Clientes diferentes, diferentes necesidades
Cualquier sistema tiene probabilidad de fallar, como cuando un niño juega con un coche de radiocontrol pero de repente se queda sin batería. Es entonces cuando nos damos cuenta de que a veces Murphy impone su ley. En el mejor de los casos habremos aprendido a palos una lección vital, en el peor podríamos acabar hablando de un final letal. Dependiendo del evento a tener en cuenta, se deben tomar unas medidas correctivas para ahuyentar a Murphy. Las consideraciones de confiabilidad generalmente llevan a los ingenieros a dimensionar estas acciones proporcionalmente a los efectos y la ocurrencia del evento a tener en cuenta. Por lo tanto, la redundancia a menudo se adapta para disminuir la frecuencia y/o criticidad esperada de un evento tenido en cuenta de acuerdo con las especificidades del sistema. Este diseño disfuncional es a menudo difícil de lograr, debido a la complejidad en la compensación de los extensos costos necesarios para hacer que un sistema no tripulado sea redundante.
Sintesis de la redundancia
Desde un punto de vista abstracto, es posible hacer que todo sistema no tripulado sea redundante, como al comprarle un segundo juguete al niño. En el mundo real, el cliente no es un niño mimado, por lo que preferirá pagar por una seguridad mejorada. Esta es la razón por la cual al final los componentes más baratos son a menudo los redundantes; por otro lado, se requiere una comprensión profunda del sistema no tripulado para garantizar que las acciones correctivas sean más seguras que en un sistema no tripulado no modificado. Tal entendimiento puede ser cuantitativo o cualitativo, pero existen criterios comunes:
- ¿Con qué frecuencia podría ocurrir el error?
- ¿Cuánto podría afectar al sistema no tripulado?
A partir de este punto, la solución depende de la disminución de la tasa de fallos o de su criticidad, e incluso a veces ambas a la vez.
Como ir más allá contra Murphy
Los medios de detección permiten una mejora adicional en el tratamiento de fallos. Por ejemplo, la prueba incorporada (BIT) o autocomprobación incorporada (BIST), una herramienta de autodiagnóstico que detecta que ocurrió en un error. Dependiendo de la fase de vida, el componente defectuoso puede ser reemplazado rápidamente (uso de la Unidad Reemplazable por Línea, LRU por ejemplo) o el sistema puede adoptar comportamientos automáticos para superar el fallo. De hecho, puede ser posible implementar una forma secundaria para lograr la función a pesar del fallo (Fail-Operational, FO) o para pasar a un modo seguro que limite la criticidad del error (Fail-Safe, FS). Las estrategias FS generalmente se consideran más fáciles y más baratas de implementar que la FO. A menudo se requieren sistemas críticos para superar escenarios de fallos dobles, logrando así el comportamiento FO-FS o FS-FS.
Sistemas no tripulados redundantes personalizables proporcionados por Embention, el Autopiloto Veronte 4x Redundante
Los productos de Embention permiten que la redundancia sea más personalizable. Obviamente lo más fácil es tener un piloto automático redundante usando el Atupiloto Veronte 4x (incluso se podría integrar un piloto automático de terceros, extra al Autopiloto Veronte para evitar y mitigar fallos comunes). Además, esta unidad redundante es en realidad una arquitectura triplicada (hay tres unidades Veronte incorporadas) que hace posible implementar un voto mayoritario como arquitectura nominal y posiblemente ignorar un piloto automático defectuoso como modo seguro (comportamiento “fall-operational”). El árbitro es configurable de todos modos, por lo que la mejor estrategia de elección se puede implementar sin fallos; como descartar el piloto automático, cuyos sensores son los más ruidosos, entre otras.
Una opción más simple podría ser utilizar las unidades de Veronte como LRU y usar el BIST de encendido para decidir si necesita ser reemplazado o no. Esto depende en gran medida de las condiciones operativas y de una alta disponibilidad de inventario. Por lo tanto, la seguridad se puede lograr en un número limitado de escenarios, pero la flexibilidad operativa no lo es. Este es un ejemplo de un comportamiento “a prueba de fallos” que se ve favorecido en lugar de un comportamiento “fall-operational”.
Al ser altamente configurable, también es posible enseñarle a Veronte cómo detectar errores en el sensor o el actuador y, por lo tanto, adaptar sus parámetros de control. Esto no solo supera el fallo sino que disminuye la carga de trabajo del operador. Por ejemplo tal ganancia es crítica cuando se trata de vuelos en formación con múltiples sistemas no tripulados.
Todas estas funcionalidades se destacan junto con la posible necesidad de que la estación terrestre también sea redundante. De hecho, hacer que la estación terrestre sea redundante es una interesante forma de aplacar los riesgos de error en el escenario de un vuelo en formación de múltiples sistemas no tripulados, ya que la redundancia de la estación terrestre beneficia a todo la formación.
Redundancia personalizable
Cualquier usuario apreciará la posibilidad de adaptar la medida de seguridad tan fácilmente como se puede hacer con los productos de Embention. Esto no solo contribuirá a la seguridad, sino que también ampliará la probabilidad de éxito de la misión a la vez que mejorará la flexibilidad. Murphy sigue ahí, pero en menor medida.