Здравствуйте, landerhigh, Вы писали:

L>Реализация MCAS должна была предусматривать поведение в режиме его отказа.

Должна. Но то, что она этого не предусматривала, не снимает ответственности с пилотов.

L>Не было возможности отключить эту систему.

Выборочно и насовсем отключить только MCAS — не было. А способы временного отключения или физического противодействия — были.

L>Ее вообще с точки зрения пилота не существовало.

И что с того? Подробностей прокладки кабелей, устройства переключателей и других подобных мелочей для пилота тоже не существует. Однако, если замкнут или разойдутся провода в кабеле, не сработает или залипнет переключатель, система управления также может начать работать неадекватно. И пилот по поведению самолета должен понять, в каком из каналов управления произошел сбой, и предпринять доступные ему действия по исправлению ситуации.

L>Можно было отключить электрический привод стабилизатора, тем самым нейтрализовав ее, но перед этим нужно было вручную предпринять определенные действия по выводу стабилизатора в более-менее нормальное положение.

А можно было управлять стабилизатором штатной кнопкой триммирования, которая имеет приоритет над MCAS, и быстро вернуть стабилизатор в нормальное положение, после чего отключить привод. У пилота, который понимает, как все это устроено и работает, такое решение возникает автоматически. А пилот, который только зазубрил последовательности действий для типовых ситуаций, может вообще никогда не догадаться об этом.

L>У меня нет никаких представлений о пилотировании.

Тогда Вам не следует рассуждать о действиях и компетенции пилотов, ограничившись сугубо обсуждением матчасти.

L>Я инженер. Система, которую я проектирую, обязана обеспечивать безопасность операторов, пользователей и окружающих ее людей. В том числе в аварийных режимах.

Ваша система способна делать это в любых условиях? Если да, то для чего ей нужен еще и оператор? И Вы согласны в полной мере лично ответить за любые последствия, которые повлечет сбой системы, даже при условии явного непрофессионализма оператора?

ЕМ>>Пассажиром пилот становится лишь тогда, когда теряет физическую возможность управлять (например, при отказе ЭДСУ и отсутствии механической проводки). Ну, или когда он исчерпал свой уровень понимания матчасти.

L>Так они в итоге и потеряли эту физическую возможность.

Да, но по второй причине (из вышепроцитированного), а не по первой.

L>Если бы этих аварий не было, рано или поздно MAX спикировал бы в школу в пригороде Амстердама.

Хороший пилот этого бы не допустил. Или допустил лишь в крайнем случае, когда глюк MCAS добавился бы к и без того сложной обстановке (дождь, туман, сложная схема маневрирования, плохая связь с диспетчером, отказы других приборов и т.п.).

L>Моя задача — минимизировать вероятность некорректной перекладки стабилизатора.

Как Вы сможете сделать это без понижения вероятности его корректной перекладки во всех остальных ситуациях, когда это необходимо?

ЕМ>>Так же, как и водитель автомобиля не обязан понимать его устройство. Но хороший водитель таки понимает.

L>Ну бред же пишешь.

С точки зрения "чистого инженера" это, возможно, и бред. А с точки зрения любого опытного водителя, пилота, капитана судна — обыденность.

L>В боинге очень хотели бонус.
L>На пилотов, пассажиров и людей внизу эффективные менеджеры срать хотели.

А пилоты очень хотели тратить время только на обязательные занятия и процедуры, в надежде, что обо всем остальном подумают другие (в том числе и менеджеры Боинга).

L>Автоматика крутит его туда-сюда с пердиодичностью раз в несколько секунд. MCAS активируется абсолютно точно так же. Чтобы понять, что аткивация несанкционировна, кто-то должен некоторое довольно продолжительное время пристально наблюдать исключительно за поведением этого привода.

Автоматика крутит стабилизатор не "туда-сюда", а в соответствии с установленными режимами, положением закрылков, скоростью и т.п. Пилот, знающий свой самолет, постоянно отслеживает адекватность работы всех этих систем. Для пилота-оператора это просто назойливый шум, на который он может не обращать внимания, но это не делает ему чести.

L>В полете, предшествовавшем первой катастрофе Lion Air, в кабине был третий пилот, которому больше нечего было делать, и который этот полтергейст заметил.

А должны были заметить и оба основных.

ЕМ>>Еще раз: я спросил о том, каким образом MCAS определяла, где находится земля, чтобы именно в нее (как Вы настойчиво утверждали) направить самолет.

L>Демагогия.

Используйте адекватные формулировки — не получите демагогии в ответ.

ЕМ>>То есть, если вблизи момента перехода через критический угол произошел сбой (глюкнул датчик, где-то пропал контакт, прошла помеха и т.п.), то нехай самолет и дальше уходит в сваливание, а только зажжем лампочку и будем надеяться, что пилоты ее вовремя заметят?

L>Погоди, ты только что выше написал, что пилот обязан досконально знать и понимать.

Ну да, опытный пилот, скорее всего, заметит ту лампочку вовремя. Но пилот-оператор, которого Вы защищаете, не заметит ее вовсе, и самолет благополучно уйдет в сваливание, а затем в штопор. Процессы будут разными, результат — тем же.

L>И да, отказ MCAS в данном случае должен был зажечь лампочку, и пилоты должны были бы действовать в соответствии с инструкцией "действия в случае отказа MCAS".

А успели бы те пилоты-операторы действовать вовремя и правильно при реальном превышении угла атаки? Когда самолет самопроизвольно увеличивает угол атаки, он быстро теряет скорость, а следовательно — управляемость. На большой высоте, даже свалившись в штопор, он еще может успеть набрать скорость и выйти из него, а на малой высоте на это тупо нет времени.

L>У тех пилотов было по 10 тысяч часов налета на других модификациях 737.

И что с того, если они никогда не вникали в устройство и поведение самолета сверх обязательных инструкций и упражнений, и никогда раньше не сталкивались с непонятным сбоем управления?

L>STS работает только когда выпущены закрылки. Но задачу пилота о диагностике полтергейста этот факт никак не облегчает

Еще как облегчает. Если в Вашем компьютере вдруг завыл вентилятор во время простоя, когда вы не запускали никаких тяжелых процессов, и Вы этого даже не отметили для себя, то Вы не администратор компьютера, а рядовой пользователь. На пилотов же пока возложены именно административные, управляющие функции. Если после уборки закрылков стабилизатор вдруг куда-то поехал — это прямой повод предположить неисправность системы управления им. А откуда эта неисправность взялась — хоть от MCAS, хоть от замыкания проводки — на тот момент дело десятое.

L>речь идет ни о том, какой должен быть идеальный крутой пилот. Речь идет о реализации инженерных систем таким образом, чтобы обеспечить safety в случае их отказа.

У нас речь и о том, и о другом. Я сразу же подчеркнул, что согласен с претензиями к реализация MCAS и документации по ней. Но Вы стали утверждать, будто "MCAS уронил самолет", а пилоты якобы ничего не могли сделать. Вот я и объясняю, что могли, но вели себя непрофессионально.