Zum Inhalt springen

08.09.15 | British Airways 777-x | Las Vegas (KLAS) | left eng. fire


Empfohlene Beiträge

Geschrieben

Worüber muss dann hier geschrieben werden?

 

Mal eben zurück zum Thema in Bezug zu Euren Abhandlungen:

wir wissen nicht, ob es je einen Brand-Alarm für das Triebwerk gegeben hat.

 

Das Triebwerk hat sich zerlegt, ist quasi instant zum Stillstand gekommen.

DAS hat die Crew sowohl gehört, gespürt als auch gesehen.

Wenn der Feueralarm wie von Euch beschrieben bis zu 30s braucht, wird der - wenn überhaupt noch los gegangen - absolut unwichtig gewesen sein.

Zur Erinnerung: Sekunden nach dem Ausfall stand die Maschine und qualmte bereits, genau dann wird die Cabincrew das Cockpit über FIRE port side oder left of belly oder engine1 gebrieft haben.

 

 

von unterwegs aus

Geschrieben

 

genau dann wird die Cabincrew das Cockpit über FIRE port side oder left of belly oder engine1 gebrieft haben.

Genau darum geht es.

Die Crew hat einen ziemlich guten Job gemacht, während die Technik eher nicht so ihren besten Tag hatte.

Soweit ich das bisher verstanden habe, hat allerdings der dritte Captain das Cockpit verlassen und das Feuer entdeckt/gemeldet.

So oder so, es unterstreicht das wir auch heutzutage eine Crew brauchen, und zwar eine gute.

Und klare Regeln und Verantwortungen. (z.B. Captain ordnet Evakuierung an, FA an der jeweiligen Tür entscheidet über Öffnung und rutschen lassen)

 

Der Fall zeigt aber auch, dass der Informationsfluss durchaus noch Potential zur Verbesserung hat. Dass es durchaus überlegenswert ist, die Entdeckung von Feuer noch zu verbessern. Ich denke, bei einem A380 mit Tail Fin Kamera hätte der Pilot das Feuer wohl eher erkannt, und die Evakuierung wohl früher beschlossen (was natürlich eine volle Prozedur beinhaltet, also gut möglich dass am Ende niemand schneller von Bord gewesen wäre, es musste ja z.B. erst das Triebwerk rechts stillgelegt, und der Kabinendruck angepasst werden).

 

Da kann moderne Technik vielleicht doch noch was helfen, was kostet heute eine Kamera und ein Bildschirm ?

 

Gruß

Ralf

Geschrieben

Mann, bin ich froh, dass Flugzeuge von Flugzeugherstellern gebaut werden und nicht von Internetforen.

Geschrieben

Die Gasdruck-Fireloops sind auch nach wie vor in aktuellen Mustern verbaut.

Im Gegensatz zu den elektronischen sind die einfach wesentlich weniger EMI störanfällig (z.B. bei Handy an Bord...). Aus diesem Grund sind z.B. die Rauchdetektoren in der Kabine wieder eine Generation rückwärts zurückgerüstet worden, die modernen optischen sind einfach "handyempfindlicher" als die alten ionisierenden. Nur bei Saturn gilt weil neue Technik besser ist.

Ich hab kein Problem mit dem Gasdruck, ich hab ein Problem damit, dass 'Kabel durch = alles paletti' und gar kein Feueralarm mehr möglich. Das ist anti-redundant.

Geschrieben

Für den Piloten gibt es nur Fire, Overheat und Fault, er braucht nicht zu wissen, welcher Fault vorliegt.

Unterstellen wir mal, dass es tatsächlich so ist, dann würde ich erwarten, dass der geneigte Pilot beim aufleuchten des Fault-Lämpchens weiss: Könnte auch ein Feuer sein. Aber so schlecht ausgebildet wie die heutigen Piloten ja nach allgemeiner Ansicht sind, hat er dann natürlich keine Ahnung, wie er auf diese Situation reagieren soll. Darum beginnen mittlerweile immer mehr Airlines, Internet ins Flugzeug einzubauen, damit die Piloten sich in so einem Moment in einschlägigen Foren schlau machen können. Das Passagierineresse ist nur vorgeschoben, aber das darf natürlich niemand laut sagen.

Geschrieben

 

dann würde ich erwarten, dass der geneigte Pilot beim aufleuchten des Fault-Lämpchens weiss: Könnte auch ein Feuer sein.

Exakt, bei einer Gulfstream wird er das auch genau so lernen.

Aber nicht bei jedem Flugzeug gibt es das Fault-Lämpchen. Gerade moderne Flugzeuge werden nach dem Motto "zeig mir nur was ich unbedingt wissen muss" ausgelegt, und der Pilot erfährt nichts. Manche Flugzeuge zeigen es auf dem Bildschirm an, aber viele unterdrücken diese "zweitrangigen" Meldungen während kritischer Flugphasen wie dem Startlauf. Die Meldung geht u.U. sogar per ACARS and die Wartung, da weiss irgendjemand am Bildschirm mehr, als der Pilot im Cockpit.

Und da er es nicht erfährt, braucht er auch nicht zu lernen was er tun muss, wenn er nichts erfährt. Im Handbuch lernt er u.U. sogar das Gegenteil, von dem was er in manchen Situationen wissen solte. Im Handbuch steht nämlich, dass auch wenn ein Loop ausfällt, der andere immer noch eine Feuerwarnung generieren kann. Was nicht drin steht, ist dass nur wenn ein Loop ein "fault" Signal sendet, also im Prinzip nicht "ausfällt", sondern macht wofür er konstruiert ist, dass dann der andere Loop noch eine Warnung generieren kann.

 

Diese Systeme sind ja mit voller Absicht so konstruiert, das sind ja keine "Schwächen". Aber das sollte man als Pilot wissen. Wenn es seine Rolle ist, die Systeme zu überwachen, dann sollte er auch genau wissen, was sie nun tun. Genau deshalb war es auch völlig richtig, was die BA Crew gemacht hat, sie war sich bewusst, nicht das volle Bild zu haben, und hat daher ein Crewmitglied nach hinten geschickt um es herauszufinden. Bei einer Zwei-Mann-Crew hätten sie wohl einen FA angerufen, und um Auskunft gebeten, oder der hätte das von sich aus überprüft und eine Meldung gemacht. Das entscheidende ist, dass sie agieren. Das sie nicht abwarten, bis eine Warnung sie aufweckt, das sie jederzeit die Situation im Griff haben ("on top" sind wie man neudeutsch sagt...). Bei BA scheinen die Crews darauf vorbildlich eingestellt zu sein.

 

 

ich hab ein Problem damit, dass 'Kabel durch = alles paletti' und gar kein Feueralarm mehr möglich. Das ist anti-redundant.          

Du kannst nie mehr Alarmredundanz haben, ohne auch deine Fehlalarmquote zu erhöhen. Fehlalarme sind nach wie vor ein großes Problem in der Luftfahrt, das vermutlich Milliarden kostet, und u.U. sogar Unfälle verursacht. Man versucht halt den besten Kompromiss hinzubekommen.

Und manchmal liegt der eben nicht allein bei den Systemen, sondern man muss auch der Crew etwas Verantwortung überlassen.

 

Auch wenn in Internetforen meist eher die Meinung vertreten wird, Computer könnten das alles viel besser...

 

Gruß

Ralf

Geschrieben

Du kannst nie mehr Alarmredundanz haben, ohne auch deine Fehlalarmquote zu erhöhen. Fehlalarme sind nach wie vor ein großes Problem in der Luftfahrt, das vermutlich Milliarden kostet, und u.U. sogar Unfälle verursacht. Man versucht halt den besten Kompromiss hinzubekommen.

Das ist aber IMHO nicht der beste Kompromiss. IMHO darf man nie 'fault' signalisieren, sondern man muss 'OK' signalisieren. Und wenn OK wegfällt, dann ist fault. Sonst wird ein komplett totes System als voll funktionsfähig angesehen und unterdrückt eine Feuerwarnung - das kann doch nicht sein.

 

Und manchmal liegt der eben nicht allein bei den Systemen, sondern man muss auch der Crew etwas Verantwortung überlassen.

Hmm, die Verantwortung wofür? Gedanken des Flugzeugs lesen? Wenn der Flieger signalisiert 'alles in Butter', obwohl die Kiste brennt, dann... naja klar, irgendwann wird's jede Crew merken, schon einverstanden.

 

Auch wenn in Internetforen meist eher die Meinung vertreten wird, Computer könnten das alles viel besser...

Offensichtlich nicht, besonders nicht, wenn sie doof konstruiert sind.

Geschrieben

nur wenn ein Loop ein "fault" Signal sendet, also im Prinzip nicht "ausfällt",

Also wenn ich so ein Dings konstruieren müsste, dann würde ich es so machen, dass in so einem Fall das schweigende Teil angepingt wird. Kommt dann keine Antwort, dann ist es ausgefallen. Zu erwarten, dass ein ausgefallenes Teil aktiv meldet, dass es ausgefallen ist, ist doch ein wenig absurd. Aber was weiss ich schon, ich bin ja kein Flugzeugkonstrukteur.

Geschrieben

Also wenn ich so ein Dings konstruieren müsste, dann würde ich es so machen, dass in so einem Fall das schweigende Teil angepingt wird. Kommt dann keine Antwort, dann ist es ausgefallen. Zu erwarten, dass ein ausgefallenes Teil aktiv meldet, dass es ausgefallen ist, ist doch ein wenig absurd. Aber was weiss ich schon, ich bin ja kein Flugzeugkonstrukteur.

Ja, nur würd ich das Gerät eher aktiv senden lassen als auf Pings zu warten. Und dann vielleicht auch nicht nur 'ich lebe noch', vielleicht gleich ein paar Statusinformationen, die auch sicher stellen, dass da nicht mehr nur ein 'OK' kommt und ansonsten ist das Ding kaputt. In so einem Fall z.B. die gemessene Temperatur und ein Zeitstempel.

Geschrieben

 

IMHO darf man nie 'fault' signalisieren, sondern man muss 'OK' signalisieren. Und wenn OK wegfällt, dann ist fault.

Das würde halt bedeuten, wenn irgendwo ein Stecker Wasser gezogen hat und korrodiert und den Kontakt verliert, dann wird angezeigt das Triebwerk brennt.

Was meinst du wie viele Triebwerke dann stillgelegt, wie viel Feuerlöschmittel (oft noch FCKW...) verballert und wie viele Flüge dann diverted würden.

 

Wir haben seit Jahrzehnten die "Dark Cocpit Philosophie", also "solange nicht leuchtet ist alles OK". Extra "OK" Lämpchen haben wir mit Absicht nicht, nicht nur weil dann jede kaputte Glühbirne/LED gleich eine Notlandung heraufbeschwören könnte, sondern auch weil das einfach zu viele wären, dann bräuchten wir wieder einen Flugingenieur zum Lämpchen gucken. Dafür haben wir eben heute Computer. Diese wiederum werden (zur Minimierung von Bugs) mit sehr einfachen und damit auch einfach zu prüfenden Algoritmen programmiert. Die können natürlich nicht alles.

 

 

Zu erwarten, dass ein ausgefallenes Teil aktiv meldet, dass es ausgefallen ist, ist doch ein wenig absurd.

Nein, auch das ist eine Logik. Nur dann, wenn es sicher ist, ausgefallen zu sein, dann soll es das melden.

Das ist bei modernen Autos kein bisschen anders, wenn ein Fehler auftritt, an den niemand gedacht hat, dann steht auch keiner im Fehlerspeicher, und der Mechatroniker in der Werkstatt auf dem Schlauch. Dann fängt der erstmal an, systematisch Komponente für Komponente zu tauschen, und zu gucken ob der Fehler weiter besteht. Du kannst einen Computer nicht darauf trimmen, selbst zu erkennen in welchem Zustand er ist, du kannst nur für die typischten Fehler Vorsorge treffen, diese gezielt entecken und melden.

Du erinnerst dich bestimmt noch an die Zeit der "allgemeinen Schutzverletzung" bei Windows... Wenn ein System dem Piloten ein "irgendetwas ist kaputt" meldet, dann ist der genauso schlau wie ohne Meldung. Nur Fehlermeldungen für die es Lösungen gibt machen Sinn. sozusagen "tell me what I need to know"

 

Für verzwickte Situationen gibt es nach wie vor nichts besseres, als einen cleveren, gut ausgebildeten Menschen.

Für klare Situationen gibt es klare Meldungen.

 

Wenn es im Flieger geknallt hat, sollte der Pilot sich bewusst sein, das auch einige seiner Anzeigen davon in Mitleidenschaft gezogen worden sind.

Die SOPs sind für gewöhnlich so ausgetüftelt, dass sie zunächst nur auf zuverlässige Systeme setzen (im Zweifelsfalle auf so Basics wie Pitch), und dann Stück für Stück eine Fehleranalyse / Fehlereindämmung vornehmen, so das der Pilot nur das nötigste tun braucht, und sich aufs Fliegen konzentrieren kann. All das ist mit den Computern und ihren Meldungen und Optionen abgestimmt. Dabei kann man natürlich nie 100% der Fälle abdecken.

 

Wo ich ein Problem drin sehe, ist das zusammen mit unserem Zeitgest gar nicht mehr alles wissen zu wollen (wer weiss, wie GPS funktioniert?) und möglichst viel zu standardisieren, auch viele Piloten verlernen mehr als nur die gelernten Prozeduren abzuarbeiten. Es kommen nun mal immer wieder Dinge zum ersten mal vor, und dann muss man kreativ sein. Um dann das richtige zu tun, muss man bestimmtes Grundlagenwissen haben.

Zum Beispiel zu wissen, dass es durchaus irgendwo brennen kann, ohne das man eine Warnung bekommt.

 

Das ist halt nach wie vor ein Merkel-Problem: es ist alternativlos. Du kannst eine Maschine nicht auf das unbekannte vorbereiten. Und du kannst auch einem Menschen natürlich nicht auf das unbekannte trainieren (denn dazu müsste es erstmal bekannt sein), also kannst du ihn nur generell auf Problemlösung schulen, und ihm möglichst viel Wissen an die Hand geben. Wohlwissend, dass er 99% davon nie im Leben brauchen wird, aber das eine Prozent ihm mal den A**** retten kann.

Bedauerlicherweise wenden wir das "tell me what I need to know" heute nicht nur auf konkrete (Not)Situationen an (wo es völlig Sinn macht), sondern auch in der Ausbildung. Und da ist dieses Prinzip meiner Meinung nach falsch, da man heute nicht weiss, was man morgen vielleicht besser wissen sollte.

 

Natürlich steckt da heute auch sehr viel Geheimniskrämerei bezüglich der eigenen Konstruktion hinter. Die Luftfahrt ist traditionell erstaunlich offen, da werden intimste Konstruktionsgeheimnisse mit Airlines und Wartungsbetrieben in aller Herren Länder geteilt, da wird eine Konstruktion bis zur letzten Schraube und dem letzten Detailmaß (mit Toleranzen) öffentlich gemacht. Man merkt aber deutlich, wie da in den letzten Jahren, nicht zuletzt wegen der viralen Verbreitung elektronisch veröffentlichter Daten, alle anfangen auf die Bremse zu treten.

Man vergleiche mal wie offen alle Konstruktionsdetails von 787 und A380 in der Öffentlichkeit diskutiert wurden, und wie wenig über A350 und 777X noch nach draussen dringt. Das zieht sich leider bis runter zur Piloten- und Mechanikerausbildung durch. Moderne Handbücher sind viel weniger detailbesessen, als die älterer Muster.

Mein Bauch und Hirn sagen mir, dass das nicht gut ist. Vielleicht liege ich falsch.

 

 

Darum beginnen mittlerweile immer mehr Airlines, Internet ins Flugzeug einzubauen, damit die Piloten sich in so einem Moment in einschlägigen Foren schlau machen können.

Solange der ein oder andere Pilot nach der Lektüre von Internetforen sich seine Handbücher noch einmal durchliesst, und die ein oder andere Formulierung nochmal hinterfragt (am besten bei jemandem, der sich wirklich damit auskennt), ist das doch keine schlechte Sache.

Was übrigens genauso für den ein oder anderen Poster in den Foren gilt, der sich auch noch mal die Bücher hervorkramt, von denen er dachte er kennt deren Inhalt auswendig *an die eigene Nase fass*

Ich lerne jedenfalls ständig noch was dazu.

 

Gruß

Ralf

Geschrieben (bearbeitet)

Das würde halt bedeuten, wenn irgendwo ein Stecker Wasser gezogen hat und korrodiert und den Kontakt verliert, dann wird angezeigt das Triebwerk brennt.

Was meinst du wie viele Triebwerke dann stillgelegt, wie viel Feuerlöschmittel (oft noch FCKW...) verballert und wie viele Flüge dann diverted würden.

Mitnichten! Dann wird nicht angezeigt, dass as Triebwerk brennt, sondern dann wird festgestellt, dass einer der Loops nicht mehr funktioniert. So, wie es sein sollte. Wenn dir jetzt ein Stecker Wasser gezogen hat und korrodiert, dann hast du keinen Feueralarm mehr, trotz redundanter Loops.

 

Nein, auch das ist eine Logik. Nur dann, wenn es sicher ist, ausgefallen zu sein, dann soll es das melden.

Nein, das ist eine Unlogik. Also an und für sich ist das schon gut, wenn man Aktiv Fehler meldet, aber bei Ausbleiben einer Meldung bei einem redundant verbauten Teil davon auszugehen, dass das funktionierende Teil einen Fehlalarm liefert, weil das andere kaputt ist, das ist absolut blöd, da kannst du mir jetzt erzählen was du willst. Und der Pilot hat gar keine Chance das festzustellen. Bearbeitet von sirdir
Geschrieben (bearbeitet)

Die Crew hat sehr gut funktioniert.

Das ist es ja was den Faktor Mensch unverzichtbar macht.

Das Gefühl im Hintern.

 

Du kannst heute alles automatisieren aber beileibe nicht alles mit Technik abdecken.

Auch wir haben mittlerweile einen ultrahohen Automatisierungsgrad erreicht...dennoch fährt die Automatisierung nach wie vor bis zum Ausfall und schaltet dann ab (wenn man sie lässt).

Wenn dann ein Sensor falsche Daten liefert, hat die Maschine beim Manövrieren keinen Vortrieb und läufst auf Grund oder kollidierst mit irgend etwas.

Genau deswegen fahren wir die Anlagen halbautomatisch und die wichtigsten Eingriffe werden manuell gefahren...und das sichert Menschenleben und Millionen.

Ein guter Ingenieur hört und fühlt weit vor jedem Sensor, wenn da etwas nicht stimmt.

 

von unterwegs aus

Bearbeitet von TSC Yoda
Geschrieben

 

bei Ausbleiben einer Meldung bei einem redundant verbauten Teil davon auszugehen, dass das funktionierende Teil einen Fehlalarm liefert, weil das andere kaputt ist, das ist absolut blöd,

Die Kunst ist, das Teil bestmöglich zu konstruieren, und den Piloten darauf zu trainieren eben nicht von bestimmten Dingen auszugehen, sondern sie zu explizit zu überprüfen! Jeder Hund hat Flöhe, das bekommt man nicht weggezüchtet. Aber man kam ihn noch ein Flohhalsband umbinden. Die Kunst ist, System und pilot aufeinander abzustimmen.

 

Redundanz geht immer nur in eine Richtung. Du kannst nicht gleichzeitig Redundanz für die Primärfunktion einbauen, und gleichzeitig Redundanz für die Fehlfunktion haben.

Analog könnte man vielleicht sagen, wenn du sicher sein willst, das Licht bestimmt anschalten zu können, must du ein paar Schalter parallel verbauen (jeder einzelne kann den Stromkreis schliessen). Wenn du sicher sein willst, das Licht bestimmt ausschalten zu können, must du ein paar Schalter in Serie verbauen (jeder einzelne kann den Stromkreis trennen).

Redundanz für Funktionen erreichst du durch Parallelschalten, Redundanz für Fehlfunktion erreichst du durch Reihenschaltung.

Du kannst nicht gleichzeitig beides haben. Mit jeder redundanten Verbindung, hast du eine weitere Fehlerquelle zur Trennung und umgekehrt.

Das Leben ist kein Wunschkonzert...

 

Gruß

Ralf

Geschrieben

Hmm, also wenn du jetzt ernsthaft versuchst dieses Design zu verteidigen, dann ist es wirklich hoffnungslos.

Ich kann mir bei bestem Willen keinen Fall vorstellen, wo dieses Design einen Vorteil gegenüber dem Vorgeschlagenen hat. Aber jede Menge, wo es Nachteile hat.

Geschrieben (bearbeitet)

Also ich verstehe nicht was ihr für ein Problem habt. Das System hat (wahrscheinlich) einwandfrei funktioniert wie es tun sollte, und die Crew hat es optimal bedient. Umso mehr, als diese Warnsysteme (wahrscheinlich) in diesem Vorfall nichts genützt haben.

 

Aus der Praxis weiss ich, dass die Feuerwarnsysteme ausserordentlich zuverlässig sind. Ich will es nicht geändert haben! Ich bekomme immer genau die Information, die ich benötige.

 

Ausserdem halten mich irgendwelche Warnungen nicht davon ab, meinen Verstand einzuschalten, meine Ohren zu spitzen und meine Augen zu benutzen. Es nützt mir herzlich wenig, wenn ich eine Feuerwarnung habe, aber nicht weiss, ob sie echt ist und wo genau es brennt. Hier wie bei QF32 (A380) machte es den Unterschied, dass einer der Piloten schauen ging.

 

Ich sehe keinerlei Vorteile in einem neuen System. Ausserdem glaube ich (ich bin kein Flugzeugdesigner) dass sich das System dauernd selbsttestet, dass der Widerstand und der Stromfluss gemessen wird. Wenn etwas nicht stimmt, kommt automatisch ein Fault-Bit. Ralf, Ingo?

 

Dani

Bearbeitet von Danix
Geschrieben

 

Ausserdem glaube ich (ich bin kein Flugzeugdesigner) dass sich das System dauernd selbsttestet, dass der Widerstand und der Stromfluss gemessen wird. 

Kommt auf das Flugzeug an. Und auf die Formulierung. Ein vom Gasdruck einer geschlossenen Kapilare geschlossener Druckschalter "testet sich dauernd selbst", obwohl er dabei völlig passiv ist. Die meisten modernen Systeme haben (wie unsere Computer zuhause) einen Starttest eingebaut, beim Einschalten testen sie die Kabelverbindung. Nicht jedes System überprüft ständig die Parameter (Widerstand), manche warten in der Tat nur darauf, dass irgendwann an einem der Kabel Spannung anliegt oder das irgendwann ein Kabel auf Masse liegt.

 

 

Hmm, also wenn du jetzt ernsthaft versuchst dieses Design zu verteidigen, dann ist es wirklich hoffnungslos.

Was heisst hier verteidigen, es haben sich schon Leute echt Gedanken gemacht, warum es so ist, wie es ist. Warum das Vor- und Nachteile hat.

Vielleicht mal eine Detaildiskussion (hoffentlich scheitert sie nicht an minimalen Fehlern oder Vereinfachungen).

Das von Alex gepostete System hat in einer Box 3 Schalter, für "fail", "overheat" und "fire", die sind so mit Widerständen verschaltet, das man über ein einziges Kabel (und wirklich nur eins, Rückleitung über Masse...) die Schalterstellungen ermitteln kann, ausserdem gibt es (clever, clever) einen Grundwiderstand, d.h. man kann auch den Unterschied zwischen "alles OK" (Grundwiderstand) und "Kabel hat Masseschluss" (Null Widerstand) oder "Kabel ist gerissen" (unendlicher Widerstand) erkennen.

Andere Systeme legen die Schalter offen nach aussen, d.h. es gibt 3 Kabel die je über einen der Schalter in der Fireloop-Box auf Masse gelegt werden, oder es gibt sogar systeme mit 4 Kabeln (Spannungsversorgung) bei der die Schalter Spannung auf die jeweiligen Kabel schalten.

(es gibt auch 2-Kabel Systeme, die kein "overheat" kennen, nur "fail" und "fire", aber die wollen wir mal gerade vergessen)

 

Diese Systeme haben nun ein völlig unterschiedliches Redundanzverhalten.

 

Das ein-Kabel-System hat keine Kabelredundanz, scheuert es sich z.B. durch, erkennt das System einen Fehler, verliert aber die Feuerwarnfähigkeit (legt alle 3 Schalter lahm). Reisst das Kabel, wird auch das als (anderer) Fehler erkannt, aber wiederum jegliche Warnfähigkeit verloren.

Das Mehrkabelsystem hat eine gewisse Kabelredundanz, scheuert sich z.B. das "overheat" Kabel durch, bleibt das "fail" und das "fire" Signal weiterhin gültig, der Sensor bietet nach wie vor die Möglichkeit, das System als "not failed" zu erkennen, und ein Feuer zu melden. Dafür hat man aber aber (bei der 3-Kabel Version auf Masse) eine nicht als Fehlalarm erkennbare "overheat" Meldung (overheat Kabel liegt an Masse). Reisst umgekehrt das "overheat" Kabel, so verliert man (unentdeckt) die Overheat Information, hat aber nach wie vor ein intaktes  Feuerwarnsystem dessen "not failed" Status klar ist.

Beim 3/4 Kabel System könntest du die Anschlüsse mit je zwei Kabeln verbinden, und ein Bündel entlang des Vorderholms, eins entlang des Hinterholms führen. Damit kannst du dann den Fall "ein Kabel reisst" beim 3/4.Kabel System vermeiden, das zweite Kabel wird noch gehen. Beim Fall "ein Kabel ist durchgescheuert" wird es schon unterschiedlich ob du nun das 3-Kabel System (Rückführung über Masse) hast, da ist deine Chance eines Fehlalarms durch ein an Masse liegendes Kabel jetzt verdoppelt, beim 4-Kabel System (mit Spannungsversorgung) hast du deine Chance verdoppelt, dass ein Alarm durch den Masseschluß lahmgelegt wird. Bestenfalls fliegt dir in dem Fall eine Sicherung raus, und du bekommst so wenigstens eine "irgendetwas ist passiert" Meldung, schlimmstenfalls hast du einen verborgenen Verlust der Warnfähigkeit.

 

Wie immer du es baust, es wird immer Vor- und Nachteile haben. Jede Systemarchitektur hat Fehlerfälle, es ist dann immer die Frage, will man darüber informiert werden, dass das System nicht mehr funktioniert, oder will man ein System haben, bei dem dann immerhin noch ein paar Funktionen verfügbar sind, man dafür aber nicht merkt, das eine Funktion nicht mehr da ist. 

Man versucht immer durch Kombination aller Möglichkeiten das Optimum rauszuholen, wobei die Wahrscheinlichkeit jedes Fehlers und die mögliche Konsequenz für eine Gewichtung der Prioritäten benutzt wird.

 

Und das ist OK so, solange der Pilot weiss, wie seine Systeme funktionieren und wie er sie zu bedienen hat.

Ein Flugzeug ist immer die Kombination aus seinem Design und seinen Handbüchern (mit Informationen und Prozeduren).

 

 

Aus der Praxis weiss ich, dass die Feuerwarnsysteme ausserordentlich zuverlässig sind.

Ja, nach 70 Jahren Entwicklung sind wir inzwischen ziemlich gut. Das war früher bei weitem nicht der Fall.

 

Und die paar Schwächen haben die Piloten meist gut im Griff, in diesem Fall jedenfalls.

 

 

Hier wie bei QF32 (A380) machte es den Unterschied, dass einer der Piloten schauen ging.

Genau deshalb habe ich ja mal einen Thread eröffnet, weil ich es sehr verwunderlich fand, das keiner der mindestens 3 Piloten je das Cockpit verlassen, und sich mal die Klappen angeguckt hat.

 

Gruß

Ralf

Geschrieben

Wie immer du es baust, es wird immer Vor- und Nachteile haben. Jede Systemarchitektur hat Fehlerfälle, es ist dann immer die Frage, will man darüber informiert werden, dass das System nicht mehr funktioniert, oder will man ein System haben, bei dem dann immerhin noch ein paar Funktionen verfügbar sind, man dafür aber nicht merkt, das eine Funktion nicht mehr da ist.

Das ist aber immer noch nicht der Punkt. Wenn ich ein System redundant verbaue, kann ich damit leben, dass eines der beiden Systeme ausfällt. Da brauch ich innerhalb des Geräts nicht noch x-fache Redundanz. Es ist mir lieber, ein System fällt aus, als es funktioniert noch was, ich weiss aber nicht was und ich weiss nicht ob.

Wenn aber eines der beiden Systeme so ausfällt, dass man das a) nicht feststellt und B) dadurch das andere System auch nicht mehr funktionieren KANN, dann ist das immer noch oberdoof.

Dass es in der Praxis noch nicht zu gröberen Problemen geführt hat - um so besser.

Geschrieben

 

Wenn ich ein System redundant verbaue, kann ich damit leben, dass eines der beiden Systeme ausfällt.

Fast.

Wenn ich zwei Systeme redundant verbaue, dann kann ich damit Leben dass das eine seine Funktion nicht erfüllt, da das andere die selbe ja noch leistet.

aber

Wenn ich zwei Systeme redundant verbaue, dann muss ich damit Leben das die Wahrscheinlichkeit das eines der beiden eine Fehlfunktion hat jetzt doppelt so hoch ist.

 

Sprich:

Ich bekomme sicherer eine Feuerwarnung

und

Ich bekomme öfter einen Fehlalarm.

 

Die Frage ist, ob ich das so will.

 

Du kannst auch an deinem Computer 3 Virenscanner/Firewalls auf einmal laufen lassen, aber vermutlich ist er dann deshalb besonders geschützt, weil er schlicht weg gar nichts mehr durchlässt, selbst die sicheren Files die du eigentlich runterladen willst.

Besser du nimmst nur einen einfachen Virenscanner, und schaltest zusätzlich dein Gehirn ein, und klickst nicht auf die Exe-Datei die dir SexyLady als Anhang an die e-mail mit dem Titel "Hi Sweetheart" geschickt hat...

 

Es ist eine Illusion, dass man so ausgefeilte Systeme entwickeln kann, das sie im wahrsten Sinne des Wortes idiotensicher sind.

Du brauchst immer fähige, informierte und trainierte Piloten die sie bedienen. Die verstehen, was Systeme können, und was nicht. Wann man ihnen blind vertrauen kann, und wann eben nicht. Zu glauben, das nach einem lauten Knall am Triebwerk noch alle Systeme 100% funktionieren und alle Anzeigen reale Werte anzeigen ist reichlich naiv.

 

Gruß

Ralf

Geschrieben

Fast.

Wenn ich zwei Systeme redundant verbaue, dann kann ich damit Leben dass das eine seine Funktion nicht erfüllt, da das andere die selbe ja noch leistet.

aber

Wenn ich zwei Systeme redundant verbaue, dann muss ich damit Leben das die Wahrscheinlichkeit das eines der beiden eine Fehlfunktion hat jetzt doppelt so hoch ist.

Ja, aber daran ändert doch die Tatsache, dass dieses Design die Redundanz aushebelt nichts.

Klar bekommst du weniger Fehlalarme, wenn das System nicht mehr geht, wenn ein System ausfällt. Aber eben auch KEINE echten mehr.

 

Du kannst auch an deinem Computer 3 Virenscanner/Firewalls auf einmal laufen lassen, aber vermutlich ist er dann deshalb besonders geschützt, weil er schlicht weg gar nichts mehr durchlässt, selbst die sicheren Files die du eigentlich runterladen willst.

Besser du nimmst nur einen einfachen Virenscanner, und schaltest zusätzlich dein Gehirn ein, und klickst nicht auf die Exe-Datei die dir SexyLady als Anhang an die e-mail mit dem Titel "Hi Sweetheart" geschickt hat...

Du hast jetzt aber 2 Virenscanner und wenn der eine ein Problem hat, lässt der andere die Viren einfach durch. Schlechtestmögliche Situation.

 

Du brauchst immer fähige, informierte und trainierte Piloten die sie bedienen. Die verstehen, was Systeme können, und was nicht. Wann man ihnen blind vertrauen kann, und wann eben nicht. Zu glauben, das nach einem lauten Knall am Triebwerk noch alle Systeme 100% funktionieren und alle Anzeigen reale Werte anzeigen ist reichlich naiv.

Nicht jedes Feuer entsteht durch einen grossen Knall (und nicht bei jedem Knall ein Feuer). Deswegen hat man auch die Firewarning. Wenn man dem Piloten jetzt ne Feuerwarnung hinlegt, die im Zweifelsfall kein Feuer meldet, dann kann man es auch einfach lassen. Eine Kamera wäre sinnvoller.

Geschrieben

 

Nicht jedes Feuer entsteht durch einen grossen Knall (und nicht bei jedem Knall ein Feuer). Deswegen hat man auch die Firewarning. Wenn man dem Piloten jetzt ne Feuerwarnung hinlegt, die im Zweifelsfall kein Feuer meldet, dann kann man es auch einfach lassen

Ohne Knall sollte aber auch eigentlich nichts am fire detection system (und insbesondere seiner Verkabelung) kaputtgegangen sein.

In dem Fall sollte das System absolut zuverlässig arbeiten, es verkraftet einen defekten Sensor, und der meldet sich auch noch, wenn er defekt ist.

Es ist ja nur der Fall, das es irgendwo zu nicht vorhergesehenen Schäden (z.B. durch einen uncontained failure) kommt, und der Sensor einfach "weg" ist, und in dem Fall warnt der Knall den Piloten ausreichend, dass etwas nicht stimmt. Was genau, muss er dann eben systematisch herausfinden.

 

 

Eine Kamera wäre sinnvoller.          

Das denke ich heutzutage für einige Bereiche des Flugzeugs. Die Dinger sind inzwischen so klein und brauchen nur vernachlässigbar Energie, davon sollte es ein ganzes Dutzend quer über das Flugzeug geben. Zum Beispiel auch fürs Fahrwerk, um dort das vollständige Ausfahren überprüfen zu können, geplatzte Reifen zu sehen etc. Und für jede Tür, um die Hindernisfreiheit/Benuztzbarkeit für den FA ganz klar zu zeigen.

Im nächsten Schritt, wird das dann auch noch alles aufgezeichnet...

 

Gruß

Ralf

Geschrieben

Ohne Knall sollte aber auch eigentlich nichts am fire detection system (und insbesondere seiner Verkabelung) kaputtgegangen sein.

Das kann ja schon ne Weile kaputt sein. Oder geklaut. Weil wenn es ja nicht einen Fehler meldet, ist es ja in Ordnung...

 

Das denke ich heutzutage für einige Bereiche des Flugzeugs. Die Dinger sind inzwischen so klein und brauchen nur vernachlässigbar Energie, davon sollte es ein ganzes Dutzend quer über das Flugzeug geben. Zum Beispiel auch fürs Fahrwerk, um dort das vollständige Ausfahren überprüfen zu können, geplatzte Reifen zu sehen etc. Und für jede Tür, um die Hindernisfreiheit/Benuztzbarkeit für den FA ganz klar zu zeigen.

Im nächsten Schritt, wird das dann auch noch alles aufgezeichnet...

Ja, auch im Laderaum z.B, wenn ne Firewarning kommt.

Geschrieben

 

Das kann ja schon ne Weile kaputt sein. Oder geklaut. Weil wenn es ja nicht einen Fehler meldet, ist es ja in Ordnung...

Wie Danix schon gesagt hat, beim Systemstart wird die Integrität der (meisten) Kabel gecheckt.

Das im Flug was ohne Knall kaputt geht, ist dann eher unwahrscheinlich.

 

 

Ja, auch im Laderaum z.B, wenn ne Firewarning kommt.           

Im Laderaum ist es dunkel, und man kann gerade mal bis zur nächsten Palette gucken...

OK, bei Bulk Cargo wäre es sinnvoll, und das Licht im Frachtraum kann man ja zu Zeiten von LED auch anlassen.

 

Gruß

Ralf

Geschrieben

Wie Danix schon gesagt hat, beim Systemstart wird die Integrität der (meisten) Kabel gecheckt.

Das im Flug was ohne Knall kaputt geht, ist dann eher unwahrscheinlich.

Wenn dem so ist, ist's schon etwas weniger doof. Das beschriebene System 'über ein Kabel' lässt mich aber daran zweifeln, dass man das so besonders einfach beim Systemstart prüfen kann.

 

Im Laderaum ist es dunkel, und man kann gerade mal bis zur nächsten Palette gucken...

Wenn es brennt ist es meistens nicht mehr ganz so dunkel.

Geschrieben

...........................

Wenn es brennt ist es meistens nicht mehr ganz so dunkel.

Was für ein erhellender Beitrag :)

 

Manfred

 

(sorry, das konnte ich mir einfach nicht verkneifen ;) )

Geschrieben

Mit einem Tag Verspätung haben wir die letzten Beiträge nun in ein eigenes Thema im Offtopic-Bereich verschoben.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...