Только что стало известно, что самолет Boeing 737 MAX 8 авиакомпании Southwest Airlines совершил экстренную посадку в аэропорту Орландо во Флориде.
Никто не пострадал, но … до этого в короткий промежуток времени случилось две катастрофы с этим типом самолета, унесшим несколько сотен жизней. Есть подозрение, что в этом самолете не доработана система управления. В большинстве стран мира, в том числе в России, Китае, государствах Евросоюза полеты Boeing 737 MAX 8 сейчас запрещены.
Есть такая информация, что в 2015 году Boeing спешил догнать Airbus и сертифицировать свой новый 737 MAX. При этом руководители Федерального управления гражданской авиации (FAA) подтолкнули инженеров по безопасности полетов передать полномочия по оценке безопасности самому Boeing и быстро утвердить итоговый анализ.
Но первоначальный анализ безопасности, который Boeing предоставил FAA для новой системы управления полетом на MAX — отчет, используемый для сертификации самолета как безопасного для полета — имел несколько существенных недостатков.
Эта новая система управления полетом, получившая название MCAS (Система усиления характеристик маневрирования), в настоящее время находится под пристальным изучением после двух аварий самолета менее чем за пять месяцев, приведших к принятию в среду 13 марта приказа FAA о запрете модели этой самолета к эксплуатации.
Нынешние и бывшие инженеры, непосредственно связанные с оценками или знакомые с документом, поделились подробностями предоставленного Boeing-ом «Анализа безопасности системы MCAS», что подтвердила газета The Seattle Times.
Восстановительные работы продолжаются вокруг кратера, где самолет Эфиопских авиалиний разбился вскоре после взлета на прошлой неделе недалеко от Бишофту, к юго-востоку от Аддис-Абебы. Анализ полетных данных дает ключ к разгадке причины катастрофы.
Оглавление:
Результаты анализа безопасности:
1) Недооценена степень влияния новой системы управления полетом, которая была разработана для поворота горизонтального руля хвоста, чтобы понизить нос самолета и предотвратить срыв. Когда самолеты уже были введены в эксплуатацию, MCAS была способена менять угол атаки на более чем в четыре раза больший угол, чем было указано в первоначальном документе по анализу безопасности.
2) Не удалось объяснить, как система могла самоперезапускаться каждый раз, когда пилот её отключал, и поэтому пилот не замечал потенциальное воздействие системы, многократно толкающей нос самолета вниз.
3) Отказ системы MCAS оценивали на один уровень ниже «катастрофического». Но даже этот «опасный» уровень отказа должен был исключить использование системы, работающей на основе данных от одного датчика — и все же именно так она была спроектирована.
Люди, которые говорили с The Seattle Times и делились подробностями анализа безопасности, все говорили на условиях анонимности, чтобы не потерять свою работу в FAA и других авиационных организациях.
И Boeing, и FAA были проинформированы об особенностях этой истории, и их попросили дать ответы 11 дней назад, до второго крушения 737 MAX, в прошлое воскресенье 10 марта.
В конце пятницы 15 марта FAA заявило, что оно следовало стандартному процессу сертификации 737 MAX. Ссылаясь на напряженную неделю, пресс-секретарь заявил, что агентство «не может вникать в какие-либо подробные расследования».
Boeing ответил в субботу 16 марта заявлением, что «FAA рассмотрел окончательную конфигурацию и рабочие параметры MCAS во время сертификации MAX, и пришел к выводу, что она отвечает всем требованиям сертификации и нормативным требованиям».
Добавив, что «не может комментировать… из-за продолжающегося расследования» аварий, Boeing прямо не ответил на подробное описание недостатков сертификации MCAS, за исключением того, что «есть некоторые существенные искажения».
Несколько технических экспертов в FAA заявили, что октябрьская катастрофа Lion Air, где следователи в Индонезии установили явную причастность MCAS к катастрофе, является лишь очередным показателем того, что делегирование своих полномочий Boeing-у от агентства по сертификации самолетов зашло слишком далеко, и что сотрудникам Boeing неуместно иметь такой большой авторитет и полномочия в анализе безопасности самолетов Boeing.
«Нам нужно убедиться, что FAA гораздо больше сама занимается оценкой отказов и предположениями об их причинах», — сказал один инженер по безопасности FAA.
Сертификация новой системы управления полетом
Вопреки давней традиции Boeing по предоставлению пилоту полного контроля над самолетом, новая система автоматического управления полетом MCAS в MAX была разработана для работы в фоновом режиме, без участия пилота.
Это было необходимо, потому что гораздо большие двигатели MAX должны были быть размещены на крыле поближе к носу самолёта [Источник], изменяя аэродинамический подъем планера.
Предназначенная для автоматической активации только в экстремальных условиях высокоскоростного сваливания, MCAS даёт дополнительный крен вниз носа самолёта, что знакомо пилотам по более старшей модели 737s.
На картинке описание работы системы (понятно практически без перевода):
Инженеры Boeing, уполномоченные работать от имени FAA, разработали «Системный анализ безопасности» для MCAS, документ, который, в свою очередь, был передан иностранным регуляторам безопасности полетов в Европе, Канаде и других странах мира.
Документ, «разработанный для обеспечения безопасной работы 737 MAX», заключает, что система соответствует всем применимым нормам FAA.
Тем не менее данные черного ящика, полученные после аварии Lion Air, указывают на то, что один неисправный датчик (лопасть на внешней стороне фюзеляжа, которая измеряет «угол атаки» самолета, угол между воздушным потоком и крылом) многократно запускал MCAS в течение смертельного полета, инициируя как бы перетягивание каната, когда система неоднократно толкала нос самолета вниз, а пилоты боролись с органами управления, чтобы подтянуть его назад вверх, и так до окончательного крушения.
В среду, объявляя о катастрофе 737 MAX, FAA отметила сходство траектории полета рейса Lion Air и крушения рейса эфиопских авиалиний номер 302 в минувшее воскресенье.
Следователи также обнаружили винтовой вал самолета Эфиопии, который перемещает горизонтальный руль хвоста самолета, и указали, что горизонтальный руль хвоста реактивного самолета находился в необычном для него положении, упомянув MCAS в качестве одной из возможных причин этого.
Следователи работают, чтобы определить, может ли MCAS быть причиной обоих катастроф.
Делегировано Boeing-у
FAA, ссылаясь на отсутствие финансирования и ресурсов, на протяжении многих лет делегировало все более широкие полномочия Boeing для выполнения большей части работы по сертификации безопасности своих самолетов.
На ранних этапах сертификации 737 MAX команда инженеров по безопасности полетов FAA разделила категории технических оценок на те, которые будут переданы Boeing, и те, которые они считали более важными и будут сохранены в FAA.
«Не было полной и правильной проверки документов», — добавил бывший инженер. «Составителей отчёта подгоняли, чтобы успеть к определенным датам сертификации».
Несколько технических экспертов FAA сказали в интервью, что по мере прохождения сертификации менеджеры подталкивали их к ускорению процесса. Разработка MAX отставала на девять месяцев от конкурента Airbus A320neo. Время было критически важным для Boeing-а.
Бывший инженер по безопасности FAA, который непосредственно участвовал в сертификации MAX, сказал, что в середине процесса сертификации «мы попросили руководство пересмотреть то, что будет делегировано. Менеджмент думал, что мы сохранили слишком много в FAA.»
«Было постоянное давление, чтобы пересмотреть наши первоначальные решения», — сказал бывший инженер. «И даже после того, как мы пересмотрели это… руководство продолжало обсуждать вопрос о передаче еще большего количества оценок в компанию Boeing».
Даже работа, которая была оставлена в FAA, такая как рассмотрение технической документации, предоставленной Boeing-ом, иногда сокращалась. «Документы не были полностью и правильно рассмотрены», — добавил бывший инженер. «Отчёт был срочно отправлен, чтобы успеть к определенным датам сертификации».
Когда у технического персонала FAA было слишком мало времени для завершения проверки, иногда менеджеры либо сами подписывали документы, либо передавали их проверку Boeing. «Менеджеры FAA, а не технические эксперты агентства, имеют окончательные полномочия по делегированию», — сказал инженер.
Неточный предел
В такой вот атмосфере, “Анализ безопасности системы” MCAS, всего лишь один из множества документов, необходимых для сертификации, был передан Boeing-ом.
Первоначальный документ Boeing-а, предоставленный FAA, включал описание, определяющее предел того, на сколько система может перемещать горизонтальный руль хвоста, а именно предел в 0,6 градуса от физического максимума, составляющего чуть менее 5 градусов для движения носа вниз.
Этот предел был позднее увеличен после того, как летные испытания показали, что для предотвращения высокоскоростного сваливания требуется более мощное движение хвоста, когда самолет рискует потерять подъемную силу и скатиться вниз.
Поведение самолета в свале с высоким углом атаки заранее сложно смоделировать, основываясь только на теории, и поэтому, когда летчики-испытатели работают с процедурами восстановления из сваливания во время летных испытаний на новом самолете, нередко настраивают управляющее программное обеспечение для улучшения характеристик самолета.
Только после крушения Lion Air Flight 610 Boeing впервые предоставил таки авиакомпаниям подробную информацию о MCAS. В бюллетене Boeing-а для авиакомпаний говорится, что предел регулировки угла за одну команду в MCAS составляет 2,5 градуса.
Это число было новостью для инженеров FAA, которые видели 0,6 градуса в документе оценки безопасности.
«FAA полагало, что самолет был спроектирован с пределом 0,6, и так думали иностранные регулирующие органы», — сказал инженер FAA. «Это влияет на вашу оценку опасности».
Более высокий предел означал, что каждый раз, когда MCAS была задействована, она вызывала намного большее движение хвоста, чем было указано в том оригинальном документе анализа безопасности.
Бывший инженер по безопасности полетов FAA, который работал над сертификацией MAX, и бывший инженер по управлению полетом Boeing, который работал над MAX в качестве уполномоченного представителя FAA, оба сказали, что такие анализы безопасности необходимо обновить, чтобы отразить наиболее точную информацию после летных испытаний.
«Значения параметров должны строго соответствовать любому проекту, который был проверен и поставлен на эксплуатацию», — сказал бывший инженер FAA.
Но оба сказали, что иногда договаривались об обновлении документов только позднее.
«Вполне возможно, что последние актуальны цифры не будут там, если они проверены, и они пришли к выводу, что различия не изменят выводы или серьезность оценки опасности», — сказал бывший инженер по управлению полетом Boeing.
Если окончательный документ по анализу безопасности был обновлен по частям, он, безусловно, все еще содержал ограничение в 0,6 в некоторых местах, и это обновление не было широко распространено в группе технической оценки FAA.
«Никто из инженеров не знал о более высоком пределе, — сказал второй действующий инженер FAA.
Несоответствие этого числа умножается на другой элемент в анализе безопасности системы: системе MCAS разрешено перемещение хвоста на такой предел каждый раз при её запуске. А она может быть стартована несколько раз, как это было на рейсе Lion Air.
Один из нынешних инженеров по безопасности полетов FAA сказал, что каждый раз, когда пилоты на рейсе Lion Air сбрасывали переключатели на своих панелях управления, чтобы поднять нос, MCAS снова включалась и «выполняла новые приращения угла атаки на 2,5 градуса».
«Когда они несколько раз сбросили переключатели, они уткнулись в предел, то есть руль повернулся в крайнее положение», — сказал он.
Питер Лемм, бывший инженер по управлению полетами Boeing, который сейчас является консультантом по авионике и спутниковой связи, сказал, что поскольку MCAS сбрасывается при каждом задействовании, «она фактически может неограниченно увеличивать угол атаки».
Поворот горизонтального руля хвоста, который называется стабилизатором, до конечной остановки дает носу самолета максимально возможный крен вниз.
«Система имела полное право переместить стабилизатор на полную сумму приращений угла», — сказал Лемм. «В этом не было необходимости. Никто не должен был соглашаться предоставить системе такие неограниченные полномочия».
Во время полета Lion Air, когда MCAS начала снижать нос самолета, капитан поднял его назад, используя переключатели у большого пальца на панели управления. Все еще работая при ложных показаниях угла атаки, MCAS каждый раз включалась снова, поворачивая горизонтальный руль хвоста и снова опуская нос.
Данные черного ящика, опубликованные в предварительном отчете о расследовании, показывают, что после того, как этот цикл повторился 21 раз, капитан самолета передал управление первому офицеру. Когда MCAS понизила нос ещё два или три раза, первый офицер ответил только двумя короткими щелчками переключателя большого пальца.
При предельном значении 2,5 градуса, двух циклов MCAS без коррекции пилотом было бы достаточно для достижения максимального эффекта опускания носа.
В последние секунды данные черного ящика показывают, что капитан возобновил контроль и поднял нос с большой силой. Но было слишком поздно. Самолет нырнул в море на скорости более 500 миль в час.
Сбой системы, функционирующей на одном датчике
«Анализ безопасности системы» Boeing в разделе MCAS говорит, что при нормальном полете активация MCAS до максимального предполагаемого уровня в 0,6 градуса классифицируется как «серьезный сбой», что означает, что это может вызвать физические травмы людей в самолете, но не смерть.
В случае экстремального маневра, в частности, когда самолет находится в наклонной нисходящей спирали, активация MCAS была классифицирована как «опасный отказ», что означает, что это может привести к серьезным или смертельным травмам для небольшого числа пассажиров. Но всё же это пока на один уровень ниже «катастрофического отказа», который представляет собой потерю самолета с множественными смертельными исходами.
Бывший инженер управления полетом Boeing, который работал над сертификацией MAX со стороны FAA, сказал, что вопрос о том, может ли система на самолете полагаться на один датчик или на два, определяется классификацией отказов в «Aнализе безопасности системы».
Он сказал, что практически все оборудование любого коммерческого самолета, включая различные датчики, достаточно надежно, чтобы соответствовать требованию «серьёзного сбоя», то есть вероятность отказа должна быть менее 1 на 100 000. Поэтому таким системам обычно разрешается использовать один входной датчик.
Но когда последствия отказа узла оцениваются как более серьезные, то есть соответствуют требованием «опасного отказа», требующего более строгой вероятности 1 на 10 миллионов, тогда система обычно должна иметь как минимум два отдельных входных канала на случай, если один из них выйдет из строя.
«Анализ безопасности системы», сделанный компанией Boeing и оценивающий отказ MCAS как «опасный отказ», напрягает бывшего инженера по управлению полетом Лемма, потому что MCAS работает при считывании данных лишь с одного датчика угла атаки.
«Система, где «опасный отказ» допускается при использовании одного датчика? Я не думаю, что это вообще допустимо», — сказал Лемм.
Как и все 737-е, у MAX на самом деле есть два датчика, по одному на каждой стороне фюзеляжа возле кабины. Но MCAS была спроектирована для чтения только у одного из них.
Лемм сказал, что «Boeing» мог спроектировать систему для сравнения показаний двух датчиков-лопаток, которая сразу бы забила тревогу, если бы один датчик сломался.
В качестве альтернативы, система могла бы быть разработана так, чтобы проверять точность определения угла атаки во время рулежки самолета на земле перед взлетом, когда угол атаки должен быть равен нулю.
«Они могли бы спроектировать двухканальную систему. Или они могли бы проверить значение угла атаки на земле», — сказал Лемм. «Я не знаю, почему они этого не сделали».
Данные черного ящика, представленные в предварительном отчете о расследовании, показывают, что показания двух датчиков различались примерно на 20 градусов не только на протяжении полета, но и во время выруливания самолета на земле до взлета.
На фото виден датчик угла атаки.
Не было обучения, не было информирования
После катастрофы Lion Air пилоты 737 MAX по всему миру были уведомлены о существовании MCAS и о том, что делать, если система запускается ненадлежащим образом.
Boeing настаивает на том, чтобы пилоты во время полета Lion Air должны были заметить, что горизонтальный стабилизатор двигался без их команды, и должны были ответить стандартной процедурой из контрольного списка пилота, чтобы справиться с так называемым «разгоном стабилизатора». Если бы они это сделали, пилоты нажали бы на выключатели и отключили автоматическое движение стабилизатора.
Boeing указал, что пилоты, летевшие на другом самолете за день до катастрофы, испытали поведение, подобное поведению рейса 610, и сделали именно это: они нажали выключатели стабилизатора, восстановили управление и так продолжили оставшиеся время полета.
Тем не менее, пилоты и авиационные эксперты говорят, что то, что произошло на рейсе Lion Air, не похоже на обычный разгон стабилизатора, потому что это определяется как непрерывное неуправляемое движение стабилизатора. В аварийном же полете движение хвоста не было непрерывным; пилоты могли несколько раз противостоять движению носа вниз.
Кроме того, MCAS изменил реакцию штурвала на движение стабилизатора. Вытягивание штурвала назад обычно прерывает движение стабилизатора, снижающего нос, но во время работы MCAS эта функция штурвала отключается. Эти различия в поведении штурвала, безусловно, могли смутить пилотов Lion Air относительно того, что происходит.
Поскольку MCAS должен был активироваться только в экстремальных обстоятельствах, выходящих далеко за пределы обычного полета, Boeing решил, что пилоты 737 не нуждаются в дополнительных тренировках с системой MCAS, им даже не нужно знать об этом. Это не было упомянуто в их руководствах полетов.
Эта позиция компании Boeing позволила новому самолету получить общий «рейтинг типа» с существующими 737 моделями, что позволило авиакомпаниям минимизировать подготовку пилотов, переходящих на MAX. Деннис Таджер, представитель Объединённой ассоциации пилотов в American Airlines, сказал, что его тренинг по переходу от старой кабины модели 737 NG к новой 737 MAX состоял из чуть более одного часа занятий на iPad без тренировки на тренажере.
Сведение к минимуму подготовки пилотов по переходу на MAX стало важной экономией для клиентов авиакомпании Boeing, ключевым моментом продажи самолета, который собрал более 5000 заказов.
Веб-сайт компании предлагал самолет авиакомпаниям с обещанием, что «когда вы создадите свой парк 737 MAX, вы сэкономите миллионы долларов благодаря своей унификации с 737-м NG».
После катастрофы официальные лица профсоюзов пилотов American и Southwest Airlines раскритиковали Boeing за то, что в руководствах пилотов 737 MAX не предоставили никакой информации о MCAS или ее возможной неисправности.
Инженер по безопасности FAA сказал, что отсутствие предварительной информации могло иметь решающее значение в аварии Lion Air.
Поскольку MCAS должна была активироваться только в экстремальных обстоятельствах, выходящих далеко за пределы нормального полетного диапазона, Boeing решил, что 737 пилоты не нуждаются в дополнительных тренировках в системе.
«Анализ безопасности системы» от Boeing-а предполагал, что «пилоты поймут, что поведение самолёта выходит из-под контроля и нажмут выключатели», сказал инженер. «Предположения эти оказались неправильными. Человеческий фактор не был должным образом учтён».
В понедельник, еще до катастрофы 737 MAX в Эфиопии, Boeing обрисовал «усовершенствование программного обеспечения управления полетом для 737 MAX», которое разрабатывалось вскоре после аварии Lion Air. Согласно подробному брифингу FAA для законодателей, Boeing изменит программное обеспечение MCAS, чтобы система получала данные с обоих датчиков угла атаки. Также будет ограничен предел того, насколько MCAS может сдвинуть горизонтальный руль хвоста в ответ на сигнал опасного положения лайнера. А если система активировалась, то она отработает только один цикл коррекции, а не несколько раз.
Boeing также планирует обновить требования к обучению пилотов и руководства для летного экипажа, включив туда информацию о MCAS.
Эти предлагаемые изменения отражают критику, высказанную инженерами по безопасности в этой истории. Они разговаривали с The Seattle Times до крушения в Эфиопии.
FAA заявило в директиве о летной годности, что обязует исправить программное обеспечение Boeing не позднее апреля.
Столкнувшись с судебными исками, возбужденными семьями погибших, Boeing должен будет объяснить, почему эти исправления не были частью первоначального проекта системы. А FAA придется защищать свою систему сертификацию, доказывая её безопасность.
Автор: Доминик Гейтс (репортёр по аэронавтике Сиэтл Таймс)
Источник1
Источник2