«Столкновение с землёй в управляемом полёте» (Controlled Flight into Terrain) — это авиационный термин, обозначающий аварию нормально функционирующего самолёта из-за того, что пилоты были чем-то отвлечены или дизориентированы. Настоящий кошмар. По моим оценкам, ещё хуже столкновение с землёй в автоматизированном полёте, когда система управления самолётом заставляет его совершать пикирование в землю, несмотря на отчаянные попытки экипажа спасти ситуацию. Такова предполагаемая причина двух недавних аварий новых самолётов Boeing 737 MAX 8. Я попытался разобраться, как могли произойти эти инциденты.
Примечание: изучение катастроф MAX 8 находится на раннем этапе, поэтому многое из статьи основано на данных из непрямых источников, другими словами, на утечках и слухах, а также на рассуждениях тех людей, которые знают или не знают, о чём говорят. Так что учитывайте это, если решите продолжить чтение.
Аварии
Ранним утром 29 октября 2018 года рейс 610 авиакомпании Lion Air вылетел из Джакарты (Индонезия) с 189 людьми на борту. Это был новый, эксплуатировавшийся всего четыре месяца 737 MAX 8 — последняя модель линейки самолётов Boeing, созданной ещё в 1960-х. Взлёт и подъём до высоты примерно 1 600 футов (480 метров) был нормальным, после чего пилоты убрали закрылки (элементы крыла, повышающие подъёмную силу при малых скоростях). В этот момент воздушное судно неожиданно снизилось до 900 футов (270 метров). В радиопереговорах с авиадиспетчерами пилоты сообщали о «проблеме с системой управления» и спрашивали данные о своей высоте и скорости, отображаемых на экранах радаров диспетчеров. Оборудование в кабине экипажа давало переменчивые показания. Пилоты выдвинули закрылки и поднялись до 5 000 футов (1 500 метров), но после убирания закрылков нос самолёта опустился и он снова начал терять высоту. В течение следующих шести-семи минут пилоты боролись с собственным самолётом, они старались поддерживать уровень носа, но система управления полётом постоянно опускала его вниз. В конце концов машина победила. Самолёт на большой скорости врезался в воду и все находящиеся на борту погибли.
Вторая катастрофа произошла 8 марта, когда рейс 302 авиакомпании Ethiopian Airlines упал через шесть минут после взлёта из Аддис-Абебы, погибло 157 человек. Воздушное судно было ещё одним MAX 8, который эксплуатировался всего два месяца. Пилоты сообщали о проблемах с управлением, а данные спутникового наблюдения показывали резкие колебания высоты. Из-за схожести с аварией Lion Air была поднята тревога: если причиной обоих инцидентов стала одинаковая неисправность или изъян конструкции, то могут быть и другие аварии. За несколько дней парк 737 MAX по всему миру был отстранён от полётов. Данные, восстановленные после аварии рейса 302, усилили подозрения в том, что эти два случая тесно связаны.
За печальной судьбой рейса 610 Lion Air можно проследить по данным, извлечённым из «чёрного ящика». (График был опубликован в ноябре в составе предварительного отчёта Национального комитета по безопасности на транспорте Индонезии.)
Общее представление об истории даёт кривая отслеживания высоты в нижней части графика. Первоначальный подъём прерывается резким спуском; за дальнейшим подъёмом следует долгая беспорядочная езда на «американских горках». В конце происходит пикирование, чуть больше, чем за 10 секунд воздушное судно спускается вниз на 5 000 футов (1500 метров). (Почему на графике есть две кривые высоты, разделённые несколькими сотнями футов? К этому вопросу я вернусь в конце своей длинной статьи.)
Все эти подъёмы и спуски были вызваны движениями горизонтального стабилизатора — небольшой, похожей на крыло поверхности в задней части фюзеляжа. Стабилизатор управляет углом тангажа самолёта, т.е. тем, куда направлен нос. На модели 737 он делает это двумя способами. Механизм триммера руля высоты наклоняет весь стабилизатор, в то время как движение штурвала управления пилота (штурвал на себя и от себя) двигает руль высоты — подвижный руль в задней части стабилизатора. В обоих случаях перемещение задней части поверхности вверх заставляет нос самолёта подниматься, и наоборот. Здесь нас в основном интересуют изменения триммера, а не движения руля высоты.
Команды, подаваемые на систему триммера руля высоты, и их влияние на самолёт показаны тремя кривыми из полётных данных, которые я для удобства повторю здесь:
Линия с пометкой «trim manual» (голубая) отражает действия пилотов, «trim automatic» (оранжевая) показывает команды от электронных систем самолёта, а «pitch trim position» (синяя) показывает наклон стабилизатора; более высокое положение на графике обозначает команду на поднятие носа. Именно здесь очевидно заметна борьба между человеком и машиной. Во второй половине полёта автоматическая система балансировки многократно отправляла команды на опускание носа с интервалами примерно в 10 секунд. В перерывах между этими автоматизированными командами пилоты, используя кнопки штурвала управления, триммером поднимали нос вверх. В ответ на эти конфликтующие команды позиция горизонтального стабилизатора колебалась с периодом 15-20 секунд. Пилообразное движение продолжалось примерно 20 циклов, но ближе к концу неумолимые автоматизированные команды опускания носа взяли верх над более коротким командами поднятия носа пилотов. В конце концов стабилизатор перешёл в своё максимальное отклонение пикирования вниз и оставался в нём, пока самолёт не врезался в воду.
Угол атаки
Что следует винить в неправильном поведении автоматической системы балансировки по тангажу? Обвинения направлены в сторону MCAS — новой системы серии моделей 737 MAX. MCAS расшифровывается как Maneuvering Characteristics Augmentation System («система расширения манёвренных характеристик») — удивительно многосложное название, не дающее нам никакого понимания о том, что делает эта система. Насколько я понимаю, MCAS — это не аппаратное устройство; в отсеках электронного оборудования самолёта не найти корпуса с маркировкой MCAS. Система MCAS полностью состоит из ПО. Это программа, выполняемая на компьютере.
MCAS имеет всего один функционал. Она предназначена для предотвращения аэродинамического срыва — ситуации, в которой нос самолёта поднят относительно окружающего воздушного потока так высоко, что крылья не могут держать его в воздухе. Срыв немного похож на ситуацию, возникающую, когда велосипедист поднимается на холм, который становится всё более и более крутым: рано или поздно у человека заканчиваются силы, движение велосипеда становится неустойчивым, а затем он скатывается обратно вниз. Пилоты обучены выбираться из срывов, но подобный навык они не практикуют на самолётах, заполненных пассажирами. В коммерческой авиации упор делается на избегании срывов, так сказать, на их предупреждении. У авиалайнеров есть механизмы распознавания надвигающегося срыва и они сообщают об этом пилоту световыми и звуковыми индикаторами, а также вибросигнализатором штурвала (stick shaker). На рейсе 610 штурвал капитана вибрировал почти с самого начала и до конца.
Некоторые самолёты при угрозе срыва не ограничиваются простыми предупреждениями. Если нос судна продолжает подниматься вверх, вмешивается автоматизированная система и опускает его вниз, при необходимости перехватывая у пилота ручное управление. MCAS предназначена именно для этого. Она вооружена и готова к бою при условии соблюдения двух критериев: закрылки убраны (а они выдвинуты только при взлёте и посадке) и самолёт находится в состоянии ручного управления (не автопилота). При соблюдении этих условий система срабатывает, когда аэродинамическая величина, называемая углом атаки (angle of attack, AoA) поднимается до диапазона опасных значений.
Угол атаки — это довольно непонятная концепция, поэтому я нарисую схему:
Схема адаптирована из Review of Research on Angle-of-Attack Indicator Effectiveness Lisa R. Le Vie.
Указанные на рисунке углы — это повороты корпуса воздушного судна относительно оси тангажа — линии, параллельной крыльям, перпендикулярной фюзеляжу и проходящей через центр тяжести самолёта. Если вы сидите в одном ряду с выходом, то есть вероятность, что ось тангажа проходит под вашим сиденьем. Вращение по оси тангажа поднимает и опускает нос. Угол тангажа (Pitch attitude) определяется как угол фюзеляжа относительно горизонтальной плоскости. Угол наклона траектории полёта (flight-path angle) измеряется между горизонтальной плоскостью и вектором скорости летательного аппарата, то есть он показывает, насколько плавно он поднимается или спускается. Угол атаки (Angle of attack) — это разность между углом тангажа и углом наклона траектории полёта. Это угол, под которым воздушное судно движется через окружающий её воздух (если допустить, что сам воздух неподвижен, т.е. отсутствует ветер).
AoA влияет и на подъёмную силу (lift) (направленную вверх и обратную силе гравитации), и на сопротивление (drag) (диссипативную силу, противонаправленную движению вперёд и тяге двигателей). При увеличении AoA выше нуля увеличивается подъёмная сила, потому что воздух сталкивается с нижней частью крыльев и фюзеляжа. Но по той же самой причине увеличивается и сопротивление. При дальнейшем увеличении угла атаки поток воздуха через крылья становится турбулентным; после этого момента подъёмная сила уменьшается, но сопротивление продолжает нарастать. И вот здесь начинается срыв. Критический для срыва угол зависит от скорости, веса и других факторов, но обычно он не больше 15 градусов.
Рейсы Lion Air и Ethiopian не подвергались опасности срыва, поэтому если MCAS активировалась, это должно было произойти по ошибке. По рабочей гипотезе, упоминаемой во многих пресс-релизах, система получала ошибочные данные от сбойного датчика AoA и действовала в соответствии с его показаниями.
Концептуально датчик для измерения угла атаки прост. По сути, это просто флюгер, выдающийся в воздушный поток. На показанной ниже фотографии датчик угла атаки — это небольшой чёрный выступ, расположенный прямо перед надписью 737 MAX. Закреплённый спереди, флюгер поворачивается, выравниваясь относительно локального воздушного потока, и генерирует электрический сигнал, описывающий угол флюгера относительно оси фюзеляжа. У 737 MAX есть два датчика угла атаки, по одному на каждой стороне носа. (Устройства над датчиком AoA — это трубки Пито, используемые для измерения скорости воздуха. Ещё одно устройство под словом MAX — это, скорее всего, датчик температуры.)
Угол атаки не отображался на приборах пилотов Lion Air 737, но бортовой самописец фиксировал сигналы, получаемые от двух датчиков AoA:
И здесь происходит что-то ужасающе неправильное. Левый датчик показывает, что угол атаки примерно на 20 градусов круче, чем на правом датчике. Это огромное расхождение. Эти два отдельных показателя никаким реалистичным образом не могли бы отражать истинное состояние движения самолёта в воздухе: левая сторона носа показывала, что он направлен в небо, а правая сторона — что он примерно горизонтален. Одни из измерений должны быть ошибочными, и под подозрение попадают более высокие. Если бы истинный угол атаки достиг 20 градусов, то самолёт уже находился бы в состоянии глубокого срыва. К сожалению, MCAS рейса 610 считывала данные только с левого датчика AoA. Она интерпретировала эти бессмысленные измерения как верный показатель положения самолёта, и неутомимо пыталась исправить их вплоть до самого момента столкновения рейса с водой.
Автоматизация кокпита
Трагедии в Джакарте и Аддис-Абебе превратились в предостерегающую историю об опасности излишней автоматизации, при которой компьютеры узурпируют власть пилотов. Washington Post заявила:
Вторая фатальная авиакатастрофа с участием Boeing 737 MAX 8 может быть следствием борьбы человека и машины. Этот провал показывает, что регулирующим органам следует внимательнее исследовать системы, забирающие управление у людей, когда на кону стоит безопасность.
Бельгийский журналист Том Дьюзаер, часто пишущий статьи об авиации и вычислениях, предлагает следующее мнение:
Нельзя отрицать того, что у Boeing рейса JT610 были серьёзные компьютерные проблемы. А в высокотехнологичном компьютеризированном мире производителей самолётов, в котором роль пилота часто сведена к нажиманию кнопок и пассивному наблюдению, такие инциденты в будущем вполне могут участиться.
В особенном гневе пилоты, нажимающие кнопки. Пилот и разработчик ПО Грегори Трэвис подытожил свои чувства кратким комментарием:
«Подними нос, HAL».
«Прости, Дэйв, боюсь, я не могу этого сделать».
Даже Дональд Трамп написал твит по этой теме:
Самолёты становятся слишком сложными, чтобы управлять ими. Им теперь нужны не пилоты, а компьютерные учёные из MIT. Я наблюдаю такую картину со многими продуктами. Всегда есть стремление сделать ещё один необязательный шаг вперёд, хотя часто старые и более простые решения намного лучше. Необходимо принимать решения за доли секунды, а сложность создаёт угрозу. Всё это требует огромной цены, но даёт очень мало. Не знаю как вы, а я не хотел бы, чтобы моим пилотом был Альберт Эйнштейн. Мне нужны отличные профессионалы, имеющие возможность быстро и просто брать на себя управление самолётом!
В жалобах на чрезмерную автоматизированность 737 есть значительная ирония; во многих аспектах этот самолёт на самом деле на удивление старомоден. Основа конструкции была создана более 50 лет назад, и даже в последних моделях MAX сохраняется довольно много технологий 1960-х годов. Основные органы управления в нём гидравлические, паутина труб под высоким давлением проходит непосредственно от штурвалов управления в кабине экипажа к элеронам, рулю высоты и рулю управления. Если гидравлические системы откажут, то остаётся полностью механическая резервная система из тросов и блоков для контроля различных плоскостей управления. Основным движителем триммера стабилизатора является электродвигатель, но у него есть механическая замена с ручным маховиком, тянущим тросы, проходящие до самого хвоста.
Намного более зависимо от компьютеров и электроники другое воздушное судно. Основной конкурент 737, Airbus A320 — это средство передвижения, в котором принцип электронного управления реализован всесторонне. Пилот управляет компьютером, а компьютер управляет самолётом. Пилот выбирает, куда двигаться — вверх, вниз, вправо или влево — но компьютер решает, как этого достичь, какие плоскости управления нужно отклонить и насколько. В более современных моделях Boeing — 777 и 787 — тоже используется цифровое управление. На самом деле, последние модели обеих компаний сделали ещё один шаг от «управления по проводам» к «управлению по сети». Основная часть передачи данных от датчиков к компьютерам, а затем к плоскостям управления состоит из цифровых пакетов, отправляемых по одной из версий сети Ethernet. Самолёт — это периферия компьютера.
Так что если вы хотите посокрушаться об опасностях и оскорблении пилотов, вызванных автоматизацией самолётов, то 737 — не самый очевидная цель. А луддитская кампания по уничтожению всей авионики и возврату власти пилотам будет опасно ошибочной реакцией на текущую ситуацию. Нет никаких сомнений, что у 737 MAX есть критическая проблема. Это вопрос жизни и смерти для тех, кто будет на них летать, а возможно и для компании Boeing. Но проблема началась не с MCAS. Она началась с предыдущих решений, сделавших MCAS необходимой. Более того, проблема может не решиться способом, предложенным Boeing — программным обновлением, ограничивающим возможности MCAS и оставляющим пилотам больше полномочий.
Выжимаем из 737 максимум
Первых пассажиров 737 начал перевозить в 1968 году. Он был (и по-прежнему остаётся) самым маленьким реактивным авиалайнером из семейства Boeing, а также самым популярным. Продано более 10 тысяч экземпляров, и у Boeing есть заказы ещё на 4 600. Разумеется, на протяжении этих лет в самолёт вносились изменения, в особенности они коснулись двигателей и приборов. Обновлённая модель 1980-х стала известной под названием 737 Classic, а модель 1997 года называется 737 NG (next generation, «следующее поколение»). (Теперь, после выпуска MAX, модель NG превратилась в предыдущее поколение.) Но несмотря на все эти модификации, основная структура планера практически не изменилась.
Десять лет назад казалось, что 737 наконец достиг конца своей жизни. Boeing объявила, что приступит к разработке совершенно новой конструкции ему на замену, корпус которой будет изготовлен не из алюминия, а из лёгких композитных материалов. Разумеется, конкуренция внесла свои коррективы. У Airbus было преимущество в виде A320neo, обновлённой модели, которая при выпуске в том же сегменте рынка будет обладать более эффективными двигателями. Модифицированный Airbus должен был выйти примерно в 2015 году, в то время как разработка проекта Boeing с нуля заняла бы десяток лет. Возникла угроза оттока клиентов. В частности, давний преданный партнёр Boeing, компания American Airlines проводила переговоры о большом заказе A320neo.
В 2011 году Boeing отказался от плана по созданию совершенно нового дизайна и решил сделать то же, что и Airbus: прицепить к старому планеру новые двигатели. Это позволило бы отказаться от бОльшей части предварительного конструирования, а также от необходимости строительства предприятий для оснастки и производства. Проверки и сертификация FAA (Федерального управления гражданской авиации США) тоже бы ускорились, и первые поставки можно было бы начать спустя пять-шесть лет, не слишком опоздав от Airbus.
Модель 737-800 (выпускавшаяся до MAX) сжигает за час полёта примерно 800 галлонов авиатоплива (3 тыс. литров). То есть затраты составляют примерно 2 000 долларов при цене 2,50 доллара за галлон. Если самолёт летает 10 часов в день, то ежегодно он тратит 7,3 миллиона долларов. Четырнадцать процентов от этой суммы — более 1 миллиона долларов.
Обещалось, что новые двигатели 737 обеспечат эффективность потребления топлива на 14 процентов, что позволит авиакомпании экономить по миллиону долларов эксплуатационных расходов в год. БОльшая экономия топлива также увеличит дальность полёта самолёта. И чтобы подсластить сделку, Boeing предложила оставить неизменной такую часть планера, чтобы новая модель могла эксплуатироваться с теми же «типовыми свидетельствами», что и старая. Пилот, получивший допуск на управление 737 NG, мог взять управление MAX без длительного повторного обучения.
У первой модели 737 1960-х годов было два сигарообразных двигателя, длинных и узких, расположенных под крыльями (на фото выше слева). С тех пор реактивные двигатели стали толстыми и короткими. Они получают больше тяги не от реактивного выхлопа из выходной трубы, а от воздушного потока в наружном контуре, перемещаемого вентилятором большого диаметра. При монтаже под крыльями 737 такие двигатели бы царапались о землю; поэтому они установлены на пилоны, которые выведены вперёд от переднего края крыла. Двигатели на моделях MAX (на фото выше справа) — самые толстые из существующих, а их вентилятор имеет диаметр 69 дюймов (175 см). По сравнению с серией NG, двигатели MAX отодвинуты на несколько дюймов вперёд и висят на несколько дюймов ниже.
В статье New York Times, написанной Дэвидом Геллсом, Натали Китроеф, Джеком Никасом и Ребеккой Р. Руис, разработка этого самолёта описывается как поспешная и сумбурная.
Опаздывая от Airbus на месяцы, Boeing вынуждена была навёрстывать упущенное. По словам бывших и нынешних сотрудников, общавшихся с The New York Times, темп работы над 737 Max был безумным… Бывшие сотрудники утверждают, что инженеров заставляли принимать технические чертежи и конструкции примерно вдвое быстрее обычного.
В статье Times также замечается: «Хоть проект и был сумбурным, нынешние и бывшие сотрудники говорят, что они завершили его, будучи уверенными в безопасности самолёта».
Неустойчивость по тангажу
На каком-то этапе разработки серии MAX компания Boeing обнаружила неприятный сюрприз. При определённых условиях полёта новые двигатели вызывали нежелательное повышение угла тангажа. Когда я впервые прочитал об этой проблеме вскоре после катастрофы рейса Lion Air, я нашёл следующие объяснение в статье Шона Бродерика и Гая Норриса в Aviation Week and Space Technology (Nov. 26–Dec. 9, 2018, pp. 56–57):
Как и во всех турбовениляторных авиалайнерах, в которых линии тяги двигателей проходят ниже центра тяжести, любые изменения тяги 737 будут приводить к изменениям угла наклона траектории полёта, вызванным вертикальной компонентой тяги.
Другими словами, низковисящие двигатели не только толкают самолёт вперёд, но и имеют склонность к вращению его относительно оси тангажа. Это похоже на мотоцикл, делающий трюк с ездой на заднем колесе. Так как двигатели MAX монтируются ещё ниже и перед центром тяжести, они действуют как достаточно длинное плечо рычага и вызывают гораздо более серьёзные движения увеличения тангажа.
Я обнаружил более подробное описание этого эффекта в более ранней статье Aviation Week, отчёте пилота Фреда Джорджа за 2017 год, в котором описывается его первый полёт за штурвалом нового MAX 8.
Летательный аппарат имеет достаточную естественную стабильность скорости в большинстве режимов полёта. Но с учётом целых 58 000 фунтов тяги, обеспечиваемых двигателями, расположенными сильно ниже центра тяжести, при низких скоростях присутствует отчётливая связь тяги и тангажа, особенно при задней центровке и низком общем весе. Boeing оснащает самолёт функцией повышения стабильности скорости, позволяющей компенсировать связь автоматическим отклонением горизонтального стабилизатора в соответствии с показателями скорости, положением рычага управления двигателем и центра тяжести. Тем не менее, пилоты должны знать об эффекте влияния изменения тяги на момент тангажа и противодействовать ему с помощью штурвала управления и триммера руля высоты.
Упоминание «функции повышения», выполняющей «автоматическое отклонение горизонтального стабилизатора» кажется ужасно знакомым, но оказывается, что это не MCAS. Система, компенсирующая связь тяги и тангажа называется speed-trim. Как и MCAS, она работает «без ведома» пилота, внося изменения в плоскости управления без непосредственных команд. Существует ещё одна подобная система, называющаяся mach-trim, которая без предупреждений корректирует другую аномалию тангажа, возникающую при достижении самолётом околозвуковых скоростей, около 0,6 Маха. Ни одна из этих систем не были новинкой серии MAX; они были частью алгоритма управления как минимум с выпуска в 1997 году серии NG. MCAS выполняется на том же компьютере, что и speed-trim с mach-trim, и является частью той же программной системы, но отдельной её функцией. И согласно тому, что я читал за последние несколько недель, она призвана решать другую проблему, которая кажется гораздо более зловещей.
У большинства летательных аппаратов есть удобное свойство статической стабильности. Когда самолёт правильно выровнен для горизонтального полёта, то можно отпустить штурвал — по крайней мере, на время — и он продолжит двигаться по стабильной траектории. Более того, если потянуть штурвал на себя, чтобы поднять нос вверх, а затем снова его отпустить, то угол тангажа вернётся к нейтральному. Расположение различных аэродинамических поверхностей самолёта учитывает такое поведение. Когда нос поднимается, хвост опускается, толкая нижнюю часть горизонтального стабилизатора в воздушный поток. Давление воздуха на эту поверность хвоста обеспечивает создание восстанавливающей силы, возвращающей хвост вверх, а нос вниз. (Именно поэтому он и называется стабилизатором!) Эта петля отрицательной обратной связи встроена в конструкцию самолёта, поэтому любое отклонение от равновесия создаёт силу, препятствующую его нарушению.
Однако поверхность хвоста с её полезным свойством стабилизации — это не единственная конструкция, влияющая на равновесие аэродинамических сил. Реактивные двигатели не рассчитаны на то, чтобы придавать самолёту подъёмную силу, но при больших углах атаки они могут её создавать, потому что воздушный поток сталкивается с нижней поверхностью внешней оболочки каждого из двигателей (мотогондолой). Когда двигатели находятся сильно впереди от центра тяжести, подъёмная сила создаёт момент кручения, повышающий тангаж. Если этот момент превышает уравновешивающую силу от хвоста, то самолёт становится нестабильным. Положение носом вверх создаёт силы, ещё больше поднимающие нос, и побеждает положительная обратная связь.
Подвержен ли 737 MAX подобным увеличениям угла тангажа? Эта вероятность не была мне очевидна, пока я не прочитал на техническом сайте Boeing 737 комментарий о MCAS — веб-публикацию, написанную бывшим пилотом 737 и лётчиком-инструктором Крисом Брэди. Он пишет:
MCAS — это система усовершенствования продольной устойчивости. Она нужна не для предотвращения срыва и не для того, чтобы MAX управлялся так же, как NG; она была введена для противодействия нелинейной подъёмной силе, вызываемой мотогондолами двигателя LEAP-1B и создаёт стабильное повышение усилия на штурвале при увеличении AoA. Двигатели LEAP больше и расположены выше и ближе к передней части, чем старые двигатели NG CFM56-7, чтобы обеспечить пространство для более крупных вентиляторов. Это новое расположение и размер мотогондолы вызывают турбулентный поток у корпуса мотогондолы и создают при высоких AoA подъёмную силу; так как мотогондола расположена впереди от центра тяжести, эта подъёмная сила вызывает небольшой эффект увеличения угла тангажа (т.е. снижает усилие на штурвале), что может привести к тому, что пилот ещё больше увеличит тянущее усилие на штурвале и приблизит самолёт к срыву. Такая нелинейная/снижающая усилие на штурвале сила в соответствии с FAR §25.173 «Static longitudinal stability» недопустима. (FAR — Федеральные авиационные правила (Federal Air Regulations). В части 25 указаны нормы лётной годности для самолётов транспортной категории). Поэтому была создана MCAS, обеспечивающая команды стабилизатора на опускание носа при резких поворотах с повышенными коэффициентами нагрузки (высоким AoA) и во время полётов с закрытыми закрылками при скоростях, близких к возникновению срыва.
Брэди не поддерживает свои утверждения никакими источниками, и насколько я знаю, Boeing не подтвердила и не опровергла это заявление. Но упомянутая выше Aviation Week, на который я ссылался, объясняя связь тяги и тангажа, в более новом выпуске (за 20 марта) поддержала гипотезу нестабильности подъёмной силы, вызываемой мотогондолами:
Более крупные двигатели MAX CFM Leap 1 создают бОльшую подъёмную силу при высоких AOA и обеспечивают воздушному судну более высокий момент увеличения угла тангажа, чем NG с двигателями CFM56-7. MCAS была добавлена из-за требований сертификации для того, чтобы минимизировать различия в управлении между MAX и NG.
Если предположить, что точка зрения Брэди верна, то возникает интересный вопрос: когда именно компания Boeing заметила нестабильность? Были ли конструкторы в курсе этой опасности с самого начала проекта? Проявилась ли она во время компьютерных симуляций, или во время испытаний в аэродинамических испытаний на моделях в масштабе? История Доминика Гейтса в Seattle Times даёт нам намёк на то, что Boeing могла и не осознавать серьёзность проблемы до лётных испытаний первого экземпляра самолёта, начавшихся в 2015 году.
По данным Гейтса, в переданном Boeing управлению FAA протоколе анализа безопасности указано, что MCAS будет иметь возможность перемещать горизонтальный стабилизатор не более чем на 0,6 градуса. В самолёте, выпущенном на рынок, MCAS может отклонять его на целых 2,5 градуса, и способна действовать многократно, пока не достигнет механического предела движения примерно в 5 градусов. Гейтс пишет:
Этот предел в дальнейшем был увеличен, потому что лётные испытания показали, что для избежания срыва на высоких скоростях требуется более сильное перемещение хвоста, когда самолёт находится под угрозой потери подъёмной силы и снижения по спирали.
Поведение самолёта в случае срыва при высоком угле атаки сложно смоделировать аналитически, поэтому в процессе выполнения лётчиками-испытателями процедур выхода из срыва на новом самолёте часто выполняется настройка ПО управления для улучшения характеристик реактивного летающего аппарата.
Похоже, что нестабильность MAX при высоких AoA является свойством аэродинамической формы всего воздушного судна, и непосредственным способом его подавления было бы изменение этой формы. Например, для восстановления статической стабильности можно увеличить поверхность хвоста. Но подобные модификации планера замедлили бы выпуск самолёта, особенно с учётом того, что их необходимость была обнаружена уже после полётов первых прототипов. Кроме того, конструктивные изменения могли подвергнуть угрозе возможность полётов на новой модели с лётными правами старого типа. Должно быть, изменение ПО вместо модификации алюминиевой конструкции показалось привлекательной альтернативой. Возможно, мы когда-нибудь узнаем, как было принято это решение.
Кстати, по данным Гейтса, переданный FAA документ с анализом безопасности, в котором указан предел в 0,6 градуса, должен быть пересмотрен, чтобы он отражал истинный диапазон возможных команд MCAS.
Полёт в условиях нестабильности
Нестабильность не обязательно является «чёрной меткой» для самолёта. В истории было как минимум несколько успешных нестабильных конструкций, начиная с Wright Flyer 1903 года. Братья Райт намеренно поставили горизонтальный стабилизатор перед крылом, а не за ним, потому что их предыдущие эксперименты с воздушными змеями и планерами показали: то, что мы называем стабильностью, можно также назвать и неповоротливостью. Передние плоскости управления Flyer (называемое передним горизонтальным управлением) усиливали любые незначительные движения носа вверх и вниз. Сохранение стабильного тангажа требовало от пилота высокой концентрации, но в то же время позволяло самолёту реагировать быстрее, когда пилот хотел увеличить или уменьшить тангаж. (Плюсы и минусы подобной конструкции рассмотрены в статье 1984 года Фреда Е.С. Кулика и Генри Р. Джекса.)
Орвилл управляет, Уилбур бежит рядом, Китти-Хок, 17 декабря 1903 года. На этом снимке мы видим самолёт со стороны хвоста. Переднее горизонтальное управление — двойные регулируемые горизонтальные поверхности впереди — похоже, должно вызвать поднятие носа. (Фотография WikiMedia.
Ещё одним серьёзно нестабильным воздушным судном был Grumman X-29, исследовательская платформа, сконструированная в 1980-х. Крылья X-29 были расположены сзади; хуже того, основные плоскости для управления тангажом установлены спереди крыльев, как и во Wright Flyer.
Целью этого странного проекта было исследование конструкций чрезвычайной вёрткости, жертвующих статической стабильностью ради более быстрого маневрирования. Ни один пилот без поддержки не мог бы справиться с подобным дёрганым транспортным средством. Для него требовалась цифровая система электронного управления, сэмплировавшая состояние и регулировавшая плоскости управления с частотой до 80 раз в секунду. Контроллер был успешным, возможно, даже слишком. Он позволял самолёту безопасно летать, но укрощая нестабильность, он оставлял самолёту довольно ограниченные характеристики управления.
Я лично имел некоторую связь с проектом X-29. В 1980-х я непродолжительное время работал редактором с членами группы в Honeywell, которые разрабатывали и создавали систему управления X-29. Я помогал готовить публикации по правилам управления, а также способствовал их реализации в оборудовании и ПО. Этот опыт дал мне достаточно информации, чтобы понять, что в MCAS есть нечто странное: она слишком медленная для подавления аэродинамической нестабильности реактивного воздушного судна. В то время как контроллер X-29 имел время реакции 25 миллисекунд, MCAS требовалось 10 секунд на перемещение стабилизатора 737 на 2,5 градусов. При таком темпе система, вероятно, не могла бы справиться с силами, поднимающими нос вверх в петле положительной обратной связи.
Этому есть простое объяснение. MCAS не должна была управлять нестабильным самолётом. Она должна была ограничивать его от входа в режим, в котором тот становится нестабильным. Та же стратегия используется другими механизмами предотвращения срыва — они вмешиваются ещё до того, как угол атаки достигнет критической точки. Однако, если Брэди прав насчёт нестабильности 737 MAX, то эта задача становится для MCAS более насущной. Нестабильность подразумевает резкий и опасный спуск. MCAS — это дорожное ограждение, возвращающее вас обратно на дорогу, когда вы готовы сорваться на машине с утёса.
Что приводит нас к вопросу о заявленном Boeing плане устранения проблемы MCAS. По сообщениям, модифицированная система не будет активировать себя столь неуклонно и будет автоматически отключаться, если обнаружит большую разницу между показаниями двух датчиков AoA. Эти изменения должны предотвратить повторение недавних аварий. Но обеспечивают ли они адекватную защиту против той неисправности, которой должна была заниматься MCAS в первую очередь? При отключении MCAS, ручном или автоматическом, ничто не остановит опрометчивого или введённого в заблуждение пилота от перехода в ту часть области режимов полёта, в котором MAX становится нестабильным.
Без дополнительной информации от Boeing нельзя сказать, насколько серьёзной может быть нестабильность, если она и в самом деле существует. В статье Брэди на техническом сайте Boeing 737 утверждается, что проблема частично вызвана пилотами. В обычном состоянии для длительного поднятия носа необходимо всё сильнее и сильнее тянуть на себя штурвал управления. Однако в области нестабильности сопротивление тянущему усилию внезапно падает, поэтому пилот может нечаянно потянуть штурвал в более крайнее положение.
Является ли воздействие человека необходимой частью возникновения нестабильности, или это просто усиливающий фактор? Другими словами, если убрать пилота из петли обратной связи, будет ли положительная обратная связь по-прежнему вызывать неудержимое поднятие носа вверх? Пока ответа я не нашёл.
Ещё один вопрос: если корнем проблемы является обманчивое изменение силы, сопротивляющейся движениям штурвала, поднимающим нос вверх, то почему бы не решать непосредственно эту проблему?
Загрузочный механизм руля высоты передаёт на штурвал управления пилота «фальшивые» силы. Рисунок взят из презентации элементы управления полётом B737 NG автора theoryce. Презентация создана для серии 737 NG, а не MAX; возможно, архитектура поменялась.
В 737 (и большинстве других больших воздушных судов) сила, «ощущаемая» пилотом через штурвал управления, не является простым отражением аэродинамических сил, действующих на руль высоты и другие плоскости управления. Силы обратной связи в основном синтезированные, они генерируются загрузочным механизмом руля высоты (elevator feel and centering unit) — устройством, которое отслеживает состояние самолёта и генерирует соответствующие гидравлические давления, толкающие штурвал в ту или иную сторону. Этим системам можно было дать дополнительную задачу по поддержанию или увеличению тянущей силы на штурвале, когда угол атаки приближается к значениям нестабильности. Искусственно усиленное сопротивление и так уже является частью системы предупреждения срывов. Почему бы не расширить её и на MCAS? (Возможно, на это есть разумный ответ, но я его не знаю.)
Где у него кнопка выключения?
Даже после произвольного включения MCAS на Lion Air 610 крушения и жертв можно было избежать, если бы пилоты просто отключили эту штуку. Но почему они этого не сделали? Похоже, что они никогда не слышали об MCAS, не знали, что она установлена на управляемом ими самолёте, и не получили никаких инструкций о том, как её отключить. В кабине пилотов нет переключателей или кнопок с пометкой «MCAS ВКЛ./ОТКЛ.» Система не упоминается в руководстве по лётной эксплуатации (за исключением списка аббревиатур), и не проводилось никаких переходных тренировочных программ для пилотов, переключившихся с 737 NG на MAX. Обучение состояло из одного или двух часов (сведения разнятся) работы с приложением для iPad.
Объяснения этих упущений компанией Boeing приводятся в истории Wall Street Journal:
Одно из высокопоставленных официальных лиц Boeing сообщило, что компания решила не разглашать экипажам подробностей из-за опасений перегрузки обычных пилотов слишком большим объёмом информации, а также значительно большим количеством технических данных, чем они бы могли усвоить.
Назвать это заявление «лицемерным» — значит ничего не сказать. Оно просто абсурдно. Boeing не просто утаила «подробности», она в принципе не упомянула о самом существовании MCAS. А аргумент о «слишком большом объёме» попросту глуп. У меня нет руководства по лётной эксплуатации MAX, но в редакции для NG содержится более 1300 страниц, плюс ещё 800 страниц краткого справочного руководства. Несколько параграфов про MCAS не перегрузили бы пилота, который уже освоил руководство по эксплуатации. Более в руководстве подробно описаны системы speed-trim и mach-trim, которые скорее всего относятся к одной категории с MCAS: они действуют автономно и не предоставляют пилоту непосредственного интерфейса для отслеживания и регулирования.
Вследствие инцидента с Lion Air компания Boeing заявила, что процедура отключения MCAS была прописана в руководстве, хотя сама MCAS там и не упоминается. Эта процедура указана в карте устранения проблемы «выхода из под контроля триммера стабилизатора». Она не очень сложна: нужно держаться за штурвал, отключить автопилот и автоматы тяги, если они включены; затем, если проблема не устранена, повернуть два переключателя, помеченные как «STAB TRIM», в положение «CUTOUT». В случае неисправности MCAS на самом деле важен был только последний шаг.
Эта контрольная карта является «действием по памяти»; пилоты должны уметь выполнять эти шаги, не глядя в руководство. Экипаж Lion Air совершенно точно должен был знаком с ней. Но мог ли он понять, что нужно применить именно эту карту в самолёте, поведение которого не походило на то, что они видели при обучении и в полётах на предыдущей модели 737? Согласно руководству, условием, при котором нужно было воспользоваться картой устранения проблемы триммера стабилизатора, было «постоянное самопроизвольное движение триммера стабилизатора». Команды MCAS были не постоянными, а повторяющимися, поэтому для диагностирования проблемы нужно было сделать скачок в рассуждениях.
Ко времени аварии Ethiopian пилоты 737 по всему миру знали о MCAS и процедуре её отключения. В предварительном отчёте, выпущенном в начале месяца Ethiopian Airlines, показано, что через несколько минут борьбы с штурвалом управления пилоты рейса 302 всё-таки воспользовались процедурой из контрольной карты и повернули переключатели STAB TRIM в положение CUTOUT. После этого стабилизатор прекратил реагировать на команды MCAS об опускании носа, но пилотам не удалось вернуть себе управление самолётом.
Полностью пока не ясно, почему они потерпели неудачу и что происходило в кабине пилотов последние несколько минут. Один из возможных факторов заключается в том, что переключатель Cutout отключает не только автоматические движения триммера тангажа, но и ручные, которые управляются кнопками на штурвале управления. Переключатель отключает всё питание электродвигателя, двигающего стабилизатор. В такой ситуации единственным способом перемещения триммера является поворот ручных маховиков, расположенных рядом с коленями пилотов. Во время кризиса рейса 302 этот механизм мог быть слишком медленным для корректирования угла вовремя, или пилоты были слишком сосредоточены на оттягивании штурвала назад с максимальной силой, что не попытались воспользоваться ручными маховиками. Также возможно, что они повернули переключатели обратно в положение NORMAL, восстановив подачу питания на двигатель стабилизатора. В отчёте такая возможность не упоминается, но на неё намекает график из бортового самописца (см. ниже).
Компонент, приводящий к отказу всей системы
Можно спорить о том, хорошей ли идеей является MCAS при её правильной работе, но когда она включается ошибочно и направляет самолёт в море, то никто не осмелится её защищать. Судя по всему, неконтролируемое поведение в катастрофах Lion Air и Ethiopian было вызвано неисправностью единственного датчика. В авиации такого происходить не должно. Невозможно объяснить, почему какой-то из производителей летательных аппаратов намеренно бы создал самолёт, в котором отказ единственной детали привёл бы к смертельной аварии.
Защита от одиночных сбоев обеспечивается избыточностью, и в конструкции 737 настолько полностью воплощён этот принцип, что машину практически можно считать двумя самолётами в одном корпусе.
В воздушных судах, которые используют автоматизацию в большем объёме, все элементы (датчики, компьютеры, приводы) обычно дублируются трижды.
В кабине есть места для двух пилотов, смотрящих на два разных комплекта приборов и использующих отдельные комплекты элементов управления. Левая и правая панели приборов получают сигналы от разных наборов датчиков, сигналы которых обрабатываются разными компьютерами. С каждой стороны кабины есть собственная инерциальная система управления, собственный навигационный компьютер, собственный автопилот. В самолёте два источника электропитания и две гидравлические системы, плюс механические резервные системы на случай двойного отказа пневматики. Два штурвала управления в обычном состоянии движутся в унисон — под полом они соединены — но если один штурвал застрянет, то это соединение можно разорвать, что позволит второму пилоту продолжить управление самолётом.
В этом перечне дублирующих друг друга систем есть одно исключение: похоже, особого отношения удостоилось устройство под названием «компьютер управления полётом» (flight control computer, FCC). На борту два FCC, но согласно информации технического сайта Boeing 737 на каждом рейсе работает только один из них. Все другие дублируемые компоненты работают параллельно, получают независимые входящие команды, выполняют независимые вычисления и передают независимые командные действия. Но в каждом полёте всю работу выполняет только один FCC, а второй находится в режиме простоя. Схема выбора активного компьютера выглядит до странности произвольной. Каждый день, при включении питания самолёта, FCC в левой части получает управление в первом рейсе, затем устройство в правой части берёт управление во втором рейсе дня, и так две стороны попеременно меняются вплоть до отключения питания. После повторного включения питания попеременное использование начинается снова с левого FCC.
Меня удивляют многие аспекты такой схемы. Я не понимаю, почему к дублируемым устройствам FCC отношение иное, чем к другим компонентам. Если один FCC выйдет из строя, перехватит ли автоматически управление второй? Могут ли пилоты переключаться между ними в полёте? Если да, то будет ли это эффективным способом борьбы с неисправностью MCAS? Я попытался найти ответы в руководствах, но не могу доверять своим интерпретациям прочитанного.
Кроме того, у меня возникли большие сложности с поиском информации о самом FCC. Я не знаю, кто его производит, как он выглядит и как программируется.
На веб-сайте Closet Wonderfuls предмет под названием «737 flight control computer» продаётся за 43,82 доллара с бесплатной доставкой. На веб-сайте Airframer есть списки многих поставщиков деталей и материалов для 737, но сведений о компьютере управления полётом там нет. На устройстве есть шильдик Honeywell. У меня было искушение купить устройство с сайта Closet Wonderfuls, но я практически уверен, что в последних моделях MAX установлено не такое устройство. Я узнал, что раньше FCC назывался FCE (flight control electronics, «электроника управления полётом»), и из этого можно понять, что устройство было аналоговым, оно выполняло интегрирование и дифференцирование с помощью конденсаторов и резисторов. Я уверен, что сегодня FCC догнал нашу цифровую эпоху, но это может быть специализированным оборудованием, выполненным по особому заказу. Или стандартным процессором Intel в необычной упаковке, возможно, даже работающим под Linux или Windows. Я просто не знаю.
В контексте катастроф MAX компьютер управления полётом важен по двум причинам. Во-первых, в нём находится MCAS; это компьютер, в котором запущено ПО MCAS. Во-вторых, любопытная процедура попеременного выбора FCC на каждом рейсе тоже повлияла на то, какой датчик AoA передавал входящие данные в MCAS. Левый и правый датчики присоединены к соответствующим FCC.
Если два FCC используются попеременно, это вызывает интересный вопрос об истории самолёта, потерпевшего крушение в Indonesia. Предварительный отчёт о катастрофе описывает проблемы с различными приборами и элементами управления на пяти рейсах на протяжении четырёх дней (в том числе и на рейсе, завершившемся аварией). Все проблемы возникали с левой стороны авиалайнера или вызывались рассогласованием между левой и правой сторонами.
Рейс во второй строке (Manado → Denpasar) не упомянут в предварительном отчёте, но самолёт должен был вылететь из Манадо в Денпасар, чтобы выполнить рейс на следующий день.
Дата | Маршрут | Отчёты о проблемах | Техобслуживане |
---|---|---|---|
26 октября | Tianjin → Manado | левая сторона: нет показаний скорости воздушного потока и высоты | проверить левый компьютер управления срывами и стабилизации угла рыскания; выполнено |
? | Manado → Denpasar | ? | ? |
27 октября | Denpasar → Manado | левая сторона: нет показаний скорости воздушного потока и высоты; предупреждающие индикаторы speed-trim и mach-trim | проверить левый компьютер управления срывами и стабилизации угла рыскания; сбой; выполнить сброс устройства данных о воздушной обстановке и инерциальной системы отсчёта; выполнить повторную проверку левого компьютера управления срывами и стабилизации угла рыскания; выполнено; зачистить электрические контакты |
27 октября | Manado → Denpasar | левая сторона: нет показаний скорости воздушного потока и высоты; предупреждающие индикаторы speed-trim и mach-trim; отсоединение автомата тяги | проверить левый компьютер управления срывами и стабилизации угла рыскания; сбой; выполнить сброс устройства данных о воздушной обстановке и инерциальной системы отсчёта; заменить левый датчик AoA |
28 октября | Denpasar → Jakarta | предупредительный сигнал о рассогласовании показаний скорости воздушного потока и высоты левой и правой сторон: вибросигнализатор штурвала [активация MCAS] | продуть левую трубку Пито и приёмник статических давлений; зачистить электрические контакты на вычислителе положения руля высоты |
29 октября | Jakarta → Pangkal Pinang | вибросигнализатор штурвала [активация MCAS] |
В каких из пяти полётов активным компьютером был левый FCC? Последние два, когда активировалась MCAS, были первыми рейсами дня, поэтому предположительно ими управлял левый FCC. Насчёт остальных сложно сказать, особенно потому, что за операциями техобслуживания могли следовать полные отключения питания самолёта, после которых последовательность попеременного использования компьютеров должна начинаться сначала.
Сообщается, что модернизированное ПО MCAS будет учитывать сигналы с обоих датчиков AoA. Что оно будет делать с дополнительной информацией? Пока опубликовано только одно упоминание: если показания разнятся больше, чем на 5,5 градусов, то MCAS будет отключаться. А что если показания отличаются на 4 или 5 градусов?
Примечание: в недавней статье Даниэля Оссманна из Германского центра авиации и космонавтики обсуждается вопрос алгоритмического обнаружения сбоев датчиков AoA.
Как MCAS будет выбирать датчик, которому нужно доверять? Консервативная (или пессимистичная) инженерная практика должна отдавать предпочтение более высоким показаниям, чтобы обеспечить улучшенную защиту от нестабильности и срыва. Но этот выбор также повышает риск опасных «исправлений», вызванных неисправным датчиком.
Нынешняя система MCAS с попеременным выбором левого и правого датчика имеет 50-процентную вероятность катастрофы в случае, когда один случайный сбой заставляет датчик AoA передавать ошибочно высокие данные. В случае такого же случайного сбоя с одной стороны в обновлённой MCAS будет 100-процентная вероятность игнорирования попыток пилота перейти в область срыва. Разве это усовершенствование?
Сломанный датчик
Хоть неисправный датчик и не должен приводить к аварии самолёта, мне всё равно хотелось бы знать, что случилось со флюгером AoA.
Никого не удивляет, что датчики AoA могут оказаться неисправными. Это механические устройства, работающие в агрессивной среде: ветра, превышающие 500 миль в час и температуры ниже –40 градусов Цельсия.
Распространённым видом неисправности является застрявший датчик, что часто вызвано оледенением (несмотря на наличие встроенного противообледенительного нагревателя). Но неподвижный флюгер будет передавать постоянные данные, не зависящие от реального угла атаки, а на рейсе 610 наблюдались другие симптомы. Бортовой самописец показывает небольшие колебания сигналов левого и правого приборов. Более того, колебания двух кривых близко выровнены, и это даёт нам понять, что они оба отслеживали одинаковые движения самолёта. Другими словами, похоже, что левый датчик работал; он просто передавал измерения, смещённые на постоянную величину, примерно равную 20 градусам.
Существует ли какой-то другой вид сбоя, способный создавать наблюдаемое смещение? Разумеется: достаточно всего лишь согнуть флюгер на 20 градусов. Возможно, его задел проезжавший мимо грузовик или трап. Ещё одна догадка: датчик мог быть неверно установлен, и всё устройство оказалось повёрнутым на 20 градусов. Несколько авторов на веб-сайте Professional Pilots Rumour Network изучили эту возможность, но в конце концов заключили, что это невозможно. Производитель, вне сомнений знавший о такой опасности, расположил крепёжные винты и центровочные штифты асимметрично, поэтому устройство можно было установить в отверстие корпус единственным образом.
Тот же эффект можно получить при ошибке сборки во время производства датчика. Флюгер мог быть неправильно прикреплён к валу, или же мог быть неверно закреплён внутренний преобразователь, превращающий угловое положение в электрический сигнал. Обеспечили ли конструкторы невозможность таких ошибок? Я не знаю, мне не удалось найти чертежей или фотографий внутренностей датчика.
Изучая другие возможные причины сбоя, я вкратце просмотрел нормы лётной годности FAA, применяемые при техобслуживании или замене датчиков AoA. Я обнаружил, что их несколько десятков, и в некоторых из них описывается тот же датчик, установленный на 737 MAX (Rosemount 0861). Но ни в одном из прочитанных мной отчётов не описывается неисправность, способная вызвать постоянную ошибку в 20 градусов.
Какое-то время я думал, что сбой, возможно, произошёл не в самом датчике, а где-то дальше по каналу передачи данных. Это могло быть нечто простое, например, неисправный кабель или контакт. Сигналы от датчика AoA передаются в устройство данных о воздушной обстановке и инерциальной системы отсчёта (Air Data and Inertial Reference Unit, ADIRU), в котором компоненты синуса и косинуса комбинируются и оцифровываются для получения числа, представляющего измеренный угол атаки. Также ADIRU получает входящие данные от других датчиков, в том числе от трубок Пито, измеряющих скорость воздушного потока, и от приёмников статического давления, измеряющих давление воздуха. Кроме того, устройство содержит в себе гироскопы и акселерометры инерциальной системы управления, которая может отслеживать движение воздушного судна без опоры на внешние данные. (Отдельные ADIRU есть для каждой из сторон самолёта.) Возможно, проблема возникла в устройстве оцифровки — ошибка в битах, а не во шлюгере.
Но полученная в дальнейшем информация разрушила эту идею. Начнём с того, что датчик AoA, демонтированный группой технического обслуживания компании Lion Air 27 октября, сейчас находится в руках следствия. По информации из новостей, он был «признан дефектным», но я пока не слышал никаких упоминаний конкретных дефектов. Кроме того, оказывается, что один из элементов системы управления, компьютер управления срывами и стабилизации угла рыскания (Stall Management and Yaw Damper, SMYD) получает от датчика непосредственные аналоговые напряжения синуса и косинуса, а не оцифрованный угол, вычисляемый ADIRU. Именно SMYD управляет функцией вибросигнализатора штурвала. И на рейсе Lion Air, и на рейсе Ethiopian вибросигнализатор был активен почти непрерывно, поэтому эти аналоговые напряжения синуса и косинуса должны были указывать на высокий угол атаки. Другими словами, ошибка уже существовала до попадания сигнала в ADIRU.
Меня по-прежнему сбивает с толку постоянное угловое смещение в данных рейса Lion Air, но теперь этот вопрос кажется чуть менее важным. Из предварительного отчёта по рейсу 302 Ethiopian следует, что левый датчик AoA на этом самолёте тоже ужасно сбоил, но совершенно иначе. Вот соответствующие графики из бортового самописца:
Показания датчиков AoA находятся в самом верху, красная линия — левый датчик, синяя — правый. В левой части графика они немного разнятся, когда самолёт должно быть только начал двигаться, но когда двигаясь по взлётной полосе, самолёт набрал скорость, их показания начали практически совпадать. Однако при взлёте произошло значительное расхождение — левый флюгер начал показывать совершенно невозможный угол подъёма носа в 75 градусов. Позже он снижается на несколько градусов, но в остальном не демонстрирует признаков колебаний, которые бы предполагали реакцию на воздушный поток. В самом конце полёта присутствуют другие неожиданные отклонения.
Кстати, голубой график команд автоматической балансировки дают ещё один намёк на то, что могло произойти в последние моменты рейса 302. Примерно посередине графика были нажаты переключатели STAB TRIM, что привело к тому, что команда автоматического опускания носа не повлияла на положение стабилизатора. Но в самой правой ещё одна команда автоматического опускания носа повлияла на график позиции триммера, и это позволяет предположить, что переключатели Cutout были снова включены.
Другие головоломки
Но есть ещё многое, чего я по-прежнему не понимаю.
Загадка номер 1. Если аварии Lion Air и Ethiopian были вызваны неисправными датчиками AoA, то это значит, что в совершенно новом воздушном судне было три детали со схожими дефектами (в том числе и в запасном датчике, установленном в самолёте Lion Air 27 октября). Из недавних новостей стало известно, что запчасть была не новой, а восстановленной во флоридской мастерской под названием XTRA Aerospace. Этот факт позволяет нам назначить ещё одного возможного виновника, но два датчика, установленных Boeing, предположительно не были восстановленными, так что нельзя винить за всех них только XTRA.
Сейчас в эксплуатации находится примерно 400 самолётов MAX, на которых установлено 800 датчиков AoA. Является ли уровень отказов 3/800 необычным или неприемлемым? Зависит ли это суждение от того, одинаковым ли был дефект во всех трёх случаях?
Загадка номер 2. Давайте снова взглянем на графики балансировки по тангажу (pitch trim) и угла атаки в данных Lion Air 610. Всеобщее внимание привлекли конфликт ручных и автоматических команд, но меня озадачивает и то, что происходит в первые несколько минут.
Во время движения по взлётной полосе система балансировки по тангажу была установлена почти в максимальное положение повышения угла тангажа (синяя линия). Сразу же после взлёта система автоматической балансировки начала передавать команды дальнейшего движения по повышению угла тангажа, и стабилизатор, вероятно, достиг своего механического предела. В этот момент пилоты вручную направили его в сторону уменьшения угла тангажа, и автоматическая система отреагировала на это быстрой последовательностью команд на повышение угла тангажа. Другими словами, «перетягивание каната» между пилотами и автоматикой уже началось, но пилоты и автоматизированное управление тянули в направлениях, противоположных тем, которые они выберут в дальнейшем. Всё это происходило, пока закрылки всё ещё были открыты, то есть MCAS не могла быть активной. Эти команды на повышение тангажа должен был передавать какой-то другой элемент системы управления. Усугубляет загадочность то, что левый датчик AoA уже передавал свои ошибочно высокие показания в левый компьютер управления полётом. Если FCC действовал в соответствии с этими данными, то он не должен был передавать команды на увеличение тангажа.
Загадка номер 3. Показания AoA — это не самые любопытные данные из информации в предварительном отчёте Lion Air. Вот графики высоты и скорости:
Показания высоты слева (красная линия) составляют всего несколько сотен футов. Похоже, ошибка скорее мультипликативна, чем аддитивна, вероятно, она составляет 10 процентов. Левая и правая скорости воздушного потока тоже несогласованы, но график слишком сжат, чтобы оценить разницу количественно. Именно эти расхождения изначально раздражали пилотов рейса 610; они могли видеть их на своих приборах. (В кабине экипажа не было индикаторов угла атаки, поэтому эти конфликты оставались для них невидимыми.)
Высота, скорость воздушного потока и угол атаки — все они измеряются разными датчиками. Могли ли они одновременно выйти из строя? Или существует некая общая точка отказа, способная объяснить всё это странное поведение? В частности, мог ли один ненадёжный датчик AoA вызвать весь этот хаос? Я предполагаю, что да. На датчики высоты, скорости воздушного потока и даже температуры влияет угол атаки. Поэтому измеряемые скорость и давление изменяются для компенсации этой противоречивой переменной, используя для этого выходные данные датчика AoA. Эти выходные данные были ошибочными, поэтому изменения позволили одному потоку ошибочных данных заразить все измерения воздушной обстановки.
Человек или машина
Шесть месяцев назад я писал об ещё одной катастрофе, вызванной вышедшей из под контроля системой управления. В том случае проблемным местом была сеть распределения природного газа в Массачусетсе, неправильно настроенная установка для регулировки давления которой вызвала пожары и взрывы более чем в 100 зданиях, а также смерть одного человека и серьёзные травмы у двадцати. Тогда я сокрушался, что особый пафос технологических трагедий заключается в том, что движущей силой нашего разрушения являются машины, которые конструируем и создаём мы сами.
В мире, где дефектное автоматическое управление взрывает дома и заставляет самолёты падать вниз, сложно аргументировать необходимость большей автоматизации, добавления в системы управления новых слоёв сложности, предоставления машинам большей автономности. Общество склоняется в противоположную сторону. Подобно президенту Трампу, большинство из нас доверяет пилотам больше, чем учёным. Мы не хотим, чтобы на борту была MCAS. Мы хотим видеть Чесли Салленбергера, героя рейса 1549 авиакомпании USAir, направившего свой неисправный A320 на посадку в реку Гудзон и спасшего 155 пассажиров. Никакой уровень автоматизации кабины пилотов не позволит выполнить такой трюк.
Тем не менее, холодный, аналитический взгляд на статистику предполагает другую реакцию. Участие человека не всегда спасает ситуацию. Напротив, ошибка пилота ответственна за самое большое количество катастроф со смертельным исходом. В одном исследовании ошибки пилотов объявляются первопричиной 40 процентов катастоф, а сбой оборудования — только 23 процентов. Никто (пока) не выступает за беспилотную кабину, но на текущем этапе развития авиационных технологий это гораздо более близкая перспектива, чем бескомпьютерная кабина пилотов.
Система MCAS модели 737 MAX представляет собой особо неуклюжий компромисс между полностью ручным и полностью автоматическим управлением. Программам предоставляется большая доля ответственности за безопасность полёта, и им даже даётся возможность блокировки решения пилота. Тем не менее, в случае неисправности системы ответственность за выяснение причин и их исправление полностью ложится на пилота — и исправить ситуацию нужно быстро, иначе MCAS направит самолёт в землю.
Два уничтоженных самолёта и 346 смертей — убедительное доказательство того, что подобная конструкция является плохой идеей. Но что нам с этим поделать? Boeing планирует отойти от автоматического управления, вернув больше ответственности и власти пилотам:
- Система управления полётом теперь будет сравнивать входящие сигналы от обоих датчиков AOA. Если датчики расходятся на 5,5 или более градусов при закрытых закрылках, то MCAS не будет активироваться. Индикатор в кабине экипажа будет предупреждать об этом пилотов.
- Если MCAS активируется в нештатных условиях, то она будет обеспечивать только один входящий сигнал на каждое переданное событие повышенного AOA. Нет никаких известных или предполагаемых условий сбоя, при которых MCAS будет передавать множественные входящие команды.
- MCAS никогда не сможет передавать стабилизатору команды больше, чем те, которым может противостоять экипаж со штурвала. У пилотов по-прежнему всегда будет иметься возможность отключения MCAS и ручного управления самолётом.
В заявлении генерального директора Boeing Денниса Муиленберга говорится, что обновление ПО «гарантирует невозможность повторения аварий рейса 610 Lion Air и рейса 302 Ethiopian Airlines». Я надеюсь, что это правда, но как насчёт происшествий, которые должна предотвращать MCAS? Я также надеюсь, что нам не доведётся читать о срыве и аварии 737 MAX из-за того, что пилоты посчитали MCAS неисправной и продолжали тянуть на себя штурвалы управления.
Если бы Boeing выбрала противоположный подход — не ограничивать MCAS, усовершенствовать её новыми алгоритмами, работающими с системой управления, то такой план был бы воспринят с негодованием и насмешками. Это и в самом деле кажется ужасной идеей. MCAS была установлена, чтобы не давать пилотам заходить в опасную область. Новая система надсмотра следила бы за MCAS, вступая в дело при её подозрительном поведении. Но разве нам не был бы нужен ещё один смотрящий за смотрящим, и так далее до бесконечности? Более того, при добавлении каждого нового слоя сложности мы получаем новые побочные эффекты, непредусмотренные последствия и возможности поломок. Систему становится сложнее тестировать, а её правильность доказать невозможно.
Это серьёзные возражения, но и и рассматриваемая проблема тоже серьёзна.
Допустим, что у 737 MAX не было бы MCAS, но в кабине пилотов имелся индикатор угла атаки. В рейсе Lion Air капитан почувствовал бы, что вибросигнализатор штурвала предупреждает его о надвигающемся срыве и увидел бы на панели приборов опасно высокий угол атаки. Его навыки подсказали бы ему делать то же, что делала MCAS: опускать нос вниз, чтобы снова заставить крылья работать. Продолжал бы он опускать его, пока самолёт не столкнулся с водой? Конечно нет. Он бы выглянул в окно, перепроверил показания приборов на другой стороне кабины и спустя несколько страшных мгновений осознал бы, что это была ложная тревога. (В темноте или при низкой видимости, когда пилот не видит горизонта, результат мог быть хуже.)
Я вижу в этом гипотетическом примере два урока. Во-первых, ошибочные данные датчиков опасны, кто бы ни управлял самолётом: компьютер или Чесли Салленбергер. Разумно спроектированная система приборов и управления предприняла бы шаги по обнаружению (а в идеале и исправлению) подобных ошибок. В настоящий момент единственной защитой от таких сбоев является резервирование систем, а в немодифицированной версии MCAS даже эта защита оказалась скомпрометированной. Этого недостаточно. Важным моментом, дающим преимущество живым пилотам, заключается в том, что они рассудительны и иногда скептичны относительно показаний приборов. Такая рассудительность вполне возможна и для автоматизированных систем. Можно использовать множество источников информации. Например, рассогласование между датчиками AoA, трубками Пито, приёмниками статического давления и зондами температуры воздуха — это не только сигнал об ошибке, но и возможность понять, какой из датчиков оказался сбойным. Инерциальная система отсчёта обеспечивает независимый контроль положения самолёта; можно даже использовать сигналы GPS. Общепризнанно, что основной сложностью является осознание всех этих данных и извлечение из них правильных выводов.
Во-вторых, у контроллера с обратной связью есть ещё один источник информации: косвенная модель контролируемой системы. Если изменить угол горизонтального стабилизатора, то нужно ожидать, что известным образом изменится состояние самолёта — его угол атаки, угол тангажа, скорость воздушного потока, высота и скорость изменений всех этих параметров. Если результат управляющего воздействия не соответствует модели, то что-то происходит не так. Упорная передача одинаковых команд, когда они не приводят к ожидаемым результатам — это неразумное поведение. В автопилотах есть правила поведения в таких ситуациях; подобные проверки исправности можно внедрить и в низкоуровневые правила управления, выполняемые при полёте в ручном режиме.
Я не утверждаю, что у меня есть решение проблемы MCAS. И я не хотел бы летать на самолёте, который спроектировал сам. (Да и вам этого не захочется.) Но есть общий принцип, который, как я считаю, надо принять всем сердцем: если автономные системы принимают решения «между жизнью и смертью» на основе данных датчиков, то необходимо проверять правильность этих данных.
Дополнение от 11 апреля 2019 года
Boeing продолжает настаивать, что MCAS «не является функцией защиты от срыва или функцией предотвращения срыва. Это функция лётных качеств. Мнения о том, что это нечто другое, являются заблуждением». С этим заявлением выступил вице-президент Boeing по разработке продукции и дальнейшего развития самолётов Майк Синнетт; заявление появилось в статье Гая Норриса в Aviation Week, опубликованной 9 апреля.
Я не совсем понимаю, что в этом контексте означают «лётные качества» (handling qualities). Мне в это выражение кажется чем-то, что может больше влиять на комфорт, эстетику или удобство, чем на безопасность. Самолёт с другими лётными качествами может по-иному ощущаться пилотом, но всё равно может управляться им без риска серьёзных происшествий. Намекает ли Синнетт на что-то этим заявлением? Если да, то есть если MCAS не критична для безопасности полёта, то я удивлён, что Boeing не хочет просто временно её отключить, чтобы вернуть самолёты обратно в небо, пока компания работает над окончательным решением.
В статье Норриса также цитируются слова Синнетта: «Мы пытаемся избежать ситуации, когда пилот тянет штурвал на себя, внезапно это становится делать проще, и он слишком задирает нос вверх». Эта ситуация, в которой нос оказывается выше, чем хотелось пилоту, напоминает мне состояние, предшествующее срыву.
В истории, написанной Джеком Никасом, Дэвидом Геллсом и Джеймсом Глэнцем в New York Times, излагается другая точка зрения: в ней предполагается, что «лётные качества» были мотивацией к созданию первой версии MCAS, но риски возникновения срыва частично вызвали её дальнейшее усиление.
Изначально система задумывалась для срабатывания только в редких условиях, а именно при высокоскоростных манёврах, чтобы обеспечить более плавное и предсказуемое управление для пилотов, привыкших летать на предыдущих 737. Это сообщили нам на условиях анонимности из-за ведущихся расследований два бывших сотрудника Boeing.
В таких ситуациях действия MCAS были ограничены перемещением стабилизатора — частью самолёта, меняющей вертикальное направление самолёта — примерно на 0,6 градуса за примерно 10 секунд.
Это было приблизительно на том этапе проектирования, когда FAA рассматривала первоначальную конструкцию MCAS. Самолёты ещё не прошли свои первые тестовые полёты.
После того, как в начале 2016 года начались тестовые полёты, пилоты Boeing обнаружили, что непосредственно перед срывом на разных скоростях MAX управлялся менее предсказуемо, чем им хотелось. Поэтому по словам бывшего сотрудника, находившегося в курсе переговоров, они предложили использовать MCAS и для таких ситуаций.
И, наконец, ещё одна статья в Aviation Week Гая Норриса излагает убедительную версию того, что произошло с датчиком угла атаки рейса 302 Ethiopian Airlines. По сведениям источников Норриса, флюгер AoA был сбит спустя секунды после взлёта, возможно, ударившись о птицу. Эта гипотеза соответствует графикам, извлечённым из бортового самописца, в том числе странно выглядящим колебаниям в самом конце полёта. Интересно, есть ли надежда найти потерянный флюгер, который должен был упасть не так далеко от конца взлётной полосы?
Автор: PatientZero