Бизнес, сензори и "умни" системи

Неприемливо е Boeing да има толкова много власт над анализа на безопасността на собствените си самолети, смятат експерти от FAA

iconomist
iconomist / 09 April 2019 19:40 >
Бизнес, сензори и "умни" системи
Източник: Gulliver Photos/Getty Images
Две катастрофи с популярния самолет Boeing 737 Max, в които загинаха няколкостотин човека в рамките на пет месеца, накараха авиокомпании от цял свят да забранят полетите на този модел. Разследванията текат и в момента, но един анализ в Сиатъл Таймс разкрива, че уравнението, довело до тези фатални ситуации, включва силни бизнес-интереси, технологични гафове и твърде много власт, дадена на "умни" компютърни системи.

През 2015 г. надпреварата между Boeing и Airbus е безпощадна. Първата бърза да сертифицира новия си 737 Max. Мениджърите на Федералната авиационна администрация (FAA) в САЩ са притиснати да делегират на компанията правото да извършва сама оценките за безопасността на самолета, за да може производителят да получи одобрение по-скоро.

Така никой не забелязва, че първоначалният анализ на безопасността, който Boeing предоставя на FAA за новата система за управление на полите при Max – анализ, използван за сертифициране на самолета като безопасен за летене – има няколко важни недостатъка.

Премълчано за MCAS
Новият самолет има системата за контрол на полета, наречена MCAS (Система за подобряване на маневрените характеристики).

По време на полет с висока скорост системата следва да "разбира" кога самолетът се движи с твърде високо вдигнат нос, което може да доведе до забавяне, загуба на контрол върху самолета, завъртане в спирала надолу и катастрофа. В такива ситуации системата може да измества хоризонталната част на опашката (задкрилките). Така тя може да "бутне" носа на самолета надолу. Това би трябвало да върне на самолета доброто и гладко движение с висока скорост.

В противоречие с дългогодишната традиция на Boeing да дава на пилота пълен контрол над самолета, новата автоматизирана система за управление на полета MCAS е проектирана да действа във фонов режим, без да приема команди от страна на пилота. Това, според фирмата, е нужно, защото много по-големите двигатели на Max трябва да бъдат поставени по-далеч напред на крилото, променяйки аеродинамичните характеристики на корпуса и подемната сила.

Накратко, проектирана да се активира автоматично само при екстремна ситуация при полет с висока скорост, системата е способна да прави "удар надолу" на носа на самолета.

В анализа за тази система има няколко подробности:
– подценена е властта на новата система за управление на полетите, проектирана да движи задкрилките на самолета, за да избута носа му надолу, за да предотврати прекомерно забавяне на движението. Когато самолетите в експлоатация, MCAS се оказва способна да движи опашката над четири пъти повече, отколкото е посочено в първоначалния документ за анализ на безопасността;

– не е отчетено, че системата се ресетва всеки път, когато пилотът реагира на нейната активност, като по този начин се пропуска потенциалното въздействие върху самолета от това, че системата многократно бута носа на самолета надолу;

– сривът на системата е оценен с едно ниво под степента "катастрофално". Описаното ниво е "опасно". Но дори и при такова ниво би трябвало да е изключено системата да разчита на данни от един-единствен сензор. И все пак това е начинът, по който е проектирана.

Бизнес интереси
Няколко технически експерта от FAA – предпочели да останат анонимни пред Сиатъл Таймс – заявяват категорично, че катастрофата на Lion Air през октомври "е само най-новият знак, че делегирането на сертифицирането на самолета от страна на агенцията е отишло твърде далеч". Те са на мнение, че е неприемливо Boeing да имат толкова много власт над анализа на безопасността на самолетите си.

Но защо става така?
FAA, позовавайки се на липсата на финансиране и ресурси, през годините делегира все по-големи правомощия на Boeing да поеме повече работа по сертифициране на безопасността на собствените си самолети. В началото на сертифицирането на 737 Max екипът по безопасност във FAA разделя техническите оценки, които ще бъдат делегирани на Boeing, от тези, които агенцията смята за критични – те следва да останат в ръцете на FAA.

Ала няколко технически експерти на FAA заявяват пред Сиатъл Таймс, че по време на сертифицирането мениджърите настойчиво биват "подканвани" да ускорят процеса. Сертифицирането на Max изостава девет месеца след конкурентния Airbus A320neo. Времето е от съществено значение за Boeing.

Бивш инженер по безопасност на FAA, който е бил пряко ангажиран в сертифицирането на Max, казва, че по средата на процеса на сертифициране мениджърите са помолени "да преоценят какво ще бъде делегирано". Ръководството смята, твърде много работа е оставена на FAA. "Имаше постоянен натиск за преоценка на първоначалните ни решения", казва бившият инженер, пожелал анонимност. "И дори след като ги преоценихме... ръководството продължи да обсъжда делегирането на още повече отговорност на компанията Boeing”.

В тази атмосфера на бързане и натиск анализът на безопасността на MCAS – само една част от планината от документи, необходими за сертифициране – е делегирана на Boeing.

"Странна позиция"
Когато обяви спирането от движение на 737 Max, FAA посочи сходства в траекторията на полета на Lion Air и катастрофата на полет 302 на Ethiopian Airlines.

Следователите са открили също така данни, че движещите части на задкрилките на самолета на етиопската авиокомпания "са в необичайна позиция" – предполага се, че MCAS е сред възможните причини за това.

Оригиналният анализ на Boeing, предоставен на FAA, включва описание на MCAS, което определя лимит за това колко точно система може да движи хоризонталната опашка. Лимитът е 0,6 градуса.

Този лимит по-късно бива увеличен след летателни тестове, които показват, че е необходимо по-мощно движение на опашката, за да се предотврати забавяне на движението при висока скорост, коетоо би поставило самолета в опасност.

След катастрофата на Lion Air Flight 610 Boeing за първи път предоставя самолетни данни за MCAS. Бюлетинът на Boeing до авиокомпаниите заявява, че лимитът за движението, който системата може да на направи, е… 2,5 градуса!

Тази цифра е новост за инженерите на FAA. Те са прочели по-рано, че лимитът е 0,6 градуса – в оценката на безопасността.

"FAA вярваха, че самолетът е проектиран до лимита от 0,6 градуса, това си мислеха и чуждестранните регулаторни органи", казва инженер на FAA. "А това е голяма разлика в оценката на опасността".

Според инженерите, ако във FAA са били навреме уведомени за тази корекция, процедурата по одобрението не би могла да мине.

Много власт за "умна" система
Проблемът с лимита се увеличава от друг елемент в анализа на безопасността на системата: системата има право да коригира опашката всеки път, когато се задейства MCAS. А тя може да се задейства многократно, както е било по време на полета на Lion Air.

Един инженер по безопасност от FAA казва, че всеки път, когато пилотите на полета на Lion Air са рестартирали превключвателите на своите контролни колони, за да изтеглят носа обратно, MCAS се активирала отново и избутвала опашката с "нова стъпка от 2.5 градуса". А MCAS се е рестартирала много пъти.

Данните от черната кутия разкриват, че борбата между системата и пилотите е била смразяваща. Системата се е включвала и измествала опашката на самолета, а капитанът се е намесва, за да коригира позицията на самолета – този цикъл се е повторил 21 пъти!

След това той е поверил управлението на самолета на втория пилот. След като MCAS избутала носа на самолета надолу още два-три пъти, вторият пилот е отговорил само с два опита за коригиране.

При лимит от 2,5 градуса на практика самолетът се е насочил с носа надолу. Последните данни от черната кутия показват, че капитанът се е постарал да възобнови контрола и да ускори самолета нагоре – ала твърде късно.

Единичен сензор
Бивши инженер от Boeing, работил по сертифицирането на Max от името на FAA, заявява пред Сиатъл Таймс, че дали една система за управление на самолета ще разчита на един източник на данни (един сензор) или два – зависи от класификацията за безопасността на системата, където се оценява какво би станало при повреда на системата.

Правилото е, че каквото и да е оборудване за комерсиален самолет, включително и различните сензори, е достатъчно надеждно, за да посрещне изискването за "голям срив". Това ще рече, че вероятността от повреда трябва да бъде по-малка от едно на 100 000. Такива системи обикновено имат право да разчитат на един единствен датчик за входящи данни. Когато обаче потенциалните последствия се оценяват като по-тежки, а сривът би бил "oпасен срив", изискването за надеждност е вероятността за повреда да е по-малко от едно на 10 милиона. В такива случаи системата обикновено трябва да има поне два отделни потока от входящи данни – в случай, че единият се "обърка".

Ето тук идва ролята на оценката на системата за безопасност на Boeing, според която срив на MCAS би бил опасен, но не ще да е "критичен". Според специалисти, участвали в сертифицирането, системата базира решенията си на данни от един сензор, който мери "ъгъла на атака" – това е ъгълът, под който насрещният вятър среща корпуса на самолета.

Всъщност подобно на всички 737, Max има два сензора, по един от всяка страна на корпуса, близо до пилотската кабина. Но MCAS е проектирана да чете данни от само единия от тях.

Данните от черната кутия, представени в доклада за предварителното разследване, показват, че показанията на двата сензора са се различавали с около 20 градуса! Разликата е била факт през цялото време на полета и дори докато самолетът рулира по земята преди излитането.

Boeing можеше да проектира системата да сравнява данните от двата сензора. Така щеше да се разбере, че единият от тях е повреден.

След катастрофата
Има и други фактори, допринесли за фаталността на двата полета. Сред тях е липсата на обучение – пилотите не са тренирани как да боравят с новата система MCAS. Всъщност чак след катастрофата на Lion Air пилотите на Max по света разбират, че има такава система. Проведени са тренинги, които – според един пилот – са траяли не повече от час на човек и са правени на таблет. Реално пилотите по света не са наясно как да се „справят” с MCAS в случай на срив.

Оценката на новата система позволява това. Благодарение на нея самолетът получава обиковен "типов рейтинг", което позволява пилотите да се качат на самолета без специална подготовка. Предполага се, че щом са управлявали друг 737, ще управляват и този по същия начин.

Сега Boeing вече има "софтуерен ъпдейт" за самолетите Max. С него MCAS следва да започне да чете данните и от двата сензора за ъгъла на атака, а правомощията й би трябвало да са малко по-малки. Уви, това подобрение идва след няколкостотин загубени човешки живота.

Превод: Technews.bg
Exit

Този уебсайт ползва “бисквитки”, за да Ви предостави повече функционалност. Ползвайки го, вие се съгласявате с използването на бисквитки.

Политика за личните данни Съгласен съм Отказ