞いた記憶がありますが、流石に同一入力同一出力を保証する以上仕様書部分は同一とせざるを得ないでしょうね。
Re:ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:2, 興味深い)
4台同時に落ちたときのバックアップで、4台同時に落ちる状態として想定されてたものが、まさに今回の条件みたいです。
幸い実フライトでこのバックアップが活躍することは一度もなかったらしいですけどね。
Re: (スコア:0)
違うソフトで同じことを同じようにやるように作った。
んなもん無理に決まってた。
終わりみたいな。
それでも落ちなかったので良かった?
Re:ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:2)
まだRTOSが出始めたころの教科書で、センサーを冗長化して多数決とるとき3個にしがちだけど間違い、というのを読んだ記憶があるのだがあれはその著者独自の主張だったのだろうか
ひとつが故障したら残り2個が異なる場合に故障した方に決定が偏るから、と
#著者名覚えてないからググってもどの本かわからん……
#なお、おじいちゃんだからセンサー3個あるの忘れて4個目を欲しがっているわけではないのじゃよ
Re:ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:1)
「a330 TheAvionicsHandbook」で検索すると"12 Electrical Flight Controls, From Airbus A320/330/340 to Future Military Transport Aircraft: A Family of Fault-Tolerant Systems"とかいう詳細なPDFが何だか見れるんだが…斜め読みしてみると、
件の3系統はFCPC1つとFCSC2つで構成されている。それぞれにcommandチャンネルとmonitorチャンネルのコンピューターを載せていて、commandとmonitorが乖離すると別系統にフェイルオーバーする感じ(読み間違ってたらゴメン)。FCPCだけ自動コーディングを使ってる(多分仕様のパラメータなんかを入れるとcommand側とmonitor側のソースを吐き出すんだろう。開発中等の仕様変更にもすぐに対応できるようにしてるんだろうね。)2つのFCSCは普通に人の手でコーディングされているみたい(開発中はFCPCのみで、ある程度仕様が固まってからFCSCの方を作ってるのかな?)(12.6.3.2 Automatic programming)
A320のシステムでは例として80186と68010を使って2つのメーカーが別々に開発してるようなことが書いてある。(12.3.1.2 Dissimilarity)だから、3系統別メーカー開発の可能性も大いにある。
//このPDF興味深いけど基本英語苦手なんだよなぁ…読むしかないことが多いけど…
Re:ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:3, 参考になる)
ボーイング777のFBWは3台の別会社のプロセッサを使用していますが、 その設計者はエアバスから引き抜いた技術者で作ったと言われているので、A330も恐らく同じようなデザインだと思われます。
簡単な概要としては
高機能なFBW機能を提供するPFCは3台有って、それぞれがCMD/MONIT/STBYのチャンネルがあり、
プロセッサもINTEL80486/AMD29050/MOTOROLA68040(CH割当はランダム)を採用して、プロセッサ固有の問題を回避しています。
つまり3台実働,3台監視,3台予備が3BOXの計9台のプロセッサを利用しています。
これが使用できなくなるとまたACEと呼ばれる別のBOXによって、
乗員の操縦操作が単純にそのまま反映されるDIRECT MODE(マニュアルモード)によって飛行を継続します。
ただし、今回のA330と同様に自動機能が一切無いので乗員にとっては相当面倒くさいです。
A320はA330より先に作られてるのと短距離路線用の小型機種なので
操縦舵面ごとの分類でELACとSECという2つのBOXに分けた上で、それぞれCMD/MONITORの2CHで作られてるようです。
Re:ハードウェアだけじゃなくソフトウェアも冗長化が必要 (スコア:1)
つまり777にも同じ脆弱性が! (マテ
結局 (スコア:0)
最後は人任せ
Re: (スコア:0)
エアバスは最後を人に任せるようになるまでかなりゴネた印象
パイロットのイメージと違う挙動をする機体のせいでなんぼ墜ちたやら
日本の松山空港だと止まれない (スコア:0)
30フィート(9.14m)手前とかギリギリだな
台北松山空港の滑走路の長さは、2605m
日本の松山空港の滑走路の長さは、2500m(A330-300が就航可能かどうかは知らん)
マニュアルブレーキ (スコア:0)
って油圧系統ってことですかね?
さすがにブレーキブースターありだろうけど、それでも全力で踏んでぎりぎりとはあせる。
Re:マニュアルブレーキ (スコア:2)
普通はスポイラーやスラストリバーサで減速してからブレーキのところ、ブレーキのみ・人力で止めるのはキツいでしょうね。
なんとか止まれて良かった。
Re: (スコア:0)
SimにFC全滅のシナリオあったのか
こういう状況の訓練もしていたんだろうけど
すごいなパイロット
Re: (スコア:0)
こんなシナリオがあったかは知らないが、こんな状況でも判断して対応できるようになる訓練はしてるということだろうね
まあ指示待ちとかしてるような奴じゃ務まらんとか飛行機が落ちるとかだよなあ
Re: (スコア:0)
いくらブレーキブースターがあっても旅客機の機体を車輪の制動力だけで止めるのは相当きついだろうね。
がんばりすぎるとブレーキが焼け死んだりタイヤのバーストもありうるし。
Re: (スコア:0)
むしろタイヤがバーストしてくれた方が抵抗になったり
フライトコンピュータは (スコア:0)
リセットボタンついてないんですかね?
ハングしてんだからとりあえず再起動するしかないと思うんだけど。
Re:フライトコンピュータは (スコア:1)
リセット以前に(リセットなどしていたら落ちる)強制マニュアルモード(自動補正一切無し)スイッチが必要。
Re: (スコア:0)
> 強制マニュアルモードスイッチ
エアバスのシステムだと、そのスイッチを意図せず押してしまってという未来が...
Re: (スコア:0)
Re: (スコア:0)
破滅的状態に至るまで秒単位の猶予しかないんだからのんびり再起動なんてやってられません。
Re: (スコア:0)
今回はさ、ブレーキ踏んでる間に再起動で復活ってのワンチャンない?
Re: (スコア:0)
横からだが
寝ろ
Re: (スコア:0)
普通にリセットできるぞ。知らないのにしゃしゃんなよ。
20年前の名古屋とダブる (スコア:0)
CA(当時は中華航空)でエアバス社製、着陸時の事故という点まで符丁する。
ヨシッ! (スコア:0)
FCPC1「FCPC2があるからヨシッ!」
FCPC2「FCPC3があるからヨシッ!」
FCPC3「機長が居るからヨシッ!」