Comments 59
Спасибо за посты! Давно в качестве хобби, при основной работе в IT, увлекаюсь авиацией, так что видеть подобное на хабре очень интересно. Буду рад, если этим постом дело не закончится.

На сколько мне известно, на новых поколениях Boeing'a (777, 787) управление самолетом происходит также через компьютер, и штурвал по факту — джойстик. Однако, по заверению летчиков (не могу сказать это уверенно и определенно, т.к. не читал официальную литературу на эту тему) физическую связь с поверхностями управления кокпит все же сохранил, т.е. в случае полного отказа электроники пилоты могут перейти в режим полностью ручного управления (с помощью гидравлики естественно). На взгляд обывателя это выглядит вполне логично, впрочем как и наличие некой кнопки, которая могла бы выключить компьютер и дать управлять самолетом по старинке. Так вот вопрос, почему же такое резервирование не является стандартом отрасли? Понятно, конечно, что риск весьма ничтожен, но все же…
Во всем этом есть одно «но». Кто будет уметь управлять этими ручными системами на компьютерном расслабоне?
Смотря на каких пепелацах. После недавней калифорнийской катастрофы 777 (причина — потеря скорости на заходе) FAA внезапно озаботилась недостатками навыков ручного пилотирования и контроля ситуации у экипажей высокоавтоматизированных самолётов. Экипажи ближнемагистральных самолётов (Б737, например) имеют возможность (и стараются, если сами нормальные и лётное начальство не препятствует) отключить автопилот и тренировать навыки ручного пилотирования в процессе захода на посадку и (реже) взлёта и набора высоты; на эшелоне, как правило, работает автопилот, а экипаж только контролирует. На дальнемагистральных бортах принцип такой же, но на ближних рейсах количество взлётов и посадок в рабочий день больше, чем на дальних. Если на рейс из Москвы, скажем, в Казань можно пустить за рабочий день один экипаж туда и обратно, то у них в течение этого дня будут на двоих два взлёта и две посадки — тренируйтесь на здоровье. А в Ханой или на Пхукет так не получится: превышение рабочего времени в авиации, мягко говоря, не приветствуется. Будут на двоих один взлёт и одна посадка — и перебивайся как хочешь. Может, когда-нибудь каждый дальнемагистральный пепелац оснастят тренажёром этого же пепелаца и потребуют от экипажа регулярных тренировок на эшелоне — это вопрос веса, энергии и стоимости. А пока всё будет как есть.
Экипажи ближнемагистральных самолётов (Б737, например) имеют возможность (и стараются, если сами нормальные и лётное начальство не препятствует) отключить автопилот и тренировать навыки ручного пилотирования в процессе захода на посадку и (реже) взлёта и набора высоты; на эшелоне, как правило, работает автопилот, а экипаж только контролирует. На дальнемагистральных бортах принцип такой же, но на ближних рейсах количество взлётов и посадок в рабочий день больше, чем на дальних. Если на рейс из Москвы, скажем, в Казань можно пустить за рабочий день один экипаж туда и обратно, то у них в течение этого дня будут на двоих два взлёта и две посадки — тренируйтесь на здоровье.


Не читали «записки ездового пса»? Там ярко, в красках описываются результаты различных «решил потренироваться...».
Читал. Там ярко и в красках описываются случаи грубых нарушений правил полётов и их последствия. А ручное пилотирование на этапах взлёта, набора высоты и захода на посадку является одним из штатных методов управления, которым обязан владеть каждый пилот, допущенный к выполнению полётов на конкретном типе ВС. И, если с целью поддержания навыков пилот с согласия старшего на борту на заранее оговорённой высоте отключает автопилот и летит «на руках» (разумеется, при контроле со стороны второго члена экипажа), ничего плохого и опасного в этом нет. Это всё лучше, чем потерять скорость, как случилось в Сан-Франциско или несколько лет назад в Амстердаме (там на заходе разложили Б737-800 почти по той же причине: в ходе полёта по глиссаде автомат тяги по ошибке рано перевёл движки на малый газ, а пилоты это прохлопали; в итоге практически перед полосой потеряли скорость и свалились). Собственно, рекомендую почитать ЖЖ товарищей denokan и airguide; они регулярно пишут и о том, что летают в т. ч. «на руках». А запрещено было в советских нормах в полётах с пассажирами имитировать отказы узлов и систем самолёта (не важно, в целях обучения или проверки). Да и сейчас обучение действиям при отказах делается только на тренажёрах.
О, то есть они всего за месяц сумели найти баг, переписать софт и перевыпустить железки для всех самолётов этой марки в мире? И пройти сертификацию? Там наверное месяц никто не спал и не ел.
Когда на кону миллионы долларов — будут работать круглосуточно в 3 смены :)
Насколько я понимаю, подольше: 2 месяца от остановки полетов до написания кода/исправлений (26 мая -> 25 июля) и затем еще месяц на сертификацию (25 июля -> середина августа). А когда реально всё доделали и самолеты вновь начали летать — не понял.
Если уж вдаваться в детали, все было не совсем сразу. Посредине еще были промежуточные решения, которые позволяли эксплуатировать самолеты с определенными ограничениями.
Супер, очень интересно было прочитать. Единственный раз интересовался причиной авиапроисшествия, когда во Внуково самолёт выкатился на шоссе. Там ведь тоже проблема была с системой управления? Самолёт был уверен, что он в воздухе, и категорически отказывался включать реверс. Неужели нельзя сделать большую красную кнопку, которая отключит всю автоматику и переведёт самолёт в режим буквального исполнения приказов пилота?
denokan.livejournal.com/23264.html — вот комментарий пилота-инструктора S7 на тему той катастрофы.

Там самолет был уверен, что он в воздухе, т.к. пилоты слишком «мягко» завели его на посадку, и не обжались стойки шасси. Т.е. самолет фактически продолжал лететь прямо над полосой, слегка касаясь ее колесами. РЛЭ в этом случае предписывает вручную выпустить спойлеры, которые нарушат аэродинамику крыла, самолет «притрет» к полосе и стойки обожмутся. Так вот, рекомендацию РЛЭ экипаж почему-то и не выполнил.
Реверс не основная система торможения у Ту-204, колесные тормоза должны самостоятельно справляться с торможением самолета при посадке без использования реверса. Реверс, воздушный тормоза (интерцепторы) используют для повышения надежности торможения.

Касаемо вашего вопроса, почему отказывался включаться реверс — есть датчики обжатия стоек шасси, они указываю системе управления, что самолет не летит, а катится по полосе. Пока не сработали датчики обжатия шасси — реверс не включается, это защитный механизм. Если в воздухе включить реверс, самолет резко потеряет подъемную силу со всеми вытекающими (был такой случай, японский пилот, говорят что психически больной, включил реверс в воздухе).

Поэтому отключение подобной защиты — не самая удачная идея.

Касаемо того самого происшествия во Внуково, к аварии привел не единичный отказ, а цепочка: промахнулись немного при заходе, не работали толком тормоза, не сработал реверс, не приняли быстро решение уйти на вторую попытку.

Поэтому при разработке систем управления воздушными судами не все так однозначно.
У нас на работе был доклад по предварительным данным расследования, и какое было мнение на тот момент:
Из-за бокового ветра не было одновременного обжатия стоек шасси (приземлилась только одна сторона), из-за чего не включались автоматически интерсепторы и блокировалось включение реверса.

Подобные неприятности (без катастроф) встречались и с другими судами, где потом чуть меняли логику: если обжалась правая стойка шасси, то выпустить автоматически интерсепторы с левой стороны, и соответсвенно наоборот.

Но фактически причина — ошибка экипажа, который взял скорость захода на посадку сильно больше рассчетной (экипаж долго летал на на ТУ-154, у которого эта скорость еще существенно выше — привычка сработала).
Датчики обжатия стоек шасси тоже резервируюся.
Например на каждой стойке их стоит 6 штук, и сигнал WOW считается сработавшим если среагировало как минимум 4 датчика.
Ложное срабатывание может быть вызвано не только неисправностью датчика, так что причется ещё и на радиовысотомер заложиться. Ну и СДУ, по хорошему, должна быть достаточно умной, чтобы рулем направления скомпенсировать увод с курса
Современные радиовысотомеры НЯЗ неэффективны на такой высоте (речь же о самолете на полосе), им хотя бы десятки метров нужны.
А разве защита реверса не всегда была?
Ведь это же логично, что нельзя включать реверс в воздухе и такую защиту нужно встраивать в первую очередь.
Интересно почитать про этого японского пилота, на каком именно самолёте он летел?
На видео включение реверса выглядит как обычное дело ) у пилота стальные яйца
Вот кстати еще одна «привычка» экипажа: на 154-м реверс можно включить до срабатывания WOW, а на 204-м — только когда оба WOW сработали.
Еще B-767 разбился в Тайланде из-за самопроизвольного включения реверса в полете. Lauda Air, емнип.
В принципе, кнопка перемещения (но не отключения) ГС все-таки есть, только вот активируется она в «аварийном» или «прямом» законе, а по каким-то причинам во время ЧП самолет считал, что все в порядке, и оставался в «нормальном» законе

Ну а неужели не было кнопки принудительного включения «аварийного закона»? Ведь ясно же, что системам управления самолета доступна одна информация для принятия решения об аварийном режиме, а экипажу — другая. И если самолет сам не видит, что авария — то подсказать ему, что ли.

Вот на атомных станциях есть автоматическая аварийная защита по сигналам от датчиков, а есть и кнопка аварийной защиты, которую могут нажать операторы.
Позволю себе
процитировать Баш
xxx: Шесть этапов дебага
ххх: 1. Этого не может быть
ххх: 2. Этого не может быть на моем компе
ххх: 3. Так быть не должно
ххх: 4. Как так может быть?
ххх: 5. Ааааа, вот оно что
ххх: 6. Как это вообще могло работать?
yyy: 7. это всё svn
zzz: 8. когда-то мы будем проводить тесты


Создатели были абсолютно уверены в том, что такой ситуации быть не может.
Мировая практика даёт убедительную статистику, что пилоты ошибаются намного чаще. Человеческий фактор — причина более 50% всех авиационных происшествий. Отказ техники (не компьютеров, а вообще любой, включая двигатели, генераторы, гидравлику) — около 20% всего.
Да да… именно кнопка аварийной защиты в Чернобыле и привела к аварии. Вот не нажал бы её никто, аварии и не было бы. Так что с аварийными кнопками не все однозначно, иногда и они срабатывают не так как задумано.
нет, все остановилось бы плавнее. Способов заглушить реактор было несколько, а эта злополучная кнопка была самым простым решением, но не самым верным в той ситуации. К сожалению, поняли что была «не та ситуация» уже после того как все произошло. Так что судить строго тут не получится, в момент нажатия кнопки никто и не мог догадаться к чему это приведет, хотя вообще должны были.
В Чернобыле много всего сделали. Начиная с того, что отключили автоматику защиты. Потом загнали реактор в практически неуправляемый режим, и вопреки рекомендациям системы анализа состояния начали эксперимент. Когда кнопку АЗ нажимали — уже всё равно было, что нажимай, что не нажимай, положительная реактивность уже была, и приличная.
Этот неуправляемый режим как раз и стал следствием срабатывания системы аварийной защиты — именно за счет движения стержней защиты активная зона оказалась голой на некоторое время, которого хватило для разгона реактора и расплавления стержней. А дальше расщепление воды на водород-кислород и «бум».
Ещё до начала испытаний, в 1:22:30, реактор уже был отравлен, в оперативный запас реактивности близок к нулю, в активной зоне в 2 раза меньше стержней, чем разрешено регламентом эксплуатации. В такой ситуации надо немедленно глушить реактор, потому что он уже близок к неуправляемому. Вместо этого решили таки проводить испытания. Провели несколько манипуляций с циркуляционными насосами, в итоге получили реактор, который резко разгоняется. Тут концевой эффект, про который вы пишете, сыграл свою роль, как другие конструктивные недостатки (та же положительная обратная связь мощности и парообразования в некоторых режимах, например), но в аварии совершенно точно не виновата система защиты. Всё это есть в отчёте МАГАТЭ INSAG-1.

Ну и первый взрыв был тепловой, а не водород+кислород. Просто давление пара.
Пожалуй, это имеет смысл. Но все же, емкости с борной кислотой были, и ими в этом случае можно было воспользоваться. Но человеческий фактор… «обойдется», «выкарабкаемся».
Только насколько я слышал, эксперимент как раз оставили на ночь перед плановым остановом реактора чтобы два зайца одним махом так сказать.
Не было емкостей с борной кислотой. В реакторах РБМК регулирование борной кислотой не применяется. Это на ВВЭРах есть кислота.
В 86г в Чернобыле операторы нажали кнопку АЗ-5 в тот момент, когда им была видна опасность, а автоматике — еще нет. Реактор взорвался из-за дефектов в механизмах этой защиты, но не из-за наличия возможности принудительно включить ее алгоритм.

Об аварии 86г знают все, а кто знает, сколько потенциальных ядерных катастроф было предотвращено на разных АЭС благодаря тому, что операторы смогли вручную заглушить реактор, когда автоматика еще не видела опасности?
Какая опасность? Операторы просто штатно завершали эксперимент, кнопка аварийной защиты служила не только для защиты от аварий а так же как средство штатного останова реактора. Никто в тот момент не видел опасности — все шло как и должно было идти — эксперимент закончился и реактор останавливался на профилактику. И тут через 16 секунд после нажатия кнопки произошла неожиданность для операторов — взрыв. Кроме того способов остановить реактор существовало несколько, просто эта злополучная кнопка была самым простым из них — нажал и все. Остальные требовали сложных манипуляций или расхода борной кислоты.

Это все равно что пилоты включили бы автопилот, а он сошел бы с ума через пару секунд и угробил самолет.
Борное регулирование в реакторах РБМК не применяется. Глушили реактор именно кнопкой АЗ-5 из-за того, что его мощность начала (пока еще медленно) возрастать, и авторегулятор не смог это скомпенсировать. На графиках мощности и положения стержней АР это отчетливо видно. Было ли время у СИУРа погружать малыми группами стержни РР, чтобы остановить рост мощности, не прибегая к АЗ? На этот вопрос может ответить только профессионал. На форуме припять.ком часто выступал один чернобыльский послеаварийный ВИУР. Он придерживается мнения, что кнопку АЗ-5 тогда нажали кратковременно, не с целью полного заглушения реактора, а с целью быстро остановить начавшийся рост мощности. В те времена при отпускании кнопки АЗ-5 движение стержней в зону прекращалось.

Так что опасность была. И автоматика ее не видела (рост мощности был ниже порога срабатывания АЗМ и АЗСР).
Две цитаты из отчёта МАГАТЭ INSAG-1:
В 1ч 22мин 30с оператор на распечатке программы быстрой оценки запаса реактивности увидел, что оперативный запас реактивности составил значение, требующее немедленной остановки реактора.
Кнопка А3-5 была нажата в 1 ч 23 мин 40 сек.

И часть автоматических защит специально заблокировали, чтобы она не мешала производить эксперимент.
Почему вы ссылаетесь на INSAG-1? Есть же уточненный анализ INSAG-7. В частности, цитата оттуда:

Most analyses now associate the severity of the accident with the defects in the design of control and safety rods in conjunction with the physics design characteristics, which permitted the inadvertent setting up of large positive void coefficients. The scram just before the sharp rise in power that destroyed the reactor may well have been the decisive contributory factor.

Именно это, а не действия персонала по отключению защит и проч. Все эти действия формально являются нарушениями, но не они сыграли решающую роль в наступлении катастрофы.
Читал с упоением, очень интересный пост. Вообще посты об авиации очень интересны. Я очень хочу научится летать, хотя-бы на маленьком кукурузничке, но к сожалению в этом году получилось только вывалистя с парашютом.
UFO landed and left these words here
Огромное спасибо за статью, даже не подозревал что в самолёте имеется ГС, всегда думал, что достаточно элеронов, руля управления и руля высоты + триммеры и закрылки.

Надеюсь после этого случая производитель вернул на место предохранитель по отключению систем ГС?
Как я уже писал, регулируемый ГС имеется, в основном, на реактивных самолетах, которые летают относительно быстро, и у которых центр подъемной силы заметно смещается при изменении скорости.

Насколько знаю (могу ошибаться), никаких «железных» изменений сделано не было.
curiousGeorge, огромное спасибо за статьи! Читать невероятно интересно. И факты, и повествование — все супер.
Dassault вообще-то, молодцы. Оперативно нашли баг. А еще они используют и спонсируют Frama-C — открытый софт для верификации и статического анализа кода на Си, написан на Ocaml и активно разивается. Причем умеет часть ошибок искать даже без аннотаций. Базирован на SMT решателях и формализации кода и граничных условий.
Скриншот актуальной версии
image
Даже кнопка перемещения чаще всего состоит из двух полукнопок, соединенных последовательно – если одна заклинит, то большие шансы, что вторая все равно разорвет цепь при ее отпускании.

И это то почему я обожаю авиацию!
Буквально пару дней назад слышал следующую историю:
Airbus A320 заходил на посадку, шёл по глиссаде. Внезапно, глиссада резко ушла вниз, а через некоторое время вернулась на место.
Самолёт последовал за ней, сначала нырнул, а потом стал набирать высоту. В результате таких манёвров была потеряна скорость.
К счастью, лётчики вовремя отреагировали, прекратили посадку и ушли на второй круг. Со второго раза посадку удалось совершить, но само происшествие заставило лётчиков понервничать.
Судя по статье, такая ситуация возникла именно из-за FBW, который не ожидал каких-либо изменений глиссады, поэтому неукоснительно придерживался её, и в результате создал опасную ситуацию. Что случилось с глиссадой — другой вопрос, но человек, наверное, такой бы ситуации не допустил.
Выглядит очередной страшилкой и сразу же вызывает ряд вопросов. Во-первых, никаких особенностей, присущих только FBW, в этой ситуации вообще нет — любой самолет на автопилоте реагировал бы именно так. Далее — если автомат тяги был включен, то самолет на автопилоте просто не смог мы маневрировать так, что АТ не справился бы. Если же тяга регулировалась вручную, то это вообще проблема исключительно пилота.
Извините, но пример и не в тему, и вообще выглядит как-то странно.
Всё нормально, сам виноват что полез туда, в чём не разбираюсь.
Случай реальный, а не страшилка, никого пугать не собирался. Видимо, я его слишком исказил передавая через третьи руки от непосредственных участников событий.
Наверное, он и не относится к FBW, но непосредственно связан с автоматизацией в самолёте. Автоматизация решает одни проблемы, но порождает другие, когда случаются не предусмотренные в алгоритмах ситуации. Как я понимаю, отклонений глиссады никто не ждёт, в результате её изменения приводят к неожиданным последствиям.
В данном случае был составлен какой-то отчёт об инциденте (или как это называется), и, думаю, при рассмотрении этой ситуации решался вопрос почему глиссада отклонилась, а не почему самолёт пошёл за ней и надо ли предусматривать такие ситуации в алгоритмах.
Под потерей скорости, возможно имелось ввиду, что её было недостаточно для нормального продолжения снижения, а не угроза потери манёвренности.

На этом закругляюсь, так как боюсь в своей некомпетентности зайти слишком далеко.
Да, FBW тут не при чем. Такие ситуации постоянно происходят в Шереметьево из-за того, что самолеты пересекают полосы и луч глиссады отражается/искажается/хз
Вы похоже знаете об этом не понаслышке. Как реагируют самолёты в таких случаях? Тоже следуют за глиссадой?
Когда мне рассказывали, как раз упоминалось, что это первый подобный случай, и даже в аэропортах с большим трафиком такого не наблюдалось. Может быть это зависит от времени, в течении которого глиссада была искажена?
Такие случаи не редки. В шереметьево даже был нотам, что нужно предупреждать диспетчера, что ты собираешься выполнять автоматическую посадку, тогда он не будет подпускать самолеты близко к лучу глиссады.
Курсо-глиссадная система считается самой надежной. Если самолет захватил глиссаду, то он ее уже не отпустит. У пилотов даже в тестах есть вопрос, как выйти из этого режима, потому что вариантов не много, на большинство команд автопилот не реагирует. В некоторых случаях умные самолеты, могут начать мигать всякими там лампочками давая сигнал пилоту, что что-то не так. Может даже отключиться автопилот. В общем же случае, когда самолет выходит за рамки параметров стабилизированного захода, пилот должен уйти на второй круг.
Пилот же может поступить иначе — просто отключить автопилот и спокойно продолжить заход. Вот мы, кстати, и придумали, почему самолеты не летают сами :)
А вот тоже забавная история. Пока инженеры возились с двигателем конвертоплана, FADEC глюканул дал газу и ребята взмыли вверх, потом второй FADEC понял, что первый сошел с ума, отключил его и убрал обороты на малый газ, отчего конвертоплан рухнул с высоты 2 метра :)
www.flightglobal.com/news/articles/v-22-fadec-fix-follows-uncommanded-take-off-205879/
Все живы-здоровы :)
Only those users with full accounts are able to leave comments. Log in, please.