Вопросы сертификации ВС (по катастрофам Boeing MAX)

B

Black Cat

Старожил
Ок. Объясните почему приведенные нормы неприменимы в данном случае.
Показать применимость этих или каких либо еще норм, которые якобы нарушил "Боинг", это кусок работы того, кто уже утверждает о нарушении норм "Боингом".
Ссылки на соответствующий сертификационный базис я бы еще понял, но никак не АП-25 с НЛГС.
 
Реклама
B

Black Cat

Старожил
Мое же мнение, что такие элементарные нормы как сведения вносимые в РЛЭ и невлияние одиночного отказа были всегда. Тут нечему особо меняться.
Увы и ах насчет "всегда".
Анализ отказобезопасности далеко не сразу "встроили" в процесс сертификации ВС.
Например, в Союзе разработчики этим занялись AFAIK где-то в конце 70-х, начале 80-х.
А во-вторых мне давным давно было известно что наши нормы сертификации синхронизированы с американскими и соответствуют им практически полностью. Потому я сразу и давал цитаты из наших АП-25.
Для первого общего понимания - да, АП-25 сгодятся. Но обсуждая самолет американского разработчика, необходимо пользоваться нормами американскими. И точка.

Хотя нет, есть еще: "синхронизированы"? Об авиационных правилах так не говорят.
Кстати, шутка про соответствие АП-25 с Part 25 во времена сертификации В737NG - это "пять", это хорошая шутка.
Так можно доказать что Земля плоская.
ОК, доказывайте.
 
E

eton

Местный
Показать применимость этих или каких либо еще норм, которые якобы нарушил "Боинг", это кусок работы того, кто уже утверждает о нарушении норм "Боингом".
Ссылки на соответствующий сертификационный базис я бы еще понял, но никак не АП-25 с НЛГС.
на основании чего вы считаете что вот этот например параграф не применим? Или вы применимость CFR целиком отрицаете?
Самое старое, что нашел - это редакция 1997 года.
27.672 Stability augmentation, automatic, and power-operated systems.
If the functioning of stability augmentation or other automatic or power-operated systems is necessary to show compliance with the flight characteristics requirements of this part, such systems must comply with § 27.671 of this part and the following:
(a) A warning which is clearly distinguishable to the pilot under expected flight conditions without requiring the pilot’s attention must be provided for any failure in the stability augmentation system or in any other automatic or power-operated system which could result in an unsafe condition if the pilot is unaware of the failure. Warning systems must not activate the control systems.
(b) The design of the stability augmentation system or of any other automatic or power-operated system must allow initial counteraction of failures without requiring exceptional pilot skill or strength by overriding the failure by movement of the flight controls in the normal sense and deactivating the failed system.
(c) It must be shown that after any single failure of the stability augmentation system or any other automatic or power-operated system—
(1) The rotorcraft is safely controllable when the failure or malfunction occurs at any speed or altitude within the approved operating limitations;
2) The controllability and maneuverability requirements of this part are met within a practical operational flight envelope (for example, speed, altitude, normal acceleration, and rotorcraft configurations) which is described in the Rotorcraft Flight Manual; and
(3) The trim and stability characteristics are not impaired below a level needed to permit continued safe flight and landing.
[Amdt. 27–21, 49 FR 44433, Nov. 6, 1984; 49 FR 47594, Dec. 6, 1984
 
B

Black Cat

Старожил
на основании чего вы считаете что вот этот например параграф не применим? Или вы применимость CFR целиком отрицаете?
У В737 длинная история.
Поэтому даже если какое-то требование и появилось в Part 25, то дальше еще надо разбираться - на каком этапе и в каком объеме оно стало применимым и к обитателям единого Сертификата типа всего семейства 737-х. Нужны Сертификационные базисы, без них никак.
 
Gabbiano

Gabbiano

Новичок
Вот еще кстати: Advisory Circular 21.101-1B Establishing the Certification Basis of Changed Aeronautical Products
На стр. A-40 установка автопилота приводится как пример несущественного изменения, но с такими замечаниями:
However, in certain cases the installation of an autopilot may include extensive changes and design features that change both the general configuration and the assumptions for certification (i.e., installation of the autopilot may introduce a number of additional mechanical and electronic failure modes and change the hazard classification of given aircraft-level failures).
которые так и просятся, чтобы их приложили к MCAS.
Тема, конечно, раскрыта недостаточно, после катастрофы ее пытается развить JATR (ссылку уже приводили):
The JATR team determined that the Changed Product Rule process was followed and that the process was effective for addressing discrete changes. However, the team determined that the process did not adequately address cumulative effects, system integration, and human factors issues. The Changed Product Rule process allows the applicant to only address in a limited way changed aspects (and areas affected by the change) and does not require analysis of all interactions at the aircraft level.
The current Changed Product Rule process lacks an adequate assessment of how proposed design changes integrate with existing systems and the associated impact of this interaction at the
aircraft level. A more fulsome assessment process would apply to establishing the certification basis as well as to finding compliance throughout the certification process.
 
Последнее редактирование:
E

eton

Местный
У В737 длинная история.
Поэтому даже если какое-то требование и появилось в Part 25, то дальше еще надо разбираться - на каком этапе и в каком объеме оно стало применимым и к обитателям единого Сертификата типа всего семейства 737-х. Нужны Сертификационные базисы, без них никак.
какая бы длинная у 737 история ни была - у MCAS история короткая - создавалась она в этом веке и работает на современной элементной базе, с современными протоколами передачи и обработки данных. И если вы почему-то не согласны с тем что ее проектировали по современным нормам, которым она очевидно не соответствует, то на выбор остаются следующие варианты - этот программный код написали по нормам 1964 года или без норм вообще. Как это снимает вину с Боинга даже и представить себе не могу. Кстати в 1964 понятие отказоустойчивости (и отказобезопасности) означало ровно то же самое что и сейчас. И если посмотреть даже на самые первые Боинги (и вообще любые самолеты) то можно легко заметить что использовались эти понятия при проектировании очень активно.
 
Последнее редактирование:
Gabbiano

Gabbiano

Новичок
Поэтому даже если какое-то требование и появилось в Part 25, то дальше еще надо разбираться - на каком этапе и в каком объеме оно стало применимым
Прошу обратить внимание на уже цитированный Advisory Circular 21.101-1B Establishing the Certification Basis of Changed Aeronautical Products
Стр. 3-8:
3.6.5.2 ... You may comply with the existing certification basis unless the standards in the proposed certification basis are deemed inadequate. In cases where the existing certification basis is inadequate or no regulatory standards exist, later requirements and/or special conditions will be required. See paragraph 3.11 of this AC for a detailed discussion.
До 1970 года не было никаких требований к системам улучшения устойчивости, так что извольте соответствовать § 25.672 в хоть какой редакции (вот ссылка на первую) :agree:
 
Последнее редактирование:
Gabbiano

Gabbiano

Новичок
какая бы длинная у 737 история ни была - у MCAS история короткая - создавалась она в этом веке и работает на современной элементной базе, с современными протоколами передачи и обработки данных. И если вы не согласны с тем что проектировали ее по современным нормам, которым она очевидно не соответствует, то на выбор остаются следующие варианты - этот программный код написали по нормам 1964 года или без норм вообще. Как это снимает вину с Боинга даже и представить себе не могу. Кстати в 1964 понятие отказоустойчивости (и отказобезопасности) означало ровно то же самое что и сейчас. И если посмотреть даже на самые первые Боинги (и вообще любые самолеты) то можно легко заметить что использовались эти понятия при проектировании очень активно.
Полностью соглашусь, мое крючкотворство выше лишь имело целью не оставить лазеек для оправдания преступной халатности разработчика.
 
stranger267

stranger267

Старожил
Самое старое, что нашел - это редакция 1997 года.
Интересующий нас раздел не изменялся с 1984:

До 1967 года еще копать и копать :rolleyes:
По моему вы не туда копаете. Тонкость в том что похоже Боинг вообще ничего формально не нарушил. И дело не в старых - новых правилах. Он и по старым и по новым одинаково криво проходил. И грабли не в этом. А грабли в том что на Боинге пошли по пути _нужно прикрутить улучшалку? Глядим, вот винтик в стенке, на него и повесим..._ - то есть изначально это был самолет с управлением тросами и без особо компьютеров. Он кстати и сегодня прошел бы сертификацию почти на ура, ну может требования на какие нибудь индикации появились, пережили бы они.

Но им понадобилось все больше и больше компьютерного управления. Дальше, Аэробус например (или SSJ или даже B-787) изначально были созданы с расчетом на это, там есть все нужные данные и нужные сети компьютеров и нужные решения что в какие _law_ и когда падает. И все это проходило сертификацию и справедливо.

На Боинге 737 же было не так. Сначала практически ничего не было. Потом понадобилась какая то автоматизация, не критичная - ну что _взяли прикрутили, сбоку припеку, пару компьютеров_. Сначала для фигни, потом тоже для фигни, потом для чуть серьезнее но тоже фигни. Так как начиналось это с _прикрутим для фигни_ то эту часть никто особо не сертифицировал на тему бесперебойности, _а что будет если прилетит космический луч и вышибет 5 битов данных_ и все такое прочее - ну обслуживают то они _фигню_.

Потом одной команде срочно потребовалось добавить еще одну _ну ведь тоже фигню, подумаешь какое дело чуть подкрутить стабилизатор_. Посмотрели они по сторонам - ага, вот у нас компьютеры - имеются, две штуки, датчики имеются - две штуки. Ну работают компьютеры _один работает другой спит_ но ведь обслуживают _фигню_. Ну мы назовем нашу штуку _еще одной фигней_ и докрутим туда же.

Потом еще одна команда - решила что последнюю _фигню_ надо улучшить. А что, крутить надо на больше градусов и чаще. Пилотам легче будет если сдуру залетят в режим. Посмотрела команда - а, уже есть, компьютер уже подключен, фигня уже сделана.. мы же только два коэффициента поменяем, а оно и так фигня и останется фигней. И поменяли.

И тут уже случилось _переход количества в качество_. Оказывается _много незначительных изменений_ становятся в сумме _одним весьма значительным_. Но процедуры проверки и сертификации этого не учитывали, от слова _совсем_. Исходно все сертифицировали. Потом мелкие мелкие дополнения, каждое из которых _ну фигня же, чего тут бодаться_ пролетали на ура. А то что их _пролетело много_ и последнее _сломало таки спину верблюду_ ни Боинг ни сертификаторы не учитывали.

И вот на этом _теперь надо учесть, и надо всю многочисленную фигню что пролетела мимо полноценных проверок - проверить_ Боинг и споткнулся. Так как вытащив на свет божий МКАС и его историю, все удивились, изумились и стали копать еще. Копание стало выносить на верх другие чудеса, копать стали активнее, и выкопали таки Боингу яму. Впрочем и Аэробусу будет сложнее так как на него конечно тоже свалятся с вопросами _а сколько такой фигни вы наваяли_. Но у них маркет вверх пошел потому что у Боинга вниз, по закону сохранения (заказов) так что им проще.
 
brother_737

brother_737

Мимокрокодил
И если вы не согласны с тем что проектировали ее по современным нормам, которым она очевидно не соответствует,
Снова ошибка.
Алгоритм MCAS был разработан как раз для соответствия нормам сертификации по управляемости в предельных режимах. Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.
Системы предупреждения экипажа ВС, которые здесь постоянно подтягивают за уши, были сертифицированы ранее.
Это уже неоднократно обсуждалось на нашем форуме, как и то, что пересмотр норм сертификации должен быть постоянным.

Предлагаю перестать запускать дискуссию по двадцатому кругу и использовать поиск по форуму.
 
Реклама
stranger267

stranger267

Старожил
Алгоритм MCAS был разработан как раз для соответствия нормам сертификации по управляемости в предельных режимах. Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.
Очень сомнительно. неужели в нормах не было требования на то, чтобы одиночный отказ одного элемента (датчика например) не приводил к потере управления самолетом? Тут дело скорее в том что МКАС не был проведен по тем нормам к которым он де факто относится (как например проводят автопилот) а был проведет по нормам _мелких изменения_ (ну типа поменяли конструкцию замка форточки.. ну сломалась и сломалась и хрен с ней, так же и авторы МКАС считали). Тут хоть сто требований добавляй, не поможет, требования нужны не на то как сертифицировать а на то что в какую категорию относить. И что делать с _много мелких модификаций_ тоже было неясно (да и сейчас ясно не станет).
 
brother_737

brother_737

Мимокрокодил
Очень сомнительно. неужели в нормах не было требования на то, чтобы одиночный отказ одного элемента (датчика например) не приводил к потере управления самолетом?
Уже год говорим об этом.
В этом-то и загвоздка: отказ одного датчика, на который завязан алгоритм MCAS действительно не приводит к потере управления самолётом. Имеющихся процедур хватает для безопасного выполнения полёта. Поэтому протащили MCAS как мелкие изменения алгоритма Speed Trim System, с натяжкой, следуя букве, но не духу закона.

Вы бы знали, насколько отличаются первые NG от последних выпущенных :)) разные самолеты. Всё протащено мелкими изменениями.

Ждём отчёта NTSB+FBI. Будет интересная попкорниана.
 
Gabbiano

Gabbiano

Новичок
Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.
Нет, не так. MCAS дал требуемое улучшение управляемости, но сам как система он нормам не соответствует, об этом спор.
Системы предупреждения экипажа ВС, которые здесь постоянно подтягивают за уши, были сертифицированы ранее.
Тех, кто их ставил впереди кобылы, уже забанили, но заметьте, что и § 25.672 содержит требование сообщения об отказе системы улучшения устойчивости.

Ну и в целом: Боинг использовал несовершенство процедуры сертификации, чтобы обойти требования, которым ДОЛЖЕН был соответстовать. Если ФБР скажет то же самое, с вас пиво.
 
Последнее редактирование:
E

eton

Местный
Алгоритм MCAS был разработан как раз для соответствия нормам сертификации по управляемости в предельных режимах.
Да MCAS был разработан для соответствия нормам сертификации по управляемости самолета с этим не поспоришь (да и за чем). Но ведь речь о том по каким нормам спроектирован сам MCAS.
Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.
Так вот именно это и интересно узнать - каким?
Black Cat строит свою позицию так - Боинг не виноват потому что нормы проектирования (тот же § 27.672 например) в данном конкретном случае не применимы. Допустим. Но это ведь по сути ничего не объясняет а лишь порождает новые вопросы, например:
- на основании чего типовые нормы в типовом случае могут быть неприменимы, т.е. на основании чего нормы сертификационного базиса были изменены с типовых на какие-то иные (если ответ - самосертификация то как это снимает вину с Боинг),
- если были применены какие-то иные нормы, то собственно какие - какой именно документ дал основание реализовать MCAS именно так, вопреки типовым нормам (и если этот документ написал сам Боинг то как это снимает с него вину).
- если Боинг намеренно снизил важность MCAS, написав не соответствующее действительному положению дел теоретическое обоснование, не обеспечив системе отказобезопасность (ей и отказоустойчивость по-сути была не нужна, чай не B2), чтобы не париться с разработкой и сертификацией то как это снимает с него вину?
Круг дискуссии мне видится таким.
Боинг ни в чем не виноват потому что (как всегда) во всем виноваты пилоты. Потому что не сумели за пять(десять) минут решить проблему. Которой при следовании нормам проектирования не должно было быть. Сертификацию то самолет прошел. А не должен был пройти. Боинг старый и ни в чем не виноват потому что (как всегда) во всем виноваты пилоты.
Крутит круг непонимание аргументов тех кто утверждает что Боинг ни в чем не виноват.
 
Последнее редактирование:
brother_737

brother_737

Мимокрокодил
§ 27.672 содержит требование сообшения об отказе системы улучшения устойчивости
Но не управляемости. MCAS расшифровывается как Maneuvering Characteristics Augmentation System. Понимаете юридическую разницу в терминологии?
Тот пункт, который Вы приводите, относится к MACH TRIM SYSTEM.
Да, казуистика. Но такова жизнь.

Даже если принять во внимание 27.672: MCAS была сертифицирована как дополнение алгоритма Speed Trim System. В таком случае сигнализаций отказа целых две: MASTER CAUTION -> SPEED TRIM FAIL и отклонение стабилизатора, заметное в кабине по вращению колеса ручной перестановки стабилизатора.

Боинг использовал несовершенство процедуры сертификации, чтобы обойти требования, которым ДОЛЖЕН был соответстовать
Предлагаю признаться самим себе в одном: на нашем форуме нет специалистов по сертификации такого уровня, который позволяет аргументированно выдвигать подобные обвинения.
Как версия для обывателя данное утверждение вполне возможно, и более того - вполне достаточно. Вскрытие покажет (с). Имхо, пока в обвинениях Боинг больше популизма, нежели реальной проблемы. Горячая тема, политический капитал, публичность и всё такое.

А выпить пива и пообщаться в реале я только за ;)
 
brother_737

brother_737

Мимокрокодил
Круг дискуссии мне видится таким.
Боинг ни в чем не виноват потому что (как всегда) во всем виноваты пилоты. Потому что не сумели за пять(десять) минут решить проблему. Которой при следовании нормам проектирования не должно было быть. Сертификацию то самолет прошел. А не должен был пройти. Боинг старый и ни в чем не виноват потому что (как всегда) во всем виноваты пилоты.
Крутит круг непонимание аргументов тех кто утверждает что Боинг ни в чем не виноват.
Выделил момент, который на мой взгляд является ключевым заблуждением всех обвинителей Boeing на данном ресурсе.
Была нарушена логика построения отказоустойчивых систем, но не нормы проектирования для систем, не являющихся критическими. Понимаете разницу с точки зрения закона и юристов Boeing?
Тут непонятно, к кому больше вопросов - к Boeing или FAA. Имхо, обе стороны хороши. Именно поэтому шеф FAA лезет в публичный популизм, выступая с лозунгами «Я сам буду облётывать этот самолёт».

Чтобы два раза не вставать и закончить тему с «несправедливыми» обвинениями пилотов: вот выдержка из любопытного документа FAA, датированного 07.11.2018 - год назад, ещё до катастрофы в Эфиопии.

AFAFC88E-7691-4E60-B727-0BBF8E0D38CC.jpeg


Мне как пилоту 737 очень неприятно понимать, что мои коллеги не увидели и вовремя не распознали эту ситуацию. Несмотря на все наши обсуждения с Денисом denokan и другими коллегами в онлайне и оффлайне нестыковок в документах, доработок процедур и обучения, из песни слова не выкинешь. Вот оно, чёрным по белому: must comply.
 
E

eton

Местный
Была нарушена логика построения отказоустойчивых систем, но не нормы проектирования для систем, не являющихся критическими. Понимаете разницу с точки зрения закона и юристов Boeing?
Понимаю. Это действительно очень интересно - ведь MCAS на самом деле не является критически важной для продолжения полета системой - если она вообще не будет работать (отсутствует) самолет сам по себе не упадет если пилоты не постараются - т.е. в резервировании или каких-то других методах обеспечения бесперебойной работы MCAS при отказах частей ее составляющих действительно нет необходимости. - Это есть стартовая предпосылка инженеров Боинга, вполне правильная.
Но так как MCAS входит в контур управления который является системой отказоустойчивой, то для обеспечения отказоустойчивости контура, MCAS должна быть спроектирована с учетом принципов отказобезопасности - т.е. ее отказ (неправильная работа) не должен влиять на работу контура ...критическим образом. Причем отказобезопасность могла быть реализована как со стороны MCAS так и со стороны контура. И тут уже у юристов Боинг проблемы.
Пример утрированный но все же - никто не ожидает от какой-нибудь третьестепенной лампочки на панели управления особой отказоустойчивости, но если эта лампочка когда перегорает может заставить глючить всю панель или например сожжет какую-нибудь другую лампочку или блок то и к панели и к лампочке большие вопросы. В общем случае чтобы панели глючили как можно меньше и они и лампочки должны быть спроектированы как можно лучше.
Про инженеров FAA которые на голубом глазу заявляли "мы в недостаточной мере понимали как именно работает MCAS" мне совсем нечего сказать.
С экипажа тоже вину не снимешь хотя вопросы насколько быстро можно распознать отказ MCAS как RunawayStabilizer, почему строчка выключить мотор стоит перед строчкой стриммировать и насколько велика разница между Continuously и Continually и т.д. были подробно разобраны, они оставили у меня впечатление какого-то ребуса (абсолютно без иронии).
В общем по моему имхо виноваты все, но зачинщик - Боинг.
 
Последнее редактирование:
Реклама
Gabbiano

Gabbiano

Новичок
PART 27—AIRWORTHINESS STANDARDS: NORMAL CATEGORY ROTORCRAFT
Опс... моя вина. Читать § 25.672. Первая редакция FR 5675 Apr. 8, 1970
Свои сообщения я уже поправил.
Для самолётов действует 25.672 с практически тем же самым текстом
Добавлено про сваливание:
(3) The trim, stability, and stall characteristics...
 
Последнее редактирование: