Es wundert mich etwas, dass hier die Systeme redundant ausgelegt sind, aber anscheinend es kein Verfahren gibt, das ein Defekt erkennt und die Untereinheit auschaltet. Na gut, vielleicht war es sicher genug... Ich kann mich erinnern, dass beim Space Shuttle 4 Rechner sich gegenseitig kontrollieren und die Mehrheit einen Computer trennen kann. OK, das sind andere Geschwindigkeiten und noch kritischer, aber so etwas hätte ich auch erwartet.
Wie Kwashiorkor sagt, das hätte auch anders enden können.
Gruß,
Cirrus
Die Flight Envelope Protections bei den FBW-Airbussen sind eigentlich eine sehr nützliche Funktion, gerade wenn man sich nahe der Grenzen des Envelope bewegt, z.B. Turbulenz in der max. Reiseflughöhe, Windshear in Bodennähe bei niedriger Geschwindigkeit.
Sie bestehen aus folgenden Komponenten:
- Bank Angle Protection
- High Angle of Attack Protection
- Pitch Attitude Protection
- Load Factor Limitation
- High Speed Protection
Zum richtigen Funktionieren der Protections benötigen die Flight-Control-Computer natürlich stimmige Daten der 3 ADIRUs (Air Data Inertial Reference Unit) und ihrer Sensoren (Anstellwinkelgeber, Stau- und Statikdruck-Sensoren, Temperatursensoren uvm).
Diese Komponenten sind 3-fach redundant ausgelegt so dass hier auf den ersten Blick ein ausreichendes Safety-Niveau besteht. Allerdings ist das erkennen von Fehlern im ADIRU-Bereich teilweise sehr schwierig.
Sollte ein interner Fehler von der Unit selbst erkannt werden, wird die Crew aufgefordert, dies zu verifizieren und dann das Gerät abschalten, wodurch keine weiteren Probleme zu erwarten sein sollten.
Wenn kein interner Fehler erkannt wird, aber deutlich verschiedene Werte von den 3 Units gemessen werden, dann wird es schon schwieriger. Hier findet dann ein 'voting' mittels einfacher Mehrheit statt und die überstimmte unit wird wiederum als 'faulty' angezeigt. Allerdings muss hier dann schon eine dedizierte Plausibilitätsprüfung vor dem Abschalten stattfinden, denn wenn 2 von 3 Geräten gemeinsam falsch messen/anzeigen, dann würde nach der Design-Logik der verbliebene, aber richtige Wert überstimmt.
Das ganze gipfelt im Super-GAU einer 3-fach falschen Messung, die nur von der Crew erkannt werden kann. Wenn aufgrund einer solchen Fehlmessung wie z.B. 3-fach geblockte Staurohre, wie es bei dem Unfall der Birgen-Air der Fall war, alle 3 Systeme gleich falsch messen, dann würden natürlich auch die Flight-Envelope-Protections völlig ohne Warnung und völlig falsch agieren.
Im genannten Fall würde mir zunehmender Höhe eine viel zu hohe Geschwindigkeit angezeigt, während der Flieger zunehmend langsamer wird und sich dem Strömungsabriss nähert. Hier würde dann in mitten eines Tohuwabohus aus akkustischen und optischen Warnungen auch die 'High Speed Protection' aktiv und die Nase des Fliegers weiter anheben, um die vermeintlich zu hohe Geschwindigkeit zu reduzieren.
Das ganze läßt sich vom Piloten zunächst nicht übersteuern, da ja vermeintlich die strukturelle Integrität des Fliegers bedroht ist. Hier ist nun schnelles Handeln gefragt und man muss bestimmte Teile der Flight-Control-Computer abschalten, um über den Umweg in ein niedrigeres Flight-Control-Law wieder die Oberhand über die Automatik zu bekommen.
Dafür gibt es leider keine Checkliste, andererseits hätte man auch keine Zeit das entsprechende Verfahren zu suchen und durchzuführen. An diesem Tag braucht man eine fitte Crew, die rechtzeitig die richtige Idee hat.
Um auf den QF-Vorfall zurückzukommen: Hier wird es interessant werden zu sehen, welche Warnungen angezeigt wurden, ob die Crew richtig und zeitlich angemessen reagiert hat und ob ggf. neu, bisher unbekannte Fehler-Modi der ADIRU aufgetreten sind.
Gruß MAX
