Катастрофите на 737 Max: бизнес, сензори и „умни” системи
Неприемливо е Boeing да има толкоз доста власт над разбора на сигурността на личните си самолети, считат специалисти от FAA
Данните от черната кутия на Boeing 737 Max разкриват, че битката сред системата и водачите е била смразяваща (източник: CCO Public Domain)
Две произшествия с известния аероплан Boeing 737 Max, в които починаха няколкостотин индивида в границите на пет месеца, накараха самолетни компании от целия свят да забранят полетите на този модел. Разследванията текат и сега, само че един разбор в Сиатъл Таймс разкрива, че уравнението, довело до тези съдбовни обстановки, включва мощни бизнес-интереси, софтуерни гафове и прекалено много власт, дадена на „ умни ” компютърни системи.
През 2015 година конкуренцията сред Boeing и Airbus е безпощадна. Първата бърза да сертифицира новия си 737 Max. Мениджърите на Федералната авиационна администрация (FAA) в Съединени американски щати са притиснати да делегират на компанията правото да прави сама оценките за сигурността на самолета, с цел да може производителят да получи утвърждение по-скоро.
Така никой не вижда, че първичният разбор на сигурността, който Boeing дава на FAA за новата система за ръководство на полите при Max – разбор, употребен за узаконяване на самолета като безвреден за хвърчене – има няколко значими минуса.
Премълчано за MCAS
Новият аероплан има системата за надзор на полета, наречена MCAS (Система за възстановяване на маневрените характеристики).
По време на полет с висока скорост системата следва да „ схваща ” по кое време самолетът се движи с прекомерно високо вдигнат нос, което може да докара до закъснение, загуба на надзор върху самолета, завъртане в серпантина надолу и злополука. В такива обстановки системата може да измества хоризонталната част на опашката (задкрилките). Така тя може да „ бутне ” носа на самолета надолу. Това би трябвало да върне на самолета положителното и безпрепятствено придвижване с висока скорост.
В несъгласие с дългогодишната традиция на Boeing да дава на водача цялостен надзор над самолета, новата автоматизирана система за ръководство на полета MCAS е проектирана да работи във фонов режим, без да приема команди от страна на водача. Това, съгласно компанията, е нужно, тъй като доста по-големите мотори на Max би трябвало да бъдат сложени по-далеч напред на крилото, променяйки аеродинамичните характерности на корпуса и подемната мощ.
Накратко, проектирана да се задейства автоматизирано единствено при рискова обстановка при полет с висока скорост, системата е способна да прави „ удар надолу ” на носа на самолета.
В разбора за тази система има няколко детайлности:
– подценена е властта на новата система за ръководство на полетите, проектирана да движи задкрилките на самолета, с цел да избута носа му надолу, с цел да предотврати прекалено закъснение на придвижването. Когато самолетите в употреба, MCAS се оказва способна да движи опашката над четири пъти повече, в сравнение с е посочено в първичния документ за разбор на безопасността;
– не е регистрирано, че системата се ресетва всякога, когато водачът реагира на нейната интензивност, като по този метод се пропуща евентуалното влияние върху самолета от това, че системата неведнъж бута носа на самолета надолу;
– сривът на системата е оценен с едно равнище под степента „ пагубно ”. Описаното равнище е „ рисково ”. Но даже и при такова равнище би трябвало да е изключено системата да разчита на данни от един-единствен датчик. И въпреки всичко това е методът, по който е проектирана.
Бизнес ползи
Няколко механически специалиста от FAA – предпочели да останат анонимни пред Сиатъл Таймс – декларират изрично, че злополуката на Lion Air през октомври „ е единствено най-новият знак, че делегирането на узаконяването на самолета от страна на организацията е отишло прекомерно надалеч ”. Те са на мнение, че е недопустимо Boeing да имат толкоз доста власт над разбора на сигурността на самолетите си.
Но за какво става по този начин?
FAA, базирайки се на неналичието на финансиране и запаси, през годините делегира все по-големи пълномощия на Boeing да поеме повече работа по узаконяване на сигурността на личните си самолети. В началото на узаконяването на 737 Max екипът по сигурност във FAA разделя техническите оценки, които ще бъдат делегирани на Boeing, от тези, които организацията счита за сериозни – те следва да останат в ръцете на FAA.
Ала няколко механически специалисти на FAA декларират пред Сиатъл Таймс, че по време на узаконяването мениджърите упорито биват „ подканвани ” да ускорят процеса. Сертифицирането на Max изостава девет месеца след конкурентния Airbus A320neo. Времето е от значително значение за Boeing.
Бивш инженер по сигурност на FAA, който е бил директно зает в узаконяването на Max, споделя, че по средата на процеса на узаконяване мениджърите са помолени „ да преоценят какво ще бъде делегирано ”. Ръководството счита, прекалено много работа е оставена на FAA. „ Имаше непрекъснат напън за преоценка на първичните ни решения ”, споделя някогашният инженер, поискал анонимност. „ И даже откакто ги преоценихме … управлението продължи да разисква делегирането на още повече отговорност на компанията Boeing ”.
В тази атмосфера на бързане и напън анализът на сигурността на MCAS – единствено една част от планината от документи, нужни за узаконяване – е делегирана на Boeing.
„ Странна позиция ”
Когато разгласи прекъсването от придвижване на 737 Max, FAA уточни сходства в траекторията на полета на Lion Air и злополуката на полет 302 на Ethiopian Airlines.
Следователите са разкрили също по този начин данни, че движещите елементи на задкрилките на самолета на етиопската самолетна компания „ са в необикновена позиция “ – допуска се, че MCAS е измежду вероятните аргументи за това.
Оригиналният разбор на Boeing, възложен на FAA, включва изложение на MCAS, което дефинира предел за това какъв брой тъкмо система може да движи хоризонталната опашка. Лимитът е 0,6 градуса.
Този предел по-късно бива повишен след летателни проби, които демонстрират, че е належащо по-мощно придвижване на опашката, с цел да се предотврати закъснение на придвижването при висока скорост, коетоо би сложило самолета в заплаха.
След злополуката на Lion Air Flight 610 Boeing за първи път дава самолетни данни за MCAS. Бюлетинът на Boeing до самолетните компании декларира, че лимитът за придвижването, който системата може да на направи, е… 2,5 градуса!
Тази цифра е оригиналност за инженерите на FAA. Те са прочели по-рано, че лимитът е 0,6 градуса – в оценката на сигурността.
„ FAA имаха вяра, че самолетът е планиран до лимита от 0,6 градуса, това си мислеха и задграничните регулаторни органи ”, споделя инженер на FAA. „ А това е огромна разлика в оценката на заплахата ”.
Според инженерите, в случай че във FAA са били в точния момент известени за тази промяна, процедурата по утвърждението не би могла да мине.
Много власт за „ интелигентна ” система
Проблемът с лимита се усилва от различен детайл в разбора на сигурността на системата: системата има право да поправя опашката всякога, когато се задейства MCAS. А тя може да се задейства неведнъж, както е било по време на полета на Lion Air.
Един инженер по сигурност от FAA споделя, че всякога, когато водачите на полета на Lion Air са рестартирали превключвателите на своите контролни колони, с цел да изтеглят носа назад, MCAS се задействала още веднъж и избутвала опашката с „ нова стъпка от 2.5 градуса ”. А MCAS се е рестартирала доста пъти.
Данните от черната кутия разкриват, че битката сред системата и водачите е била смразяваща. Системата се е включвала и измествала опашката на самолета, а капитанът се е намесва, с цел да поправя позицията на самолета – този цикъл се е повторил 21 пъти!
След това той е поверил ръководството на самолета на втория водач. След като MCAS избутала носа на самолета надолу още два-три пъти, вторият водач е дал отговор единствено с два опита за поправяне.
При предел от 2,5 градуса на процедура самолетът се е насочил с носа надолу. Последните данни от черната кутия демонстрират, че капитанът се е постарал да възобнови контрола и да форсира самолета нагоре – но прекомерно късно.
Единичен датчик
Бивши инженер от Boeing, работил по узаконяването на Max от името на FAA, декларира пред Сиатъл Таймс, че дали една система за ръководство на самолета ще разчита на един източник на данни (един сензор) или два – зависи от класификацията за сигурността на системата, където се прави оценка какво би станало при щета на системата.
Правилото е, че каквото и да е съоръжение за комерсиален аероплан, в това число и другите датчици, е задоволително надеждно, с цел да посрещне условието за „ огромен срив ”. Това ще рече, че вероятността от щета би трябвало да бъде по-малка от едно на 100 000. Такива системи нормално имат право да разчитат на един единствен сензор за входящи данни. Когато обаче евентуалните последици се правят оценка като по-тежки, а сривът би бил „ обасен срив ”, условието за надеждност е вероятността за щета да е по-малко от едно на 10 милиона. В такива случаи системата нормално би трябвало да има най-малко два обособени потока от входящи данни – при положение, че единият се „ обърка ”.
Ето тук идва ролята на оценката на системата за сигурност на Boeing, съгласно която срив на MCAS би бил рисков, само че не ще да е „ сериозен ”. Според експерти, взели участие в узаконяването, системата базира решенията си на данни от един датчик, който мери „ ъгъла на офанзива ” – това е ъгълът, под който насрещният вятър среща корпуса на самолета.
Всъщност сходно на всички 737, Max има два датчика, по един от всяка страна на корпуса, покрай пилотската кабина. Но MCAS е проектирана да чете данни от единствено единия от тях.
Данните от черната кутия, показани в отчета за предварителното следствие, демонстрират, че показанията на двата датчика са се различавали с към 20 градуса! Разликата е била факт от самото начало на полета и даже до момента в който самолетът рулира по земята преди излитането.
Boeing можеше да проектира системата да съпоставя данните от двата датчика. Така щеше да се разбере, че единият от тях е развален.
След злополуката
Има и други фактори, съдействали за фаталността на двата полета. Сред тях е неналичието на образование – водачите не са тренирани по какъв начин да боравят с новата система MCAS. Всъщност чак след злополуката на Lion Air водачите на Max по света схващат, че има такава система. Проведени са тренинги, които – съгласно един водач – са траяли не повече от час на човек и са правени на таблет. Реално водачите по света не са наясно по какъв начин да се „ оправят ” с MCAS при положение на срив.
Оценката на новата система разрешава това. Благодарение на нея самолетът получава обиковен „ стандартизиран рейтинг ”, което разрешава водачите да се качат на самолета без специфична подготовка. Предполага се, че щом са управлявали различен 737, ще ръководят и този по същия метод.
Сега Boeing към този момент има „ софтуерен ъпдейт ” за самолетите Max. С него MCAS следва да стартира да чете данните и от двата датчика за ъгъла на офанзива, а пълномощията й би трябвало да са малко по-малки. Уви, това усъвършенстване идва след няколкостотин изгубени човешки живота.
Данните от черната кутия на Boeing 737 Max разкриват, че битката сред системата и водачите е била смразяваща (източник: CCO Public Domain)
Две произшествия с известния аероплан Boeing 737 Max, в които починаха няколкостотин индивида в границите на пет месеца, накараха самолетни компании от целия свят да забранят полетите на този модел. Разследванията текат и сега, само че един разбор в Сиатъл Таймс разкрива, че уравнението, довело до тези съдбовни обстановки, включва мощни бизнес-интереси, софтуерни гафове и прекалено много власт, дадена на „ умни ” компютърни системи.
През 2015 година конкуренцията сред Boeing и Airbus е безпощадна. Първата бърза да сертифицира новия си 737 Max. Мениджърите на Федералната авиационна администрация (FAA) в Съединени американски щати са притиснати да делегират на компанията правото да прави сама оценките за сигурността на самолета, с цел да може производителят да получи утвърждение по-скоро.
Така никой не вижда, че първичният разбор на сигурността, който Boeing дава на FAA за новата система за ръководство на полите при Max – разбор, употребен за узаконяване на самолета като безвреден за хвърчене – има няколко значими минуса.
Премълчано за MCAS
Новият аероплан има системата за надзор на полета, наречена MCAS (Система за възстановяване на маневрените характеристики).
По време на полет с висока скорост системата следва да „ схваща ” по кое време самолетът се движи с прекомерно високо вдигнат нос, което може да докара до закъснение, загуба на надзор върху самолета, завъртане в серпантина надолу и злополука. В такива обстановки системата може да измества хоризонталната част на опашката (задкрилките). Така тя може да „ бутне ” носа на самолета надолу. Това би трябвало да върне на самолета положителното и безпрепятствено придвижване с висока скорост.
В несъгласие с дългогодишната традиция на Boeing да дава на водача цялостен надзор над самолета, новата автоматизирана система за ръководство на полета MCAS е проектирана да работи във фонов режим, без да приема команди от страна на водача. Това, съгласно компанията, е нужно, тъй като доста по-големите мотори на Max би трябвало да бъдат сложени по-далеч напред на крилото, променяйки аеродинамичните характерности на корпуса и подемната мощ.
Накратко, проектирана да се задейства автоматизирано единствено при рискова обстановка при полет с висока скорост, системата е способна да прави „ удар надолу ” на носа на самолета.
В разбора за тази система има няколко детайлности:
– подценена е властта на новата система за ръководство на полетите, проектирана да движи задкрилките на самолета, с цел да избута носа му надолу, с цел да предотврати прекалено закъснение на придвижването. Когато самолетите в употреба, MCAS се оказва способна да движи опашката над четири пъти повече, в сравнение с е посочено в първичния документ за разбор на безопасността;
– не е регистрирано, че системата се ресетва всякога, когато водачът реагира на нейната интензивност, като по този метод се пропуща евентуалното влияние върху самолета от това, че системата неведнъж бута носа на самолета надолу;
– сривът на системата е оценен с едно равнище под степента „ пагубно ”. Описаното равнище е „ рисково ”. Но даже и при такова равнище би трябвало да е изключено системата да разчита на данни от един-единствен датчик. И въпреки всичко това е методът, по който е проектирана.
Бизнес ползи
Няколко механически специалиста от FAA – предпочели да останат анонимни пред Сиатъл Таймс – декларират изрично, че злополуката на Lion Air през октомври „ е единствено най-новият знак, че делегирането на узаконяването на самолета от страна на организацията е отишло прекомерно надалеч ”. Те са на мнение, че е недопустимо Boeing да имат толкоз доста власт над разбора на сигурността на самолетите си.
Но за какво става по този начин?
FAA, базирайки се на неналичието на финансиране и запаси, през годините делегира все по-големи пълномощия на Boeing да поеме повече работа по узаконяване на сигурността на личните си самолети. В началото на узаконяването на 737 Max екипът по сигурност във FAA разделя техническите оценки, които ще бъдат делегирани на Boeing, от тези, които организацията счита за сериозни – те следва да останат в ръцете на FAA.
Ала няколко механически специалисти на FAA декларират пред Сиатъл Таймс, че по време на узаконяването мениджърите упорито биват „ подканвани ” да ускорят процеса. Сертифицирането на Max изостава девет месеца след конкурентния Airbus A320neo. Времето е от значително значение за Boeing.
Бивш инженер по сигурност на FAA, който е бил директно зает в узаконяването на Max, споделя, че по средата на процеса на узаконяване мениджърите са помолени „ да преоценят какво ще бъде делегирано ”. Ръководството счита, прекалено много работа е оставена на FAA. „ Имаше непрекъснат напън за преоценка на първичните ни решения ”, споделя някогашният инженер, поискал анонимност. „ И даже откакто ги преоценихме … управлението продължи да разисква делегирането на още повече отговорност на компанията Boeing ”.
В тази атмосфера на бързане и напън анализът на сигурността на MCAS – единствено една част от планината от документи, нужни за узаконяване – е делегирана на Boeing.
„ Странна позиция ”
Когато разгласи прекъсването от придвижване на 737 Max, FAA уточни сходства в траекторията на полета на Lion Air и злополуката на полет 302 на Ethiopian Airlines.
Следователите са разкрили също по този начин данни, че движещите елементи на задкрилките на самолета на етиопската самолетна компания „ са в необикновена позиция “ – допуска се, че MCAS е измежду вероятните аргументи за това.
Оригиналният разбор на Boeing, възложен на FAA, включва изложение на MCAS, което дефинира предел за това какъв брой тъкмо система може да движи хоризонталната опашка. Лимитът е 0,6 градуса.
Този предел по-късно бива повишен след летателни проби, които демонстрират, че е належащо по-мощно придвижване на опашката, с цел да се предотврати закъснение на придвижването при висока скорост, коетоо би сложило самолета в заплаха.
След злополуката на Lion Air Flight 610 Boeing за първи път дава самолетни данни за MCAS. Бюлетинът на Boeing до самолетните компании декларира, че лимитът за придвижването, който системата може да на направи, е… 2,5 градуса!
Тази цифра е оригиналност за инженерите на FAA. Те са прочели по-рано, че лимитът е 0,6 градуса – в оценката на сигурността.
„ FAA имаха вяра, че самолетът е планиран до лимита от 0,6 градуса, това си мислеха и задграничните регулаторни органи ”, споделя инженер на FAA. „ А това е огромна разлика в оценката на заплахата ”.
Според инженерите, в случай че във FAA са били в точния момент известени за тази промяна, процедурата по утвърждението не би могла да мине.
Много власт за „ интелигентна ” система
Проблемът с лимита се усилва от различен детайл в разбора на сигурността на системата: системата има право да поправя опашката всякога, когато се задейства MCAS. А тя може да се задейства неведнъж, както е било по време на полета на Lion Air.
Един инженер по сигурност от FAA споделя, че всякога, когато водачите на полета на Lion Air са рестартирали превключвателите на своите контролни колони, с цел да изтеглят носа назад, MCAS се задействала още веднъж и избутвала опашката с „ нова стъпка от 2.5 градуса ”. А MCAS се е рестартирала доста пъти.
Данните от черната кутия разкриват, че битката сред системата и водачите е била смразяваща. Системата се е включвала и измествала опашката на самолета, а капитанът се е намесва, с цел да поправя позицията на самолета – този цикъл се е повторил 21 пъти!
След това той е поверил ръководството на самолета на втория водач. След като MCAS избутала носа на самолета надолу още два-три пъти, вторият водач е дал отговор единствено с два опита за поправяне.
При предел от 2,5 градуса на процедура самолетът се е насочил с носа надолу. Последните данни от черната кутия демонстрират, че капитанът се е постарал да възобнови контрола и да форсира самолета нагоре – но прекомерно късно.
Единичен датчик
Бивши инженер от Boeing, работил по узаконяването на Max от името на FAA, декларира пред Сиатъл Таймс, че дали една система за ръководство на самолета ще разчита на един източник на данни (един сензор) или два – зависи от класификацията за сигурността на системата, където се прави оценка какво би станало при щета на системата.
Правилото е, че каквото и да е съоръжение за комерсиален аероплан, в това число и другите датчици, е задоволително надеждно, с цел да посрещне условието за „ огромен срив ”. Това ще рече, че вероятността от щета би трябвало да бъде по-малка от едно на 100 000. Такива системи нормално имат право да разчитат на един единствен сензор за входящи данни. Когато обаче евентуалните последици се правят оценка като по-тежки, а сривът би бил „ обасен срив ”, условието за надеждност е вероятността за щета да е по-малко от едно на 10 милиона. В такива случаи системата нормално би трябвало да има най-малко два обособени потока от входящи данни – при положение, че единият се „ обърка ”.
Ето тук идва ролята на оценката на системата за сигурност на Boeing, съгласно която срив на MCAS би бил рисков, само че не ще да е „ сериозен ”. Според експерти, взели участие в узаконяването, системата базира решенията си на данни от един датчик, който мери „ ъгъла на офанзива ” – това е ъгълът, под който насрещният вятър среща корпуса на самолета.
Всъщност сходно на всички 737, Max има два датчика, по един от всяка страна на корпуса, покрай пилотската кабина. Но MCAS е проектирана да чете данни от единствено единия от тях.
Данните от черната кутия, показани в отчета за предварителното следствие, демонстрират, че показанията на двата датчика са се различавали с към 20 градуса! Разликата е била факт от самото начало на полета и даже до момента в който самолетът рулира по земята преди излитането.
Boeing можеше да проектира системата да съпоставя данните от двата датчика. Така щеше да се разбере, че единият от тях е развален.
След злополуката
Има и други фактори, съдействали за фаталността на двата полета. Сред тях е неналичието на образование – водачите не са тренирани по какъв начин да боравят с новата система MCAS. Всъщност чак след злополуката на Lion Air водачите на Max по света схващат, че има такава система. Проведени са тренинги, които – съгласно един водач – са траяли не повече от час на човек и са правени на таблет. Реално водачите по света не са наясно по какъв начин да се „ оправят ” с MCAS при положение на срив.
Оценката на новата система разрешава това. Благодарение на нея самолетът получава обиковен „ стандартизиран рейтинг ”, което разрешава водачите да се качат на самолета без специфична подготовка. Предполага се, че щом са управлявали различен 737, ще ръководят и този по същия метод.
Сега Boeing към този момент има „ софтуерен ъпдейт ” за самолетите Max. С него MCAS следва да стартира да чете данните и от двата датчика за ъгъла на офанзива, а пълномощията й би трябвало да са малко по-малки. Уви, това усъвършенстване идва след няколкостотин изгубени човешки живота.
Източник: technews.bg
КОМЕНТАРИ