イーサネット通信エラーにより緊急着陸モードになるスイス製ビジネスジェット 46
ストーリー by headless
緊急 部門より
緊急 部門より
スイス・Pilatus AircraftのビジネスジェットPC-24でイーサネット通信エラーによりオートパイロットが緊急着陸モードになるなどの問題が報告されたとして、EU航空安全機関(EASA)が耐航空性改善指令(AD)を出している(AD、 The Registerの記事)。
報告されているのは、PC-24が離陸後の上昇中にデュアルチャンネルのデータコンセントレーションユニットで2つのイーサネット通信チャンネルが両方とも使用できなくなったというもの。データコンセントレーションユニットはさまざまな入力データを共通のデジタルデータに変換する役割を果たす。これによりブレーカーが落ちたことで、オートパイロットが緊急着陸モードに切り替わったほか、環境制御システムの機能が低下したり、乗客用酸素マスクが下りたりしたという。また、クルー用の警告システムがさまざまなメッセージを表示し、フラップや燃料系、防除氷雨装置の機能も大幅に低下したとのこと。
Pilatusでは問題を修正したUtility Management System(UMS) ソフトウェアの更新(ビルド7.3)を開発して作業指示書(SB)を発行しており、ADでは発効日の10月1日から30日以内に影響を受けるバージョンのソフトウェアを更新するよう命じている。
報告されているのは、PC-24が離陸後の上昇中にデュアルチャンネルのデータコンセントレーションユニットで2つのイーサネット通信チャンネルが両方とも使用できなくなったというもの。データコンセントレーションユニットはさまざまな入力データを共通のデジタルデータに変換する役割を果たす。これによりブレーカーが落ちたことで、オートパイロットが緊急着陸モードに切り替わったほか、環境制御システムの機能が低下したり、乗客用酸素マスクが下りたりしたという。また、クルー用の警告システムがさまざまなメッセージを表示し、フラップや燃料系、防除氷雨装置の機能も大幅に低下したとのこと。
Pilatusでは問題を修正したUtility Management System(UMS) ソフトウェアの更新(ビルド7.3)を開発して作業指示書(SB)を発行しており、ADでは発効日の10月1日から30日以内に影響を受けるバージョンのソフトウェアを更新するよう命じている。
機内配線がEthernetなのは航空では普通なのだろうか (スコア:5, 参考になる)
When that Ethernet network degrades or fails, things can become unpredictable. So it apparently was when that exact thing happened aboard an unidentified PC-24 flight, according to EASA: "This triggered opening of electronic circuit breakers, which resulted in the degradation of environmental control system functionalities, the deployment of all passenger oxygen masks and the autopilot entering in emergency descent mode."
二重冗長のEthernetスイッチ両系統が停止したことで、ブレーカーが異常を検知して遮断、環境制御システムが停止、機内の与圧が維持されているか不明になり、機内酸素マスクが展開して緊急降下(Emergency descent, 人が呼吸できる高度10000ft/約3000mまで急降下する)が掛かった、という感じですね。加えてEthernetが死んでいるため様々な警告が表示され、フラップ、燃料計、アンチアイス機能等々も状態不明となるなど"大幅に機能が低下"し、記事では"パイロットの負担が増加"したと述べられてますね。
PC-24は実用上昇限度が高度45000ft、約14kmです。このくらいの高度になると0.16気圧程度まで気圧が下がり、与圧が維持されていないとパイロットの意識が維持できません。なので、与圧状況が不明になった時はすぐに酸素マスクを着けて、酸素が効いているうちに常人でも意識が保てる高度まで降下する必要があるわけですね。
Re:機内配線がEthernetなのは航空では普通なのだろうか (スコア:4, 興味深い)
機内の通信にEthernetが適切かどうかは分からないけど、通信が失われた後の動作は別におかしくないよね。
なので、以下のタイトルは不適切な気がします。
>イーサネット通信エラーにより緊急着陸モードになるスイス製ビジネスジェット
事実ではあるけど、これでは緊急着陸モードにしたことが問題だと誤解されかねない。
飛行機は分からないけど、主に配線の重量増が問題で車でもEthernet増えつつあります。
走行に必要な部分は別ですが。
今回の飛行機でも、Ethernetスイッチが停止しても飛行自体は可能だったので、機能の分離はされてるんじゃないでしょうか。
Re:機内配線がEthernetなのは航空では普通なのだろうか (スコア:2)
ですね。細かいことを言えば着陸ではなくて降下なのでダブル不適切ですね。
車の場合は元々のCANからもっとややこしいバスやSingle-pair Ethernet等への変更が始まっていて、航空機の場合は他の方も言われてるように元がRS-485とかさらに先代の軍用のマルチマスタなデジタルバスで、時代の変化で既設配線のままコンバータを噛ませたりしてモダンな規格に変更するっぽい話は見かけるのですが、Ethernetなんだなーと。
Re:機内配線がEthernetなのは航空では普通なのだろうか (スコア:1)
RS-485というか、EIA-485は工場なんかでもたくさん使われてますね。
数百m超えるとこれぐらいしか信頼性のある通信手段が無かったので。
置き換え案件もたくさんあるのですが、元がSingle配線でインピーダンス管理もされてない物なので、既設配線を利用すると変更先が限られて結局コストダウンにならないという。
航空機の場合は配線の集約と軽量化が主目的なので、まとめて何でも通せる規格と言うことでEthernetが選ばれてるのだと思います。
Re:機内配線がEthernetなのは航空では普通なのだろうか (スコア:2)
機内配線としてどれが普通なのかは分かりませんが、The Registerの記事によると他にも
EIA/TIA-232,-422, -485, ARINC 429, USB 2.0, ARINC 664, MIL-STD-1553, CAN bus and Ethernet
が使われているそうで。
#USB2.0!?
Re: (スコア:0)
さすがにHWは航空機用だと思うよ。
Re: (スコア:0)
車でUSBは普通に使われているから、航空機で使われても不思議ないと思う。
ちなみに俺の知っている車のUSBのコネクタはパソコンなんかで使われているTypeAとかCとかと違う形状で、挿すとカチっていうやつ
Re: (スコア:0)
俺のスズキ車は普通のUSB A
Re: (スコア:0)
ヒロセ電機のGT17シリーズですかね
車載用でUSBモデムなどをつなぐけどラッチがないとダメとかでこいつの4極品をUSB代わりに使う
Re: (スコア:0)
CAN bus and Ethernet の CAN bus って これ [wikipedia.org]のことだよね。
Controller Area Network (CAN) は、ビークルバス規格の一種で、ホストコンピュータなしでマイクロコントローラやデバイスが相互に通信できるように設計されている。耐ノイズ性の強化が考慮された堅牢な規格である。
で、ビークルバス [wikipedia.org]は
ビークルバス(英語: vehicle bus)は、自動車、バス、列車、工業用車両、農業用車両、船
Re:機内配線がEthernetなのは航空では普通なのだろうか (スコア:2)
ごめん、The Registerからの英語文章をそのまんま持ってきたので誤解させてしまったかも。
もとが英文なんで、この最後のandは「, 」と読み替えてください。すなわち、日本語だと
EIA/TIA-232や-422, -485, ARINC 429, USB 2.0, ARINC 664, MIL-STD-1553, CAN bus, Ethernet
です。
Re:機内配線がEthernetなのは航空では普通なのだろうか (スコア:1)
自動車や船舶もそうなんですけどシステム内(飛行機とか車一台分のLAN)を流れるデータが多くなったのでイーサネットだとかTCP/IPを採用するケースが増えてるそうです。
Re: (スコア:0)
鉄道でもこれまでバラ線でパラレル転送していた制御線のデジタルバス化が進んでますね。
通信の双方向化で機器モニターにも使えるし、航空機ではとりわけ配線量削減による重量削減が効くんじゃないでしょうか。
Re: (スコア:0)
問題なのはイーサーネットを使っていることではなく、二重化している通信路が両系とも故障してしまった原因ですよね。
Re: (スコア:0)
自動車ではEthernetが普通に
データ転送レートが増えるとその都度専用規格を作り変えるのは大変~などの理由により自動車などでも性能向上のスピードの速い汎用規格を取り入れる方向
Re: (スコア:0)
二十年後(或いは既に)クラシックカー・クラシック機用のデータバス機器が手に入らなくなって、代わりに家庭用イーサネットが流用換装される事が流行ったりして。
Re: (スコア:0)
PCはEthernetでつなぐものですから
危険度は低いけど (スコア:3)
本件、墜落に直結する問題では無いけれど飛行機の安全マージンを減らすものであり、パイロットの負担を増やし飛行機の制御性を損なうものということで耐航空性改善指令が出たみたいですね(AD、The Registerの両方に書いてあった)。
でもこの問題、どういうふうに修正するんだろ?というより、どういう挙動にするのが正しいんだろう?
#そもそも、挙動のいずれも「センサからのデータが来なくなったんならそうするしか無いよねえ」なやつに見えて・・・。
Re:危険度は低いけど (スコア:2)
問題はLANが落ちてバックアップ動作に切り替えざるを得なくなることで、バックアップ動作とその機能そのものは正常なんではないかと。
Re: (スコア:0)
冗長度増やすのと、2チャンネルとも不通になったということは共通原因がありそうだからそれを対策 ですかね?
#アポロって3つのコンピュータ積んで多数決だっけ?
Re:危険度は低いけど (スコア:3, 興味深い)
車載ECU(エンジン用のではなく周辺部品用の、安全機器関係ではないやつ)開発時、航空部品も作ってるハネウェルにコンサルを依頼したら「え?冗長度たったの3?最低限5は必要でしょマイコン今すぐ2個追加して。このくらい常識」って言われたなあ。アレ以来、ハネウェルとは取引していない。
#ぜっっっったいAC
Re:危険度は低いけど (スコア:2, 興味深い)
電車関係の開発下請けしたことがあるけど
いいんかそれでというくらい基本仕様が稚拙だった
冗長を意図してるけどクリチカルなとこが共通だったりとか
おかしけりゃ止まればいいからの思想なのかもしれないが
# 絶対AC
Re: (スコア:0)
電車の場合は基本的に私有地で走らせているうえに、制動系とATS/ATC系が通常時は連動してて、
もしATS/ATC系が何らかの理由で停止したと車上で判断すれば、問答無用で赤信号扱いしてブレーキ掛けてで規定距離以内に止まるような仕様にさえなってれば法律的に最低限マルですし、
その後安全が確認できれば徐行運転できる規則になっているので、そりゃあね。
むしろもっと低レベルの人的や機械的な方が重要視されます。
Re:危険度は低いけど (スコア:2)
ルーチン業務ばかりのふつうの労働者がイレギュラーを嫌うのはしゃあない。
そんなもんやろ。
それよりも、たまたま見かけたことを「鉄道」全体に広げるな。
Re: (スコア:0)
あれかバックアップは3つじゃだめで、最低5という、買わない理由ではなく、買う理由ができた。
Re: (スコア:0)
コンサルで入った以上なにか言わなきゃだったのかもだが、
冗長性って絶対値じゃなくて要件から導かなきゃ駄目な筈だよなぁ……
高めっぽい冗長度を勘で決め打ちしてしまえば関連要素の正確な推定をサボれるけど、
本当に必要な冗長度が確保できているかも分からんくせに無駄に高コストな製品になる、と。
安全に関わらない機器に対しても無駄に冗長度を求めることで、
逆に安全に関わる機器に対して必要な冗長度を確保していない可能性を露呈する事ってあるんだな……
Re: (スコア:0)
黄色いケーブルに交換しトランシーバは必ず熟練者が取り付けること
Re: (スコア:0)
その類の話聞くたびに思うのだけど、どうやって熟練者になるんですかね。
Re:危険度は低いけど (スコア:1)
Re: (スコア:0)
スペースシャトルオービターは5系統多数決、なおかつ1系統は同一仕様書を用いた別ベンダーによる独立実装、と聞いたことがある
Re: (スコア:0)
既設のセンサ網やなんだかんだのケーブルは積み重ね改良でこのまま頑張ってもらうとして
予備てきなシステムはコックピットからニョキニョキ生やしたカメラと画像解析とAIを
アビヲニクスに横からくっつけ予測補正みたいなん示して緊急時の感覚操縦補助すりゃいいと思うよ
Re: (スコア:0)
そのカメラとECU間の通信が問題になるんだよ!
イーサそれでも生きてさえいれば (スコア:1)
いつか優しさに巡り逢える
Re:イーサそれでも生きてさえいれば (スコア:1)
Re: (スコア:0)
「ケーブルが余ってたから差しておきました!」というやさしさ
Re: (スコア:0)
それなんてブロードキャストストーム
ブレーカーだけどブレーカーじゃない (スコア:1)
「ブレーカーが落ちる」って書くと、本来は、過電流が流れて遮断器(=サーキットブレーカー)が落ちる(=スイッチが下側に落ちる)、って意味になります
これが転じて、今では例えば株価の「サーキットブレーカー制度(株価が異常な値動きをしたら混乱を避けるために株式市場を閉鎖する仕組み)」のように、
安全装置とかその仕組みもサーキットブレーカーと呼ばれます。
これらサーキットブレーカーと、電源の保安装置のブレーカーは区別すべきです。
今回の「サーキットブレーカー」も安全装置を意味しています。そして安全装置は「落ちる」とは言いません。
安全装置が落ちる、と言ったら逆の意味になってしまうからです。
今回の記事なら例えば「安全装置が誤発動して」という感じに書くべきでしょう。
Re: (スコア:0)
そもそも電気電子回路向けのサーキットブレーカは上がるやつと下がるやつがある。
カイロ向けの安全装置の慣例的な落ちるって表現もおかしい。
Re: (スコア:0)
>サーキットブレーカー制度(株価が異常な値動きをしたら混乱を避けるために株式市場を閉鎖する仕組み)
ブレーカーが作動すると「閉」鎖とは、これ如何に。
電気回路系の表現は日常用語の感覚と逆だったりするから厄介ですね。
前後の文脈から考えると電源入を意味する表現が適当なのに、「サーキットオープン」と歌ってる歌があったり…
ジョークが現実に (スコア:1)
ソフトウェア技術者が飛行機を設計したら~、Microsoftが飛行機を設計したら~というジョークが現実になったかのよう
操縦の基本機能に関する部分だけでも軍用機に使われている古い(枯れた)シリアルバス規格を使うとか出来ないものか....
Re: (スコア:0)
操縦の基本機能に関する予備系統だけでも飛行機に使われてきた古い(枯れた)規格(油圧とかかも)を残していたから、二系統のメインバスが死んだ状態で着陸ができたんじゃない。
Re: (スコア:0)
ちゃんと異常検知して「安全な高度まで緊急降下する」っていう縮退運転が出来てるので問題なし
そもそもそんなトラブルが無ければ完璧だけど、まあ検証のケース漏れ予想外が出るのは仕方ない