Punkt pierwszy został przeniesiony na koniec.
Punkt drugi – dyskusję merytoryczną proponuje się odbyć na bazie symulatora synoptyki kokpitu do pobrania na stronie
tutaj.
Nie ścigajcie mnie proszę za uproszczenia i niedokładności, to nie jest symulator fizyki lotu, tylko symulator zasad wizualizacji. Autor napisał go na kolanie i poświęcił na to „aż 5 dni” tylko po to, aby ułatwić dyskusję z kolegami.
Zasady wizualizacji automatyki są jednakowe, uniwersalne i nie ma powodu sądzić, że lotnictwo miałoby być jakimś cudownym wyjątkiem. W pierwszym wierszu od góry wyświetlamy wartość mierzoną measurement, w drugim zadaną setpoint, a w trzecim wyjście regulatora output.
Wartość mierzoną wyświetlamy pierwszą od góry, bo to interesuje nas w pierwszej kolejności, a i wzrok mamy nawykły do czytania od góry.
Kierunki przepływu informacji zachowujemy od lewej do prawej i od góry do dołu.
Jest spory problem z umieszczeniem wiersza informacji o ogranicznikach. Jedne ograniczniki działają przed regulatorem, np. ograniczając prędkość zmian wartości zadanej, inne działają post factum, za regulatorem. Np. po wykryciu, że na kotle ciśnienie pary spadło za mocno będziemy przymykali zawory turbiny, czyli będziemy oddziaływali na organ wykonawczy automatyki za regulatorem mocy (elektrycznej) bez bawienia się w zmiany setpointu, bo nie ma na to czasu.
Co do zasady najczęściej wyświetla się ograniczniki w wierszu nad automatyką, co może powodować, że w przypadku ograniczników post factum ta informacja jest niezgodna ze strukturą automatyki – taki kompromis.
Jeśli przyznamy, że w lotnictwie wartość mierzona naprawdę jest najważniejsza, to należy rozważyć umieszczanie stacyjek ograniczników pod regulatorami.
Z przyjęcia zasady, że wartość mierzona ma być zawsze pierwsza od góry wynika także konflikt z zasadą jednolitego kierunku przepływu informacji.
Regulatory nadrzędne „Master” w kaskadzie regulacji powinny być rysowane pierwsze od góry, nad regulatorami „Slave” podrzędnymi. Siłą rzeczy wiersz wielkości mierzonych ląduje niżej, nie tam, gdzie sobie życzyliśmy pisząc zasady powyżej. Mając miejsce w dużej nastawni można regulatory „Master” narysować „za wysoko”, wiedząc, że wzrok człowieka tak naprawdę zaczyna analizę nie od góry, a od wysokości oczu (patrz rozwiązania z półkami w supermarketach). W samolocie mamy z tym duży problem, bo powyżej rzędu regulatorów głównych parametru lotu są szyby i miejsca na regulatory „Master” nie ma.
Niemniej, jeśli chodzi o takie regulatory nadrzędne, jak „program lotu z komputera” i „automat lądowania na ILS” można w pierwszym wierszu od góry zmieścić kontrolki w rodzaju „Program M/A” oraz „ILS aktywny”. Są to stacyjki uproszczone, tylko z informacją o stanie załączenia, i to jest mniej więcej słuszny kompromis. Albo można rysować je z lewej, w końcu podano, jaki jest obowiązujący kierunek przepływu informacji.
Czy automatyka się myli?
Tak, komputer może się zepsuć, urządzenie analogowe też. Błędy komputerów są obecnie rzadkie, rezerwacja i autodiagnostyka są daleko posunięte, mowa nawet nie o dublowaniu, a montowaniu równolegle pracujących sterowników od 3 do 5. Ogólnie temat poza dyskusją, jak dopust boży, mechanicznie śruba też może się urwać.
Czy może się mylić programista?
Tak, programista myli się zawsze i to dziesiątki razy dziennie. 99,99 % błędów jest wychwytywane na bieżąco, w trakcie wielopoziomowych testów. Za błąd uważamy wpisanie algorytmu niezgodne z projektem.
Czy automatyka się myli, gdy działa według błędnych założeń?
Nie, to nie jest błąd automatyki. Aby to zrozumieć, musimy sobie przyswoić
cyniczną definicję automatyki.
CO2 to nie jest dwutlenek węgla. CO2 to jest unijny zapis prawny generujący obciążenia finansowe dla zakładów posiadających urządzenia o mocy większej, niż moc graniczna wyszczególniona w stosownym rozporządzeniu UE. Między innymi dlatego postępy w walce z niską emisją są znikome, ponieważ dwutlenek węgla emitowany z domowych palenisk indywidualnych nie stanowi w myśl unijnych regulacji CO2. Być może dym z kopciuchów to syf i zwykły smród, ale na pewno to nie jest dwutlenek węgla powodujący efekt cieplarniany. Taki gaz emitują tylko duże zakłady, w szczególności polskie, zawodowe, elektrownie węglowe.
Czy spalanie biomasy leśnej jest ekologiczne? Tak, oczywiście, jest ekologiczne, ponieważ ekologiczne jest to, co właściwe regulacje unijne uważają za ekologiczne.
Autor ma paru znamienitych kolegów automatyków, którzy jak coś powiedzą, to aż w pięty idzie, gadają jak autystyczne dzieci, jak roboty bez serca wyzute z wszelkich emocji. I prawie zawsze mają rację.
Czy przyziemienie to jest wtedy, kiedy słyszymy kolejno komunikaty głosowe:
- dziesięć,
- pięć,
- dwa,
-a potem zgrzyp opon?
Oczywiście nie.
Czy przyziemienie to jest wtedy, kiedy samolot stoi nieruchomo na glebie, a wszyscy sobie dawno poszli – oczywiście nie.
Przyziemienie to jest wtedy, kiedy oba czujniki przyziemienia zostały pobudzone, a ściślej dokładnie wtedy, kiedy oba koła nabiorą odpowiedniej prędkości kątowej.
Jeśli taką definicję przyziemienia pilot podał programiście i automatyka prawidłowo czekała na odblokowanie obu sygnałów do prawidłowej wartości granicznej, to automatyka się nie pomyliła.
Mowa oczywiście o katastrofie lotu Lufthansa 2904 w dniu 14 września 1993. Jest ona wymieniana w pierwszej kolejności, jako sztandarowy przykład rzekomej niezdolności do współpracy automatyki i człowieka. Ale powtórzmy – oprogramowanie się nie pomyliło. Jeśli w definicji przyziemienia mamy obowiązek nabrania obrotów kołami po obu stronach, to znaczy po obu stronach. Jeśli piloci uważają, że można uruchomić rewers po dotknięciu ziemi tylko jednym kołem, to niech taki wniosek kierują do programistów.
Nie bardzo z katastrofy Lufthansa 2904 płynie wniosek, że automatyka jest zła i trzeba umożliwić jej wyłączanie np. jednym przyciskiem. Dla odmiany wystarczy podać przykład katastrofy lotu Lauda Air 004 w dniu 26 maja 1991. Tam akurat mowa jest o zdarzeniu całkowicie odwrotnym: doszło do uruchomienia rewersu (ciągu wstecznego, odwracacza ciągu) w powietrzu. Zginęli wszyscy. W locie Lufthansa 2904 były dwie ofiary. A zatem zabezpieczenia w automatyce są potrzebne. Uruchomienie wstecznego ciągu w locie powoduje śmierć wszystkich na pewno, nie uruchomienie wstecznego ciągu w trakcie lądowania powoduje tylko poważne prawdopodobieństwo kraksy.
W przypadku katastrofy Lufthansa 2904 błąd oczywiście był, był to błąd doboru nastaw przy strojeniu fragmentu automatyki zwanego zabezpieczeniami. Błędu automatyki, programisty i algorytmu nie było. Było niestaranne strojenie. Błąd oczywiście człowieka, być może nawet pilota oblatywacza.
Autor zwykle narzeka, że powinno się wyświetlać całą strukturę automatyki, niestety nie ma na to miejsca. Ale są przywołane już komunikaty głosowe i większość operatorów pracuje na słuch. W tym przypadku powinniśmy słyszeć w trakcie przyziemienia następującą sekwencję komunikatów głosowych:
- dziesięć,
- pięć,
- dwa,
- reverse unlocked.
Jeśli wsteczny nie został odblokowany, to rób co chcesz, odlatuj, hamuj hamulcami, ale wstecznego nie uruchomisz. Te zaledwie dwa słowa w interfejsie człowiek – maszyna są w stanie znacznie poprawić rozumienie „automatyki”.
Co to w ogóle miałoby znaczyć wyłączenie całej automatyki?
Czasy latania romantycznego minęły już bardzo dawno. Od czasu, kiedy sterownica nie jest połączona ze sterami za pomocą sznurków pilot porozumiewa się z maszyną tylko za pomocą automatyki. Może mu się wydaje, że steruje ręcznie, ale steruje ręcznie wydając rozkazy do organów wykonawczych automatyki. Czy to poprzez hydraulikę, czy poprzez sterowanie elektrohydrauliczne, ale steruje korzystając z automatyki, steruje wydając rozkazy do pozycjonerów, które pozostają cały czas w trybie AUTO i są automatycznymi regulatorami położenia elementów wykonawczych. Emocjonalny spór dotyczy tylko przerwania kaskady regulacji w odniesieniu do trzech głównych parametrów lotu, co daje nam poczucie władzy, kontroli i panowania. Wyłączenie całej automatyki jest fizycznie niemożliwe, nie jest możliwe wyłączenie zabezpieczeń (patrz Lauda – chyba było ich za mało), a także dlatego, że nikt nie jest w stanie opanować ręcznie setek regulatorów. Spór, powtórzmy, dotyczy w zasadzie trzech głównych.
Autor, jako czowiek z krwi i kości, prawdopodobnie także w miarę sprytny, również chciałby mieć możliwość wyłączania automatyki i chętnie z tego korzysta. Najczęściej tak się robi w celu "podgonienia zbyt wolnego regulatora", czyli trzeba dokonać operacji A/M, pogonić organ wykonawczy i przywrócić dokonując M/A. Automatyka jest projektowana do określonych warunków - nie miejmy do niej pretensji, że czasem trzeba pomóc. Pod tym względem dobre są regulatory pozwalające "podgonić" bez wyłączania AUTO, ale piloci nie do tego są przyzwyczajeni. Ale, jak powiedziano, spryt autora, ani spryt doświadczonego pilota nie pomogą, gdy mowa o setkach procesów jednocześnie, lub o procesach odbywających się poza postrzeganiem człowieka. Czas otwarcia wyłącznika generatora wynosi 33 ms, czas zamykania zaworu szybkozamykającego turbiny 200 ms. Pomimo sprawnych zabezpieczeń przy zrzucie mocy turbina ucieknie z 3000 obrotów do wartości 3150 rpm w ciągu kilku sekund. Nie ma czasu na triki w rodzaju "pomoc człowieka wiedzącego lepiej". Cała elektrotechnika odbywa się na procesach z częstotliwością 50 Hz, czyli pełne cykle powtarzają się co 20 ms. W procesach szybkich nasze bezpieczeństwo opiera się tylko na automatyce.
Czy coś da się naprawić, gdy człowiek się zawiesi, gdy operatora pilota ogarnie tzw. widzenie tunelowe? Generalnie nic. Na barana, który się zagapi nie ma rady i żadna synoptyka nie pomoże, choćby była sprowadzona do jednej liczby wyświetlonej Boldem rozmiar 432.
Tym baranem może być każdy, zależnie od tzw. złego dnia. Bywało, że autor nie rozpoznawał swojego własnego projektu, szczególnie po 4 tygodniach urlopu. Jest jedno ćwiczenie, które autor zaleca: w trakcie operacji o szczególnym znaczeniu należy wybrać dwa, trzy najważniejsze punkty i cyklicznie przerzucać wzrok, jak maszyna. Np., jeśli przełączamy pompy pracujące na wspólny kolektor należy patrzeć na obroty pompy z lewej strony, na ciśnienie mierzone na wspólnym kolektorze tłocznym i obroty pompy z prawej strony. Pytanie, z jaką częstotliwością przerzucać wzrok? Jeśli klikamy w pompę z lewej, to siłą rzeczy tam patrzymy, więc trzeba się zmusić do spojrzenia na pozostałe dwa punkty, ale przecież trzeba sprawdzić, czy organ wykonawczy wykonał rozkaz i podniósł obroty. Tymczasem, jeśli druga pompa odciąża się w AUTO może przejść w Man po przekroczeniu minimalnego obciążenia i już nie zareaguje, więc robi się ciekawie, bo kontrola tylko trzech miejsc to mało, raczej trzech obszarów. Dlatego dobrze jest grupować informacje razem.
Proszę spojrzeć na rysunek B737 przed lądowaniem, większy obraz do pobrania tutaj.
Widzialność jest dobra. Pilot nie ma potrzeby patrzenia na sztuczny horyzont. Pilot doskonale widzi prawdziwy horyzont, lotnisko i jego oprzyrządowanie. Pilot, który w trakcie przyziemienia będzie starannie patrzył na światła podejścia do lądowania PAPI może dodatkowo jeszcze zobaczyć set point prędkości. Czyli statyczną wielkość, która w całym procesie lądowania nie ulega zmianie. Żeby sprawdzić prędkość mierzoną oups… to już trzeba przenieść wzrok z widoku lotniska na widok sztucznego horyzontu, bo tam zgrupowane są wszystkie wielkości mierzone. Oczywiście dla wygody, ale przy patrzeniu na sztuczny horyzont. Ale po co patrzeć na sztuczny horyzont, skoro przy tym podejściu obowiązkiem jest patrzeć na horyzont prawdziwy? Z tego powodu katastrofy były na pewno. Warunki idealne, a pilot nie spojrzał na zbyt niską prędkość i moc silników.
Odpowiedź/zalecenie autor podał powyżej – w takiej sytuacji trzeba cyklicznie przenosić wzrok między dwoma wymaganymi widokami. Żeby to robić, trzeba o tym pamiętać, trzeba mieć odruch psa Pawłowa. Ale kilka tygodni rutyny i zapominamy. Poza tym, co to znaczy dostatecznie często przenosić wzrok między wymaganymi punktami: co 5, co 10, co 20 sekund? Jaką regułę wbić sobie do mózgu? Odpowiecie, że to wynika z praktyki i doświadczenia? Sorry, jeśli po pasie przejedzie samochód, to będziecie go śledzili 30 sekund. W tym czasie po 9 sekundach prędkość może spaść poniżej prędkości przeciągnięcia, bo coś tam.
Dlatego autor tak duży nacisk kładzie na wyświetlanie wiersza wielkości mierzonych, jako pierwszego od góry. Proszę spojrzeć na ten sam rysunek, ale z wklejonym widokiem z autorskiego symulatora synoptyki. Większy obraz do pobrania tutaj.
No owszem, też jest wymagany ruch gałki ocznej ze świateł PAPI na panel automatyki, ale na pewno jest to ruch mniejszy, niż przy konieczności spojrzenia na sztuczny horyzont. Przy czym, jeśli już spojrzymy, to uzyskamy znacznie więcej informacji, np. informację taką, że jeden z silników ma zbyt niskie obroty. Żeby się o tym przekonać w realizacjach dotychczasowych trzeba by już przenieść wzrok na trzeci obszar, na obszar wyświetlania mocy silników, albo na położenie przepustnic. Ile czasu trwa przeniesienie wzroku: 500, 1000 ms? Otóż w krytycznym momencie to mogą właśnie być te milisekundy. Ile czasu może pracować wydajnie człowiek z rozbieganym wzrokiem kontrolujący bez przerwy trzy wymienione obszary? A jeśli dojdzie czwarty?
Patrząc na propozycję autora od razu docenimy tą część dysputy na temat najważniejszego górnego wiersza: pomiar prędkości jest co prawda wyżej, niż na sztucznym horyzoncie, ale dalej za nisko z powodu wiersza ograniczników. W tym ostatnim zmian dokonuje się rzadko: najwyraźniej jest do przeniesienia na dół.
Aktualnie rozwiązania synoptyki w awiacji są nieco archaiczne i nie nadążają za postępem techniki między innymi z powodu konserwatyzmu pilotów. Ale postępu zatrzymać się nie da. Każdy producent, który zauważy, że można w jednym miejscu zgrupować więcej informacji i to bez przeciążenia sensorycznego pilota – na pewno tak postąpi. Tak będzie nawet taniej, bo jeden wyświetlacz elektroniczny będzie tańszy od wielu osobnych skrzynek z pojedynczymi pomiarami porozrzucanymi po całym samolocie.
Na monitorze autora proponowany wyświetlacz zajmuje 22 x 7 cm, a nikt nie zarzuci autorowi, że czegoś nie widać, raczej będą prośby, by zmienić biały kolor czcionki na lekko szary. I na pewno można go tanio zdublować dla drugiego pilota i potroić dla mechanika, jeśli jeszcze będzie taka potrzeba.
Punkt pierwszy pod tytułem „pilot zawsze wie lepiej”, „bo co będzie, jak się coś stanie”, „to pilot ponosi odpowiedzialność za ludzi i maszynę”, oraz „co może wiedzieć osoba z zewnątrz” w tej dyskusji przełożono na koniec, bo takowe komentarze są tylko ambicjonalne i nic nie wnoszą w sensie merytorycznym. Na dodatek autor zna je na pamięć i słyszał je dziesiątki razy przy każdym projekcie na styku automatyka – człowiek. Bez odstąpienia od punktu pierwszego odbycie niniejszej dysputy nie było możliwe. Poza tym jeszcze się taki człowiek nie urodził, żeby się znał na wszystkim, co dotyczy oczywiście zarówno samego autora, jak i pilotów. Ale czy autor jest z innej branży? Autor jest z branży nadzoru nad pracownikami, którzy nadzorują automatykę, która to dopiero prowadzi proces technologiczny bezpośrednio. W tym przypadku autor jest dokładnie z tej branży co trzeba. 05.11.2022.