Здравствуйте, landerhigh, Вы писали:

L>Уронил самолеты MCAS.

Нет. MCAS только нарушил нормальный полет, и препятствовал его восстановлению силами пилотов, но отнюдь не отобрал у них возможность управления. Пилот являются в кабине главными действующими лицами, они в итоге и уронили.

L>Пилоты ниасилили помешать этому.

Верно, но не потому, что у них не было физической возможности (как если бы, например, полностью разрушились приводы рулей). А потому, что были подготовлены на уровне "нам сказали делать так, вот мы и делали, а другого мы делать не умеем".

L>И как они должны были узнать о вообще наличии этой системы, если она даже в регламенте техобслуживания описании была просто упомянута без деталей?

Хотя бы из этого самого упоминания. Если считаешь себя ответственным за дело, которое делаешь, и от этого зависят твоя и чужие жизни, то матчасть должен знать досконально. А если делаешь, как получится, то и получается, как получилось.

L>Боинг продвигал Max как "это тот же самый 737NG, только лучше, переподготовки пилотов не надо".

Обязательной — не надо. Но для ответственного пилота это не повод игнорировать отличия и нововведения.

ЕМ>>Ну, тогда опишите, каким образом MCAS отслеживает тангаж, чтобы "целенаправленно" ориентировать нос в сторону земли.

L>Датчик угла атаки выглядит где-то так.

Я спрашивал о том, как выглядит датчик направления в землю, или как это направление вычисляется из сигналов других датчиков.

L>Дятлы, которые оригинальный MCAS писали, родили что-то вроде
L>

L>WHILE (AoA.read() > threshold) DO
L>    TrimDown(X);
L>    Sleep(Y);
L>END;
L>

Как, по-Вашему, это должно выглядеть правильно?

L>А вот не надо мешать в кучу аварию, например, разрушение двигателя с разлетом шрапнели куда попало и неправильное, но предвиденное поведение автоматики. Первое полностью исключить невозможно. Второе не просто возможно, а необходимо.

Опишите правильное, на Ваш взгляд, поведение автоматики, и я опишу ситуацию, в которой оно снова окажется неправильным.

L>Не было там никакого вменяемого времени.
L>Была невменяемая система. Уже выяснили, что отреагировать на поведение MCAS нужно было в течение первых чуть ли не 90 секунд.

В такой ситуации 90 секунд — это просто-таки до фигища, особенно для пилота, который понимает, что происходит. А чтобы не понять, нужно быть не пилотом, а тем самым оператором, который умеет нажимать кнопки, но лишь отдаленно представляет себе, как управляется самолет.

Привод стабилизатора в 737 — два здоровенных колеса между креслами пилотов, их вращение и видно, и слышно гораздо лучше, чем какая-нибудь мигающая лампочка на панели. На колесах есть ручки аварийного ручного привода, пилотов обучают им пользоваться при отказе электропривода. У любого вменяемого пилота должна автоматически возникать мысль: "если возможна ситуация, когда мне придется крутить эту хрень рукой, то возможно и обратное, когда она будет крутиться сама, а мне нужно будет ее остановить". Если такая мысль возникала, и на ее обдумывание было потрачено хотя бы несколько минут, то 90 секунд с большим избытком достаточно для того, чтобы понять ситуацию и воздействовать на нее. А если она не возникала ни у одного из пилотов, то они и будут тянуть штурвалы до пупа под треск привода перекладки, пока не убьются.

L>Никто и не говорит о всех возможных случаях.

Тогда как заведомо повысить безопасность в случаях, подобных этим двум катастрофам, и при этом не понизить ее в других случаях?

L>Оригинальная реализация MCAS нарушает базовые правила автоматики.

Сомневаюсь, что вообще возможна надежная (на уровне подготовки гражданских пилотов) реализации MCAS для аэродинамически нестабильной конструкции самолета.