Я про другой самолет, извините. Про Boeing 737 - Запись на стене пользователя Андрей Мима в Вконтакте. Комментарии и лайки к записи.

Андрей Мима

Я про другой самолет, извините. Про Boeing 737 Max. Там очень много интересного нашлось при расследовании двух недавних катастроф.

Краткая предыстория: Boeing создали новый экономящий топливо самолет. Его делали на базе старого, чтобы не обучать пилотов с нуля. Так дешевле, можно сделать вид что это такой же самолет с парой модицикаций и использовать старые лицензии. Вот только сделать его таким же не получилось: слишком большие двигатели не влезали под крыло. Пришлось подвинуть их вперед. Из-за этого у самолета задирался нос на больших оборотах двигателя (то есть при взлете). В сбалансированном самолете этот эффект не выражен — он сохраняет заданный угол, если отпустить ручки управления. На Max 8 при обычном взлете чем выше угол атаки, тем быстрее нос задирается сам. Превышение угла приведет к катастрофе (сваливанию). Чтобы этого избежать в самолет добавили MCAS — специальный автопилот, который в ситуации, близкой к сваливанию, уменьшает угол атаки без участия пилота. Вот тут и начинается интересное.

Во-первых, MCAS работает даже когда основной автопилот выключен. Во-вторых, отключить его оказалось не так уж просто (у него нет отдельного выключателя - нужно отключать смежные системы). В-третьих, и это уже совсем странно: этой системе доверяли настолько, что она забирала на себя даже ручное управление самолетом. Она не просто работала когда отключен автопилот — она активно мешала пилоту увеличивать угол атаки. Когда эта система была активна, пилоту нужно было применять к ручке управления невероятное усилие чтобы сопротивляться этой системе. У MCAS был приоритет.

Но все меркнет на фоне косяка в дизайне, который, казалось бы, очевиден даже начинающему программисту. В голове не укладывается как можно было совершить такую ошибку на пассажирском авиалайнере. MCAS брал данные с одного датчика угла атаки. При наличии двух. Отдельная печальная ирония в том, что бортовой компьютер зарезервирован — при отказе одного запустится второй. Но каждый из двух MCAS подключен лишь к одному датчику — они не сверяли их значения, а просто доверяли одному. Это вдвойне странно, учитывая что обычный автопилот (который держит высоту и направление) показания сверяет: именно так случилась катастрофа Air France над атлантикой, там с двух датчиков стали приходить разные значения и автопилот отключился (так и должно происходить, когда не знаешь какому из датчиков доверять). В обеих катастрофах Max 8 данные с датчика угла атаки приходили ошибочные. И MCAS направлял нос вниз, потом снова считывал неправильные показания и снова направлял вниз.

Если и этого мало, чтобы вас впечатлить, то в Max 8 есть система предупреждения о том что данные с двух датчиков разошлись. Условно, красная лампочка. Боинг планировал включить ее во все самолеты Max 8, но из-за ошибки в софте это предупреждение оказалось привязано к наличию другой системы - индикатора угла атаки. Который, в свою очередь (ba-dum-tss), был дополнительной платной опцией при поставке самолета! Красная лампочка загоралась только если авиакомпания заплатила денег за премиум-комплектацию. И это получилось случайно.

Если и этого мало, добавьте что большинство пилотов вообще не знали про MCAS, их плохо обучили. А обучили плохо потому что делали вид что самолет почти без изменений, чтобы сэкономить на сертификации. А без MCAS самолет не прошел бы сертификацию вообще, потому что стал менее стабилен из-за нового дизайна двигателей, который сделали в погоне за экономией. А про проблему с предпреждением о расхождении показаний боинг узнал после первой катастрофы, но сказал что все в порядке - типа, не страшно, не влияет на безопасность. Но это все дискуссионно — сам по себе MCAS не зло, ведь тот же Air France пилоты отправили в сваливание руками. Не дискуссионно только одно: доверять единственному датчику было нельзя, это очень грубый косяк.

К моменту когда Max 8 снова разрешат летать, Boeing обещал отвязать предупреждение о расхождении датчиков от платных опций и таки сделать его стандартным везде. Еще они обещали что MCAS будет брать информацию с двух датчиков и станет менее агрессивно сопротивляться ручному управлению. Ну и дообучить пилотов, это уже произошло по факту аварий. Этих мер достаточно, чтобы закрыть все проблемные места в дизайне Max 8. Избегать на нем летать не нужно — автоматика все же делает полеты безопаснее.

I'm talking about another plane, sorry. About Boeing 737 Max. There were a lot of interesting things in the investigation of two recent disasters.

A brief background: Boeing created a new fuel-efficient aircraft. It was made on the basis of the old, so as not to train pilots from scratch. So it’s cheaper, you can pretend that this is the same plane with a couple of modifications and use the old licenses. That's just to make it the same did not work: too large engines did not fit under the wing. I had to move them forward. Because of this, the nose of the aircraft pulled up at high engine speeds (that is, during takeoff). In a balanced airplane, this effect is not expressed - it maintains a given angle if you release the control knobs. On Max 8, during normal take-off, the higher the angle of attack, the faster the nose lifts itself. Exceeding the angle will lead to disaster (stall). To avoid this, MCAS was added to the aircraft - a special autopilot, which in a situation close to stall reduces the angle of attack without the participation of the pilot. This is where the fun begins.

Firstly, MCAS works even when the main autopilot is turned off. Secondly, turning it off was not so easy (it does not have a separate switch - you need to turn off adjacent systems). Thirdly, and this is already very strange: this system was trusted so much that it took over even manual control of the aircraft. She did not just work when the autopilot was turned off - she actively prevented the pilot from increasing the angle of attack. When this system was active, the pilot had to apply incredible force to the control handle to resist this system. MCAS had priority.

But everything fades against the background of a cant in design, which, it would seem, is obvious even to a novice programmer. It doesn’t fit my head how it was possible to make such a mistake on a passenger airliner. MCAS took data from one angle of attack sensor. In the presence of two. A separate sad irony is that the on-board computer is reserved - if one fails, the second will start. But each of the two MCASs is connected to only one sensor - they did not verify their values, but simply trusted one. This is doubly strange, considering that a regular autopilot (which holds altitude and direction) reads the readings: this is exactly how the Air France crashed over the Atlantic, different values began to come from two sensors and the autopilot turned off (this should happen when you don't know which of the sensors trust). In both Max 8 disasters, the data from the angle of attack sensor was erroneous. And the MCAS turned the nose down, then read the wrong readings again and down again.

If this is not enough to impress you, then Max 8 has a warning system that the data from the two sensors has diverged. Conditionally, a red light bulb. Boeing planned to include it in all Max 8 planes, but due to an error in the software, this warning turned out to be tied to the presence of another system - an indicator of the angle of attack. Which, in turn (ba-dum-tss), was an additional paid option when delivering the aircraft! The red light came on only if the airline paid money for premium equipment. And it happened by chance.

If this is not enough, add that most pilots did not know about MCAS at all, they were poorly trained. And they trained poorly because they pretended that the plane was almost unchanged in order to save on certification. And without MCAS, the aircraft would not have passed certification at all, because it became less stable due to the new engine design, which was made in pursuit of economy. And the Boeing learned about the problem with the warning about the discrepancy between the testimonies after the first catastrophe, but said that everything was in order - like, it's not scary, it does not affect safety. But this is all debatable - the MCAS itself is not evil, because the very same Air France pilots were sent to stall. Only one thing is not debatable: it was impossible to trust a single sensor, this is a very rude jamb.

By the time Max 8 is allowed to fly again, Boeing promised to untie the warning about the divergence of sensors from paid options and still make it standard everywhere. They also promised that MCAS would take information from two sensors and would less aggressively resist manual control. Well, to train the pilots, this has already happened after the accident. These measures are enough to cover all the problem areas in the Max 8. design. Avoiding it is not necessary to fly - automation nevertheless makes flights safer.

У записи 31 лайков,
1 репостов,
1643 просмотров.

Эту запись оставил(а) на своей стене Андрей Мима