Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Подобные происшествия случаются регулярно, в большинстве случаев пилоты справляются, и никто не делает из этого героизма. Еще раз предлагаю представить, что привод стабилизатора включала не MCAS, а неисправная проводка или контакты переключателя.

В этом случае был бы явный runaway стабилизатор. Который уверенно крутится в одну сторону. Диагностируется это намного проще, нежели периодическая активация, которую "оператор" может, а то и обязан правомерно отнести к работе автоматики.

L>>Только загвоздка в том, что бюллетень о том, что нужно:
ЕМ>Вот в том и разница, что пилот-оператор (aka обезьяна) действует строго по бюллетеню, а грамотный пилот, понимающий свой самолет — по обстановке. У него требования документации запомнены не в виде тупой последовательности действий, а в виде путей решения проблемы и граничных условий, в которых они применимы.

Пилоты EA401 тоже действовали по обстановке. И утопили свой абсолютно исправный самолет в болоте.
А должны были действовать по бюллетеню.

L>>>>Я инженер. Система, которую я проектирую, обязана обеспечивать безопасность операторов, пользователей и окружающих ее людей. В том числе в аварийных режимах.
ЕМ>>>Ваша система способна делать это в любых условиях?
L>>Предлагаю в первую очередь задать этот вопрос Боингу. А тут воздержаться от перехода на личности.
ЕМ>На личности первым перешли Вы, заявив, что Ваша собственная система "обязана обеспечить". Вот мне и стало интересно — обеспечит она по факту, или только "обязана", и кто во втором случае за это ответит — лично Вы или Ваши менеджеры.

Могу ответить на конкретные вопросы по практике FMEA. С собственным примерами.
Только без перехода на личности.

L>>Отсутствие срабатывания тогда, когда оно надо, имеет меньший риск и не приводит само по себе к аварийной ситуации
ЕМ>А когда срабатывание требуется как раз для выхода из аварийной ситуации, которая уже наступила?

Нет. Она для этого не предназначена.

L>>Капитан судна умеет диагностировать поломку судового дизеля по звуку?
ЕМ>Сам факт поломки — безусловно (если, конечно, он слышит звук двигателя — на крупных судах, наверху часто не слышен).

Ну то есть не может.

L>>Но не заметили. Как минимум дважды. Твой аргумент не выдерживает проверку практикой.
ЕМ>Эта практика лишь показывает уровень подготовки пилотов. Собственно, у индусов, арабов и им подобных, подготовка традиционно формальная. Они нормально летают до тех пор, пока все идет в пределах нормы, или отклоняется совсем немного. Шаг влево, шаг вправо — серьезный инцидент или катастрофа.

Напомню AF447. Там тоже "арабы" виноваты?

L>>Система сошла с ума и направляла самолет носом в землю.
ЕМ>Нет, это просто Вам (и многим другим) очень нравятся подобные формулировки — за то, что они яркие, эмоциональные и образные. Но действительности они не соответствуют.

Это только какой-то альтернативной действительности они не соответствуют. В реальности имеем воронку в земле и обломки в воде.

L>>в нормальном полете подобные углы атаки достигнуты не будут.
ЕМ>Так MCAS и не должна работать в нормальном полете. По замыслу, она должна работать только при выходе из нормальных условий.

Ах, по замыслу. Ну тогда бониг неуионатый совсем, да

L>>для "оператора" действия самолета в ответ на его команды очевидны.
ЕМ>Примерно так же, как для блондинки "очевидно" поведения автомобиля: нажала на газ — ускорился, нажала на тормоз — замедлился. То, что на скользкой дороге автомобиль вдруг отказывается замедляться, становится для нее сюрпризом.

Аналогия не к месту.

L>>в отличие от А, в Боинге нет защиты от пилота — идиота, и если он очень хочет, то никакой MCAS ему не помешает тянуть на себя до упора.
ЕМ>Защиты от пилота-идиота нет ни в одном самолете, ибо идиотов пока еще не допускают к пилотированию. А пока пилот остается главным действующим лицом в самолете, автоматика будет ему содействовать или противодействовать, но исключительно с совещательным голосом. А если вроде бы адекватный пилот вдруг превратился в идиота, он угробит любой самолет, самый дуракоустойчивый.

Еще раз — самолет угробило неправильное срабатывание MCAS. Который написали обезъяны под руководством ослов.
То, что пилоты ниасилили ему противодействовать, лишь повод задать вопрос Боингу.

L>>Сравни теперь с отказом MCAS "я вижу, вы тут заняты. Я вам тут тихонечко стаб подкрутил..
ЕМ>Мы уже выяснили, что крутит он ни разу не тихонечко. Нужно быть глухим или очень загруженным, чтобы не услышать. В тех случаях пилоты не были очень загружены,

Да, не очень. Всего лишь штурвал трясет вибратором и в ухо орет то ли oversepeed, то ли stall warning. А так — обычный день, ничего особенного.

L>>MCAS не предназначен для защиты от "самопроизвольного увеличения угла атаки".
L>>Он предназначен для компенсации аэродинамики планера, нарушенной установкой новых двигателей.
ЕМ>Это и есть "самопроизвольное", без прямого запроса от [авто]пилота.

И как угол атаки может измениться без прямого запроса от пилота?

L>>Он никак в принципе не может помешать пилоту тянуть на себя до упора.
ЕМ>А вот тянуть на себя — это как раз произвольное действие по управлению.

L>>Для справки — вся "переподготовка" пилотов некоторых американских компаний а полетам на MAX заключалась в просмотре паверпоинта на планшете по дороге в аэропорт.
L>>Ничего другого не предполагалось.
ЕМ>Плохо, что руководство не озаботилось.

Руководство Боинга.
Еще раз — Боинг продавал MAX как "тот же самый NG, только лучше".

ЕМ>И еще хуже, что большинство пилотов не поинтересовалось даже аэродинамикой самолета с новыми двигателями. То есть, они воспринимали двигатель, как некий волшебный артефакт, который как-то двигает самолет вперед, а как именно — не их забота. В точности, как та блондинка.

И как они должны были поинтересоваться? Построить модель? Арендовать аэродинамическую трубу?
Еще раз — им сам производитель сказал "Все как обычно, садись — лети".

L>>Ввиду того, что Боинг не объяснил им, как диагностировать отказ MCAS.

ЕМ>Да, пилотам-операторам не объяснили.

Никому не объяснили