ความหมายของ Fail Passive operation คือ การทำงานของระบบใด ๆ ที่เมื่อมีความผิดปกติเกิดขึ้นแล้ว ระบบจะไม่สามารถทำงานได้ตามปกติ ส่วน Fail Operational operation จะแตกต่างตรงที่ เมื่อมี Failure เกิดขึ้นกับระบบแล้ว ระบบจะยังคงสามารถทำงานต่อไปได้ตามปกติ ซึ่ง Fail Operational จำเป็นต้องใช้ Redundancy มาร่วมในการทำงานมากขึ้น เพื่อสำรองในกรณีที่มีการ Failure เกิดขึ้น
CAT 2, CAT3 CONCEPT
By FC Somboon Raoruja
9 APRIL 2007
หลักการทำงานพื้นฐานของ Fail Passive และ Fail Operational
ความหมายของ Fail Passive operation คือ การทำงานของระบบใด ๆ ที่เมื่อมีความผิดปกติเกิดขึ้นแล้ว ระบบจะไม่สามารถทำงานได้ตามปกติ ส่วน Fail Operational operation จะแตกต่างตรงที่ เมื่อมี Failure เกิดขึ้นกับระบบแล้ว ระบบจะยังคงสามารถทำงานต่อไปได้ตามปกติ ซึ่ง Fail Operational จำเป็นต้องใช้ Redundancy มาร่วมในการทำงานมากขึ้น เพื่อสำรองในกรณีที่มีการ Failure เกิดขึ้น
Fail Passive กับ Fail Operational operation นี้สามารถนำไปใช้ได้กับระบบต่างๆ ได้ทั่วไป เช่น ระบบในโรงงานอุตสาหกรรม ในขบวนการที่ทำงานโดยเครื่องจักรอัตโนมัติที่สำคัญ อาจมีการใช้ Robot ที่ทำงานแบบ Fail Operational อยู่ในขั้นตอนการผลิต นั่นคือ Robot ยังคงทำงานได้อยู่ เมื่อมี Failure เกิดขึ้น เป็นต้น ส่วนในเรื่องของ Cat 2, Cat 3 นั้น เรามักจะนำมาใช้กับระบบ Automatic Approach, AutoLand และ Auto Rollout
Definition
FAIL-PASSIVE AUTOMATIC LANDING SYSTEM
An automatic landing system is fail-passive if, in the event of a failure, there is no significant out-of-trim condition or deviation of flight path or attitude but the landing is not completed automatically. For a fail-passive automatic landing system the pilot assumes control of the aircraft after a failure (JAA)
ในคำนิยามเกี่ยวกับ Fail Passive นี้ นอกจากจะเน้นว่าระบบ Autoland จะทำงานต่อไปไม่ได้ ถ้ามี Failure เกิดขึ้นแล้ว จะกำหนดอีกว่า นักบินจะต้องสามารถควบคุมเครื่องบินต่อได้แบบง่ายดาย ไม่ Jerk, Out of trim
FAIL-OPERATIONAL AUTOMATIC LANDING SYSTEM
An automatic landing system is fail-operational if, in the event of a failure below alert height, the approach, the flare and landing can be completed by the remaining part of the automatic system. In the event of failure, the automatic landing system will operate as a fail-passive system (JAA)
จากคำนิยามนี้แสดงว่า ณ ขณะที่เครื่องบินกำลังผ่าน Alert Height และยังคงมีความเป็น Fail Operational autoland อยู่ เครื่องจะสามารถทำการ touch down ได้โดยปลอดภัยแน่นอน ถึงแม้จะมี single failure เกิดขึ้นหลังจาก AH และเหลือแค่ Fail Passive autoland ก็ตาม เนื่องจากเวลาจาก Alert Height ถึง touch down เพียงแค่ประมาณ 10 วินาที สำหรับ AH=100 และประมาณ 20 วินาที สำหรับ AH=200 โอกาสที่จะมี Failure เพิ่มขึ้นมาอีกจนมีผลกระทบต่อ Fail passive autoland ที่เหลืออยู่นั้นมีน้อยมาก และถ้ามีจริง FMA จะเปลี่ยนเป็น NO AUTOLAND เพื่อให้นักบินตัดสินใจต่อไป
หลักการพื้นฐานของ Fail Passive automatic approach & landing system
การทำหน้าที่ของ Autopilot ตั้งแต่ approach, landing จนถึง rollout นั้น จะต้องใช้ข้อมูลจาก 2 Channel มาควบคุมการทำงานของระบบอยู่ตลอดเวลา เพื่อให้มีการตรวจสอบเปรียบเทียบซึ่งกันและกัน ถ้ามี failure เกิดขึ้น ระบบจะทำการ disconnect autoland ทันที เพื่อให้นักบินทำการควบคุมเครื่องบินต่อไปเอง ดังนั้นการบินด้วย Fail Passive Autoland ซึ่งสามารถบินได้ในสภาพอากาศ Cat2 (RVR 300m, 350m, หรือ Cat3A (RVR 200m) นั้น จะต้องใช้ DH ควบคู่ด้วยเสมอ เพื่อให้นักบิน ตรวจสอบว่า ณ ที่ตำแหน่ง DH นั้น ระบบ Fail Passive autoland พาเครื่องมาสู่ touchdown zone อย่างถูกต้องจริง ถึงแม้ว่า RVR จะต่ำมากเพียง 200 m นักบินก็จะยังคงสามารถเห็น 3 consecutive lights เช่น APL 3 ดวงเรียงติดกัน หรือ CLL 3 ดวงเรียงติดกัน ซึ่งจะทำให้รู้ Directional ของเครื่องบินได้ เมื่อนักบิน confirm ว่าใช่ touchdown zone จริง และ บินใน directional ที่ถูกต้อง ก็สามารถปล่อยให้เครื่องทำการ autoland ไปได้
โดยทั่วไปแล้ว Airbus กับ MD จะออกแบบ Fail Passive automatic approach & landing system โดยใช้ 2 channel ต่อ 1 A/P แต่ Boeing จะใช้ 1 channel ต่อ 1 A/P
Airbus จึงใช้เพียง 1 A/P (2 channel) ก็สามารถบินในสภาพอากาศแบบ Cat 2 หรือ Cat3A ได้ โดย FMA แสดงเป็น CAT 3 SINGLE
Boeing ต้องใช้ 2 A/P (2 channel) ทำการบิน Cat2, Cat3A โดย FMA แสดงเป็น LAND 2
หลักการพื้นฐานของ Fail Operational automatic approach & landing system
ข้อแตกต่างจาก Fail passive automatic approach & landing system คือระบบ autoland จะมีการใช้ข้อมูลเพื่อควบคุมระบบมากขึ้น ( มี redundancy) ดังนั้น การทำงานของระบบจึงต้องใช้ข้อมูล อย่างน้อย 3 channel มาทำงานร่วมกัน เพื่อให้มี majority vote ถ้ามี channel หนึ่งมีข้อมูลที่คลาดเคลื่อนจากที่เหลือ ระบบก็จะ Disregard ข้อมูลที่ error นี้ทิ้งไป นั่นคือจะ disconnect A/P ตัวที่ error ออกและเหลือแค่ Fail passive autoland และนักบินต้องตัดสินใจต่อไปว่าจะทำอย่างไรต่อไป
โดยทั่วไป Airbus และ MD จะใช้ 2 A/P (4 channel) และ Boeing ใช้ 3 A/P (3 channel) ในการบินแบบ Fail Operational autoland
Airbus จึงใช้ 2 A/P (4 channel) เพื่อบินในสภาพอากาศแบบ Cat3B ได้ โดย FMA แสดงเป็น CAT 3 DUAL
Boeing ต้องใช้ 3 A/P (3 channel) ทำการบิน Cat3B โดย FMA แสดงเป็น LAND 3
ถ้ามี single failure เกิดขึ้น ระบบจะ downgrade เหลือ 2 channel เท่ากันคือ CAT 3 SINGLE หรือ LAND 2
RVR
RVR สำหรับ Cat 2 : กำหนดไว้เพื่อให้นักบินมี visual reference ที่เพียงพอที่ DH และสามารถทำ manual landing ได้ ถ้า RVR 350 m, และต้อง Autoland ถ้า RVR 300 m. การ contact ของนักบิน ต้องเห็นไฟอย่างน้อย 3 consecutive lights
RVR สำหรับ Cat 3A : กำหนดไว้สำหรับการ touchdown เพื่อให้นักบินตัดสินใจว่าที่ DH นั้นเครื่องบินได้บินเข้ามาและจะ land ที่ touchdown zone จริง โดย RVR นี้จะไม่เพียงพอให้ทำ manual landing ได้ การ contact ของนักบิน ต้องเห็นไฟอย่างน้อย 3 consecutive lights (APL, CCL, RWL, TDZL)
RVR สำหรับ Cat3B : กำหนดไว้สำหรับการ rollout เพื่อให้นักบินแน่ใจว่าเครื่องจะ automatic rollout ต่อไปได้หลังแตะพื้นไปแล้ว การ contact ของนักบินต้องเห็นไฟอย่างน้อย 1 ดวงของ CCL
AH vs DH
การบินด้วย Fail Operational autoland ที่สามารถบินได้ถึงสภาพอากาศแบบ Cat3B นั้น โดยหลักการแล้ว สายการบินจะบินโดยใช้หรือไม่ใช้ DH ก็ได้ ถ้าไม่ใช้ DH ก็ต้องใช้ AH แทน โดยปกติ DH กับ AH จะไม่ใช้คู่กัน เพราะมีหลักการทำงานที่แตกต่างกันชัดเจน คือถ้าใช้ DH นักบินจะต้องเห็นสนามก่อนลงที่ DH แต่ถ้าใช้ AH แล้วนักบินไม่จำเป็นต้องเห็นสนามก่อนลง ถ้าเงื่อนไขอื่นครบถ้วน
จากข้อมูลข้างต้นสามารถสรุปได้ว่า
- ถ้าเครื่องเป็น Fail Passive Autoland สามารถบินได้ทั้ง Cat2 และ Cat3A
- ถ้าเครื่องเป็น Fail Operational Autoland สามารถบินได้ทั้ง Cat2, Cat3A, Cat3B
- ถ้าสภาพอากาศเป็น Cat3A แล้ว อย่างน้อยเครื่องต้องเป็น Fail Passive autoland
เมื่อใช้ Fail Passive autoland จะต้องมี DH (50) เสมอ
เมื่อใช้ Fail Operational autoland แล้วทำ Cat3A จะใช้ระบบ DH (50) หรือ AH ก็ได้ (DH = 0) สำหรับ ICAO & FAA ส่วน JAA ระบุว่าต้องใช้ DH เสมอ
- ถ้าสภาพอากาศเป็น Cat3B แล้ว เครื่องต้องเป็น Fail Operational autoland เท่านั้น
อาจจะใช้ระบบ DH (20) หรือ AH ก็ได้ โดยมีรายละเอียดเพิ่มเติมดังนี้
A] การทำ Cat 3B โดยใช้ AH และไม่ใช้ DH (DH = 0)
โดยทั่วไป เมื่อเครื่องบินมาถึง AH และ RP callout ว่า Alert Height LP จะ callout ว่า Landing โดยต้องแน่ใจว่า
1) เครื่องยังคงเป็น Fail Operational autoland อยู่ขณะที่ผ่าน AH
2) Quality ของการทำ Approach ยังดีอยู่ และ
3) official RVR ที่ report มาก่อนเข้า FAF, OM หรือ 1000 นั้น above minima
นักบินจึงจะปล่อยให้เครื่องทำการ autoland ไป ถึงแม้นักบินจะไม่เห็นสนามก่อน touchdown ก็ตาม ( ไม่ใช้ DH)
โดย RVR ที่ยังต้องการให้ above minima อยู่นั้น เพราะ RVR ของ Cat3B นี้ มีไว้สำหรับการ Rollout เพื่อให้นักบินแน่ใจว่า จะเห็น CLL หลังจาก touchdown แล้ว และสามารถ monitor Automatic Rollout ต่อไปได้ กล่าวอีกนัยหนึ่งคือ ถ้า RVR below minima (<100 m) แล้ว นักบินอาจจะไม่สามารถ monitor automatic rollout ได้ จึงไม่อนุญาตให้ปล่อยเครื่อง touchdown ถ้า RVR below minima
B] การทำ Cat3B โดยใช้ DH = 20 และไม่ใช้ AH
เนื่องจากมี สายการบิน , สนามบิน และ Authority ของประเทศจำนวนมาก ยังไม่มั่นใจให้เครื่องทำการ touchdown โดยนักบินไม่เห็นไฟ CLL ก่อน และไม่มั่นใจว่านักบินจะสามารถ Monitor automatic rollout ต่อไปได้ด้วยถ้าไม่เห็นไฟ CLL ก่อน จึงเลือกที่จะใช้ระบบ DH แทน AH จึงเป็นการดีกว่าถ้าจะให้ นักบินเห็นไฟ CLL อย่างน้อย 1 ดวงก่อน automatic touchdown เพื่อให้แน่ใจว่าสามารถ monitor การ rollout ได้ต่อไปหลังแตะพื้น
C] การทำ Cat3B โดยใช้ AH คู่กับ DH 20
ถึงแม้ว่าจะขัดกับหลักการออกแบบดั้งเดิมอยู่บ้าง แต่ในปัจจุบันมีหลายสายการบินเลือกใช้ AH กับ DH คู่กันในการทำ Approach โดยอาจจะคิดว่า การใช้ AH ก็มีข้อดีที่นักบินจะรู้และมีการ remind ก่อนลงว่าได้ถึงจุด AH แล้ว และเครื่องสามารถ touchdown ได้แน่นอน ถ้าไม่มี multiple failure เกิดขึ้นกับระบบ autoland หลังจากผ่าน AH และนักบินยังคงต้องเห็นไฟ CLL ก่อนลง เพื่อให้แน่ใจว่านักบินจะสามารถ Monitor automatic rollout ต่อไปได้ และยังเป็นการแก้ปัญหาข้อจำกัดของบางสนามบินที่ระบุให้นักบินต้องเห็นสนามก่อนลงเท่านั้นด้วย
AIRCRAFT ALERT HEIGHT
Below 200, the FMGS freezes the landing capability until LAND mode is disengaged or both A/P are off. Therefore a failure occurring below 200 does not change the category of the system (A330).
การที่ผู้ผลิตเครื่องบินได้ออกแบบให้ Freeze FMA ที่ 200 นั้น ( ไม่ Freeze คำว่า No Autoland) เหมือนกับการให้นักบินใช้ AH = 200 ไปในตัวอยู่แล้ว นั่นคือ ขณะที่บินในสภาพอากาศ Cat3B ด้วย Fail Operational autoland นั้น ถ้ามี single failure ต่อ ระบบ Autoland ที่ต่ำกว่า 200 นั้น ( เช่นเกิดขึ้นที่ 170) นักบินที่ใช้ระบบ AH = 100 หรือ ใช้ระบบ DH=20 ก็จะไม่ Go around เพราะไม่ทราบว่าขณะนั้นเหลือแค่ Fail Passive autoland แล้ว ทั้ง ๆ ที่มีข้อกำหนดให้เครื่องต้องเป็น Fail Operational autoland ก่อนถึง AH ก็ตาม จึงบินต่อไปตามปกติ เปรียบเสมือนบินด้วย AH = 200
สายการบินที่เลือกใช้ AH = 100 นั้น ถ้าเปลี่ยนเป็น 200 ได้ก็จะสอดคล้องเป็นอย่างดีกับการออกแบบของผู้ผลิตเครื่องบิน ส่วนสายการบินที่ใช้ระบบ DH=20 ก็เปรียบกับใช้ AH=200 ของเครื่องบินไปด้วยอยู่แล้ว เพราะการออกแบบของผู้ผลิตเครื่องบิน
จากข้อมูลทั้งหมดข้างต้น น่าจะทำให้เกิดความชัดเจนในบางประเด็นที่เป็นข้อถกเถียง เช่น
- เครื่องบิน B744, B777 ที่มี LAND2 และเครื่อง A330, A340 ที่มี Cat3 Single นั้น สามารถบินในสภาพอากาศแบบ Cat3A (RVR 200m) ได้จริง แต่ต้องใช้ DH (50) และไม่ใช้ AH โดยไม่จำเป็นต้องใช้ LAND3, CAT3 DUAL เพื่อทำ Cat3A เท่านั้น ( แต่สามารถใช้ได้ ) ดังนั้น การที่สายการบินบางแห่งกำหนดให้การทำ Cat3 A ต้องใช้ Fail Operational autoland เท่านั้น ( ไม่ว่าจะใช้ DH หรือ AH ก็ตาม ) ถือได้ว่าเป็นข้อกำหนดเพิ่มเติมของสายการบินนั้นเอง โดยอาจจะคิดว่ามีความปลอดภัยมากขึ้น โดยแลกกับการสูญเสียโอกาสในการบินในบางกรณี
- การทำ Cat3A ใน USA นั้น สำหรับการบินไทย ซึ่งเป็น Foreign Flag carrier ก็ไม่มีหลักการที่แตกต่างพิเศษแต่อย่างใด นั่นคือ สามารถทำ Cat3A ด้วย Fail Passive Autoland และ DH=50 ตามปกติ ซึ่งข้อกำหนดใน Route Manual เกี่ยวกับเรื่องนี้อาจจะไม่ถูกต้อง เพราะกำหนดว่าต้องใช้ Fail Operational Autoland เท่านั้น
นอกจากปัญหาด้านความเข้าใจของนักบินในหลักการบิน Cat 3 เมื่อได้อ่านจากคู่มือของบริษัทอย่างเดียวนั้น ยังมีปัญหาอื่นเพิ่มเติมอีกเช่น นักบินไม่รู้ Qualification ของตัวเองว่าบินได้ถึง Cat ไหน และไม่มีการทำ Recurrent ครบถ้วนตามข้อกำหนดใน Route Manual เป็นต้น
ท้ายสุดนี้ ถ้าบทความนี้มีความผิดพลาดประการใดต้องขออภัย และยินดี Discuss ในประเด็นต่าง ๆ ทั้งหมด โปรดส่งความเห็นของท่านต่อบทความนี้มาที่ r.somboon@gmail.com This email address is being protected from spam bots, you need Javascript enabled to view it
ขอบคุณครับ
|
