Комментарии 239
Современная разработка хоть и ускорилась и упростилась, однако всегда будет порождать определенный процент неотлавливаемых багов. Для различных сервисов вплоть до финансовых — это некритично и решается дублированием и перерасходом ресурсов, однако когда от этого зависят жизни людей — становится страшно.
Не забывайте про сложность ПО, которое очень так выросло. Объем всего софта, который требовался на полет на луну и объем софта в современном самолёте несравнимы.
Офис ещё куда ни шло. Но я не могу понять, что нужно сделать с аудиодрайверами для материнской платы, чтобы их инсталляха занимала 960МБ.
Один из вариантов ответа картельный сговор разработчиков ПО с производителями железа которые финансиухиуют славненько такое вышибание компьютеров старше пяти лет.
Взять дрова для всей линейки продуктов с 1990, вставить спонсорский хромой, пару антивирусов, пачку рекламы, посыпать телеметрией, демошилд и иже с ними померли — поэтому авторан написать на электроне, а там ещё пару картинок 4К к нему...
Если написать в реализации калькулятора c = a + b, начальство скажет:"За что мы тебе зарплату платим?"
Поэтому (к примеру) сначала берётся паттерн "фабрика", который будет генерировать объекты, способные выполнять математические операции. А уже потом вызываются эти объекты. Разумеется, тоже не напрямую. А только через специально спроектированные интерфейсы. Ну и не забываем о юнит-тестах и прочих прибамбасах.
И при всём этом кровавом энтерпрайзе, у майкрософта получается калькулятор, который выдаёт разные результаты в зависимости от режима работы:
1+2х3 = 9 (стандартный режим)
1+2х3 = 7 (научный режим)
1+2х3 = 9 (стандартный режим)
1+2х3 = 7 (научный режим)
Ну, да так и должно быть. Стандартный — это (1+2)*3, он без приоритета операций. Арифметические железные калькуляторы, в отличие от алгебраических, именно так и считают.
Кстати, в арифметике есть пасхалка 12345679*8 что будет? На если умножать на 9?
Неграмотный ученик воспользуется калькулятором и, начнет с пеной у рта доказывать правильность ответа 9 потому что, калькулятор сказал! А в ворде, все поголовно грамотные становятся. Потому что не подчеркивает слова… (проверка орфографии отключена)…
Неграмотный ученик воспользуется калькулятором и, начнет с пеной у рта доказывать правильность ответа 9 потому что, калькулятор сказал!Не стоит винить инструмент в неверном его использовании.
Он именно так и делает: при вводе новой операции ( * ) он считает, что ввод операнда для текущей операции (1 + 2) закончен, вычисляет результат текущей операции (3), помещает результат на дисплей, начинает следующую операцию (3 * ?) используя результат как первый операнд, и ждёт ввода второго операнда. Все обычные калькуляторы ровно так и работают.
Другое дело, что он зачем-то в этом режиме он показывает полную историю ввода, которая может вводить в заблуждение, так как она там показана как есть, без расстановки приоритетов.
Однако пользователям подавай красивый калькулятор с поддержкой HDPI мониторов и пр.
Из собственных наблюдений — техника, выполняющая одни и те же задачи, но с простыми интерфейсами, гораздо надёжнее той же, но оснащённой навороченным ЧМИ. Пример: планшетный фотометр SLT Spectra II выпускается с начала 90х годов без существенных изменений в основной оптомеханике, совершенствовалась только система управления в плане ЧМИ. Изначально это был знакосинтезирующий ЖКИ 16×2 и 12-кнопочная кнопатура. Не очень удобно, но обеспечивался весь необходимый функционал для автономной работы. Позже, в начале нулевых, к устройству, к тому времени называемому Tecan Sunrise, присобачили модный сенсорный интерфейс на Windows CE, который оказался сущим глюкотроном, да так, что намучавшись с ним, пользователи подключали свои фотометры к внешнему компьютеру, благо такая возможность сохранялась и прибор поддерживается свободным ПО. И в конце концов производитель, сам намучавшись с поддержкой, вообще убрал возможность автономной работы. А ранняя версия безотказна как АК-47, до сих пор работает у многих, в том числе и у меня, пережив более современную технику. Правда, подключил к внешнему компьютеру — работать с полноценной консоли, пусть и под досом, всяко удобнее тыкания в кнопочки от микроволновки.
а может все привыкли-скорее выпускай, патчами доработаем. раньше игры на картриджах выпускались-никаких тебе патчей, должно работать правильно и сразу, а сейчас «патч первого дня»-это обыденность. а вторая парадигма-если не получается «в железе»-доработай программно. но если слишком увлекаться — могут дизельгейты появляться.
Современная разработка хоть и ускорилась и упростилась
Да она и не ускорилась, и не упростилась. Она позволяет разрабатывать в условиях дефицита профессиональных кадров.
Плита, надеюсь, на дровах и не ближе пяти метров к дому?
После пожара «умного» чайника у знакомой я извел все электрические чайники, и грею воду на плите
А что, плита менее опасна, чем электрический чайник? При ее использовании тоже много рисков. Как и при использовании костра.
Жить вообще опасно, рисков хватает и без электроники
Это утверждение спорно. Вы можете контроллировать поведение любой системы другой внешней независимой системой. Это конечно не убирает риски, но снижает их (для провала обе системы должны отказать одновременно)
В бытовой технике вообще нет таких систем, по крайне мере в той, которую я видел.
Самая простая система — предохранитель в цепи питания. Если говорить о плитах — в газовых, например, есть функция автоматического отключения подачи газа, если огонь потух (например залило выкипевшей водой)
Тут конечно надо отметить, что защитные механизмы стоят денег, и на самых бюджетных моделях такое врядли можно встретить
Почему-то в случае с Боингом это не сработало
Я не оправдываю Боинг, у них действительно ухудшение качества кода видимо затронуло все системы — как контрольные, так и "боевые"
Интересно, считали ли в «Боинге» во сколько обошлась им экономия на 737МАХ? (Да, я в курсе, что даже термопара может выйти из строя, но с современным подходом к разработке и сборке она явно надежнее, к тому же у котла с термопарой можно было настроить режим, при котором в случае отказа термодатчика теплоносителя он выходит на постоянный предустановленный нагрев, это вылилось бы только в счете за газ в случае проблем, а не в счете за капитальный ремонт)
От бед не застрахован никто.
Но можно же купить котел с защитой.
Кроилово (всё также) ведёт к попадалаву...
Именно это я и называю кроилово.
В нормальных котлах и глюки минимальны и присутствуют защиты. Купленное у китайского дядюшки По может работать иначе.
Если же говорить об эталоне надёжности, то можно договориться до палки-копалки.
Мир уже давно не тот, это реалии. Можно плакать, а можно в нём жить, я так считаю.
Дело не в том, что мир изменился, дело в том. что он изменился к худшему. Если в случае с котлом еще можно списать на кроилово и тп. то вот летать на подобных самолетах я не хочу. (И чтобы они на голову мне падали — тоже). Особенно когда за это никто ответственности не несет.
Так не хотите — не летайте.
Как будто кто-то заставляет.
Другое дело, что альтернатива такая же.
А ответственность — несут. Но мертвым это уже не интересно...
Ответственность — кто из этих рукожопов сел? Были ли приняты законы об усилении контроля за разработкой критических вещей? Что вообще было сделано кроме запрета полетов и перетасовки менеджеров. Я ничего не нашел. Ответственности за фатальные баги нет со времен Терака.
Я не пойму, что вы хотите.
Чтобы вам предоставляли сервис премиум-уровня, с оплатой лоукостеров?
Ведь все упирается в эффективность, в заработки, в деньги.
Боинг со своими бюджетами может поднять легко уровень безопасности хоть в 10 раз, только это не покупают.
Это капитализм, вас никто не заставляет, вы голосуете деньгами, а не нытьем.
А ответственность есть — читайте же новости, их глава недавно пострадал. Его уволили без выходного.
Или вы ожидали, что его расстреляют?
За ошибки в коде и тех. процессе?
Вы серьезно? Вы хотите 99.99% хабра таким образом проредить? )
Как по мне, так у вас завышенные ожидания, друже...
А ответственность есть — читайте же новости, их глава недавно пострадал. Его уволили без выходного.
Ну была такая традиция если из-за брака производства или проектирования была катастрофа с жертвами в СССР за это обычно садили, конечно не всегда главного в новинка иногда так называемого стрелочника.
В противном случае все бы гнали брак без всякого стеснения.
Почему диспетчера можно судить или заправщика топлива который нарушил, а разработчика или изготовителя нет.
Сажают, если был преступный умысел или грубая халатность. Например, знал, что есть ошибка, но не сказал никому, попытался скрыть и т.п. Или пренебрёг чёткими инструкциями.
Если ошибка произошла, например, по причине необъятной сложности задачи, или недостаточной предусмотрительности, или отсутствия нужной информации/опыта, то сажать за это — глупо. Этим можно добиться лишь ещё большего сокрытия багов. И в результате те, кто уже набил шишки и напоролся на грабли, будут либо молчать в тряпочку, либо сидеть в тюрьмах, а на их место будут приходить зелёные новички, идущие по тем же граблям, но собственным путём.
Что значит "пойду"? Кто вас наймёт без опыта или даст лицензию на открытие своего бизнеса? А если у вас есть лицензия и опыт, с какого ляду вы вдруг пойдёте убивать людей? Вы псих, и этого пока не обнаружили?
Опыт и наличие лицензии — не гарантия безошибочности. Поэтому правильнее ошибки предотвращать, а не карать за них. А чтобы их предотвращать, их нужно обнаруживать, изучать и придумывать контр-меры. А чтобы обнаруживать, нужно чтобы люди не боялись честно признаваться, что накосячили, если они заблуждались. Если кто-то оказался некомпетентен и убил людей, то это скорее вина того, кто такого некомпетентного на это место поставил, не проверив уровень, не проведя тренинг, не дав помощника, не выстроив правильное взаимодействие.
По-моему если кто-то оказался некомпетентен, и убил людей — он должен отвечать. Так же как и его начальник. Причем под словом «отвечать» не подразумеваются «приносим извинения за парочку убийств».
Для начала нужно понять, чья ошибка была решающей, потому что часто бывает цепочка. Я, например, считаю, что в случае в 373MAX вина ранжируется в таком порядке (от непосредственной до отдалённой):
1) плохообученные пилоты, не распознавшие ситуацию и не выполнившие процедуру (некомпетентность) — но они уже заплатили свою цену
2) авиатехники, не выявившие дефектный датчик после жалоб предыдущего экипажа (халатность)
3) руководство авиакомпании, недообучившее своих пилотов и авиатехников, а также пожалевшее денег на закупку опции "2 датчика угла атаки с индикацией рассогласования" (халатность и злонамеренность)
4) Боинг, зачем-то предлагавший опцию "датчики без индикации рассогласования" (недальновидность)
Вины разработчиков MCAS я вообще не вижу — устройство для этого типа необходимое, и работает оно как задумано и правильно. Если подавать ему на вход мусор, на выходе тоже получишь мусор, никакое устройство от этого не защищено. Заботиться о состоянии датчиков обязаны авиатехники, потому что даже если бы не было MCAS, отказавший датчик мог бы убить людей другим способом. Отсутствие дублирования датчиков — это был выбор авиакомпании, купившей самолёт с именно такой опцией, при том, что существовали опции с дублированием.
Ну и кого вы будете сажать при таких раскладах? И каких героических безошибочных людей наймёте взамен посаженых?
Наказывать, конечно надо — откровенно некомпетентных понижать, увольнять, лишать лицензии, злонамеренных сажать. Но тут вопрос: как эти откровенно некомпетентные и злонамеренные попали на занимаемые позиции?
Но вы так и не ответили, кто должен выплачивать эти миллионы? Программисты Боинга? Сам Боинг? Авиакомпания? Её техники? Пилоты?
Кого ни возьми, у всех есть абсолютно точный и правильный ответ на вопросы "кто виноват" и "что делать".
Кстати, за непредумышленные преступления (например «убийство по неосторожности») тоже положена ответственность.
Только не "убийство" (убийство по определению умышленное), а "причинение смерти". И определяющим фактором является то, что виновный, хотя и не имел умысла лишать кого-то жизни, мог и должен был предвидеть возможные тяжёлые последствия, однако пренебрёг этим знанием. Скажем, как тот пилот, что посадил за штурвал своего ребёнка.
Есть ещё случайное причинение смерти, и оно уголовно ненаказуемо (хотя пострадавшие могут попытаться взыскать ущерб через административный иск, но не всегда суд удовлетворяет это требование)
Про суд всё верно.
4) Боинг, зачем-то предлагавший опцию "датчики без индикации рассогласования" (недальновидность)
Злонамеренность и жадность.
Боингу выгоднее продавать более дорогую опцию "с индикацией рассогласования".
Боингу выгоднее продать больше самолетов в дешевой комплектации, чем в дорогой, но меньше.
Именно для этого и вводятся всякие маркетологические выверты в виде разных комплектаций в ущерб безопасности. В смысле чтобы расширить число возможных покупателей как раз и продается более дешевая комплектация, но без важного элемента безопасности.
1. изначальное умалчивание о наличии MCAS, учитывая насколько критической является данная система.
2. выпуск самолетов в которых критически важная система работает от одного датчка.
3. сознательное сокрытие разницы между MAX и NG, заниженные требования (практически их отсутствие) при переучивании пилотов NG на MAX.
В нормальных условиях полёта MCAS — это совершенно не критическая система, можно летать вообще без неё. Она бОльшую часть времени вообще не работает, и включается только на повышенных углах атаки, только если убраны закрылки и выключен автопилот, и она работает лишь как "улучшатель характеристик", а не критическая система. За всю жизнь самолёта она может остаться ни разу не задействованной, поэтому и необходимость её дублирования совершенно не очевидна.
У Эйрбасов, кстати, в их ПО есть точно такие же "улучшатели" — вы уверены, что эйрбасы раскрыли и валидировали весь код? Посадили ли кого-то из Эйрбас за ту катастрофу на авиашоу, где програмный "улучшатель" не позволил пилоту поднять нос и воткнул самолёт в лес?
The crew applied full power and the pilot attempted to climb. However, the elevators did not respond to the pilot's commands because the A320's computer system engaged its "alpha protection" mode (meant to prevent the aircraft from entering a stall).
Виновным признали капитана корабля, а не Эйрбас. И справедливо — системы самолёта (даже дублированные и троированные!) имеют вредную привычку ломаться в самый неподходящий момент, и пилот в кабине нужен, чтобы распознавать и разрешать такие ситуации, вовремя отключать сбойные системы, а не втыкать самолёт в землю. У обоих экипажей были и время и возможности отключить моторы убегающего стабилизатора и предотвратить катастрофу.
Если бы это был не датчик угла атаки + MCAS, а, например, коротившая проводка, которая бы самопроизвольно и рандомно включала привод стабилизатора на пикирование — кого бы вы посадили тогда?
В нормальных условиях полёта MCAS — это совершенно не критическая система, можно летать вообще без неё. Она бОльшую часть времени вообще не работает, и включается только на повышенных углах атаки, только если убраны закрылки и выключен автопилот, и она работает лишь как «улучшатель характеристик», а не критическая система. За всю жизнь самолёта она может остаться ни разу не задействованной, поэтому и необходимость её дублирования совершенно не очевидна.
Так же как и незадействованной останется alpha prot A320.
Насчет того что MCAS некритическая — это лукавство. Сам факт ее появления связан с тем что без нее самолет слишком близко приближается к лимитам performance envelope.
Упоминал это уже много раз, повторю. В А, в отличие от Б, все эти защиты заложены изначально и являются частью их философии FBW. В случае с Б эта система оказалось необходимой из-за нежелательных характеристик, появившихся вследствие выдавливания последнего из устаревшего дизайна, и по сути является костылем.
В А alpha prot полагается на данные трех датчиков AOA, а не одного. Кроме как преступной халатностью назвать наличие такой системы на самолете транстпортной категории нельзя никак. Недостаточно даже двух датчиков, если речь идет о системе управляющей стабилизатором.
Сломать можно любую систему, пример — LH-1829.
При этом пилоты A осведомлены о наличии всех этих систем, Б изначально умалчивал об их существовании. Цель — экономия на переучивании пилотов.
Б изначально умалчивал об их существовании.С чего вы взяли, что Боинг о чём-то умалчивал?
Первый попавшийся источник, встречал эту нформацию неоднократно.
Второй источник.
FCTM [Flight Crew Training Manual] — это совсем не КУЛП. Хотя такое заблуждение присутствует у многих летчиков, плохо знающий английский — мол «нафига я буду этот КУЛП читать?». Это сборник официальных рекомендаций производителя по выполнению полета. Замечательная книжка. Просто обалденная, скажем прямо. Если с другой стороны попытаться объяснить, QRH, SOP — это «что делать», а FCTM — «как делать». В FCTM очень много полезной информации. Нельзя стать хорошим, надежным пилотом Боинга, не зная рекомендаций, как именно надо летать, работать и действовать в разных ситуациях — нормальных или ненормальных.
В случае с Б эта система оказалось необходимой из-за нежелательных характеристик, появившихся вследствие выдавливания последнего из устаревшего дизайна, и по сути является костылем.
В любой конструкции есть какие-то нежелательные характеристики, и любую систему, компенсирующую эти нежелательные характеристики, можно назвать "костылём" (если хочется обосрать дизайн) или "гениальным решением" (если хочется восторгаться). К примеру, у нового стреловидного крыла обнаружился ранний срыв из-за перетекания. Ок, поставим дополнительный гребень. Это костыль? Или решение? Это всё субъективно. Система работает и выполняет свою функцию. Нежелательные характеристики исчезают — здорово. Если они исчезают так, что пилот даже не замечает, что они были — вообще отлично. Если Эйрбас обнаружит на своём самолёте какую-то неровность в характеристиках, и слегка подкрутит коэффициенты регуляторов в своём ПО, чтобы сгладить эти неровности, должен ли он оповещать пилотов, что, скажем, коэффициент усиления ПИД-регулятора по каналу тангажа стал 2.5 вместо 2.1? Должен ли он выпускать этот патч как новый тип самолёта, проходя полный цикл сертификации, переобучения пилотов и проч? Нет, не должен, потому что никакого переобучения тут не нужно — от пилота не требуется никаких дополнительных навыков.
С MCAS от пилотов тоже не требовалось никаких новых навыков, все процедуры остались прежними. Знать про MCAS — ну, наверное неплохо, но переучивать? Чему переучивать, если все характеристики остались прежними, и процедуры остались неизменными?
В А alpha prot полагается на данные трех датчиков AOA, а не одного.
Боинг тоже предлагает опции с несколькими датчиками, но выбирает покупатель.
Кроме как преступной халатностью назвать наличие такой системы на самолете транстпортной категории нельзя никак. Недостаточно даже двух датчиков, если речь идет о системе управляющей стабилизатором.
Мотор перекладки стабилизатора — один. Не является ли преступной халатностью отсутствие второго мотора в системе, управляющей стабилизатором?
Носовая стойка шасси — одна. Руль направления — один. И это уже по-настоящему критические системы. Отсутствие их дублирования — это тоже преступная халатность? Или всё же спустимся на землю и признаем, что не везде дублирование реально нужно. Если нежелательное воздействие MCAS, обманутого датчиком AOA, легко устраняется щелчком тумблера, то обязательно ли тут дублирование, мажорирование и т.п., которые усложняют систему и вносят новые возможные неполадки? Тем более, как вы сами показали, выйти из строя могут и два датчика из трёх. Или же можно доверится пилотам, которые умеют пилотировать? Последнее как раз является философией Боинга, и многие пилоты считают её более правильной, чем философия Эйрбас.
В любой конструкции есть какие-то нежелательные характеристики, и любую систему, компенсирующую эти нежелательные характеристики
Еще раз — защиты в А были изначально, они не появились вследствие изменения дизайна. Б вынужден был добавить костыльную защиту из-за использования бОльших двигателей, выноса их дальше и вперед, увеличить длину носовой стойки — есть разница?
С MCAS от пилотов тоже не требовалось никаких новых навыков, все процедуры остались прежними. Знать про MCAS — ну, наверное неплохо, но переучивать?
Действительно, новая система, о которой пилоты не знали, и способная без их участия перекладывать стабилизатор на пикирование — зачем о ней знать?
Боинг тоже предлагает опции с несколькими датчиками, но выбирает покупатель.
Предлагает, только MCAS все равно работает от одного датчика.
Носовая стойка шасси — одна. Руль направления — один. И это уже по-настоящему критические системы. Отсутствие их дублирования — это тоже преступная халатность? Или всё же спустимся на землю и признаем, что не везде дублирование реально нужно.
Не надо передергивать. Есть большое количество систем, которые имеют двойное и тройное дублирование. Датчики AOA и системы, полагающиеся на них — в их числе. Вероятность выхода двух датчиков из трех или одного, с последующей перекладкой стабилизатора на пикирование — это действительно нужно объяснять?
Б вынужден был добавить костыльную защиту
Дайте своё определение "костылей". Для меня "костыли" — это временное решение, кое-как справляющееся со своей задачей, лишь бы доковылять. MCAS не является временной системой, он справляется со своей задачей, поэтому он не является костылём. В постоянном употреблении термина "костыль" не к месту я вижу банальное хейтерство.
зачем о ней знать?
Вы читать умеете? Я сказал "знать неплохо, но переучивать зачем?"
Так зачем переучивать-то? Какие процедуры изменились?
Есть большое количество систем, которые имеют двойное и тройное дублирование. Датчики AOA и системы, полагающиеся на них — в их числе.
Существуют самолёты, в которых вообще нет датчиков AOA, ни одного — какой ужас! Как они летают вообще?!
Вероятность выхода двух датчиков из трех или одного, с последующей перекладкой стабилизатора на пикирование — это действительно нужно объяснять?
Да, нужно. И важнее всего — нужно считать. Если датчики сделаны по одинаковой технологии и находятся в одинаковых условиях, то дублирование их является плохой гарантией надёжности, как показывает ваш же пример с двумя одинаково перемёрзшими датчиками. Дублирование датчиков так же не устраняет проблемы "какой из двух датчиков врёт" — значит нужно либо отключать оба в случае рассогласования, либо лепить три и более датчиков, желательно на разных технологиях, и устраивать мажоритарную систему. Для системы, которая может ни разу не включиться за всё время жизни, и которая, в случае неполадок, блокируется одним тумблером по стандартной процедуре, эти выглядит как оверинжиниринг и рецепт для новых, ещё неизведанных проблем.
Вы читать умеете? Я сказал «знать неплохо, но переучивать зачем?»
Оставлю без комментариев хамство, переучивать из-за того что появилась система, способная перекладывать стабилизатор без команды пилота. И поведение/летные характеристики MAX отличаются от NG.
Существуют самолёты, в которых вообще нет датчиков AOA, ни одного — какой ужас! Как они летают вообще?!
У вас проблемы с пониманием вопроса. Дело не в наличии или отсутствии датчика AOA, а в том что по сигналу с него стабилизатор может быть переложен на пикирование.
Дублирование датчиков так же не устраняет проблемы «какой из двух датчиков врёт» — значит нужно либо отключать оба в случае рассогласования, либо лепить три и более датчиков
Внезапно, именно так и принято в индустрии — минимум три датчика.
Для системы, которая может ни разу не включиться за всё время жизни, и которая, в случае неполадок, блокируется одним тумблером по стандартной процедуре, эти выглядит как оверинжиниринг и рецепт для новых, ещё неизведанных проблем.
Вы являетесь авиационным инженером или пилотом чтобы категорично заявлять о достаточности одного датчика?
поведение/летные характеристики MAX отличаются от NG.
"Голые" характеристики отличаются, а аугментированные (в т.ч. и с помощью MCAS) — почти не отличаются, в этом и была фишка. У A320neo тоже характеристики другие, но пересадка на него с A320ceo переобучения не требует, только CBT.
Вы являетесь авиационным инженером или пилотом
А вы?
чтобы категорично заявлять о достаточности одного датчика?
Где вы увидели "категоричность"? Пока что категоричность я вижу в призывах "посадить виновников" без суда.
И, внезапно, о достаточности одного датчика заявляли инженеры и пилоты Боинга. Если вы начали меряться авторитетами, то чем они вам не авторитет?
А вы?
Являюсь.
Где вы увидели «категоричность»?
Тут:
Дублирование датчиков так же не устраняет проблемы «какой из двух датчиков врёт» — значит нужно либо отключать оба в случае рассогласования, либо лепить три и более датчиков, желательно на разных технологиях, и устраивать мажоритарную систему. Для системы, которая может ни разу не включиться за всё время жизни, и которая, в случае неполадок, блокируется одним тумблером по стандартной процедуре, эти выглядит как оверинжиниринг и рецепт для новых, ещё неизведанных проблем.
Данное высказывание идет вразрез со стандартами, принятыми в индустрии.
И, внезапно, о достаточности одного датчика заявляли инженеры и пилоты Боинга.
Внутренняя переписка говорит об обратном.
Если вы начали меряться авторитетами, то чем они вам не авторитет?
Начнем с того, что вопрос был задан не с целью меряться чем-либо, а понять, обладает ли высказавший данный тезис необходимым опытом.
Насчет пилотов Боинга — мягко говоря все неоднозначно.
Являюсь.
Не в Эйрбас, случайно? :)
Где вы увидели «категоричность»?
Тут:
Хм, то есть, выражение "эти выглядит (не является, а выглядит!) как оверинжиниринг" для вас является категоричным высказыванием. Ну окей.
Внутренняя переписка говорит об обратном.
Т.е. один из работников назвал других клоунами, другой высказал тревожное мнение — и эти емейлы неопровержимо доказывают, что работу и коллективные решения сотен остальных людей можно умножить на ноль на основании этих частных мнений. Замечательно.
Надо взять эту журналистскую методику на вооружение: в любой компании всегда можно найти переписку, где люди спорят и сомневаются, потом принимают решение. Но сам факт споров и сомнений и наличие несогласных бесспорно доказывает, что окончательное решение было ошибочным. Наличие разных мнений в коллективе — это так deeply disturbing и так incredibly damning.
Интересно, все эти авторы писем были так встревожены именно тем фактом, что MCAS использовал лишь один датчик AOA? "Я не посажу семью в этот самолёт, потому что MCAS проектировали клоуны!" — там так было написано? Или они знали про более серьёзные проблемы?
Мне со стороны это видится так: Боинг усиленно шортят с помощью медиа, как недавно усиленно шортили Теслу, с помощью тех же медиа. Fear, uncertainty, and doubt, полный фарш.
И прогноз: FAA не найдёт ничего преступного, козла отпущения уже нашли и выбросили с золотым парашютом демонстративно уволили, чтобы публика успокоилась, к середине-концу года всё затихнет, самолёты вернут в эксплуатацию, публике представят какого-нибудь нового злодея. Ждём момента покупки акций BA.
Мне со стороны это видится так: Боинг усиленно шортят с помощью медиа
Если они использовали индусов — то они сами себе злобные Буратины!
Если они использовали индусов
Да, кошмар.
Connections include:
- Engineers from Indian HCL Technologies developing and testing the Max’s flight-display software.
- Employees from another Indian company, Cyient Ltd., having a part in handling software for flight-test equipment.
Какой ужас, наняли индусских тестеров, чтобы тестить дисплей (не связан с работой MCAS) и тестовое оборудование (не связанное с работой MCAS).
И этом зловещем фоне вдруг возникает проблема с датчиком угла атаки. И пилоты в течение нескольких минут не могут отключить убежавший стабилизатор. "Совпадение? Не думаю!"
Не в Эйрбас, случайно? :)
Случайно нет. На моем типе хватает своих мягко говоря особенностей, но ведет он себя предсказуемо.
Чтобы не цитировать ваши следующие сообщения — скажу только что результатом всего стали две катастрофы. В каждой безусловно есть доля вины экипажа, однако конструктивные особенности самолета были одним из факторов. Предвосхищая дальнейшее развития полемики насчет того что вины Боинга здесь нет и все дело в человеческом факторе, скажу лишь что мое мнение разделяют еще несколько десятков знакомых пилотов с гораздо большим чем у меня опытом, от водителей G550 до 747-8.
Насчет пилотов Боинга — мягко говоря все неоднозначно.
Этот самый пилот утверждает, что "if you read the whole chat, it is obvious that there was no “lie” and the simulator program was not operating properly. Based on what he was told, Mark thought the plane was safe, and the simulator would be fixed."
Опасения пилота о том, что он "непреднамеренно соврал регуляторам" были связаны с тем, что он сообщил в FAA: "as it [MCAS] is completely transparent to the flight crew and only operates WAY outside of the normal operating envelope", а на симуляторе (который неправильно работал) он увидел, что MCAS включился в нормальном полёте, и также узнал, что границу включения MCAS сдвинули вниз до скорости 0.2M.
Дайте своё определение «костылей». Для меня «костыли» — это временное решение, кое-как справляющееся со своей задачей, лишь бы доковылять.Определение очень простое. Решение, которое устраняет следствие проблемы, а не её причину — костыль. Проблема: изменилась тяга и расположение двигателей. Следствие: увеличился кабрирующий момент от двигателей. Решение: пусть стабилизатор живёт своей жизнью.
PS, про костыль. Проблема: у человека нет ноги. Следствие: он не может ходить. Решение: костыль. Теперь человек может ходить, но у него занята рука. Он неустойчив на скользкой поверхности и лестнице, не может кататься на велосипеде, лыжах, коньках, танцевать и делать многое другое. Почему: потому, что причина не устранена. Найдена довольно посредственная затычка для одного-единственного следствияю
Решение, которое устраняет следствие проблемы, а не её причину — костыль.
Замечательно.
Проблема: человек не может летать, как птицы, по причине отсутствия крыльев.
Решение: чтобы хоть как-то передвигаться по воздуху, он построил самолёт.
Следствие: самолёт является костылём, потому что основная причина не устранена — человек так и не отрастил себе крылья.
Следуя вашей логике, костылём можно назвать вообще всё, что создано человеком, потому что всё это создано, чтобы обойти законы природы, а не пофиксить их.
пусть стабилизатор живёт своей жизнью
В Боинге есть система Speed Trim System, которая тоже автоматически триммирует стабилизатор, только в зависимости от скорости. И делает это точно по той же причине, что и MCAS: чтобы сохранить привычные усилия на штурвале, при изменении скоростного напора. Это тоже костыль?
А в Эйрбасе стабилизатор вообще целиком управлятся компьютером, т.е. "живёт своей жизнью". Костыль?
Следуя вашей логике, костылём можно назвать вообще всё, что создано человеком, потому что всё это создано, чтобы обойти законы природы, а не пофиксить их.Не надо передёргивать. Ваши примеры — нечто фундаментальное, с чем только смириться. Планер 737 не дан человеку, как Б-жье откровение, а человеком и создан. Установка новых двигателей (причина) ухудшила характеристики планера (следствие). Можно решать причину — изменить конструкцию планера, а можно — следствие, т.е. добавлять новую подсистему управления. По большому счёту, лишнюю.
Но проблема ещё глубже: ухудшились характеристики устойчивости планера, а это недопустимо решать электронными ассистентами. Кроме того, система была откровенно непроработана.
Можно решать причину — изменить конструкцию планера, а можно — следствие, т.е. добавлять новую подсистему управления.
Т.е. вы считаете, что новый непроверенный планер без MCAS — это лучше и безопаснее, чем старый проверенный планер, но с MCAS, который включается лишь в 0.01% случаев и решает свою задачу.
Вы всё никак не поймёте: MCAS работала как задумано, и не была поломана. К MCAS вопросов нет. Поломан был датчик угла атаки, а не MCAS, и непонятное поведение MCAS было лишь следствием мусора на входе.
Но проблема ещё глубже: ухудшились характеристики устойчивости планера, а это недопустимо решать электронными ассистентами.
Чушь не порите, ей больно. Эйрбас весь управляется электронными ассистентами, и куча самолётов (и даже автобобилей) имеет электронные системы, исправляющие физические недостатки. Любой сраный регулятор — это улучшатель характеристик устойчивости, корректирующий АФЧХ, устраняющий нежелательное поведение. Вы предлагаете вообще отказаться от регуляторов? Это какой-то глупый радикализм, ей-богу.
Действительно, новая система, о которой пилоты не знали, и способная без их участия перекладывать стабилизатор на пикирование — зачем о ней знать?
Совершенно незачем. Стабилизатор может убегать по тысяче причин, и пилоту не нужно (и даже опасно) пытаться выяснить, почему же это происходит, во время этого самого убегания. Убегает — выключай привод стабилизатора, и всё. Может быть, проводка перетёрлась и провода коротнуло; может быть, вода куда-нибудь в электронику попала, а может быть, производитель встроил новую подлую костыльную систему.
Да, я осознаю, что Боинг добавил бардака и неразберихи, сделав убегание стабилизатора намного более вероятным, что и ставило пилотов в тупик, добавляя нервотрёпки. Но это не техническая проблема.
если все характеристики остались прежнимиА если все характеристики остались прежними, то зачем, вообще, потребовался этот злополучный MCAS? Или что-то, всё-таки, изменилось — например, кабрирующий момент, создаваемый двигателями?
Если нежелательное воздействие MCAS, обманутого датчиком AOA, легко устраняется щелчком тумблераУстраняется вместе с сервоприводом стабилизатора. Отключение только MCAS не было предусмотрено, т.е. у пилотов нет возможности отключить только MCAS и продолжать управлять стабилизатором, как раньше.
если все характеристики остались прежними, то зачем, вообще, потребовался этот злополучный MCAS?
MCAS и нужен, чтобы характеристики управляемости остались прежними. Знакомые усилия на штурвале, привычная управляемость и отзывчивость, известные процедуры. MCAS — не единственная система, способная автоматически перекладывать стабилизатор.
Отключение только MCAS не было предусмотрено
99.9% времени MCAS не работает вообще, он включается лишь вблизи критических режимов. Зачем ему отдельная система отключения, которая тоже может поломаться, если уже есть одна, проверенная и надёжная?
MCAS и нужен, чтобы характеристики управляемости остались прежними.О чём это говорит? О том, что характеристики планера не остались прежними, а MCAS имитирует, что остались. А это довольно прямо говорит о том, что компания Боинг (раз уж вам не нравится мистер Боинг) была готова почти на всё, чтобы соврать о степени отличия нового самолёта от предыдущего.
99.9% времени MCAS не работает вообще, он включается лишь вблизи критических режимов. Зачем ему отдельная система отключения,Затем, чтобы в критической ситуации пилоты могли отключить эту систему и пилотировать «вручную».
Зачем ему отдельная система отключения, которая тоже может поломаться, если уже есть одна, проверенная и надёжная?Система отключения проверенная и надёжная, а MCAS — не проверен. И, как оказалось, ненадёжен.
Затем, чтобы в критической ситуации пилоты могли отключить эту систему и пилотировать «вручную».
Они могут её отключить и пилотировать вручную.
MCAS — не проверен. И, как оказалось, ненадёжен.
Ещё раз: MCAS не ломался. Поломался проверенный датчик угла атаки.
Факт номер один: в результате изменений планера/двигателей ухудшились параметры устойчивости планера. Из-за этого всё и понеслось.
2. В Боинге придумали нового электронного помощника. Само по себе не хорошо и не плохо. Плохо решать серьёзные проблемы планера программными заплатками.
3. Существование проблемы и появление нового электронного помощника всячески пытались скрыть, чтобы не усложнять процесс сертификации.
4. Как следствие пункта 3, не проводилось тренажёрных сессий для экипажей на случай сбоя системы, распознавание и устранение сбоя максимально затруднены. Напомню, экипаж сталкивается с этой проблемой всего в 1% всех случаев, но этот процент — самые паршивые ситуации, в которых у экипажа и других забот хватает.
5. Логика работы нового ассистента была довольно продуманной, но…
6. Вся авионика, существовавшая до внедрения нового ассистента, умела справляться со сбоями в работе датчика угла атаки, переключаться на исправный и давать экипажу выбрать датчик. Катастроф, вызванных сбоем этого датчика, прежде не случалось.
7. В реализации MCAS был допущен серьёзный косяк в обработке входного сигнала. Между прочим, ключевого сигнала для работы всей этой системы.
8. В результате, MCAS, и правда, не ломался. Система MCAS была исправна. Но, в силу конструктивных ошибок, не работала так, как ей следовало работать.
Они могут её отключить и пилотировать вручную.Ещё раз, пилоты не могут ни отключить MCAS отдельно от сервопривода стабилизатора, ни переключить MCAS на исправный датчик угла атаки.
Ещё раз: MCAS не ломался. Поломался проверенный датчик угла атаки.Да не ломался, не вопрос. Он был просто криво реализован. А датчик угла атаки прежде отказывал не раз и не два. Поэтому их установлено несколько, в FCOM описано, что делать в таких случаях, а экипажи проходят тренажёрную подготовку и наизусть знают, что делать в такой ситуации.
Выводы простые: система MCAS не работала так, как ей следовало работать. Бывает и так, что система не ломается, работает исправно, но — не работает. Т.е. не делает то, что должна делать либо делает то, чего делать не должна.
PS не знаю, чем занимаетесь вы, а я занимаюсь промышленной автоматикой. Я могу написать суперскую программу, но если железо с ней не работает так, как надо — моя программа никому не нужна и ничего не стоит.
PPS Решать недостатки железа программными помощниками не хорошо и не плохо, но не всегда это правильный путь. Приведу простой пример.
Рулевое управление автомобиля обладает динамической устойчивостью. Т.е. на ходу колёса сами стремятся вернуться в прямое положение — и так должно быть. Если поиграться с настройками подвески (кастер, углы схода/развала) — можно добиться динамической неустойчивости. Т.е. колёса не будут возвращаться в прямое положение. И, хуже того, будут убегать в сторону при малейшем отклонении от среднего положения. А теперь допустим, что речь о массовом автомобиле или пассажирском автобусе. Как устранять будем? Добавлять патч в прошивку электроусилителя руля или таки механику правильную делать?
4. Какие конкретно «самые паршивые ситуации, в которых у экипажа и других забот хватает» были в обоих катастрофах? И почему их не было в остальных полусотне случаев, когда пилоты отключали сервоприводы?
6. Авионика боинга не умеет справляться с рассогласованием датчиков угла атаки. Если в результате рассогласования расходятся вычисленные значения воздушной скорости, то загорается транспарант IAS Disagree и пилоты должны отключить автопилот, автомат тяги и директорные стрелки, выставить определённые в чеклисте тангаж и тягу и пилотировать вручную.
И во FCOM нет ситуации 'Сломался датчик угла атаки', напрямую эта ситуация никак не детектируется. А вот действия по ситуации Runaway Stabilizer во FCOM описаны, остались неизменными с первого поколения B737 и должны применяться пилотами по памяти.
Ну, давайте пройдём по фактам
Вы не сказали ничего нового, всё это уже обсуждалось.
Всё что вы добавили к обсуждению — заменили эмоциональное слово "костыль" на такое же эмоциональное слово "заплатку", не определив, когда кончается заплатка и начинается обычный регулятор.
Плохо решать серьёзные проблемы планера программными заплатками.
Не хорошо и не плохо дискутировать и иметь разное мнение. Плохо — пытаться влиять на дискуссию эмоциональными эпитетами.
пилоты не могут ни отключить MCAS отдельно от сервопривода стабилизатора
Они могут отключить сервопривод, и это вернёт ручной контроль над самолётом. Вы хотели ручного управления, что вас не устраивает? "Пуговицы не те?".
распознавание и устранение сбоя максимально затруднены
Что трудного увидеть, что стабилизатор не слушается твоих команд и отключить его? Это случилось не моментально, экипаж потратил несколько минут, то и дело возвращая убегающий стабилизатор на место.
экипажи проходят тренажёрную подготовку и наизусть знают, что делать в такой ситуации.
Сюрприз: то же самое относится к ситуации runaway stabilizer — и тренажёр, и инструкция наизусть.
Если поиграться с настройками подвески (кастер, углы схода/развала) — можно добиться динамической неустойчивости.
Есть немалое число самолётов с динамически-неустойчивым (или нейтральным) планером, где устойчивость обеспечивается компьютером. Опять же, Эйрбас управляется полностью по проводам. Когда они это начали внедрять, те же поклонники Боингов возопили "КАК?! Я должен доверять компьютеру? А если компьютер откажет, я буду сидеть с джойстиком, как дурак, и не иметь вохможность управлять самолётом?"
Добавлять патч в прошивку электроусилителя руля или таки механику правильную делать?
Это решается анализом. На одной чаше: неустойчивость появляется только в каких-то редких режимах (типа движение задом по маленькому радиусу разворота на повышенной скорости), изменение прошивки помогает решить проблему, и водитель может легко справиться с отказом, если что, просто нажав на тормоз (аналог memory item для обычного водителя) и ведя машину аккуратнее. На другой чаше: изменение механики подвески приводит к совершенно новому неиспытанному автомобилю. Вот и выбирайте.
1) плохообученные пилоты, не распознавшие ситуацию и не выполнившие процедуру (некомпетентность) — но они уже заплатили свою ценуА ничего, что пилотам про новую систему никто не рассказал? Мистер Боинг заявлял, что переобучение проходить не требуется.
Вины разработчиков MCAS я вообще не вижу — устройство для этого типа необходимое, и работает оно как задумано и правильно.Этого устройства не должно быть, в принципе. Назначение этого устройства — программная компенсация физических недостатков планера. Наличие этой системы должным образом не документировано. Отключение этой, отдельно взятой, системы не предусмотрено. Дублирование и защита от ошибок просто никто не сделал. То, что вы говорите — это, практически, «к пуговицам претензии есть?»
Ну и кого вы будете сажать при таких раскладах?Очевидно:
- тех, кто принял решение о программной компенсации аппаратной негодности планера;
- тех, кто принял решение сделать систему неотключаемой;
- тех, кто придумал сделать это:
Отсутствие дублирования датчиков — это был выбор авиакомпании, купившей самолёт с именно такой опцией
— опцией; - тех, кто пытался скрыть причины внедрения этой системы — в том числе, минимально документировать.
Этого устройства не должно быть, в принципе.
Если "в принципе", то самолётов вообще быть не должно, т.е. это "костыли", компенсирующие физический недостаток людей (отсутствие встроенных крыльев), с этим мы разобрались выше. Но самолёты есть, и они решают свою задачу.
Назначение этого устройства — программная компенсация физических недостатков планера.
Это демагогия какая-то. Назначение любого устройства — компенсация каких-то недостатков. Молоток компенсирует недостаток усилий руки и твёрдости кулака. Отвёртка компенсирует неверную заточку рук. Компьютер компенсирует недостаточную вычислительную мощность мозга. Давайте всё выкинем нахер, потому что перфекционист Muzzy0 против полумер, и его устроит только полный рефакторинг с радикальной заменой кулаков стальными болванками, заточенными под крест, а мозгов — компьютерами.
Вам шашечки или ехать?
Это демагогия какая-то.Вот вы её и разводите.
Назначение любого устройства — компенсация каких-то недостатков.Назначение любого устройства — решение определённого круга задач.
Отвёртка компенсирует неверную заточку рук.Отвёртка решает задачу закручивания метизов. Закручивание метизов не есть ежедневная и постоянная функция человека, поэтому иметь её на руке постоянно не только избыточно, но и неудобно. Более удачный пример — нож или ложка. Но даже ими человек пользуется не настолько часто, чтобы вживлять их в руку.
Представьте себе, что даже на роботах ставят системы, позволяющие сменить инструмент на ходу. Хотя, ничего не мешает установить на один манипулятор несколько инструментов или даже несколько манипуляторов с разными инструментами.
только полный рефакторингНа самом деле, устроит рефакторинг требуемой глубины. В Боинге попытались сделать рефакторинг недостаточной глубины.
Назначение любого устройства — решение определённого круга задач.
Нет, устройства не решают задачи, у них думалки нет, которая бы "решала" что-то. Задачи решают люди, а устройства лишь помогают решать задачи — добавляют людям (и другим устройствам) силы, или скорости, или памяти, или устойчивости к внешним факторам, исправляя недостатки легаси-"дизайна".
Отвёртка решает задачу закручивания метизов.
Найдите дома отвёртку, прикажите ей закрутить шуруп и посмотрите, как она будет решать эту задачу.
В Боинге попытались сделать рефакторинг недостаточной глубины.
И Вы, конечно, лучше их знаете, какая глубина рефакторинга была бы достаточной для этой модели. Однако, увы вам, рефакторинга планера не будет. Смиритесь с тем, что к вашим радикальным идеям не прислушались.
Газконтроль на термопаре физически не сможет включить газ при отсутствии пламени.Зря Вы в этом так уверены. Сигнал с термопары физически не может непосредственно управлять электроклапаном, а значит между ними присутствует, как минимум, усилитель, пороговый элемент и силовой ключ. А дальше все зависит от инженеров, которые это пректировали и от ограничений, в которые они были поставлены.
В газ контроле электроклапана редкость, в моей газ перекрывает я за счёт биполярной пластины или что-то похожего, только механика
Зря Вы в этом так уверены. Сигнал с термопары физически не может непосредственно управлять электроклапаном
Я этот газконтроль разбирал. Сам был удивлён, но именно так и есть, там нет ничего, кроме термопары, провода от неё и катушки с клапаном на другой стороне. Тока, который вырабатывает термопара, достаточно для работы клапана.
У меня газовая плита с контролем — контроль перекрывает клапан, который стоит последовательно с краном открываемым человеком — если вентиль закрыт то неисправный газ контроль во сне не отравит, но если чайник зальет огонь — то газ перекроется (должен перекрыться, сейчас проверю)
<Сигнал с термопары физически не может непосредственно управлять электроклапаном
Кто вам такую чушь сказал? Тока с термопары не хватает ПРИТЯНУТЬ сердечник клапана, он прижимается оператором. Но НЕ ОТПУСТИТЬ сердечник его вполне достаточно. Там ток, судя по обмотки клапана ампер 20. Пламя горит пока сердечник притянут. Все системы с пилотным пламенем \ запальником так работают.
Вру, не все. Есть с биметалом. Там и притянуть и отпустить усилия хватает.
Там ток, судя по обмотки клапана ампер 20— откуда такой ток взялся и, главное, зачем?
Или я что-то не так понял?
Термопара с газовой плиты способна запитать съемный жесткий диск? Если так, то я буду удивлен, придется несколько скорректировать картину мира.
Раньше же были термогенераторы на керосиновую лампу, выход 2-3в ток около 1-2а.О, эти легендарные термогенераторы.
И для масштаба тридцатисантиметровая линейка.
Это меня и смущает: можно получить приличные токи на термоэлектрике, но размеры будут неприличные.
Впрочем, повторюсь, я очень давно читал что-либо на эту тему, так что запросто могу быть не в курсе современных веяний.
Не надо ничего покупать. Позвонил знакомому на завод газовых плит. Говорит — по документации на электроклапан ток удержания 20-150 мА. Те термопары, которые они применяют, выдают как раз 150 мА. Напряжение они не измеряют, т.к. параметр не нормируется, что-то в районе десятка-другого милливольт (точно не смог сказать).
но это ещё надёжней чем электромагнитные клапана.
Да как сказать. В механику прямо у огня могут попасть остатки пищи, гарь, и её заклинит. А провода от термопары можно увести через герметичный вывод к электроклапану, стоящему в контролируемых чистых условиях. И неисправность термопары или проводов неизбежно приводит к отпусканию электромагнита, а, допустим, распайка биметаллической пластины или её механическое повреждение не всегда приведёт к перекрытию газа.
Происходит ситуация с четким признаком — самопроизвольно перекладывается стабилизатор. При этом колесо ручного управления этим стабилизатором (размером с большую тарелку) возле твоей ноги быстро-быстро крутится и громко трещит, перекрывая рёв двигателей. А их два, у каждого из пилотов. Выглядит вот так: www.youtube.com/watch?v=cQirIH_DuAs
Действия из мануала:
1. Держи штурвал ровно
2. Автопилот — выключить
3. Автомат тяги — выключить
4. Если помогло — остановиться, если не помогло — делай дальше по списку
5. Отключи триммер стабилизатора (на этом пункте всё бы и закончилось)
6. Если не помогло — хватайся за колесо и держи его.
Но пилоты не делают даже попыток выполнить эти простые действия в течении десятка минут после обнаружения неисправности. При этом у них есть скорость, высота, тяга, ориентация в пространстве — всё что нужно для безопасного полета. Но они втыкаются в землю. А пилоты других бортов, столкнувшиеся с точно такой же ситуацией, выполняют чек-лист, и благополучно приземляются. Боинг виноват, спору нет, но пилоты и нужны для того, чтобы исправлять косяки автоматики.
в двух катастрофах Максов экипажи сделали всё возможное, чтобы гробануться самим, и прихватить с собой пассажиров
Вроде специалисты жалуются, что пилоты просто отвыкают пилотировать самостоятельно, поскольку все управляется автоматикой.
Да и тренировки порой оказываются либо недостаточными, либо вообще некорректными (вспоминается история, как самолет потерял "хвост", поскольку пилот действовал именно так, как его учили).
И те истории с 737 MAX, судя по некоторым сообщениям в СМИ, вроде из той же серии (пилотов недостаточно тренировали на ситуации, когда автоматика "чудит").
И списки максимально простые и доходчивые, как раз для критических ситуаций.
Интересуюсь периодически вопросом.
Так в истории были неоднократно моменты, когда именно длинные (а порой еще и не вполне корректные) списки действий в аварийной ситуации приводили к катастрофе. Экипаж терял время на ненужные действия, перебирая пункты списка.
После катастроф эти списки, конечно, перетряхивали, но после часто оказывалось, что изменения не были достаточными.
пилоты просто отвыкают пилотировать самостоятельно
Именно. Этих двух катастроф можно было бы избежать, если бы первой реакцией на нестабильность поведения было бы отключение автоматики и стабилизация полета вручную. Но это нужно тренировать регулярно. И обучать пилотов тому, что вся электроника — это дополнение, которое может накрыться совершенно неожиданно.
Вот тут показана эволюция чек-листа про стаб. В итоге из 3-х строчек первой версии, список раздулся до двух листов (пунктирная линия на последней версии это разрыв страницы). Во вторую версию добавили странный пункт — хватать и держать колесо ручной перекладки стаба, и далее пункт «триммируйте вручную». Как можно триммировать вручную, не схватив перед этим колесо — не понимаю. В итоге из 2-х действий стало уже 3, хотя суть действий не изменилась.
В последующие версии добавлялись пункты уже не с действиями, а так сказать «заметками», и в статье говорится что пилоты считают их полезными. Заметки безусловно полезны, но кмк не должны отвлекать от простого и максимально короткого списка действий, который надо выполнить максимально быстро и четко. А если в итоге еще список растягивается из-за этого на два листа вместо одного, — кто-то явно плохо думал об эргономике, тем более для жизненно важной информации в экстренной обстановке.
Но пилоты не делают даже попыток выполнить эти простые действия в течении десятка минут после обнаружения неисправности.
Первое — при разборе тех ситуаций нигде не было указано, что пилоты поняли: что неисправность это MCAS. В первой катастрофе летчики слабо представляли, что это такое из-за политики боинга в отношении 737MAX.
Второе — самолет сигнализировал о вхождении в сваливании и «пытался ее предотвратить». Этот режим полета НОМНОГО опаснее. И его «разбор» и стал причиной катастрофы со стороны пилотов.
Третье — тример не «гулял». Тримирование с кнопок приводило к ожидаемым результатам, так как MCAS отключался на время тримирования и несколько секунд после. Со сточки зрения пилотов «бегства стабилизатора» не было.
Четвертое — нормальное отключение MCAS возможно только с отключением электроприводов стабилизатора, так как любой выключатель выключает теперь оба канала и пилотов и автомат. Во второй катастрофе вроде именно неспособность пересилить выставленный угол и привела к катастрофе.
Пятое — болшое количество пилотов предотвратило катастрофу выполнив совсем другую процедуру — недостоверные показания воздушной скорости, она включает действия и при «бегстве стабилизатора»
ИМХО: Должно быть разработано упражнение MCAS failure. А по хорошему FAI должна признать 737-MAX новым типом со всем вытекающим слишком он отличается по поведению от того первого 737.
1. Предыдущий рейс индонезийского 737 столкнулся ровно с той же ситуацией, но догадался отключить привод стаба, и благополучно сел. И про конкретно MCAS они могли и не знать, они просто сделали то, что положено когда самолет тянет нос вниз и крутит стабилизатор самостоятельно — отключили его, и выровняли руками. Наличие или отсутствие mcas тут особой роли не играет, это лишь программная подсистема привода стабилизатора. Важно что стаб крутится сам по себе, а значит в первую очередь нужно отключить его привод, а не гадать о причинах. И кстати, предыдущий рейс спас не управлявший им экипаж, а пилот из дочерней компании, которого взяли подвезти по пути, сидевший на откидном сиденье позади пилотов. Экипаж боролся с самолетом несколько минут, пока этот пилот не подсказал им выключить привод.
2. О сваливании предупреждает тряска штурвала, которая сработала только с одной стороны. Чтобы не свалиться — достаточно дать побольше тяги и выровнять самолет, по авиагоризонту или визуально, этого достаточно чтобы гарантированно не попасть в сваливание. Скорость измерялась абсолютно нормально, авиагоризонт в порядке, видимость достаточная чтобы понять куда летит самолет. И что он не собирается сваливаться, и понять что приборы врут. Причем напомню — только с одной стороны, капитанской. В конце концов можно качнуть крыльями, и по отклику самолета понять что скорость сильно выше, чем для сваливания. А MCAS включилась первый раз через полторы минуты после первой тряски штурвала, достаточно времени чтобы предпринять все действия чтобы не свалиться. После первого ложного сигнала о сваливании самолет еще набрал и зафиксировал высоту (!), второй пилот убрал закрылки (с выпущенными mcas не работает), и только после этого она включилась в первый раз. Если всё это время пилоты, как вы сказали, «разбирали» отсутствующее сваливание…
3. MCAS перекладывает стаб со скоростью почти в 2 раза большей, чем триммирование вручную со штурвала. Это значит что как ты не триммируй стаб со штурвала — MCAS победит, что и произошло. И когда колесо ручной перекладки крутится с быстро и очень шумно, а самолет тянет нос вниз — что это может быть, как не «убегание стаба»?
4. Верно. И во второй катастрофе пилоты знали о причинах крушения первого самолета, и даже отключили привод стаба, но уже слишком поздно, скорость была большая, стаб под большим углом, и вручную его не вытянуть, просто не хватит силы человека.
Но! Двигатели на протяжении всего полета были во взлетном режиме, это раз. После первого срабатывания mcas, после неудачных попыток оттриммировать стаб кнопками, второй пилот отключил привод стаба и задрал нос вверх штурвалом, это два. И всё это происходило на очень маленькой высоте, это три.
Когда пилоты поняли что вручную стаб не открутить, они включили привод обратно чтобы включить автопилот, который отключит mcas. Но при большом усилии на штурвале автопилот не включится. Итог — высоты почти нет, тяга на максимум, скорость высокая, стаб тянет вниз…
MCAS перекладывает стаб со скоростью почти в 2 раза большей, чем триммирование вручную со штурвала. Это значит что как ты не триммируй стаб со штурвала — MCAS победит, что и произошло.При триммировании стаба переключателем со штурвала MCAS отключается и активируется снова через несколько секунд после отпускания переключателя. Так что «бороться» с MCAS можно практически бесконечно, в первой катастрофе этим минут десять занимались.
Предыдущий рейс индонезийского 737 столкнулся ровно с той же ситуацией, но догадался отключить привод стаба, и благополучно сел.
Он не отключил привод стаба, а выполнил процедуру «недостоверные показания указателя скорости». То есть выключил, все «помогаторы», выставил определенную тягу двигателя, горизонтальный полет и старался лишний раз не дышать. И по сути чисто визуально посадили самолет, прервав полет. Они не смогли «нормально» указать, что было не так. В результате техники провели самопроверку компьютера, «продули» пвд и УС, зафиксировали, что все нормально и выпустили самолет с неисправным датчиком угла атаки.
Важно что стаб крутится сам по себе
Он не крутился сам по себе, а, при наличии иных сигналов несиправности методично отликаясь на действия пилотов, выполнял программу.
которая сработала только с одной стороны.
Была подана команда га тряску на одну штурвальную колонку, связаннаю со второй. Точно при этом не происходит тряска второй, пусть и меньшая?
Скорость измерялась абсолютно нормально, авиагоризонт в порядке, видимость достаточная чтобы понять куда летит самолет.И что он не собирается сваливаться, и понять что приборы врут.
Так приборы врут или нет?
В конце концов можно качнуть крыльями, и по отклику самолета понять что скорость сильно выше, чем для сваливания.
А если вы в сваливании то почти гарантированно свалиться в штопор. Вы же не выяснили «кто» врет.
всё это время пилоты
пытались определить, что именно происходит и найти кнопку — выключить тряску на руле и увод вниз. Не нашли.
Итог — высоты почти нет, тяга на максимум, скорость высокая, стаб тянет вниз…
и стаб выставлен на угол, пересилить руками который невозможно.
Следовательно нужно добавить два упражнения в программу пилотирования на MAX'е
1. Действия при отказе MCAS и при превышении углов атаки (то, что не было зафиксировано (пока?))
2. Действия при отказе датчика угла атаки в положении превышения и нарушении синхронизации
Действия пилотов тоже заслуживают внимания. Требования «летать больше на руках» звучат в адрес авиакомпаний.
Но сам подход костылинга в авиации, медицине и иже с ними достоин осуждения.
Он не отключил привод стаба, а выполнил процедуру «недостоверные показания указателя скорости».
Я не найду точно сейчас тот источник где я это прочитал, но в нем была расшифровка разговоров в предпоследнем полете. И судя по ним, пока капитан перебирал чек-листы, а второй пилот держал самолет, третий находившийся в кабине пилот (тоже с 737 Max) подсказал капитану выключить привод стаба. И кстати, в чек-листе Air speed unreliable нет такого пункта.
Он не крутился сам по себе, а, при наличии иных сигналов несиправности методично отликаясь на действия пилотов, выполнял программу.
Неточно выразился — естественно не сам по себе, имел в виду «не получая прямую команду от пилота».
Была подана команда га тряску на одну штурвальную колонку, связаннаю со второй. Точно при этом не происходит тряска второй, пусть и меньшая?
Трясется она из-за вращения вибромоторчика на колонке, точнее даже не трясется а вибрирует, не отклоняясь ни в одну сторону. Будет ли эта вибрация передаваться на другую колонку, при учете того что связаны они не жесткой механической связкой, а через тяги и компенсаторы? Могу ошибаться, но очень сомнительно.
Так приборы врут или нет?
А если вы в сваливании то почти гарантированно свалиться в штопор. Вы же не выяснили «кто» врет.
Врёт один прибор у одного из пилотов.
Кроме показаний одного датчика есть еще не один способ определить приближение к скорости сваливания, и простые действия чтобы его предотвратить. Крыльями не нужно качать так, чтобы было видно с земли. Одним из признаков падения скорости близко к критической является резкая потеря подъемной силы и управляемости. Плюс самолет начинает потряхивать, весь целиком (аэродинамическая тряска). Этих признаков нет, а есть один неправильно работающий прибор.
Изначальный ваш посыл был в том, что пилоты были заняты предупреждением возможного сваливания на основании показаний этого прибора. Я же пытаюсь донести мысль, что направить всё внимание двух пилотов на это ложное предположение, да еще так надолго, это полный непрофессионализм, который проявлялся и дальше, и привел в итоге к катастрофе.
Вина Боинга несомненна, но если бы пилоты были действительно пилотами, самолет бы не упал.
Переподготовкой на Max и изучением поведения MCAS более глобальная проблема общего уровня подготовки и стрессоустойчивости не решилась бы. Эфиопский экипаж знал про MCAS, знал что нужно делать, но это им не помогло.
Действия при отказе датчика угла атаки в положении превышения и нарушении синхронизации
Это изучается сильно раньше, чем пилот совершает свой первый реальный полет. И этот датчик несомненно очень нужный и полезный прибор, он даже дублирован, но его отказ не должен приводить к катастрофе, особенно в практически тепличных условиях.
но если бы пилоты были действительно пилотамиМожно об этом поподробнее? «Старый» самолет ведет себя непонятным новым образом — откуда у них должен быть взят опыт для этой ситуации?
Боинг можно пилотировать вообще без электроприводов рулей, киля и стаба. Из кабины идут тросы до всех управляющих поверхностей, и если даже откажет электрика, остаётся механика. Туго, тяжело, неэффективно, но можно лететь, и даже приземлиться.
Далее. Стабилизатор крутится в опасное положение, но ни один из пилотов не дает на это команду. Остается два варианта — либо его крутит автоматика, либо Б-г. Так как со второй причиной не поспоришь, остается один вариант — выключить всё, что может его крутить, а потом уже разбираться что является причиной, баг в софте, контакт перетерся или датчик неверные значения дает, да хоть камешек попал, это сейчас не важно. А важно стабилизировать полет, и тогда уже будет время подумать что делать дальше. Автоматика тянет тебя носом в землю, так отключи её и рули сам.
Самолет «старый», но его новое поведение полностью входит в уже известное, отработанное и прописанное множество возможных причин, под названием «runaway stabilizer». Мануал по этому множеству существует с 1967 года, сейчас актуальна 4-я версия. И во всех версиях главное действие по исправлению ситуации — отключить привод стаба и управлять вручную. Причин множество, и добавление еще одной не меняет результата, и порядок действий точно так же не меняется.
Естественной реакцией на непонятное поведение самолета должно быть отключение всех систем, которые могут воздействовать на управление, и переход на полностью ручное управление.Вы уверены, что пилотов учат именно этому? И что они, если будут действовать по вашему, не нарушат какие-то регламенты своей авиакомпании?
Стабилизатор крутится в опасное положение, но ни один из пилотов не дает на это команду. Остается два варианта — либо его крутит автоматика, либо Б-г. Так как со второй причиной не поспоришь, остается один вариант — выключить всё, что может его крутить, а потом уже разбираться что является причинойИменно так и было написано в регламентах этих двух авиакомпаний?
Мануал по этому множеству существует с 1967 года, сейчас актуальна 4-я версия.Вот только какое место в иерархии инструкций при ЧП этот мануал занимает?
Ну то есть мой вопрос понятен: как могут пилоты действовать профессионально (чтобы это ни значило), если их руководство учит другому? Это разве называется непрофессионализм пилотов?
Вы уверены, что пилотов учат именно этому? И что они, если будут действовать по вашему, не нарушат какие-то регламенты своей авиакомпании?
Пилотов, в большинстве случаев, обучают не авиакомпании, а специальные учебные заведения. И ни одно заведение в здравом уме не будет обучать пилотов нарушать правила эксплуатации самолетов, потому что это прямой путь в могилу для пилотов и пассажиров.
Производитель самолета дает к нему мануал по использованию. Есть отдельные разделы этого мануала, под названием check lists, которые описывают порядок действий при различных ситуациях. При наступлении этой ситуации пилоту нужно выполнить эти действия. Если их не выполнить — вероятность катастрофы увеличивается во многие разы, вплоть до 100%. Авиакомпания не может заставить пилотов действовать не по инструкции, это не последняя инстанция. Есть международные правила полетов, есть инструкции производителя, и авиакомпании приходится их выполнять. Если пилот сообщит контролирующим органам о том, что его заставляют действовать вразрез с этими правилами, что создает угрозу безопасности полетов и жизни людей — авиакомпании придется несладко, вплоть до прекращения ее существования и уголовной ответственности для руководства.
Именно так и было написано в регламентах этих двух авиакомпаний?
Это написано в регламенте использования самолета, который дает производитель. Можешь, конечно, его не выполнять, только будешь мертвый, и не только ты один.
И регламенты авиакомпании не могут противоречить инструкции по эксплуатации от производителя. Авиакомпания в своем личном регламенте может писать всё, что угодно, но если это противоречит международным правилам полетов и инструкциям производителя — этот регламент не может иметь силы. Это как с договором между двумя физлицами или компаниями — ты можешь написать в нем что угодно, но если этот договор противоречит законам страны — он недействителен.
Вот только какое место в иерархии инструкций при ЧП этот мануал занимает?
Что значит какое место? Первое и единственное место он занимает. Потому что он создан для того, чтобы экипаж и пассажиры выжили и благополучно приземлились. Этот мануал создан именно для критических ситуаций, чтобы пилоты могли в кратчайший срок решить возникшую проблему, и не думать «так, вот у меня есть три инструкции, какую же мне сейчас применять».
И что значит
как могут пилоты действовать профессионально (чтобы это ни значило), если их руководство учит другому?
С чего вы это взяли? Разве катастрофы произошли от того, что у пилотов были какие-то другие инструкции от руководства по действию в именно таких ситуациях, и они делали не то, что сказал Боинг, а то, что сказал начальник?
Непрофессионализм в том, что пилоты не распознали опасную ситуацию и не выполнили короткую инструкцию, которая существует уже 50 лет, и создана именно для этой ситуации, и почти гарантированно спасает жизни людей, и пилотов в том числе. Хотя у них были все возможности, и достаточное количество времени. Профессионал знает и помнит, что техника не идеальна. И если она начинает работать неправильно, то зная принципы ее работы, он предотвратит опасные последствия.
В управление их самолетом что-то вмешивается. Если пилот понимает как устроен самолет и хочет вернуться на землю живым, первое что он сделает — отключит всё, что может вмешиваться, и будет управлять самолетом сам.
Если вы едете на той же Тесле на автопилоте, и вдруг она начинает тянуть вас на встречную полосу, что вы сделаете? Будете лезть в меню, тыкать кнопочки режимов автопилота, моргать аварийкой, или перехватите управление полностью на себя и остановитесь?
Если пилот понимает как устроен самолетОни не знали как утстроен новый самолет Boeing 737 MAX.
То, что до пунктирной линии — действия «по памяти», которые пилоты должны знать наизусть, без бумажки.
А во-вторых самолет устроен точно так же — крылья, хвост, двигатели и всё остальное. И принципы полета за 100 лет не изменились. И на этом 737-м, как и 50 лет назад, доступно полностью ручное управление, даже если отключится вся электроника в кабине.
в чек-листе Air speed unreliable нет такого пункта
Сейчас перечитал и процедуры и материалы — вы правы, его нет. Неразбившиеся пилоты выполнили обе процедуры. Из-за того, что читал тогда на бегу и скопом все и смешалось. Извиняюсь, что вводил в заблуждение.
Одним из признаков падения скорости близко к критической является резкая потеря подъемной силы и управляемости.
Нет тут вы уже в сваливании. Некоторые ВС вас могут мягко «парашутировать» до самой земли. Некоторые другие ждут повода (скольжения), чтоб вас закружить в штопоре.
При современной симуляции нагрузок на штурвале на них сложно полагаться.
пилоты были заняты предупреждением возможного сваливания
Катастроф было две. В первой пилоты «спокойно» тримировали самолет и пытались выянить не, что за чушь происходит. И если оба тумблера выключают электромотор стабилизатора вообще, то где кнопка которая выключает то, что ставит стабилизатор на пикирование.
Это была несомненно ошибка экипажа.
Переподготовкой на Max и изучением поведения MCAS более глобальная проблема общего уровня подготовки и стрессоустойчивости не решилась бы
Глобальную проблему падения общего уровня пилотирования, навоз вместо налета она бы не решила. Но, вполне вероятно могла избежать первую катастрофу. Одной бы было меньше. Вместо «посмотреть инструкцию» они бы сразу смирились с ручным триммированием и вырубили мотор стабилизатора.
Это изучается сильно раньше, чем пилот совершает свой первый реальный полет
Огромное количество людей выполняют свой первый самстоятельный на самолетах, где этого датчика нет. И некоторые из них потом идут в «большую авиацию», где уже изучают его.
На максе имеется тенденция поддержания повышенного угла атаки, а при превышении определенного вроде даже его увеличение. Следовательно пилот макса в отличии от NG должен уметь выявлять эту ситуацию и исправлять ее при выводе на эти углы при отключенном мкасе. Полет на сваливание является обязательной частью любой программы обучения пилота самолета. Но иногда показывают, что стоит просто «отпустить штурвал» и самолет самопустит нос, и набрав скорость. уменьшит угол утаки.
Про проблемы кадров в авиации там своя отдельная тяжелая история. Но. что касается боинга, то тут немного сложнее. Поддерживая и прощая костылинг боингу, мы фактически даем зеленные свет и другим компаниям на это.
Боинг увидев, что двигатели уже пришлось сделать скошенными, должен был начать разработку нового самолета. Они вроде даже начали. Но, испугавшись эирбас, решили выжать из котика еще капельку. Я уверен проблема с устойчивостью выявилась еще на мольных продувках и продувках в аэротрубе. Но, они решили идти дальше. Выявленная недостаточность костыля, не привела к пересмотру идеи, а лишь усугубила его — мкасу «разрешили» перекладывать стабилизатор на больший угол.
Почему-то в случае с Боингом это не сработало.
В случаях с Боингом всё работало ровно так, как было спроектировано. «Проблема с ПО» лежит вовсе не на уровне ошибки в каком-то модуле. Проблема даже толком не архитектурная, а просто недоучёт человеческого фактора. Не привыкли пилоты 737, где, напомню, отклонение штурвала без всяких компьютерных преобразований передаётся на плоскости, к тому, что самолёт что-то там пытается автоматически скорректировать так, что штурвал при этом не шевелится. А разработчики самолёта попытались внедрить кусочки ЭДСУ в имеющийся тёплый аналоговый тип.
На газовой плите, где можно забыть выключить газ и устроить пожар или взрыв?
С автомобилями, приведу другой простой пример: стеклоподъёмник.
Можно сделать "по старинке" — водитель нажимает "тугую" кнопку, которая непосредственно включает двигатель стеклоподъёмника. Все просто, все "дубово".
Но если сделать управление электроникой, то получаем:
Контроль всех стекол с места водителя.
Дистанционное управление стеклами с брелка.
Взаимодействие с другими системами и датчиками. Оставили например машину с открытыми стеклами, пошел дождь и машина сама закрыла стекла. И так далее.
Да, система получается не гибкая, трудно расширяемая, но до ужаса надежная и ремонтопригодная.
Правда, в условиях глобализации, унификации, и прочей оптимизации, проще выпустить блок, к которому подходит питание и шина данных, для передачи команд.
Да, она сложнее ремонтируется, но это как раз вторично и для производителя и для большинства клиентов.
Нужно например добавить кнопку блокировки задних стеклоподъемников, берем кнопку, тянем от нее отдельный провод и ставим несколько дополнительных реле?
Во-во, такая система у меня как-то раз сама открыла все окна и не давала закрыть, пока клемму с аккумулятора не скинул минут на 10. В каждой двери по pic и если один глючит — то перестают работать все окна! Авто — GreateWall H3.
А управлять с водительского места всеми стеклоподъемниками и в старой короле можно было безо всякой электроники, только расход меди на провода был больше, а она сейчас дороже МК выходит.
И вот как раз здесь качество именно системы вообще не при чём.
Это китайцы — у них свой подход к качеству всего продукта.
У меня они тоже окна не закрывали однажды.
Потребитель сам выбирает что ему более подходит.
Ну я выбирал не окна, в целом авто устраивает, просто я считаю, что нет нужды ставить по контроллеру в каждую дверь с целью уменьшить количество медных проводов на 200 грамм и если поставили уже этот контроллер, то пусть шину слушает, а не вещает в неё, он отвечает за исполнительный механизм пришла команда — выполнил, а обратной связи я как пользователь от него не вижу, пусть сломается одно окно, а не все разом!
Да не только китайцы, на Пыжике 605 была ситуация — закрываешь с брелка окно, опускаются три и остальных, кроме водительского, и открывается багажник.
Мы все с вами пишем комменты с устройств на порядок сложнее стеклоподьемных железяк.
Мне кажется, что проблема не в использовании современных девайсов, а в сценариях и в разработчиках и бюджетах/задачах.
А потом получается вот так: "Загоревшаяся Tesla Model S убила своего водителя, закрыв все двери после попадания в ДТП".
Поэтому в разрядившуюся в ноль Теслу сесть можно только прикурив через специальный разъём на морде, только запустив бортовой компьютер.
И в дополнение к этому, я уверен, что количество и сложность расчетов также намного выше в гражданской авиации, в космосе же множество команд и корректировок производилось с Земли.
При этом требования к надежности самолетов существенно выросли с тех времен. И количество фатальных аварий на налет часов существенно упало. В том числе за счет того, что многие механические, и, поэтому, ненадежные системы были переделаны в электронные и стали намного надежнее и безопаснее, потому что, в том числе, теперь автоматика позволяет не давать пилотам ошибаться. Вся эта шумиха вокруг MCAS выеденного яйца не стоит именно потому, что таких систем в современных самолетах полно. Boeing еще использует достаточно консервативый подход. Airbus и SuperJet куда более жестко «исправляют» действия пилотов. Что иногда бывает, если этого не делать, видно по аварии SuperJet в Шереметьево, когда пилот садился в Direct Mode, то есть компьютер не корректировал его команды.
Но все это стало возможным только благодаря нереальному усложнению уровня применяемых компьютерных технологий. По сути, нам кажется, что самолетом управляет пилот. Самолетом управляет компьютер, которым командует пилот. Но иногда, намного реже, чем раньше, это приводит к проблемам.
Впечатление о том, что раньше было лучше, частично верно — старые методологии действительно утрачены. Но они были актуальны для тех времен, когда и задачи были проще, да и ресурсов на них выделялось больше. Тогда самолеты потребляли больше топлива, могли дольше проходить межполетное обслуживание, летали по более широким воздушным магистралям. Сейчас самолетов в небе столько, что каждый из них обязан очень строго выдерживать курс, ибо в ста метрах над ним пролетают другие самолеты, также как и в ста метрах под ним. Получается такая узенькая труба, удержать в которой самолет человек не способен в принципе. А в небе их так много стало потому, что они потребляют меньше топлива (сам полет стал дешевле), они мало стоят на земле (зачастую, экипаж даже не спускается на землю), кратно выросла их надежность (сейчас в небе полно самолетов произведенных в прошлом веке), но самое главное, всеми этими потоками стало вообще возможно управлять за счет нового ПО, мощных компьютеров и интернета. Огромный скачок сделала логистика. Можно в любой момент заказать такой перелет на другой конец мира, где вам предложат 5 пересадок на 5 самолетов разных авиакомпаний, без какого либо согласования между живыми людьми. Без этого, так наворачивать ПО самолетов не было бы смысла. В принципе, это и в 70-ых было вполне реализуемо. Боинг 737 изначально проектировался без места для бортинженера, только под двух пилотов. А ведь первый полет состоялся в 1967-ом!
Вся эта шумиха вокруг MCAS выеденного яйца не стоит именно потому, что таких систем в современных самолетах полно.
Очень даже стоит. Отличие MCAS от всех прочих систем в том, что её, во-первых, нельзя отключить, и во во-вторых, 737-ые Боинги нового поколения в принципе не могут нормально летать без неё. Системы подобные MCAS не новы, они стоят почти на всех истребителях 4-го поколения, на всех 5-го и на некоторых бомбардировщиках. Вот только там еще и катапультные кресла предусмотрены…
Что иногда бывает, если этого не делать, видно по аварии SuperJet в Шереметьево, когда пилот садился в Direct Mode, то есть компьютер не корректировал его команды.
Новые 737-ые Боинги вообще не имели этого Direct Mode. В критический момент, пилоты просто не смогли побороть компьютер. Какому клоуну или обезьяне пришло в голову учудить такую схему — узнаем в будущем. Надеюсь.
В Шереметьево же самолет разбили три раза подряд ударив самолет об полосу, хотя после первого же отскока должны были уйти на второй заход. Даже автоматика не смогла бы компенсировать такую настойчивость.
Отличие MCAS от всех прочих систем в том, что её, во-первых, нельзя отключить, и во во-вторых, 737-ые Боинги нового поколения в принципе не могут нормально летать без неё.Во-первых, MCAS неактивна если выпущены закрылки или если пилот управляет триммированием со штурвала, да и для отключения электромоторов, которыми управляет MCAS, достаточно перекинуть два тумблера. Во вторых, как-то же Боинги летают с выпущенными закрылками (и неактивной в это время MCAS).
Новые 737-ые Боинги вообще не имели этого Direct Mode.Боинг 737 всегда в Direct Mode, у него штурвал механически связан с элеронами и рулями высоты, а колесо триммирования со стабилизатором.
Во-первых, MCAS неактивна если выпущены закрылки или если пилот управляет триммированием со штурвала, да и для отключения электромоторов, которыми управляет MCAS, достаточно перекинуть два тумблера. Во вторых, как-то же Боинги летают с выпущенными закрылками (и неактивной в это время MCAS).
Но пилоты двух разбившихся самолетов не знали, что эта за штука такая в их самолетах — MCAS. И не знали, что её («неправильное») отключение равно вообще фактической потере управляемости по тангажу. И это следствие переключения тех самых двух тумблеров. На деле возникала патовая ситуация — если МCAS включен (и если он засбоил, конечно), то самолет падает, если он выключен, то самолет все равно падает. И это потому, что с новым расположением двигателей, самолет стал принципиально неустойчивым в полете, для компенсации чего и был внедрен MCAS. Ну а при выпущенных закрылках и автопилот не работает, так как это режимы взлета и посадки, на которых нынче пилоты и имеют (относительно) полный контроль над самолетом. И так все современные самолеты устроены. Пилоты сейчас операторы взлетов и посадок, в во все остальное время — контролеры автопилота.
Боинг 737 всегда в Direct Mode, у него штурвал механически связан с элеронами и рулями высоты, а колесо триммирования со стабилизатором.
Не совсем так. По сути, «Direct Mode» это снятие контроля со стороны автоматики, которая не дает делать слишком резкие маневры, которые могут привести к потере управляемости. Разница в том, что на Аэробусах и Суперджете нельзя резко дернуть штурвал, так как там стоят джойстики, в то время как в Боингах автоматика просто «съест» резкие (с её точки зрения) команды. А вот в «Direct Mode», любые действия пилотов будут безукоснительно выполнятся, даже если нет прямой механической связи
Но пилоты двух разбившихся самолетов не знали, что эта за штука такая в их самолетах — MCAS.Если в первом самолёте пилоты ещё могли не знать о MCAS, то после Боинг выпускал специальный бюллетень, в котором разъяснялось поведение данной системы. К тому же, требуемые в данных катастрофах действия пилотов находятся в РЛЭ начиная с первой серии боингов, и должны выполняться наизусть по событию «Самопроизвольная перекладка стабилизатора». При этом абсолютно неважно, вызвано это MCAS или мухой, закоротившей контакты, действия одни и те же.
если МCAS включен (и если он засбоил, конечно), то самолет падает, если он выключен, то самолет все равно падает.Включённый MCAS не мешает пилоту вручную управлять триммированием стабилизатора. Переключатель на штурвале имеет приоритет и MCAS временно деактивируется при его нажатии. В первой катастрофе пилоты минут десять боролись с MCAS именно уводя стабилизатор обратно на кабрирование переключателем.
И это потому, что с новым расположением двигателей, самолет стал принципиально неустойчивым в полете, для компенсации чего и был внедрен MCAS.Боинг, как и практически все пассажирские самолёты, построен по принципиально устойчивой аэродинамической схеме. Проблема именно 737 MAX — возможное самопроизвольное задирание носа при больших углах атаки. Именно в этой ситуации MCAS и должен перекладывать стабилизатор на пикирование, заранее снижая угол атаки. Но, опытный пилот и не должен выводить самолёт на те углы атаки, где требуется корректировка от MCAS.
Ну а при выпущенных закрылках и автопилот не работает, так как это режимы взлета и посадки, на которых нынче пилоты и имеют (относительно) полный контроль над самолетом.Работает. Выпуск закрылков, шасси, спойлеров и т.п. не отключает ни автопилот, ни автомат тяги. При посадке закрылки и шасси выпускаются заранее, автопилот же отключается перед самой полосой.
в то время как в Боингах автоматика просто «съест» резкие (с её точки зрения) команды.В 737 автоматика не может «съесть» никакие команды, поскольку связь штурвалов с рулями прямая, тросовая. Убрать её — значит оставить самолёт без управления вообще.
Проблема именно 737 MAX — возможное самопроизвольное задирание носа при больших углах атаки.
Вот только превышение допустимого угла атаки ведет к срыву потока и сваливанию самолета. В этом режиме быстро теряется скорость и самолет рискует свалиться в штопор. Проблема 737 MAX в том, что он в отличии от предшественников не стермится (начиная с некоторого угла) сам по себе опускать нос и выходить из опасного режима, но и поддерживает и даже усугубляет его. И чтоб его поведение сделать максимально похожим на предшественников ему и дали MCAS. Иначе пришлось бы проходить всю сертификацию по полной.
Но, опытный пилот и не должен выводить самолёт на те углы атаки, где требуется корректировка от MCAS.
А опыт пилот должен получать где? Родиться с ним? В авиасимуляторе? Где нет ни плотного трафика, ни опаздавших пассажиров, ни воздушных пузырей на взлете, а зачастую и сдвига ветра. Если бы макс прошел сертификацию с новыми требованиями, то скорее всего там сидели бы опытные летчики.
А опыт пилот должен получать где?Сначала в училище, потом на конкретный тип на тренажёре, затем в правом кресле, рядом с опытным командиром. Ну и про самообучение не забывать. И про регулярное повторение РЛЭ своего типа. Действия по «Runaway Stabilizer» у 737 прописаны ещё с первых моделей и у MAX они не отличаются от остальных. А ситуация относится к тем, где пилот должен действовать «по памяти», то есть знать симптомы ситуации и порядок действий наизусть.
На тренажере проходят и сдают, но условия все равно упрощенные плюс упражнений на ложноположительных и ложноотрицательных срабатываний MCAS не было и боинг пытается сделать чтоб не было.
На втором кресле «на руках» почти не дают летать авиакомпании. А за «лишний» такой полет некоторые еще и штрафуют.
Самообразование — по сути только джойстик в MSFS так как налет идет в общую санитарную норму не зависимо на чем летаешь. Да и выставить попадание в пузырь, спутный след, сдвиг ветра на взлете — это еще фантазия нужна. Да и выставить ситуацию на отработку для предотвращения: был «накручен», с отпуска после «качалки» вот чуть-чуть и перетянул за рога достаточно сложно. А «перетяг» на джойстике сильно отличаетс от «перетяга» на «рогах».
«Runaway Stabilizer» сами действия не отличаются. Отличаются условия определения их необходимости. Все-таки «Airspeed unreliable» подходит больше, хоть вот это и не так очевидно.
И да, симптомы: самолет время отвремени перекладывает стабилизатор, при отключенном автопилоте и при этом не перекладывает (в течении некоторого времени) при управлении им со штурвала, при наличии тряски специфические.
Опыт набирать надо. УЧиться надо. Устранять косяки техники надо.
Но вот одобрять подход костылинга ИМХО не стоит.
Если в первом самолёте пилоты ещё могли не знать о MCAS, то после Боинг выпускал специальный бюллетень, в котором разъяснялось поведение данной системы. К тому же, требуемые в данных катастрофах действия пилотов находятся в РЛЭ начиная с первой серии боингов, и должны выполняться наизусть по событию «Самопроизвольная перекладка стабилизатора». При этом абсолютно неважно, вызвано это MCAS или мухой, закоротившей контакты, действия одни и те же.
Вот только физических сил в этой конкретной ситуации может не хватить для управления стабилизатором. Там есть нюансы, что стабилизатор действует резче при выпущенных закрылках, и если он уже отклонен в пикирование, при отключении электромотора, тросами его трудно сдвинуть. У первых самолетов серии, кстати, не было электромотора.
Включённый MCAS не мешает пилоту вручную управлять триммированием стабилизатора. Переключатель на штурвале имеет приоритет и MCAS временно деактивируется при его нажатии. В первой катастрофе пилоты минут десять боролись с MCAS именно уводя стабилизатор обратно на кабрирование переключателем.
Там они ещё снова выпускали закрылки, при которых MCAS отключался, возвращая пилотам контроль над самолетом. Затем снова убирали, снова теряя контроль… В общем, бюллетень надо было озаглавить так — в любой непонятной ситуации, выпускайте закрылки. Проблема с MCAS была именно в этой «временно деактивируется», всего 5 секунд.
Боинг, как и практически все пассажирские самолёты, построен по принципиально устойчивой аэродинамической схеме. Проблема именно 737 MAX — возможное самопроизвольное задирание носа при больших углах атаки. Именно в этой ситуации MCAS и должен перекладывать стабилизатор на пикирование, заранее снижая угол атаки. Но, опытный пилот и не должен выводить самолёт на те углы атаки, где требуется корректировка от MCAS.
Большие углы атаки, это как при взлете? И обе катастрофы случились при взлете… Ладно, проблема не в этом. Дело в том, что не пилоты вывели самолет на критические углы атаки, а в том, что MCAS, из-за засбоивших датчиков, решила, что так они и сделали. Эта система устроена так, что может грохнуть даже летящий ровно самолет. Тут такая вот диалектика, система предотвращая катастрофу, имеет возможность её же и вызвать.
Работает. Выпуск закрылков, шасси, спойлеров и т.п. не отключает ни автопилот, ни автомат тяги. При посадке закрылки и шасси выпускаются заранее, автопилот же отключается перед самой полосой.
Ну это скорее нюансы. Эти действия собранны в одну группу. Та же MCAS имеет полномочия отключить автопилот. А после отключения автопилота, скажем при посадке, пилоты управляют самолетом почти полностью, но вместе автопилота включаются (или не отключаются, смотря как посмотреть) другие системы.
В 737 автоматика не может «съесть» никакие команды, поскольку связь штурвалов с рулями прямая, тросовая. Убрать её — значит оставить самолёт без управления вообще.
И эта «прямая» связь оборудована симуляцией нагрузки на штурвал. Так как между тросами и управляющими поверхностями есть «бустеры». А ещё есть модули автоматики FCS, FCC, DFCS, EFCM… Да и штурвалы между собой уже не имеют жесткой связи (и имеют разный функционал), если один заклинит, то второй будет работать. Кстати, в бюллетене про MCAS был пункт, что один из штурвалов может трясти отдельно от другого. Такие нынче тросы
Там есть нюансы, что стабилизатор действует резче при выпущенных закрылках, и если он уже отклонен в пикирование, при отключении электромотора, тросами его трудно сдвинуть.Закрылки влияют только на скорость перекладки стаба автопилотом, перекладка переключателем на штурвале выполняется с одной и той же скоростью. Большое усилие на колесе триммера возникало из-за того, что пилоты тянули штурвал на себя. При этом возникало большое давление вниз на заднюю кромку стабилизатора, что и мешало перекладке стабилизатора на кабрирование (поднятие задней кромки).
Большие углы атаки, это как при взлете?Не обязательно. Большой угол атаки может быть и на снижении, и в горизонтальном полёте. Не путайте его с тангажем, это разные параметры.
И обе катастрофы случились при взлете…Да, поскольку взлетали с выпущенными закрылками и проблемы начинались в наборе высоты после их уборки и, соответственно, активации MCAS при неисправном датчике. Отказал бы датчик на эшелоне, могли бы и с эшелона свалиться.
Та же MCAS имеет полномочия отключить автопилот.Не имеет. При включённом автопилоте MCAS деактивирована.
И эта «прямая» связь оборудована симуляцией нагрузки на штурвал. Так как между тросами и управляющими поверхностями есть «бустеры».Тем не менее, при отключении бустеров управление сохраняется именно за счёт прямой механической связи.
Кстати, в бюллетене про MCAS был пункт, что один из штурвалов может трясти отдельно от другого.Тряска — это сильно сказано. На колонках штурвалов расположены небольшие вибромоторы. Вибрация активируется на том штурвале, где FCC обнаружил приближение к критическому углу атаки. Поскольку каждый FCC берёт данные с датчика угла атаки своего борта, то и активироваться может вибромотор со стороны неисправного датчика. Вибрация на втором штурвале при этом практически незаметна.
По поводу посадки в Шереметьево. Они там много всего сделали не так, в том числе выпустили интерцепторы до касания, потому что понимали, что далеко ушли по полосе. В результате когда попытались пойти на второй круг после отскока, самолёт продолжал считать, что он находится в режиме посадки. Но при этом так как касания не было, интерцепторы не выпускались. В общем, Если верить отчету, то виной всему паника из-за отсутствия тщательной подготовки к посадке, низкой дисциплины и отсутствия должной тренировки.
Сейчас самолетов в небе столько, что каждый из них обязан очень строго выдерживать курс, ибо в ста метрах над ним пролетают другие самолеты, также как и в ста метрах под ним. Получается такая узенькая труба, удержать в которой самолет человек не способен в принципе.
Но ведь летают до сих пор на самолётах, где автопилот почти ничего не умеет.
1. Проблема с MCAS очень даже стоит выеденного яйца потому что во-первых изначально Боинг даже не упоминал о существовании данной системы, во-вторых потому что в современном самолете транспортной категории только безумный будет создавать систему способную управлять рулем высоты и получающую данные всего с одного сенсора.
2. Airbus и суперджет изначально создавались с философией fly by wire. То что сделал Боинг в случае с 737 MAX — по сути костыль и выжимание последнего из дизайна 50-летней давности.
Статья — Boeing’s 737 Max Software Outsourced to $9-an-Hour Engineers; Индийские разработчики за 9 долларов в час.
Сокращенные американские разработчики удивлялись — где эффективность, ведь этим Индусам приходится объяснять по пять раз…
Это хорошие новости для разработчиков, теперь американские начальники будут думать — а не попрут ли меня с моего директорского места за экономию на разработке.
1. Аутсорсе. Сам принцип аутсорса подразумевает что количество важнее качества, а нанимают на эти галеры не узких профи, а многостаночников aka senior stackoverflow copypaste developer.
2. Оплате труда. Нигде в мире пряморукий кодер не станет работать за такие копейки.
"Так ещё когда попрут, если попрут, а экономить смогу уже сегодня" — такой подход явно не раз уже имел место, почему бы им зачесаться далее?
Цеж менеджеры, а не люди!
Задумаются они, как же!
Директор золотой парашют получил в 80,7 миллионов долларов, а вы тут про страх говорите!
colonelcassad.livejournal.com/5575799.html
Ага, а должен за убийство 300 человек попасть на тюрьма, поскольку это именно его решения привели к трагедии. Но за что в «нормальных» странах сажают или стреляют, в «цивилизованных» денгьги платят.
поскольку это именно его решения привели к трагедии
Думаете, в Боинге директор занимается микроменеджментом на уровне утверждения архитектуры самолётов?
Если человек не компетентен, то он должен прислушаться и учесть мнение тех кто компетентен.
Понять, почему он на такой шаг пошёл можно — Боингу наступал на пятки Airbus со своим 330neo, авиакомпании оказались не очень патриотичными в этом вопросе, и стали покупать более дешёвую европейскую машину.
Из-за чего Боингу пришлось сделать массу вещей в конкретном самолёте, например ломануться в Fly-by-wire, который они не умели, заменить движки, изменить центровку, а потом ещё и сказать, что мол на этот новый самолёт нужно всего лишь час-другой переподготовки, как решающий плюс для покупки родными авиакомпаниями. Да, получается так, что капитализм убивает.
Но то, что топ-менеджеры не заезжают на тюрьмы, а получают золотые парашюты — это факт. Например, этим летом у них Калифорния горела, там под 100 тысяч домов спалило. Оказалось, что виной была не только сухая погода, а местная электрокомпания, которая экономила на ремонте и обслуживании. И когда сильные ветры рвали ветхие провода, возникали пожары, которые и спалили кое-где целые городишки. Когда на контору пришёл иск от общественности на какое-то количество миллиардов долларов, контора ушла в банкротство, и отказалась выплачивать пострадавшим компенсации. Но своему боссу, который повысил прибыли конторы как раз за счёт урезания этих расходов на ремонты, контора выплатила несколько десятков миллионов баксов, от чего общественность охренела на месте.
Дальше я за этой историей не следил, может быть его и поместили к ниграм в Гуантанамо, а дом пустили с молотка, вместе с любовницей и собакой, но что-то мне подсказывает, что всё у него хорошо.
И когда ему сказали, что здесь, здесь, и здесь будут срезаны углы с потерей безопасности, он дал добро
А об этом есть какие-то документы? Не поймите превратно, я не защищаю директора Боинга (мне вообще на него глубоко пофигу), просто мне кажется несколько странным, что гендир корпорации со стомиллиардным оборотом, с кучей коммерческих направлений от лизинговых услуг до производства космических кораблей, лично даёт добро на какие-то технические детали реализации конкретных моделей. Уверен, что это решается на более низких уровнях управления.
Те кто на нижних уровнях вякнул, что «здесь, здесь, и здесь будут срезаны углы с потерей безопасности» — были просто уволены!
А остались только те, кто взялся выполнить неадекватную хотелку директора.
habr.com/ru/post/484646/#comment_21160942
почти всегда работа с VIP-персонами подразумевает что человек должен говорить и делать то, что им нравится или хочется под страхом потери работы. Среди т.н. випов немало адекватных людей с кем можно вести дискуссии и отстаивать свою позицию, но если там еще и топ-менеджеры (а иногда топ менеджер != вип персона), то именно они могут пихать брёвна в колеса и саботировать всех и вся чьи действия могут хоть на чуточку поставить под сомнение то, что они справедливо заняли своё место. Вип сказал делать, а топ сразу же поскакал. Он не рискует своим местом, рисковать будет ваш Волшебник
ломануться в Fly-by-wire, который они не умели
Удивительно, как при этом 777 и 787 летают. Не иначе, как милостью божьей.
на этот новый самолёт нужно всего лишь час-другой переподготовки, как решающий плюс для покупки родными авиакомпаниями
Так так оно и есть. Правда, потом оказалось, что у нового типа есть весьма частый отказ, ставящий некоторых пилотов, не привыкших к самоделятельности самолёта, в тупик. Правда, действия при отказе остались те же, просто он происходит намного чаще.
Да, всё уже. Потрачено.
Надеюсь после этих двух катастроф и огромных денежный потерь не только Боинг но и другие компании задумаются о пересмотре некоторых приоритетов.
Boeing во время аудита обнаружила ошибки в обновленном ПО для самолетов модели 737 MAX