<div dir="ltr"><div dir="ltr"><div dir="ltr">A colleague has pointed me to an interesting incident report just published on the Airbus website:<div><br></div><div><a href="https://safetyfirst.airbus.com/thrust-reverser-selection-is-a-decision-to-stop/">Thrust Reverser Selection is a Decision to Stop | Safety First (airbus.com)</a></div><div><br></div><div>I think Airbus deserve credit for publishing such a clear and honest account of the incident.</div><div><br></div><div>It appears to be a variant of the Byzantine Generals problem that I haven't seen described before. In this instance, we have two engines, ENG 1 and ENG 2 that are independently controlled by ECU 1 and ECU 2. ECU 1 was communicating with LGCIU 1, ECU 2 was communicating with LGCIU 2. The flight crew commanded a go-around after reverse thrust had already been engaged. The incident occurred because ECU 1 determined that the aircraft was in flight and therefore did not send a stow command to the ENG 1 reverser, while ECU 2 determined that the aircraft was on the ground and did send a stow command to the ENG 2 reverser. This resulted in ENG 1 remaining at idle, while ENG 2 went to TOGA. The aircraft veered to the left. The flight crew made a successful go-around and landing with ENG 1 inoperative.</div><div><br></div><div>This seems to me to be quite a complicated scenario. An implementation of the Byzantine Generals solution so that ECU 1 and ECU 2 were agreed on whether the aircraft was in flight or on the ground would have helped. However, the incident report points out that the thrust levers aren't necessarily closely aligned (e.g. the ENG 1 lever can be moved from REV to IDLE a fraction of a second before the ENG 2 lever is moved from REV to IDLE). This could mean that the ENG 1 lever is moved from REV to IDLE while the aircraft is determined to be in flight, yet the ENG 2 lever is moved from REV to IDLE a fraction of a second later while the aircraft is determined to be on ground. An implementation of the Byzantine Generals solution so that ECU 1 and ECU 2 could agree on whether the aircraft is in flight or on the ground at any given instant would have reduced the probability of this incident occurring, but would not have eliminated the possibility altogether. We would need an implementation of the Byzantine Generals solution that would allow ECU 1 and ECU 2 to agree whether or not to stow and lock the thrust reversers.</div><div><br clear="all"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div style="color:rgb(34,34,34)"><a name="SignatureSanitizer_m_-5798674576462993830_SignatureSanitizer_SafeHtmlFilter_UNIQUE_ID_SafeHtmlFilter__MailAutoSig"><span style="font-size:10pt;font-family:Arial,sans-serif">Yours,</span></a><br></div><div style="color:rgb(34,34,34)"><div dir="ltr"><div dir="ltr"><p><span style="font-family:Arial,sans-serif;font-size:10pt">Dewi Daniels | Director | Software Safety Limited</span><br></p><p><span lang="FR" style="font-size:10pt;font-family:Arial,sans-serif">Telephone +44 7968 837742 | Email </span><span lang="FR" style="font-size:10pt;font-family:Arial,sans-serif;color:purple"><a href="mailto:ddaniels@verocel.com" style="color:rgb(17,85,204)" target="_blank">d</a><a href="mailto:ewi.daniels@software-safety.com" style="color:rgb(17,85,204)" target="_blank">ewi.daniels@software-safety.com</a></span></p><p><font face="Arial, sans-serif">Software Safety Limited is a company registered in England and Wales. Company number: </font><font face="Arial, sans-serif">9390590</font><font face="Arial, sans-serif">. Registered office: Fairfield, 30F Bratton Road, West Ashton, Trowbridge</font><span style="font-family:Arial,sans-serif">, United Kingdom </span><span style="font-family:Arial,sans-serif">BA14 6AZ</span></p></div></div></div></div></div></div></div></div></div></div>