Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Самолет уронили пилоты. MCAS этому только способствовал.

Уронил самолеты MCAS.
Пилоты ниасилили помешать этому.

L>>о том, что в самолете есть какой-то MCAS, им рассказать "забыли".

ЕМ>Верно, это косяк Боинга. А косяк пилотов — в том, что не интересовались устройством самолета за пределами типового обучения.

И как они должны были узнать о вообще наличии этой системы, если она даже в регламенте техобслуживания описании была просто упомянута без деталей?
Напомню — Боинг продвигал Max как "это тот же самый 737NG, только лучше, переподготовки пилотов не надо".

L>>Это и есть "целенаправленно". Оно было реализовано так, чтобы направлять самолет носом в землю, если показания датчиков того велят. В соответствии со спецификациями.
ЕМ>Ну, тогда опишите, каким образом MCAS отслеживает тангаж, чтобы "целенаправленно" ориентировать нос в сторону земли. Или используйте более адекватные понятия.

Датчик угла атаки выглядит где-то так.


По сути — пластинка, трепыхающаяся в потоке воздуха, подключенная к некоему энкодеру или вообще банальному потенциометру. Это неважно.
Важно то, что ввиду конструкции вероятность отказа такого датчика крайне высока.

Дятлы, которые оригинальный MCAS писали, родили что-то вроде

WHILE (AoA.read() > threshold) DO
    TrimDown(X);
    Sleep(Y);
END;

ЕМ>Тогда попробуйте объяснить, для чего в кабине самолета нужны люди, если оборудование ни при каких условиях не может войти в катастрофический сценарий, для защиты от которого может потребоваться человек.

А вот не надо мешать в кучу аварию, например, разрушение двигателя с разлетом шрапнели куда попало и неправильное, но предвиденное поведение автоматики. Первое полностью исключить невозможно. Второе не просто возможно, а необходимо.

L>>Пилот может быть банально перегружен.
ЕМ>Может. Но он должен быть способен за вменяемое время распознать ситуации, на которые может повлиять.

Не было там никакого вменяемого времени.
Была невменяемая система. Уже выяснили, что отреагировать на поведение MCAS нужно было в течение первых чуть ли не 90 секунд.

L>>Добавим еще одну нештатную ситуацию на взлете. Птицы. Пожар двигателя. Отказ гидравлики. Кстати, любая из этих ситуаций может вывести из строя еще и датчик угла атаки за компанию, тем самым инициировав работу MCAS в режиме камикадзе.
L>>Все, четырех рук банально не хватит, какими бы опытными не были оба пилота.

ЕМ>А на все случаи никогда всего не хватит. В данных случаях сошлись вместе косяк MCAS и недостаточная подготовка пилотов. Тогда MCAS перекладывал стабилизатор, когда в этом не было нужды, а будь он зажат более строгим алгоритмом, в другой раз не переложил бы его, когда нужно, с тем же результатом.

Никто и не говорит о всех возможных случаях.

Основное правило автоматики — она должна снижать загрузку оператора и не подкидывать дополнительных проблем.
Именно следованием этим правилам за 50 лет в гражданской авиации смогли избавиться от тех же бортинженеров в кабине, попутно уменьшив количество ручек, которые можно дернуть невовремя и угробить самолет, при этом повысив безопасность перелетов на порядки.

Оригинальная реализация MCAS нарушает базовые правила автоматики.