Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Безусловно, система кривая.
ЕМ>Но этот косяк почти везде подают, как "MCAS уронил самолет, пилоты ничего не могли сделать". А они могли, и еще как.

Совершенно верно. MCAS уронил самолет.


Пилоты не смогли понять, что происходит. На минутку — о том, что в самолете есть какой-то MCAS, им рассказать "забыли".

L>>Направление самолета носом в землю — хрестоматийный вид катастрофический отказа.
ЕМ>MCAS не "направлял самолет носом в землю" целенаправленно, а неадекватно реагировал на неисправность датчиков. Это хрестоматийный случай "перерегулирования".

Это и есть "целенаправленно". Оно было реализовано так, чтобы направлять самолет носом в землю, если показания датчиков того велят. В соответствии со спецификациями.

ЕМ>Если бы в алгоритме были жесткие ограничения, то в другой ситуации он из-за них не выправил бы самолет.

В этом и состоит предназначение FMEA, чтобы выяснить, какие ограничения должен алгоритм иметь.

L>>Оператор не может рассматриваться в качестве защиты от катастрофичного сценария поведения оборудования.

ЕМ>Это будет верно, когда люди в кабине самолета будут называться "операторами", и их задачей будет лишь наблюдение за показаниями приборов, и нажатие аварийной кнопки в нештатной ситуации. Пока же они называются "пилотами", а их деятельность называется "управление самолетом".

Это верно всегда. Без исключений.

Пилот может быть банально перегружен.
Добавим еще одну нештатную ситуацию на взлете. Птицы. Пожар двигателя. Отказ гидравлики. Кстати, любая из этих ситуаций может вывести из строя еще и датчик угла атаки за компанию, тем самым инициировав работу MCAS в режиме камикадзе.
Все, четырех рук банально не хватит, какими бы опытными не были оба пилота.