Здравствуйте, landerhigh, Вы писали:

L>При анализе (FMEA) состояния, когда система войдет в состояние, которое требует немедленного вмешательства оператора для предотвращения аварии, считаются катастрофическими сценариями отказа. При наличии подобных сценариев система к продакшену не допускается и отправляется на переработку, возможно даже с нуля.

Безусловно, система кривая. Но этот косяк почти везде подают, как "MCAS уронил самолет, пилоты ничего не могли сделать". А они могли, и еще как.

L>Направление самолета носом в землю — хрестоматийный вид катастрофический отказа.

MCAS не "направлял самолет носом в землю" целенаправленно, а неадекватно реагировал на неисправность датчиков. Это хрестоматийный случай "перерегулирования". Если бы в алгоритме были жесткие ограничения, то в другой ситуации он из-за них не выправил бы самолет.

L>Оператор не может рассматриваться в качестве защиты от катастрофичного сценария поведения оборудования.

Это будет верно, когда люди в кабине самолета будут называться "операторами", и их задачей будет лишь наблюдение за показаниями приборов, и нажатие аварийной кнопки в нештатной ситуации. Пока же они называются "пилотами", а их деятельность называется "управление самолетом".