Здравствуйте, Евгений Музыченко, Вы писали:
L>>Реализация MCAS должна была предусматривать поведение в режиме его отказа.
ЕМ>Должна. Но то, что она этого не предусматривала, не снимает ответственности с пилотов.
Ответственность за аварию лежит исключительно на Боинге.
Если бы пилоты смогли вывезти, стали бы героями. Но героизм одного — это всегда результат головотяпства других.
ЕМ>И пилот по поведению самолета должен понять, в каком из каналов управления произошел сбой, и предпринять доступные ему действия по исправлению ситуации.
Ага, при этом правой лихо разбираясь с тревогой о превышении воздушной скорости или о скором сваливании и еще 100500 других сигналов, на которые он должен по инструкции отреагировать тоже.
ЕМ>А можно было управлять стабилизатором штатной кнопкой триммирования, которая имеет приоритет над MCAS, и быстро вернуть стабилизатор в нормальное положение, после чего отключить привод.
Пилоты именно это и делали.
Только загвоздка в том, что бюллетень о том, что нужно:
1. Не верить автоматике
2. Перевести в нормальное положение
3. И только потом отключать
Боинг выпустил уже тогда, когда было несколько поздно.
L>>У меня нет никаких представлений о пилотировании.
ЕМ>Тогда Вам не следует рассуждать о действиях и компетенции пилотов, ограничившись сугубо обсуждением матчасти.
Так я о них и не рассуждаю. Я делюсь опытом о принципах разработки сложных систем, обеспечивающих безопасность операторов, пользователей и окружающей публики.
L>>Я инженер. Система, которую я проектирую, обязана обеспечивать безопасность операторов, пользователей и окружающих ее людей. В том числе в аварийных режимах.
ЕМ>Ваша система способна делать это в любых условиях? Если да, то для чего ей нужен еще и оператор? И Вы согласны в полной мере лично ответить за любые последствия, которые повлечет сбой системы, даже при условии явного непрофессионализма оператора?
Предлагаю в первую очередь задать этот вопрос Боингу. А тут воздержаться от перехода на личности.
L>>Если бы этих аварий не было, рано или поздно MAX спикировал бы в школу в пригороде Амстердама.
ЕМ>Хороший пилот этого бы не допустил. Или допустил лишь в крайнем случае, когда глюк MCAS добавился бы к и без того сложной обстановке (дождь, туман, сложная схема маневрирования, плохая связь с диспетчером, отказы других приборов и т.п.).
Я об этом написал пять постов назад.
Вероятность отказа датчика AOA крайне высока. Емнип, фактическая статистика отказов — значительно больше одного на тысячу полетов. Соответственно, отказ MCAS при наличии других проблем (выделенное выше) — лишь вопрос времени, и он намного выше "приемлемой" 10^-9 вероятности. И тут уже неважно, насколько пилот "хороший".
L>>Моя задача — минимизировать вероятность некорректной перекладки стабилизатора.
ЕМ>Как Вы сможете сделать это без понижения вероятности его корректной перекладки во всех остальных ситуациях, когда это необходимо?
Такого требования нет. Любая система может выйти из строя.
Есть требование fail-safe.
Отсутствие срабатывания тогда, когда оно надо, имеет меньший риск и не приводит само по себе к аварийной ситуации — объяснение ниже.
ЕМ>>>Так же, как и водитель автомобиля не обязан понимать его устройство. Но хороший водитель таки понимает.
L>>Ну бред же пишешь.
ЕМ>С точки зрения "чистого инженера" это, возможно, и бред. А с точки зрения любого опытного водителя, пилота, капитана судна — обыденность.
Капитан судна умеет диагностировать поломку судового дизеля по звуку?
ЕМ>Автоматика крутит стабилизатор не "туда-сюда", а в соответствии с установленными режимами, положением закрылков, скоростью и т.п. Пилот, знающий свой самолет, постоянно отслеживает адекватность работы всех этих систем. Для пилота-оператора это просто назойливый шум, на который он может не обращать внимания, но это не делает ему чести.
L>>В полете, предшествовавшем первой катастрофе Lion Air, в кабине был третий пилот, которому больше нечего было делать, и который этот полтергейст заметил.
ЕМ>А должны были заметить и оба основных.
Но не заметили. Как минимум дважды. Твой аргумент не выдерживает проверку практикой.
ЕМ>>>Еще раз: я спросил о том, каким образом MCAS определяла, где находится земля, чтобы именно в нее (как Вы настойчиво утверждали) направить самолет.
L>>Демагогия.
ЕМ>Используйте адекватные формулировки — не получите демагогии в ответ.
Это адекватная формулировка. Отверстие — это когда берут правильный инструмент, сверло нужного диаметра, предназначенное для данного материала в нужном месте его просверливают. Все остальное — это дырки.
Система сошла с ума и направляла самолет носом в землю. Это не "перерегуляция", это факап. Рафинированый.
ЕМ>>>То есть, если вблизи момента перехода через критический угол произошел сбой (глюкнул датчик, где-то пропал контакт, прошла помеха и т.п.), то нехай самолет и дальше уходит в сваливание, а только зажжем лампочку и будем надеяться, что пилоты ее вовремя заметят? 
L>>Погоди, ты только что выше написал, что пилот обязан досконально знать и понимать.
ЕМ>Ну да, опытный пилот, скорее всего, заметит ту лампочку вовремя. Но пилот-оператор, которого Вы защищаете, не заметит ее вовсе, и самолет благополучно уйдет в сваливание, а затем в штопор. Процессы будут разными, результат — тем же.
Начнем с того, что в нормальном полете подобные углы атаки достигнуты не будут.
Продолжим тем, что для "оператора" действия самолета в ответ на его команды очевидны.
И подытожим тем, что в отличие от А, в Боинге нет защиты от пилота — идиота, и если он очень хочет, то никакой MCAS ему не помешает тянуть на себя до упора. Но при этом ни авиагоризонт, ни тревога по воздушной скорости, да и аэродинамические эффекты никуда не денутся и будут орать ему в ухо "что ж ты делаешь, дебил".
Сравни теперь с отказом MCAS "я вижу, вы тут заняты. Я вам тут тихонечко стаб подкрутил.. и еще подкрутил... и еще подкрутил.. и опять подкрутил".
L>>И да, отказ MCAS в данном случае должен был зажечь лампочку, и пилоты должны были бы действовать в соответствии с инструкцией "действия в случае отказа MCAS".
ЕМ>А успели бы те пилоты-операторы действовать вовремя и правильно при реальном превышении угла атаки? Когда самолет самопроизвольно увеличивает угол атаки,
MCAS не предназначен для защиты от "самопроизвольного увеличения угла атаки".
Он предназначен для компенсации аэродинамики планера, нарушенной установкой новых двигателей. Он никак в принципе не может помешать пилоту тянуть на себя до упора.
L>>У тех пилотов было по 10 тысяч часов налета на других модификациях 737.
ЕМ>И что с того, если они никогда не вникали в устройство и поведение самолета сверх обязательных инструкций и упражнений, и никогда раньше не сталкивались с непонятным сбоем управления?
Для справки — вся "переподготовка" пилотов некоторых американских компаний а полетам на MAX заключалась в просмотре паверпоинта на планшете по дороге в аэропорт.
Ничего другого не предполагалось.
И никакой информации о работе MCAS, предназначенной для пилотов, до аварий вообще доступно не было.
L>>STS работает только когда выпущены закрылки. Но задачу пилота о диагностике полтергейста этот факт никак не облегчает
ЕМ>Еще как облегчает. Если в Вашем компьютере вдруг завыл вентилятор во время простоя, когда вы не запускали никаких тяжелых процессов, и Вы этого даже не отметили для себя, то Вы не администратор компьютера, а рядовой пользователь.
Скорее так: тебе пишет пользователь "в твоей библиотеке ошибка", ты можешь вот сразу выслать патч, да?
L>>речь идет ни о том, какой должен быть идеальный крутой пилот. Речь идет о реализации инженерных систем таким образом, чтобы обеспечить safety в случае их отказа.
ЕМ>У нас речь и о том, и о другом. Я сразу же подчеркнул, что согласен с претензиями к реализация MCAS и документации по ней. Но Вы стали утверждать, будто "MCAS уронил самолет",
Уронил самолет MCAS ввиду кривой реализации. Факап Боинга.
ЕМ>а пилоты якобы ничего не могли сделать. Вот я и объясняю, что могли, но вели себя непрофессионально.
Ввиду того, что Боинг не объяснил им, как диагностировать отказ MCAS. Факап Боинга.
И вообще — спор ни о чем. Полеты MAX были запрещены из-за означенных факапов.
