Здравствуйте, Евгений Музыченко, Вы писали:

L>>Уронил самолеты MCAS.
ЕМ>Нет. MCAS только нарушил нормальный полет, и препятствовал его восстановлению силами пилотов, но отнюдь не отобрал у них возможность управления.

MCAS не имел права нарушать нормальный полет. И по достижении определенной скорости ручное противодействие ему могло стать вообще невозможным. Так что мимо.

ЕМ>Пилот являются в кабине главными действующими лицами, они в итоге и уронили.

В момент, когда какая-то система решает, что она тут главная, пилот становится пассажиром.

ЕМ>Верно, но не потому, что у них не было физической возможности (как если бы, например, полностью разрушились приводы рулей). А потому, что были подготовлены на уровне "нам сказали делать так, вот мы и делали, а другого мы делать не умеем".

А как они должны были быть подготовлены к борьбе с системой, о наличии которой им не сказали?

L>>И как они должны были узнать о вообще наличии этой системы, если она даже в регламенте техобслуживания описании была просто упомянута без деталей?
ЕМ>Хотя бы из этого самого упоминания.

Регламент техобслуживания вообще не предназначен для пилотов. Пилоты не обязаны его читать, не факт, что имеют к нему доступ и вообще, ты представляешь себе его объем?

ЕМ>Если считаешь себя ответственным за дело, которое делаешь, и от этого зависят твоя и чужие жизни, то матчасть должен знать досконально. А если делаешь, как получится, то и получается, как получилось.

Вот именно, и в Боинге про это забыли.

L>>Боинг продвигал Max как "это тот же самый 737NG, только лучше, переподготовки пилотов не надо".
ЕМ>Обязательной — не надо. Но для ответственного пилота это не повод игнорировать отличия и нововведения.

Так и как они должны были узнать о том, что есть MCAS и как он может поломаться, если даже симулятора MAX Боинг не соизволил построить "до"?

ЕМ>>>Ну, тогда опишите, каким образом MCAS отслеживает тангаж, чтобы "целенаправленно" ориентировать нос в сторону земли.
L>>Датчик угла атаки выглядит где-то так.
ЕМ>Я спрашивал о том, как выглядит датчик направления в землю, или как это направление вычисляется из сигналов других датчиков.

MCAS принимала решение об активации на основе показаний одного лишь датчика угла атаки.

L>>Дятлы, которые оригинальный MCAS писали, родили что-то вроде

ЕМ>Как, по-Вашему, это должно выглядеть правильно?

Как простейший конечный автомат. Сейчас некогда, попозже нарисую диаграмму.
Ключевой момент — MCAS должен был реагировать исключительно на событие перехода через критический угол. Если в момент включения MCAS угол уже превышен, он должен отключиться и зажечь лампочку "MCAS fault".


L>>Не было там никакого вменяемого времени.
L>>Была невменяемая система. Уже выяснили, что отреагировать на поведение MCAS нужно было в течение первых чуть ли не 90 секунд.

ЕМ>В такой ситуации 90 секунд — это просто-таки до фигища, особенно для пилота, который понимает, что происходит. А чтобы не понять, нужно быть не пилотом, а тем самым оператором, который умеет нажимать кнопки, но лишь отдаленно представляет себе, как управляется самолет.

Каждый мнит себя стратегом.
Но имеем — минус два самолета.
Так что не дофигища ни разу.
Отказ датчика ведь еще привел к куче ложных сообщений об аварии, на которые пилот тоже обязан среагировать.
Есть даже понятие такое "alarm avalanche".

ЕМ>Привод стабилизатора в 737 — два здоровенных колеса между креслами пилотов, их вращение и видно, и слышно гораздо лучше, чем какая-нибудь мигающая лампочка на панели. На колесах есть ручки аварийного ручного привода, пилотов обучают им пользоваться при отказе электропривода. У любого вменяемого пилота должна автоматически возникать мысль: "если возможна ситуация, когда мне придется крутить эту хрень рукой, то возможно и обратное, когда она будет крутиться сама, а мне нужно будет ее остановить". Если такая мысль возникала, и на ее обдумывание было потрачено хотя бы несколько минут, то 90 секунд с большим избытком достаточно для того, чтобы понять ситуацию и воздействовать на нее. А если она не возникала ни у одного из пилотов, то они и будут тянуть штурвалы до пупа под треск привода перекладки, пока не убьются.

Посмотри видео Дениса Оканя.
Во время взлета это колесо автоматикой крутится туда-сюда постоянно. Пилот просто не обращает на него внимания.

L>>Никто и не говорит о всех возможных случаях.

ЕМ>Тогда как заведомо повысить безопасность в случаях, подобных этим двум катастрофам, и при этом не понизить ее в других случаях?
L>>Оригинальная реализация MCAS нарушает базовые правила автоматики.
ЕМ>Сомневаюсь, что вообще возможна надежная (на уровне подготовки гражданских пилотов) реализации MCAS для аэродинамически нестабильной конструкции самолета.

Вооот. Что означает, что такой системы быть не должно было в первую очередь и нужно было не мучать дедушку, а строить новый самолет.
Что интересно, вышло бы дешевле.

Здравствуйте, Евгений Музыченко, Вы писали:

L>>Уронил самолеты MCAS.
ЕМ>Нет. MCAS только нарушил нормальный полет, и препятствовал его восстановлению силами пилотов, но отнюдь не отобрал у них возможность управления.

MCAS не имел права нарушать нормальный полет. И по достижении определенной скорости ручное противодействие ему могло стать вообще невозможным. Так что мимо.

ЕМ>Пилот являются в кабине главными действующими лицами, они в итоге и уронили.

В момент, когда какая-то система, которая в документации не описана и отключить которую невозможно, решает, что она тут главная, пилот становится пассажиром.

ЕМ>Верно, но не потому, что у них не было физической возможности (как если бы, например, полностью разрушились приводы рулей). А потому, что были подготовлены на уровне "нам сказали делать так, вот мы и делали, а другого мы делать не умеем".

А как они должны были быть подготовлены к борьбе с системой, о наличии которой им не сказали?

L>>И как они должны были узнать о вообще наличии этой системы, если она даже в регламенте техобслуживания описании была просто упомянута без деталей?
ЕМ>Хотя бы из этого самого упоминания.

Регламент техобслуживания вообще не предназначен для пилотов. Пилоты не обязаны его читать, не факт, что имеют к нему доступ и вообще, ты представляешь себе его объем?

ЕМ>Если считаешь себя ответственным за дело, которое делаешь, и от этого зависят твоя и чужие жизни, то матчасть должен знать досконально. А если делаешь, как получится, то и получается, как получилось.

Вот именно, и в Боинге про это забыли.

L>>Боинг продвигал Max как "это тот же самый 737NG, только лучше, переподготовки пилотов не надо".
ЕМ>Обязательной — не надо. Но для ответственного пилота это не повод игнорировать отличия и нововведения.

Так и как они должны были узнать о том, что есть MCAS и как он может поломаться, если даже симулятора MAX Боинг не соизволил построить "до"?

ЕМ>>>Ну, тогда опишите, каким образом MCAS отслеживает тангаж, чтобы "целенаправленно" ориентировать нос в сторону земли.
L>>Датчик угла атаки выглядит где-то так.
ЕМ>Я спрашивал о том, как выглядит датчик направления в землю, или как это направление вычисляется из сигналов других датчиков.

MCAS принимала решение об активации на основе показаний одного лишь датчика угла атаки.

L>>Дятлы, которые оригинальный MCAS писали, родили что-то вроде

ЕМ>Как, по-Вашему, это должно выглядеть правильно?

Как простейший конечный автомат. Сейчас некогда, попозже нарисую диаграмму.
Ключевой момент — MCAS должен был реагировать исключительно на событие перехода через критический угол. Если в момент включения MCAS угол уже превышен, он должен отключиться и зажечь лампочку "MCAS fault".


L>>Не было там никакого вменяемого времени.
L>>Была невменяемая система. Уже выяснили, что отреагировать на поведение MCAS нужно было в течение первых чуть ли не 90 секунд.

ЕМ>В такой ситуации 90 секунд — это просто-таки до фигища, особенно для пилота, который понимает, что происходит. А чтобы не понять, нужно быть не пилотом, а тем самым оператором, который умеет нажимать кнопки, но лишь отдаленно представляет себе, как управляется самолет.

Каждый мнит себя стратегом.
Но имеем — минус два самолета.
Так что не дофигища ни разу.
Отказ датчика ведь еще привел к куче ложных сообщений об аварии, на которые пилот тоже обязан среагировать.
Есть даже понятие такое "alarm avalanche".

ЕМ>Привод стабилизатора в 737 — два здоровенных колеса между креслами пилотов, их вращение и видно, и слышно гораздо лучше, чем какая-нибудь мигающая лампочка на панели. На колесах есть ручки аварийного ручного привода, пилотов обучают им пользоваться при отказе электропривода. У любого вменяемого пилота должна автоматически возникать мысль: "если возможна ситуация, когда мне придется крутить эту хрень рукой, то возможно и обратное, когда она будет крутиться сама, а мне нужно будет ее остановить". Если такая мысль возникала, и на ее обдумывание было потрачено хотя бы несколько минут, то 90 секунд с большим избытком достаточно для того, чтобы понять ситуацию и воздействовать на нее. А если она не возникала ни у одного из пилотов, то они и будут тянуть штурвалы до пупа под треск привода перекладки, пока не убьются.

Посмотри видео Дениса Оканя.
Во время взлета это колесо автоматикой крутится туда-сюда постоянно. Пилот просто не обращает на него внимания.

L>>Никто и не говорит о всех возможных случаях.

ЕМ>Тогда как заведомо повысить безопасность в случаях, подобных этим двум катастрофам, и при этом не понизить ее в других случаях?
L>>Оригинальная реализация MCAS нарушает базовые правила автоматики.
ЕМ>Сомневаюсь, что вообще возможна надежная (на уровне подготовки гражданских пилотов) реализации MCAS для аэродинамически нестабильной конструкции самолета.

Вооот. Что означает, что такой системы быть не должно было в первую очередь и нужно было не мучать дедушку, а строить новый самолет.
Что интересно, вышло бы дешевле.