Автоматика как фактор безопасности в современных транспортных средствах

[X-Pilot]

Индусы за 9 баксов в час разрабатывали MCAS.
Это прямо следует из этой статьи.
И проблема в том что это были неопытные индусы, вчерашние выпускники.
In offices across from Seattle’s Boeing Field, recent college graduates employed by the Indian software developer HCL Technologies Ltd. occupied several rows of desks, said Mark Rabin, a former Boeing software engineer who worked in a flight-test group that supported the Max.

У Индусских кодеров есть одна особенность. Это знают все кто с ними работает. Они НИКОГДА не укажут на возможную ошибку или недостаток в архитектуре, если им прямо не поставлена задача такое указывать и проверять. ТО есть если задача _кодировать MCAS по одному случайно выбранному датчику_ поставлена американцам или русским, есть неслабый шанс что даже кодировщик спросит тех кто поставил _а вы уверены что задача поставлена правильно, вот же очевидный недочет_. Индусы никогда этого не делают.

Господа хорошие, пжлста, не поддавайтесь общей истреии про Индусов.

1. Boeing - огромный международный концерн, имеющий конструкторские бюро, офисы и представительства по всему миру. И Российское КБ является одним крупнейший с численностью примерно 1200 + сотрудников (включая субподрядчиков).
2. Даже если индусы и писали этот софт, то строго по ТЗ, утвержденному большими руководителями компании.
3. За ними его многократно тестировали и проверяли на инженерных стендах, испытательных машинах и тд
4. После чего проводились сертификационное испытания с участием FAA, EASA и многих других бюро по всему миру.

Смею предположить, что фатальная ошибка запитать систему от одного датчика угла атаки была допущена на этапе проектирования и далее попала в ТЗ, где и осталась незамеченной до печальных событий. В любом случае, это задача следствия выяснить кто и где загнал в ПО такой фатальный косяк.

 

[Denis Rook]

Хотелось бы для разнообразия, обратить внимание на отчет МАК по Ан-148.
страницы 78-79. Действия ЭДСУ при отсутствии достоверных значений приборной скорости -
"Порядок перехода на процесс реконфигурации следующий: при последнем контролируемом для любого параметра отказе последнее достоверное значение сигнала фиксируется («замораживается») на определенное время задержки (для приборной скорости время задержки составляет 8 с). Если до истечения времени задержки параметры вошли в допуск контроля, то текущие сигналы будут возвращены в работу. Если по истечении времени задержки параметры не войдут в допуск контроля, начнется реконфигурация.

Для параметра приборной скорости отказным значением является величина 200 км/ч. Списание к отказным значениям осуществляется через апериодический фильтр с постоянной времени, которая также является уникальной для каждого сигнала величиной.
Параметр приборной скорости списывается к отказному значению через фильтр с постоянной времени 20 с, то есть полностью процесс реконфигурации можно считать законченным через 60 с.

При реконфигурации РВ перемещается на пикирование, то есть предотвращает выход самолета на большие углы атаки и превышение эксплуатационных ограничений по вертикальной перегрузке. Величина балансировочной составляющей РВ при признаке
недостоверности приборной скорости ограничена величиной 5.5° на пикирование, а отклонение РВ от штурвальной колонки на кабрирование при этом ограничено величиной 12°"
и страница 113 - "Необходимо отметить, что рассматриваемая особенность ЭДСУ нигде в эксплуатационной документации не описывается"
Правда что-то интересное? Индусов нет, "философии Боинга" нет, но если кратко - при потере достоверных значений приборной скорости автоматика переводит самолет в снижение. (кстати, похоже, без всякого ограничения по минимальной высоте такого действия). В документации это не описано (ну зачем, да...)
Сходство наводит на мысль, что дело не в том кто и где пишет ЭДСУ, а в каком-то глобальном дефекте в разработке и документировании систем автоматики. Похоже, подобные "бомбочки" могут притаиться и в самолетах других фирм (никто же не проверял пока ЭДСУ с учетом возможности подобных незадокументированных алгоритмов)

 

[incoming1]

В этом то все и дело. С моей точки зрения это вопиющий пример безответственности поставщика самолета. Все можно сделать. Но это стоит больших денег. Зарплата одного авиационного инженера в США составляет > $150 000. Зарплаты ведущих программистов еще выше. Если взять и создать research and development отдел это обойдется в 30-50 миллионов долларов в год. Возможно к этому нужно прибавить другие расходы. Возможно дополнительные дублирующий приборы невозможно конструктивно имплементировать в 737. Но даже человеку, далекому от авиации понятно, что случай с MAX вопиющий. Я не знаю когда эту машину анонсировали и какие были сроки сдачи проекта, но возможно поторопились и не успели доработать систему. Кто знает.

^Сообщение писал еще весной. Местные эксперты тогда фыркали и говорили, что все нормально у боинга и дело не в софте, его качестве и уровне ответственности боинга к програмным разработкам.
Надеюсь, что после этого случая, боинг будет нанимать профессионалов. А так это удар по репутации компании как по мне.

 

[constructor]

…… при потере достоверных значений приборной скорости автоматика переводит самолет в снижение. (кстати, похоже, без всякого ограничения по минимальной высоте такого действия).

Много самолетов упало и разбилось вследствие потери скорости. Теперь начали биться из-за пикирования. Соглашусь, что перекладывая стабилизатор на пикирование неплохо было бы анализировать тангаж, высоту, вертикальную скорость.

 

[Denis Rook]

Много самолетов упало и разбилось вследствие потери скорости. Теперь начали биться из-за пикирования. Соглашусь, что перекладывая стабилизатор на пикирование неплохо было бы анализировать тангаж, высоту, вертикальную скорость.

Тут юмор в том, что скорость может быть и не потеряна. ЭДСУ сначала приходит к выводу, что у нее нет достоверной скорости, а уже на основании этого вывода пытается пикировать. Логика несколько странная

 

[constructor]

Процедуры при отказе всех измерителей приборной скорости описаны в РЛЭ. Автоматика, по хорошему, должна помогать пилоту выполнить их. По факту нет.

 

[61701]

Сходство наводит на мысль, что дело не в том кто и где пишет ЭДСУ, а в каком-то глобальном дефекте в разработке и документировании систем автоматики. Похоже, подобные "бомбочки" могут притаиться и в самолетах других фирм (никто же не проверял пока ЭДСУ с учетом возможности подобных незадокументированных алгоритмов)

В руководстве на Ваш автомобиль описано , как ездить без бензина в топливном баке? Зачем писать то , чего не может быть в нормальной эксплуатации, Вы же не ездите на своем авто с открытыми дверями и не требуете автоматики их закрытия при включении первой передачи, а вот сигнализация начинает моргать и блямкать, так чем же в этом случае, отличается Ан-148 , на котором конструкторы установили аж три комплекта(а не два как на Боинге) системы СВС и предусмотрели внятную сигнализацию? При таком резервировании скорости , переход ЭДСУ в какой то резервный режим и алгоритмы , просто невозможен. Это доказано девятилетней эксплуатацией самолетов Ан-148. Оба случая отказа скорости связаны не с отказами техники , а с выходящими за все рамки нарушениями правил эксплуатации персоналом авиакомпаний.

 

[Drusha]

При таком резервировании скорости , переход ЭДСУ в какой то резервный режим и алгоритмы , просто невозможен. Это доказано девятилетней эксплуатацией самолетов Ан-148. Оба случая отказа скорости связаны не с отказами техники , а с выходящими за все рамки нарушениями правил эксплуатации персоналом авиакомпаний

А вот и доказано: возможно такое. И без разницы, что это экипаж накосячил.
Хотя к самолету вопросов нет в данном случае. Тут вопросы к тем, кто документацию составляет

 

[Denis Rook]

При таком резервировании скорости , переход ЭДСУ в какой то резервный режим и алгоритмы , просто невозможен. Это доказано девятилетней эксплуатацией самолетов Ан-148. Оба случая отказа скорости связаны не с отказами техники , а с выходящими за все рамки нарушениями правил эксплуатации персоналом авиакомпаний.

То есть, вы утверждаете, что разработчики ЭДСУ потратили время и деньги на разработку алгоритма, который никогда не мог активироваться? Что-то я сомневаюсь, что они такие глупые. Речь идет в данном случае о закладке втихаря странных алгоритмов в ЭДСУ, а не о происшествиях с самолетом. По поводу вашей аналогии с автомобилем - да, я полагаю, что если в автоматику будет заложен алгоритм "в случае отсутствия бензина активировать пироболты, отделяющие колеса", то подобное поведение в документации должно быть указано. Кстати вы переборщили - машина без бензина тихо стоит на месте, а самолет, толкаемый носом в землю, находится в полете. неудачное сравнение.

 

[61701]

То есть, вы утверждаете, что разработчики ЭДСУ потратили время и деньги на разработку алгоритма, который никогда не мог активироваться?

Да я это утверждаю, потому что в нормальной эксплуатации ЭДСУ не может перейти в этот режим работы, история не знает подобных случаев, оно может само вырубиться и система штурвального управления, частью ,которой является ЭДСУ , перейдет частично или полностью на резервный контур РМКУ, но только не в этот режим. Я Вам говорю о практике , а не о теории заговора.
Я не знаю для чего МИЭА предусмотрела подобный переход ЭДСУ на резерв. По сути дела он включает в себя два пункта
- переход на резервный Кш , с этим все понятно нет скорости , работаем от положения механизации,
- триммирование на пикирование ,указанное в отчете, для чего это сделано над спросить Москву, не спроста же они придумали эту перебалансировку. Только давайте не будем путать перестановку на пикирование огромной лопаты всего стабилизатора на Боинге и определенным управляемым отклонением на пикирование РВ.

 

[Denis Rook]

Я не знаю для чего МИЭА предусмотрела подобный переход ЭДСУ на резерв. По сути дела он включает в себя два пункта
- переход на резервный Кш , с этим все понятно нет скорости , работаем от положения механизации,
- триммирование на пикирование ,указанное в отчете, для чего это сделано над спросить Москву, не спроста же они придумали эту перебалансировку. Только давайте не будем путать перестановку на пикирование огромной лопаты всего стабилизатора на Боинге и определенным управляемым отклонением на пикирование РВ.

Потому что они должны были это предусмотреть. любые датчики могут так или иначе отказать и любые значения могут исчезнуть.
Придумали неспроста. напрашивается слово "сдуру" но не хочется ругаться.
Давайте не будем патриотизировать у кого хуже получилось? Если вы не можете выговорить слова "Боинг" и "Антонов" без эмоций, попробуйте говорить просто про фирмы "Икс" и "Игрек"

 

[61701]

Потому что они должны были это предусмотреть. любые датчики могут так или иначе отказать и любые значения могут исчезнуть.

Три датчика ППД-1М могут отказать только по раздолбайству экипажа ,который не включил их обогрев ,забил на контрольныем карты и предупреждающие сообщения на КИСС, или по раздолбайству техсостава не проконтролировавшего снятие заглушек с приемников полного давления ППД-1М. Еще один вариант отказа это попадание зенитного снаряда в кабину экипажа.
Приведите мне пожалуйста хоть один случай отказа всех ППД-1М на парке самолетов на которые они устанавливались. Это Ту-134,Ту-154, Як-42, Ил-86, Ил-62, Ан-148 и так далее.
Три блока воздушных параметров системы СВС, могут отказать только в случае полного обесточивания самолета , на котором перед вылетом украли аккумуляторы.
Под словом "любые " ,как я понял, Вы имеете ввиду аналогичные датчики самолета Эрбас, эти действительно могут отказать и этому есть примеры.

Давайте не будем патриотизировать у кого хуже получилось? Если вы не можете выговорить слова "Боинг" и "Антонов" без эмоций, попробуйте говорить просто про фирмы "Икс" и "Игрек"

Давайте будем учить летать только своего попугая , потому что переход на личности на форуме не приветствуется. Тема вообще то Ан-148, зачем Вы здесь упомянули "философию" Эрбаса, мне не очень понятно.
С уважением.

 

[бортмех Ан26 и Ту134]

Три датчика ППД-1М могут отказать только по раздолбайству экипажа ,который не включил их обогрев ,забил на контрольныем карты и предупреждающие сообщения на КИСС, или по раздолбайству техсостава не проконтролировавшего снятие заглушек с приемников полного давления ППД-1М. Еще один вариант отказа это попадание зенитного снаряда в кабину экипажа.
Приведите мне пожалуйста хоть один случай отказа всех ППД-1М на парке самолетов на которые они устанавливались. Это Ту-134,Ту-154, Як-42, Ил-86, Ил-62, Ан-148 и так далее.
Три блока воздушных параметров системы СВС, могут отказать только в случае полного обесточивания самолета , на котором перед вылетом украли аккумуляторы.
Под словом "любые " ,как я понял, Вы имеете ввиду аналогичные датчики самолета Эрбас, эти действительно могут отказать и этому есть примеры.

Не то, что все три ППД-1М не отказывали ни разу, а и отказов даже одного не припоминаю. За 11 лет работы техником в оперативке и за 25 лет летной работы.

 

[Denis Rook]

Не то, что все три ППД-1М не отказывали ни разу, а и отказов даже одного не припоминаю. За 11 лет работы техником в оперативке и за 25 лет летной работы.

Тут подмена понятий - речь идет о ситуации "отсутствие достоверного значения приборной скорости", а не "отказ датчиков". То есть, одна из вероятных (или невероятных) причин этого самого отсутствия

 

[Oleg24]

Косяк конструкторов только в том, что они не описали этот алгоритм, в документах, возможно в очередной ревизии он появится, в остальном я ничего особенного не вижу.

 

[Denis Rook]

Косяк конструкторов только в том, что они не описали этот алгоритм, в документах, возможно в очередной ревизии он появится, в остальном я ничего особенного не вижу.

Переход в пикирование на основании сигнала "недостоверная приборная скорость"?

 

[бортмех Ан26 и Ту134]

Тут подмена понятий - речь идет о ситуации "отсутствие достоверного значения приборной скорости", а не "отказ датчиков". То есть, одна из вероятных (или невероятных) причин этого самого отсутствия

Когда исправные датчики , то не бывает недостоверных показаний.

Когда в цепочке "датчик-прибор" нет никаких электронных устройств, а именно так реализована схема замера скорости и высоты на старых типах советских еще самолетах, тогда и нет проблем. Или они крайне редки.

 

[Denis Rook]

Когда исправные датчики , то не бывает недостоверных показаний.

Когда в цепочке "датчик-прибор" нет никаких электронных устройств, а именно так реализована схема замера скорости и высоты на старых типах советских еще самолетах, тогда и нет проблем. Или они крайне редки.

Да но у нас то все электронное. так что между датчиком и мозгом много что может отказать

 

[бортмех Ан26 и Ту134]

Да но у нас то все электронное. так что между датчиком и мозгом много что может отказать

В том и проблема! Может стоило поставить резервную систему АМП в классическом исполнении?

 

[Denis Rook]

В том и проблема! Может стоило поставить резервную систему АМП в классическом исполнении?

Для кого ее поставить? У нас же вопрос об электронных мозгах, не о человеческих