Вопросы сертификации ВС (по катастрофам Boeing MAX)

Где же вы раньше были
Теперь даже Black Cat уже не оспаривает, но все же интересно, включение FAR 25.672 в сертификационный базис - это был выбор Боинга, или же требование правил, о котором говорилось раньше:

Терерь о MCAS:
Полноценного анализа по FAR 25.671, это ведь там оценивают вероятности и последствия?
Так как же насчет FAR 25.672? Ни отказобезопасности, ни сигнализации отказа, ни возможности отдельного отключения системы.

Я пока от своих слов не отказываюсь:
 
Последнее редактирование:
Реакции: Avex
Avex, Gabbiano, вы как-то выхватываете фразы из контекста, основываясь, видимо, на каком-то своем прочтении FAR. Это - документ верхнего уровня. Есть подзаконные акты и руководства. Ваши требования похожи на то, как если требовать создать достойные условия жизни вот прям щас, основываясь на ст.7 Конституции РФ. ФАУ изменения в дизайн типа определило как значительные? Вопрос возник только по двигателям. Ну так на соответствие 25.143 в последней редакции испытания отлетали. Добавление MCAS попадает под понятие secondary change - "a change in physical and/or functional aspects that is part of but consequential to a significant physical design change, whose only purpose is to restore, and not add or increase, existing functionality or capacity... A secondary change is not required to comply with the latest requirements because it is considered “not contributing materially to the level of safety” and, therefore, eligible for an exception under § 21.101". Разрешение заново не сертифицировать все системы касается понятия certification basis. Это не означает, что можно использовать нормы, которые действовали на дату выдачу первоначального сертификата или на любую дату внесения в сертификат изменений. Это означает, что можно использовать доказательную документальную базу - анализы и оценки. Что и было использовано для EDFCS, так как MCAS включена туда. Не требуется ее оценки, как отдельной системы, этот программный алгоритм ею не является, достаточно было внести изменения в сценарные анализы. Собственно из отчета: "This process enables a manufacturer to introduce derivative aircraft models without having to resubmit the entire aircraft design for certification review. The manufacturer can use the results of some of the analyses and testing from the original type certification to demonstrate compliance, in which case the regulations that were in effect on the date of the original TC apply". Недостатки, конечно, нашлись. Основные предположения были относительно действий экипажа. Если вы понимаете систему, изменения, которые внесло FAA, и сам документ найдете.
 
Это конечно меняет дело, но и ставит новые вопросы.
Я тут не специалист, но кмк если алгоритм автономен в своей функции, то и сертификационные требования должны предъявляться к нему непосредственно. В частности в том, что касается отказа и возможности селективного отключения.
Если это не так - то это пробел в системе сертификации.
 
Не конструкция и требования сертификации должны подстраиваться под софт, а наоборот. И какой бы софт ни был, вставить одно дополнительное условие не может составлять никакого труда и проблемы. Подобные высказывания есть лишь очередное подтверждение вашей некомпетентности.
То что там также было ложное срабатывание МКАС давно признано официально.
Дело исключительно в ней, вернее в ее топорном проектировании Боингом и халатности ФАА. И ДВЕ !!! катастрофы это показали. Возможный отказ датчика обязана была предусмотреть МКАС. И сделать это было проще простого. Если выходит алерт по СВС в случае рассогласования углов атаки ровно такой же алерт должен быть по МКАС. ТОЧКА. Исключение МКАС из алерта в этом случае не имеет абсолютно никакого логического обоснования. Вы собственно против чего упрямо выступаете? Как может в принципе самолетная система без проверки достоверности сигнала и без резервирования направлять самолет в пикирование? Это конструктивный бред. Это запрещено нормами сертификации. Теми самыми современными. Которые на МКАС распространяются.
Это ложь.
Пять говорите?
Читайте ниже, до полного понимания
Ну что убедились? И кто оказался прав? Я. А ваши указания что дескать 737 старый самолет и надо смотреть на то что там было в нормах сертификации 50 лет назад оказалось бредом. А это мне и так было ясно потому что это не соответствует здравому смыслу. Хоть я этой нормы и не знал. А это значит все мои претензии к несоответствию МКАС нормам сертификации полностью применимы. И также это значит вашу некомпетентность.
 
Добавление МКАС никак не может подпадать под понятие secondary change. МКАС не корректирует уже имеющуюся функцию. МКАС имеет функцию которой не было на самолете. МКАС никак не может быть исключением по 21.101. По функциональности это отдельная система. Это настолько очевидно что тут и доказывать ничего не надо. МКАС, и соответственно МАХ, нормам сертификации не соответствуют. Это теперь, с вашей помощью, очевидно.
Собственно это было очевидно давно. По этому вопросу сказано много слов и терминов,... А вопрос выеденного яйца не стоит. Если самолетная система не описанная в РЛЭ, без сигнализации своей работы и отказа, втайне от летчика, по недостоверному и непроверяемому сигналу с какого-то датчика направляет самолет в землю - то это полный провал КБ и сертифицирующих органов. Какими бы словами это не объяснялось. Не было еще такого в истории авиации. Можно играть в словесную эквилибристику на тему сертификации, но если сертификация этот бред пропускает, то такая сертификация есть профанация. Такая не защитит ни от чего и такая она не нужна. Но я не думаю что сертификация профанация. Я думаю, и этому есть подтверждения которых все больше, что Боинг и ФАА обманным путем нарушили нормы сертификации. И уже даже не говорю о том что понятие добросовестного производителя Боинг просто растоптал и поглумился на нем.
Вы можете ответить на вопрос почему МКАС не была отключена по рассогласованию углов атаки? Чем фактически Боинг предоставил ей право направлять самолет в землю по недостоверному значению угла атаки? Почему у СВС был в этом случае алерт, а у МКАС нет?
Только? А то что МАХ превратился в самолет неустойчивый по углу атаки? Разве эти вопросы пересертификации не подлежат? Кстати на каких углах атаки это начинается вообще неизвестно. Боинг скрывает. Денокан не знает.
 
Последнее редактирование:
Avex, на мой неискушённый взгляд, вы взяли неоспоримый факт, то что две катастрофы - это плохо. И настойчиво прикручиваете к этому факту вполне оспоримые спекуляции насчёт того, что дескать всё это легко можно было предусмотреть и предотвратить. Не то что читать, просматривать по диагонали уже надоело.
 
Как мне кажется, в ходе дискуссии шелуха отпала, и остались вопросы сертификации и добросовестности:
 
Скорее за недобросовестность Боинг сейчас и наказывают. Формально, полагаю, претензий нет. Побитый Боинг обещает исправить ошибки. Победа. Можно спокойно всё обсудить, зачем много эмоций?
 
constructor сказал(а):
Можно спокойно всё обсудить, зачем много эмоций?
Нажмите, чтобы раскрыть...
Я с вами согласен: от излишних эмоций и невыверенных требований любая позиция в обсуждении только проигрывает.
Исходное заявление Avex было вполне взвешенным (с позиции сегодняшнего дня я бы отнес нормы проектирования к требованиям FAR 25, безотносительно того, использовались ли они при сертификации, а их нарушение - к вопросам добросовестности):
и, как мне кажется, по существу он остается верен себе. Но каждый видит свое (подчеркивание мое):
Не у всех такая эмоциональная устойчивость, как у пилотов
 
Последнее редактирование:
В принципе любое мнение человека не сидевшего в кабине MAX можно представить как спекуляцию. И мнение не сидевшего в кабине SSJ кстати тоже. И вообще на все можно ответить -кто не служил тот не поймет.Вы говорите "легко оспориваемые спекуляции" - посыл понятен но в чем собственно ваше оспаривание? Уважаемый denokan и уважаемый brother_737 (это на полном серьезе, без иронии), описали в чем заключается вина пилотов просто и доступно - и это очень правильно - сама профессия обязывает их первым делом обращать внимание на ошибки людей в кабине, и они в своих оценках правы. Но ошибки пилотов не снимают вопросов ни по конструированию ни по сертификации.
Мое мнение в том что ошибки бывает совершаются совершенно случайно - на ровном месте - вот например упрекнувший меня во невнимательности Black Cat на вопрос "почему 27.672 не применим?" вместо очевидного ответа "потому что 737 не вертолет" ответил ... нечто непонятное. Это очень странно ведь две предыдущие страницы простыней крутились вокруг этих же пунктов. Black Cat совсем не новичок, чем обусловлена его ошибка - той же самой невнимательностью, некомпетентностью, что приписываются при ошибках пилотам, или тем что номера и содержание 27.672 и 25.672 схожи, "глаз замылился" или еще чем-нибудь?
Конечно эта ошибка случайна ничего не значит и ни на что не влияет, и эта ветка и близко не самолет, но как пример она очень показательна, и веду я к тому что опыт сотен дискуссий от нее не защитил, а ведь и условия были не те что в кабине и времени сколько угодно. Человеку свойственно как говорится...
Задача инженеров всеми силами уменьшить вероятность критической ошибки как экипажа так и систем, задача процесса сертификации и норм проектирования - уменьшить вероятность ошибки инженеров. Юридические хитрости по подмене теплого мягким конечно тоже требуют большого ума и смекалки, но юридические хитрости совершенно не то что нужно для безопасности полетов.
 
Последнее редактирование:
Безусловно всё верно, но беда в том, что ошибка и поведение в стиле ишака за рулём - две большие разницы. Второе можно исправлять только принудительно отбирая управление у пилота и переключение его в автоматический режим, если система считает, что пилот делает полную глупость. Вариант - переключение управления на дистанционное, но в обоих случаях столкнёмся с огромным количеством проблем скорее этического плана и соображениями безопасности.
 
Я считаю что в случае с MAX ошибка экипажа по нераспознанию отказа и общая их ...растерянность была спровоцирована нетипичностью признаков и протекания отказа для предыдущего поколения NG. Как было продемонстрировано на примере 25.672-27.672 различие в мелочах легко может спровоцировать принципальную ошибку.
 
Ок, предположим, что это так. Но эфиопский экипаж точно не инженеры-испытатели и в данном случае их задача минимум - бороться с симптомами. Снова на всякий случай повторюсь: боинг виноват и накосячил. И да, различие в мелочах катастрофы провоцировало не раз. Но каждый раз рвалось там, где тонко. Америка летала, европа худо-бедно тоже, а вот дальше и есть настоящая беда, которая возможно гораздо более серьёзна, чем кажется сейчас. Вполне допускаю, что при переходе авиации от мышечных и рефлекторных действий к осознанному взаимодействию с компьютером мы реально получили проблему, когда уровень образования и эволюции в ряде стран просто не позволяют там готовить пилотов, способных летать на современных типах. Впрочем и это абсолютно не ново. Ново просто то, что сейчас эти пилоты оказываются уже вовлечены в глобальную систему перевозок и губят людей из многих стран на международных рейсов, а адис-абебы становятся международными хабами, хотя при таком подходе к подготовки они конечно ими быть не должны. Но это вопрос не к сертификации вс.
 
Попадает, так как явилась следствием установки новых двигателей, чтобы привести градиенты усилий на штурвале к заданным NG. MCAS - не отдельная система, это - функция системы. Найдете критерии в рамках FAR, которые позволяют определить ее как самостоятельную систему и подвести к новому сертификационному базису - большое будет вам человеческое спасибо.
Никто обманным путем ничего не нарушал. Все сделали в рамках существующих норм. MCAS не только подверглась анализам, но и была отлетана в симуляторе. Из отчета: "When assessing unintended MCAS activation in the simulator for the FHAs, the function was allowed to perform to its authority and beyond before pilot action was taken to recover. Failures were able to be countered by using elevator alone. Stabilizer trim was available to offload column forces, and stabilizer cutouts were available but not required to counter failures. This was true both for the preliminary FHAs performed in 2012 and for the reassessment of the FHAs in 2016".
737 проектировался с упором на устойчивость по скорости (статическую продольную) по критерию C*. Изменения заявлялись в отношении системы Speed Trim. Как уже упоминал brother_737, эта система сигнализацию об отказе имеет, отключить можно свичами. Расширение в сертификационных планах было: "According to CP13471, one of the changes to the Stabilizer Trim Control system from the baseline 737-800 (NG) was the incorporation of the MCAS. Implementation of this new function required two new analog discrete signals, generated by the FCCs, to be sent to components within the stabilizer system. One discrete will override the control column cut-out switches located in the First Officer’s Column Switching Module in the “pull” direction when MCAS is operating to prevent the stabilizer command from cutting out during the pilot maneuver. The second discrete overrides the flap position input to enable the higher stabilizer trim motor (STM) operating speed with flaps retracted when MCAS is operating".
Уделили бы лучше время на прочтение отчета, а не на развитие теории заговора.
 
В этой логике MAXы Boeing добровольно приземлил; суть в том, что Boeing латает дыры и в системе и в сертификации
 
Как мне кажется, Денокан не знает, а предполагает, так вот знание точной величины и нужно, чтобы убедиться в его предположении
PS пока известно что эта величина не превышает ~32 градусов
 
Победой там и не пахнет. Пока боинг "побеждает по очкам". Акценты в отчете расставлены так, что изменения будут как следствие снижения требований к подготовке экипажей (их умственным и физическим способностям).
В одном из писем ALPA было насчет сигнализации при отказе одного датчика. Там есть интересное:
!What should be alerted to the flight crew is dependent on the specific design and overall flight deck philosophy. For example, the failure of a single sensor in a multi-sensor system in some cases may not necessarily result in an alert condition that the pilot needs to be aware of. However, for a single sensor system such a failure would certainly result in alert. Thus, before launching a new system applicant should discuss the overall flight deck design and alerting philosophy with the authority when determining what should be alerted to the flight crew. For automatic switching of sensors that is not annunciated and is not obvious to the crew, care should be taken that the crew is aware of the actual status of the systems when necessary. An alert should be given when the information presented to the crew is no longer meeting the required integrity level, in particular when there is a single sensor or loss of independence."
Сознательно или нет, эта претензия ФАУ не была принята во внимание.
Теперь боинг признает необходимым, что сигнализация AOA DISAGREE всегда будет доступна, а MCAS будет прекращать работу при рассогласовании показаний уа. Есть еще требование индонезов в отчете: "In the accident flight, the system malfunction led to erroneous information that
initiated a series of events that were not correctly recognized and responded to by the flight crew. This exposed issues that were not identified if FAR 25.1302 and 25.1309 were each considered separately in which system malfunction was followed by flight crew limitation in identifying and mitigating the problem". А это делает необходимым рекомендуемым применение AC 25.1302 Installed Systems and Equipment for Use by the Flightcrew, к которому напрямую отсылало письмо, выдержка из которого выше. Очень жаль, что в отчете на дана рекомендация о его применении.
 
Ну почему же? То, что у них начало происходить сразу после взлета достаточно типично для проблем с ППД. Таких случаев и на NG хватает в рамках мирового масштаба. В Глобусе был такой случай, например.
Как мне кажется, Денокан не знает, а предполагает
Нажмите, чтобы раскрыть...
Это информация от Боинга. Пилотам ее более чем достаточно. Avex'у и другим - видимо, нет.
 
Довольно расплывчатая формулировка о величине угла и в любом случае это ваше предположение, точно же вы не знаете. А насчет достаточности...Недавно, года два кажется назад, 737 свалился где-то под Москвой, и благополучно вышел из сваливания. Его экипаж наверное тоже считал что он не попадет на углы на которых в нормальных полетах не летают. Но попал туда. А вспомним 154 под Донецком. Мне кажется знание о том что будет даже за нормальными углами летчику не помешает.
Я пояснял этот момент. Интересно знать насколько это значение соотносится с максимальными эксплуатационными углами атаки. Оно до них или после них? И разве летчик не должен знать аэродинамические особенности своего самолета? А производитель предупреждать о них летчика?
 
Вам необходимо войти или зарегистрироваться, чтобы здесь отвечать.
Меню
Вход
Регистрация