Хабрахабр

[Перевод] Ненадёжный корпус Боинга программно не исправишь

Это изменение изменило и аэродинамику самолёта. Чтобы разместить на самолёте более новые и крупные двигатели, в Боинг решили подвинуть их вперёд. Для компенсации этого в Боинг добавили один датчик и обновление для ПО: MCAS.

Сага с Боингом модели 737 MAX служит достойным для изучения примером как инженерной некомпетентности, так и инженерной этики – точнее, её отсутствия.

В европейском консорциуме конкуренцию флагманскому продукту Боинга составляла новая модель от Airbus, A320neo. Появились новые детали того, какую конкурентную нагрузку испытывали инженеры Боинг 737 из-за того, что производитель пытался воспрепятствовать уходу крупнейших авиакомпаний США к своему конкуренту Airbus. Но из-за укрупнённых двигателей инженерам Боинга пришлось выдвинуть их дальше вперёд на передний край крыла, чтобы клиренс аппарата не стал слишком маленьким. Американские авиаперевозчики, например, American Airlines, готовились переходить на модель от Airbus с большей дальностью полёта.
В ответ Боинг выпустил обновлённую, по заявлениям компании, версию 737-й рабочей лошадки, оборудованную более крупными двигателями CFM LEAP, дающими большую дальность полёта и большую эффективность.

Проблему с задиранием носа, которую необходимо было решить для прохождения сертификации, решили исправить при помощи программного обеспечения MCAS. А это решение означало, что 737 MAX будет пытаться увеличивать угол тангажа при ускорении или при большом угле атаки – угле между крылом и направлением полёта.

В результате процесс повторной сертификации, которого в Боинге стремились избежать из-за конкуренции, был бы слишком долгим и дорогим. Критики посчитали, что иное расположение двигателей делает 737 MAX, по сути, другим самолётом, с другими характеристиками управления, и это требует нового управляющего софта и тренировки пилотов.

В компании Боинг это отрицают. По сути, критики говорят, что в ответ на угрозу со стороны Airbus, Боинг низвёл уровень безопасности пассажиров до «среднего кресла в эконом-классе», а финансовые соображения «возвысил до первого класса».

Трэвис опубликовал критику, связанную с фиаско, которое 737 MAX потерпел на прошлой неделе. Среди критиков Боинга находится Грегори Трэвис, программист со стажем и пилот с ППП-сертификатом, управлявший в симуляторах самолётами вплоть до Боинг 757. Его не нужно „исправлять“ с помощью ещё большей сложности и увеличения количества программ. В заключении он написал: «Скорее всего, MCAS, изначально добавленный для увеличения безопасности, убил уже больше людей, чем мог спасти. Его нужно полностью устранить».

«Сбивающие с толку» решения

В интервью Трэвис сказал, что «больше всего меня сбивает с толку мысль о том, как это вообще могло произойти» с коммерческим производителем самолётов с долгой историей безопасности и надёжности, а также прекрасной инженерной репутацией.

«Это ненадёжный корпус. Трэвис не испытывает сомнений в оценке Боинга 737 MAX. Нужно исправить корпус, а его нельзя исправить, не передвинув двигатели» назад и в сторону от текущего местоположения.

– А это очень плохо», продолжал он, поскольку увеличенный угол тангажа увеличивает угол атаки. Главная проблема схемы с выдвинутыми вперёд двигателями состоит в том, что «раз уж он начал увеличивать угол тангажа, он захочет продолжать и дальше, — сказал Трэвис.

Используя единственный датчик, MCAS должен был исправлять то, что впоследствии оказалось смертельной ошибкой в дизайне, опуская нос самолёта на основе данных от этого единственного датчика. Отсюда и появился MCAS, реализованный при помощи ПО на полётном компьютере 737 MAX. Единственным способом отключить систему было активировать прерыватель, кнопка которого должна была быть заметной на панели управления 737 MAX [на деле об этой опции вообще никто не знал / прим. Трэвис настаивает, что пилоты двух трагических рейсов 737 MAX не могли преодолеть работу этой системы, независимо от того, как сильно они тянули ручку управления. перев.].

И у этой модели двигатели почти задевают взлётную полосу. Боинг подвесил двигатели к корпусу, размер которого не изменился.

Описывая подобные решения, другой обозреватель отметил: «Кто вообще разрабатывает систему с единственной точкой отказа?» Компания предлагала единственный датчик угла атаки в качестве штатного оборудования и брала дополнительные деньги за второй датчик вместе с индикатором «отмены», который позволил бы пилотам 737 MAX «проверить» отказавший датчик.

EE Times отправила в Боинг PDF с анализом Трэвиса и его заключением о том, что изготовитель решил проблему с корпусом наиболее дешёвым способом, подходившим для получения федеральной сертификации.

Вместо этого изданию указали на несколько публичных заявлений по поводу аварий. Представитель Боинга отказался комментировать этот анализ, сославшись на то, что расследования по поводу двух катастроф, с самолётами компаний Lion Air и Ethiopian Airlines, ещё идут.

«Под ленью я имею в виду, что люди всё меньше стараются сделать правильный и наиболее простой дизайн, — писал он. По сути, Трэвис выражает сожаление по поводу «культурной лени», господствующей в сообществе разработчиков ПО, которая медленно проникает в такие критически важные системы, как полётные компьютеры. – Я считаю, ответственность должны начать нести там, где она возникает».

Некомпетентность или неэтичность?

Относится ли предостерегающая история Боинга 737 MAX к этичности инженерных решений – согласно инженерной этике, всё нужно делать правильно с первого раза, убеждаться, что критически важные системы работают с надёжностью в пять девяток (99,999%) и имеют избыточную страховку – в этом ещё предстоит разобраться.

«Всё дело может оказаться в некомпетентности инженеров», — заключает Трэвис.

Всё это подняло бы стоимость каждого экземпляра самолёта на миллионы долларов, отметил Трэвис, и уменьшило бы шансы Боинга на выигрыш в соревновании с Airbus 320neo. Либо так, либо давление со стороны конкурентов заставило Боинг, по сути, скрыть существование системы MCAS, чтобы избежать долгого процесса повторной сертификации, который требует тщательной повторной тренировки пилотов на новых дорогих симуляторах.

Спешка Боинга в ответ на вызовы со стороны конкурентов напомнили Трэвису и другим такое проклятие группового мышления, как «лихорадка запуска», которая во время разработки проекта «Аполлон» привела к гибели команды троих космонавтов во время наземных испытаний на стартовом комплексе. Трагедии с 737 MAX вызывают в памяти инженерные решения, приведшие к катастрофе с шатлом «Челленджер» в 1986 году и к пожару на «Аполлон-1» в 1967. В том эпизоде безопасностью команды пренебрегли ради соблюдения графика.

Инженерные решения компании Боинг, в спешке разрабатывавшей 737 MAX, привели к гибели 347 человек.

«Я вполне допускаю сценарий, по которому они больше не будут продавать эти самолёты». Трэвис ожидает, что у Боинга теперь есть два выхода. Но более вероятно, что в ближайшие дни мы услышим объявление о том, что производитель исправляет ПО MCAS так, чтобы оно обрабатывало входные данные с нескольких датчиков угла атаки.

В любом случае, заключает Трэвис, «Теперь между человеком и машиной стоят программы».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть