16.11.2018 04:10
lozga 103 21600 Источник
Вечером 16 августа 1987 года из аэропорта Детройта вылетел рейс 255 компании Northwest Airlines. Он разбился спустя минуту, и в катастрофе погибли 156 человек. Вроде бы очевидная ошибка пилотов привела к исследованиям с участием NASA, изменениям конструкции самолетов и полетных процедур. А еще эта история имеет отношение к управлению качеством, управлению проектами и к вопросу вины и наказания не только сборщиков потерпевшего аварию «Союза МС-10», но и людей, совершивших ошибки на вашей работе.


Фото с места аварии из Бюро архивов авиационных инцидентов

Катастрофа


Вечер 16 августа 1987 года в Детройте не радовал погодой. Приближалась гроза, и экипаж рейса 255 компании Northwest Airlines спешил продолжить полет — Детройт был третьим из пяти аэропортов маршрута, а отставание от расписания составляло уже полчаса. По закону подлости, изменилось направление ветра, и диспетчеры перенаправили самолет на другую полосу. Она была самой короткой во всем аэропорту, поэтому второму пилоту пришлось пересчитывать массу самолета и его пробег при взлете, чтобы убедиться, что с нее можно взлетать. Беда не приходит одна — вечером, в дождь, экипаж потерялся на рулежных дорожках, и когда самолет наконец выехал на взлетно-посадочную полосу, отставание от расписания составляло уже 45 минут.

Взлет произошел в 20:44, и сразу стало понятно, что что-то пошло совсем не так, как надо — в кабине звучало предупреждение об опасности сваливания, самолет не хотел набирать высоту и кренился из стороны в сторону. Спустя несколько секунд он врезался в осветительный столб на парковке, потерял часть крыла и, уже неуправляемый, упал на автомобильную дорогу, проскользил по ней до путепровода, врезавшись в который полностью разрушился. В катастрофе погибли оба пилота, четыре стюардессы, 149 пассажиров и два человека в раздавленном автомобиле. Еще пять человек на земле были ранены. Единственной выжившей оказалась четырехлетняя Сесилия Шин, потерявшая в катастрофе отца, мать и старшего брата.


Схема полета, источник

Расследование


Вещественные доказательства и данные «черных ящиков» показали удивительную вещь — опытный и профессиональный экипаж совершил абсолютно «детскую» ошибку — забыл выпустить закрылки!


Взлетающий самолет семейства MD-80, аналогичный разбившемуся, фото Wikimedia Commons


Увеличенное фото, хорошо видна механизация крыла

Небольшой ликбез. Предкрылки и закрылки — специальные поверхности, которые отклоняются и/или выдвигаются в передней и задней частях крыла для создания дополнительной подъемной силы на малой скорости. Используются при взлете и посадке.


Расследование показало, что забыты были не просто закрылки, а целая полетная карта (чеклист) из нескольких пунктов, которые надо было выполнить на рулении. У экипажа в процессе взлета даже возникла было подсказка, что они что-то пропустили — бортовой компьютер оказался не в полетном режиме, и не включился автомат тяги. Но человек, особенно в условиях стресса и спешки, способен не заметить или забыть что угодно — подсказку экипаж проигнорировал и взлет не прервал.

Вопросов меньше не стало, наоборот. Как раз на случай того, что экипаж забудет подготовить самолет к взлету, была создана специальная система, которая должна была подать сигнал, что закрылки и предкрылки не находятся во взлетном положении. Но она почему-то молчала. Далее, сигнал об опасности сваливания должен был для надежности идти из двух динамиков, а шел только из одного. Официальное расследование установило, что по неизвестной причине был разомкнут переключатель P-40, который находится позади левого кресла — этот переключатель одновременно запитывал и предупреждение о невзлетной конфигурации, и один из динамиков системы предупреждения о сваливании. Панель с этим переключателем была сильно повреждена в катастрофе, и установить, сломался ли переключатель или же был выключен вручную, не получилось. Но одна история является очень важным косвенным доказательством.


Панель переключателей в левой части кабины MD-80, источник

Следователь Национального совета по безопасности на транспорте (NTSB) Джон Кларк в рамках расследования попросил пилота однотипного с разбившимся MD-80 показать различные предупреждения. Пилот воспроизвел и правильное предупреждение о сваливании из двух динамиков, и индикацию невыпущенных закрылков. Для демонстрации прозвучавшего в роковом полете монофонического сигнала пришлось отключить один из каналов. И пилот сказал «Я этого, конечно же, никогда не делал, но, говорят, некоторые специально отключают предупреждение о невыпущенных закрылках, потому что оно часто ложно срабатывает на рулении и очень раздражает», после чего, не глядя, потянулся к тому самому переключателю P-40 у себя за спиной и явно привычным движением выключил его. А на панели переключателей вокруг P-40 было больше грязи, как будто бы его постоянно включали и выключали…

Так что казалось бы очевидный вывод «ошибка пилотов» по сути маскировал две большие проблемы:

  1. С контрольными картами что-то не то, раз их забывают выполнить.
  2. Если убрать ложные срабатывания системы предупреждения о невыпущенных закрылках, то у пилотов пропадет искушение ее выключать.

Специально еще раз повторю — опытные профессионалы тоже совершают ошибки. Попытки исправить ситуацию репрессивными мерами боролись бы со следствием, а не причиной — экипаж рейса 255 не был безответственным, и, конечно же, не хотел умирать и уносить с собой в могилу ни в чем не повинных людей. Командир корабля проработал в этой авиакомпании 31 год, второй пилот имел налет несколько тысяч часов, они оба, по отзывам коллег, были хорошими летчиками, но это ничуть не помогло.

Увы, решения не сумели найти быстро — в следующем году по той же причине (забыли выпустить закрылки) разбился самолет другой модели, Boeing 727, в Далласе. Из 108 человек на борту погибли 14. Там, правда, вина экипажа была больше — пилоты явно нарушили правило «стерильной» кабины и беседовали перед взлетом с зашедшей стюардессой. Но на записи речевого самописца второй пилот произносит, что закрылки выпущены на правильный угол, несмотря на то, что это не так.

Проблемой контрольных карт занялись в NASA. В результате появились рекомендации по улучшениям, начиная от длины чеклистов и заканчивая шрифтом которым они печатались. К тому же в конце 80-х в авиацию активно внедрялись компьютеры, и чеклисты начали делать электронными — компьютер не только помнит, на каком пункте ты остановился, если тебя отвлекли, но и проверит, сделал ли ты то, что отметил как выполненное. Но, увы, еще есть что улучшать — катастрофа Ан-148 в феврале этого года произошла из-за того, что пилоты отложили один из пунктов чеклиста и забыли его потом выполнить (для справедливости надо отметить, что конструкторы самолета тоже недоработали — этот пункт нельзя было выполнить заранее в спокойной обстановке).

Ложные срабатывания убрали не только на MD-80, но и на других машинах — изменили требования к системе в целом, так что полеты стали безопасней.

Причем тут ИТ?


История рейса 255, на мой взгляд, несет выводы, которые мы можем применить у себя, в ИТ.

  • Организация должна быть открыта для изменений — если кто-то видит, что что-то не так, лучше всего, если он будет иметь возможность рассказать об этом и будет услышан, а не наказан.
  • Разбирая случившийся факап надо стремиться найти истинные причины, а не заниматься поиском виновных. Исправление проблем важнее наказаний.

Одна из методологий для реализации этих принципов называется autopsy without blame («вскрытие без обвинений»). Вариант, использующийся в компании, где я работаю, называется solution without blame, SWOB («решение без обвинений»). Позволю себе кратко процитировать его принципы:

Цели:
  • Происшествие расследуют имеющие к нему отношение сотрудники, с единственной целью установить, что можно улучшить и/или научиться на своих ошибках (не ошибается тот, кто ничего не делает).
  • Зафиксировать выводы для других команд, чтобы они могли узнать новое и/или предложить свои идеи.


Важно:
  • Улучшение процессов — дело каждого.
  • Каждый будет услышан.
  • Начальство открыто новому.


Обещания:
  • Не бойтесь копать глубоко и озвучивать даже неприятные причины. Никто никогда не будет наказан за участие в SWOB или что угодно, обнаруженное на SWOB.
  • Нетерпимо только неуважение друг к другу.


Организационные моменты:
  • Выберите независимого фасилитатора, который будет вести заметки и модерировать дискуссию. В фасилитаторы выбирают человека, пользующегося уважением, поэтому быть им почетно. Но руководство нельзя выбирать в качестве фасилитатора.
  • Лучше всего провести SWOB с не совсем сразу после факапа, чтобы успокоиться, но и не слишком поздно, чтобы люди не забыли, что случилось. Идеальный срок в течение недели после проблемы.
  • Формат документирования: сначала описание события, затем идеи по улучшению процессов.


Заключение


Если бы пилоты могли донести до проектировщиков то, что ложные срабатывания системы предупреждения о невыпущенных закрылках очень мешают, то катастрофы рейса 255 могло бы не быть. По «Союзу МС-10» пока не появилось новостей, как именно погнули датчик, но в случае внедрения аналогов SWOB вполне возможны следующие сценарии:
  • Сборщики случайно погнули датчик, но, зная, что их не накажут за явку с повинной, сообщили, датчик заменили, аварии нет.
  • Сборщики не поняли какую-то операцию, зная, что их не накажут, доложили об этом, их научили, аварии нет.
  • Сборщики обнаружили, что работать неудобно, зная, что их не накажут, рассказали об этом, процессы поменяли, аварии нет.

Серебряной пули не существует, но кому-нибудь из вас идеи SWOB могут помочь. Удачи в улучшении процессов!

Комментарии (103)


  1. MikeVC
    16.11.2018 07:58
    #19376750
    +1

    Я так понимаю MD-80 — устаревший самолет. Я как-то «летал» на симуляторе ТУ-154. Тоже устаревший самолет. Так там если что-то не готово к взлету, то горит табло «К взлету не готов». И если попробовать взлететь, звучит сирена.
    То есть это все реализуемо на простой релейно — транзисторной автоматике. Никаких компьютеров тут не нужно. А нужно делать так, чтобы автоматику эту отключить было невозможно. Включили главный выключатель бортсети — заработала автоматика. А если есть ложные срабатывания — значит самолет неисправен и мы никуда не летим до устранения!
    А если пилоты летели с неисправной сигнализацией и тем более, отключали ее — это их вина! Или вина тех кто не хотел чинить самолет и вынуждали экипаж лететь «и так».


    1. lozga Автор
      16.11.2018 08:05
      #19376768

      Не сказать, что сильно устаревший, они до сих пор летают. То, что вы назвали, выросло в идею «темного кокпита» — если все как надо, никаких предупреждающих индикаторов не горит.

      А что касается ложных срабатываний — там была плохо спроектирована логика — когда самолет выполнял руление на одном двигателе, РУД надо было продвинуть сильно вперед, и срабатывало предупреждение. И пилоты ехали по аэродрому под постоянные «Бип! Закрылки! Бип! Предкрылки!». Раздражает.

      И я еще раз повторяю — вина пилотов не отменяет того факта, что, когда ложные срабатывания убрали, искушение нарушать инструкцию пропало. Корень проблемы не в нарушении правил, а в интерфейсах, которые мешают работать.


      1. MikeVC
        16.11.2018 08:31
        #19376814

        Тут не только в интерфейсах, а в организации проблема.
        Надо так: при любом ложном срабатывании если мы на земле, прекращаем вылет и возвращаемся на стоянку. Факт сработки фиксируется бортовым самописцем.
        Производителя завалили бы рекламациями и засудили за сорванные вылеты. Им пришлось бы менять интерфейс. А так производителю было пофиг…

        А решить технически проблему рулежки на одном двигателе очень просто.
        Можно срабатывать сигнализацию когда РУД 2х двигателей в положении больше чем нужно. На одном двигателе никто не взлетает.
        Или переключатель «полет / рулежка»


        1. lozga Автор
          16.11.2018 09:34
          #19377018

          Увы, так не получится — ложное срабатывание не означает аварию с невозможностью лететь дальше.


        1. 5oclock
          16.11.2018 10:44
          #19377320

          На одном двигателе никто не взлетает.

          Зато летают. Зачем в непростой ситуации (полёт на одном двигателе) ещё и ложная сигнализация закрылков/предкрылков?

          Или переключатель «полет / рулежка»

          Про который однажды тоже забудут.


          1. MikeVC
            16.11.2018 10:57
            #19377386

            В полете сигнализация другая. И вобще если загнулся один движок, сигнализации там будет огого сколько.
            Попробуйте полетайте в хорошем симуляторе. Это доступно каждому. Сразу многое станет понятно. Летать конечно симулятор не научит, но посмотреть как работает сигнализация уж точно можно.


            1. Fedcomp
              16.11.2018 21:06
              #19380744

              какие симуляторы посоветуете?


              1. chapter_one
                16.11.2018 23:50
                #19381276

                А их для пассажирских всего два: XPlane и Prepar3D.


                1. JerleShannara
                  17.11.2018 03:47
                  #19381602

                  FlightGear уже не торт?


                  1. chapter_one
                    17.11.2018 04:58
                    #19381670

                    Он никогда и не был тортом. Задел там хороший, но сообщества вокруг него практически нет. А «из коробки» он никому не нужен.


                1. Stalker_RED
                  17.11.2018 05:08
                  #19381676
                  +1

                  А MSFS?


                  1. chapter_one
                    17.11.2018 05:37
                    #19381708

                    Помирает потихоньку. Пока жив только за счет народа, который плотно сидит на эксклюзивных для него моделях вроде ПТ Туполев или понастроили себе кокпиты на решениях, которые только с ним и совместимы. Ну и владельцам слабых компов больше ничего и не остается. Остальные благополучно мигрируют с него на Prepar3D, который практически полностью совместим по плагинам.


        1. DGN
          16.11.2018 14:07
          #19378560

          Вообще то взлетают, скажем пожар-вибрация-стружка в масле. Взлет штатно продолжается на одном.

          Но в общем, надо было искать больше признаков взлета и заводить все их в систему. Сложность в том, что иногда взлет происходить прямо с руления, без остановки. Сигнализацию закрылков надо бы включить пораньше, экипажу надо время на осознание проблемы, решить выпускать и продолжать взлет, или прекращать его. Руление иногда происходит на довольно большой скорости.

          Отдельный переключатель и вовсе плохое решение. Если он больше ни на что не влияет, его не будут включать. А если влияет — то это еще один пункт внимания экипажа, и так занятого.


          1. GingerAle
            16.11.2018 14:09
            #19378572

            В чем проблема у плотов уже при рулении выпустить закрылки?


            1. DGN
              16.11.2018 15:41
              #19379148

              Иногда так и делают. А иногда не делают, так как в механизм закрылков летит с рулежки грязь и набивается снег, закрылки создают аэродинамическое сопротивление.

              Кстати говоря, к той катастрофе. Известно, что полоса была короткой, а масса велика. В такой ситуации, практикуется выпускать закрылки в процессе разбега, это сокращает жизнь дистанцию набора скорости отрыва, так как с убранными закрылками самолет резвее разгоняется. Как вариант, второй пилот увлекся контролем за скоростью и забыл, а может не услышал команды на выпуск закрылков. Важно, обсуждалась ли такая особенность взлета, или КВС был авторитарен и лишнего на «черный ящик для прокурора» не болтал. В такую версию укладывается и выключенный предохранитель. Не укладывается лишь то, что КВС мог забыть про такую особенность взлета. Тем не менее, есть и такие случаи, и куда более вопиющие.


            1. megazloj
              16.11.2018 15:43
              #19379162

              В некоторых случаях они и выпускаются не после выталкивания (как в большинстве случаев), а например уже перед занятием исполнительной позиции, например при наличии условий обледенения.


          1. MikeVC
            16.11.2018 15:36
            #19379128

            На ТУ-154 есть выключатель руление / взлет переключает угол поворота стойки шасси.
            Без него «К взлету не готов» не погаснет.
            Конечно лишний переключатель это плохо. Но современными средствами автоматики можно безошибочно определить взлет. По многим параметрам. И вовремя предупредить о не выпущенных закрылках. И при этом не пищать на рулении.
            Какая бы ни была скорость руления, это происходит не на взлетном режиме всех двигателей и не при скорости V1


            1. DGN
              16.11.2018 16:00
              #19379274

              Взлет не обязательно проходит на взлетном режиме всех двигателей. При скорости V1 уже поздно что то пищать, закрылки выходят не мгновенно.

              И безусловно, простейшей автоматики должно хватать для того чтобы в большинстве ситуаций отличить взлет от руления. Как известно, мы можем оптимизировать систему или на минимальное число ложных срабатываний или на минимальное число несрабатываний. Конструкторы самолета благоразумно посчитали, более допустимым выдать предупреждение когда не нужно, чем не выдать его когда нужно. И вот тут у нас возникает интересная тема. Должен быть такой человек, изучающий фактическое использование системы (в данном случае самолета) и выдающий рекомендации производителю по изменению эргономики, по правкам в РЛЭ и прочим подобным вещам. Кто то должен заметить засаленный переключатель Р-40, провести анонимный опрос, отправить рекомендацию производителю. Скажем, на ТУ-154 в некоторых режимах, зазор по скоростям в РЛЭ всего 10кмч, и экипажи привыкли нарушать вверх. Это часто приводит к избытку скорости на глиссаде, логично провести испытания и дать в РЛЭ актуальные ограничения (скорректировав оставшиеся там с модели Б). Кто то «там не верху» должен узнать, что выключатели на ощупь слишком похожи и часто выключается не та система которая нужна, а другие наоборот, стоят рядом и ошибочно задеваются.


        1. YaakovTooth
          16.11.2018 19:40
          #19380420
          +2

          а) в случае отмены вылетов по неготовности какой-либо системы или при ложном срабатывании чего бы то ни было — произойдёт революция в авиации: все самолёты останутся на земле, никто никуда не полетит;
          б) переключатель полёт / руление — всегда будет в положении „выломано”, потому что кроме полёта и руления у самолёта есть ещё состояния и по причине того о чём вообще пост весь был;
          в) производителя нельзя засудить за сорванные вылеты по причине „тут табло загорелось, я не буду дальше выполнять чеклист, вышка, нам буксирчик на сорок пятую стоянку нужен и трапы” так же как нельзя засудить автоконцерн за то, что вы отказались выезжать со стоянки потому что в магнитоле заиграла Земфира вместо Тимати;
          д) срабатывать сигнализацию при РУД в любом положении — значит сигнализировать вообще нерелевантную и неадекватную обстановке информацию.

          В общем, в комментарии выше вообще всё ровно так, как не надо делать.


        1. cadmi
          16.11.2018 19:55
          #19380484
          +1

          На одном двигателе никто не взлетает.


          image


    1. chapter_one
      16.11.2018 08:36
      #19376818

      Как у вас все легко и просто. Автоматику отключить нельзя! А если автоматика глючит и загоняет исправный в остальном самолет в землю? Выключить-то нельзя. И неисправности бывают очень разные, про MEL слыхали? Это когда что-то неисправно, но лететь с некоторыми оговорками можно. Неисправная система отключается, вешается наклейка INOP и поехали. Иначе самолеты под заборами стоять будут дольше, чем летать: прощайте, дешевые авиабилеты. Любая автоматика, любые защиты должны не мешать в работе, иначе их будут отключать, и ничего вы с этим не сделаете. Это касается чего угодно, от сигнализации в самолете, до защиты шпинделя на токарном станке. Если защита мешает — ее снимут и концевик намертво замкнут. Без вариантов.


      1. Honomer
        16.11.2018 14:02
        #19378530

        Глючит и исправный самолёт — это разве не взаимоисключающие понятия?


        1. DGN
          16.11.2018 14:10
          #19378580
          +7

          Самолет почти никогда не бывает полностью исправен, это как неглючный софт. Многие неисправности, при соблюдении ряда условий, позволяют выполнить безопасный полет.


          1. geisha
            17.11.2018 00:02
            #19381290

            Постоянно слышу эту формулировку, при этом никто и никогда не дает конкретных примеров. Вот, к примеру, дадут ли взлететь пассажирскому самолету среднего размера, если у него не работает реверс одного из двигаталей?


            1. DGN
              17.11.2018 00:10
              #19381308

              Решение принимает лично КВС и оно зависит от многих факторов. Но реверс это не жизненно важная система и скорее всего ограничений очень не много по нему.

              Ведь в общем что такое реверс? Вспомогательная тормозная система. Экономит ресурс покрышек и тормозных механизмов, сокращает пробег. Если погода сухая, полосы длинные, шины и тормоза в отличном состоянии, будет совсем небольшое ограничение максимальной взлетной массы. Полет будет полностью безопасен, если учитывать эту особенность самолета. А если про нее забыть, машинально, на автоматизме, дать обороты двигателю после касания — можно на ровном месте получить катастрофу.


            1. Aleho
              17.11.2018 00:51
              #19381386

              Для этого и существуют перечни допустимых отказов и неисправностей (в том или ином их виде).
              КВС же принимает решение руководствуясь этими документами.
              И если неработоспособность системы реверса на данном типе будет в списке допустимых — то да, он вправе принять решение на вылет, при условии что взлетно-посадочные полосы аэропортов вылета и назначения обеспечивают безопасное выполнение взлета и посадки данного типа ВС без использования реверса.


            1. chapter_one
              17.11.2018 00:51
              #19381388

              Все конкретные примеры расписаны в документе под названием MEL, там прописаны все отказы с которыми можно летать, там же все условия: сколько летать, куда летать, с пассажирами или без, какие меры предосторожности должны быть в каждом случае и т.д. Есть «мастер-версия» документа от производителя, авиакомпании на его основе делают свою версию. Причем они могут только ужесточать базовые требования, но никогда ослаблять. Найдите в сети любой MEL любой авиакомпании и почитайте, вопросы отпадут.


            1. JerleShannara
              17.11.2018 03:52
              #19381606

              Вот вам и пример: на кухне глючит/неисправен один кипятильник, в MEL он не входит, летать можно спокойно, только чай с кофЁм для паксов будет слегка запаздывать по подаче, и ни один КВС в здравом уме не отменит взлёт. Сам кипятильник починят/заменять на очередном x-Check (хз каком, в такие дебри я не лезу), либо когда будет время.


              1. geisha
                17.11.2018 05:36
                #19381706

                Спасибо за очень полезную информацию о кипятильнике. С удовольствием почитаю об особенностях взлёта и посадки дримлайнера с одним неработающим, прошу прощения, сортиром. Ведь это именно то, что DGN имел ввиду, не так ли?


                1. chapter_one
                  19.11.2018 01:10
                  #19386746

                  Напрасно иронизируете. Поищите вот тут fsims.faa.gov/wdocs/mmel/b-787_rev%2012.pdf по ключевому слову lavatory


              1. polus
                17.11.2018 19:40
                #19383376

                Если отказ в MEL не описан, то можно лететь?


                1. chapter_one
                  18.11.2018 01:07
                  #19384216

                  Напротив, как раз нельзя. Все, c чем можно лететь, описано в MEL


                  1. polus
                    18.11.2018 01:21
                    #19384236

                    Вопрос был к автору примера про кипятильник. Он написал, что кипятильник не входит в MEL, и можно спокойно лететь… вот хотел уточнить...


  1. MikeVC
    16.11.2018 08:46
    #19376846

    Поправлюсь. Не автоматику, а сигнализацию.
    Она самолет в землю не направит.

    Сигнализация свое дело сделала а дельше — вопрос людей.
    Ремень безопасности в машине тоже все за спиной застегивают и заглушку ставят чтоб не пилинькало?


    1. OstapCherry
      18.11.2018 18:37
      #19385766

      в авиапроме такие все тупицы работали, немножко головой подумать не могли


      1. MikeVC
        19.11.2018 08:02
        #19387070

        А вот с «подумать» на крупном предприятии может быть очень плохо.
        То что один разработчик сделает легко, на большом заводе может превратиться в проблему.
        Куча бюрократии, согласований, у начальства свое мнение. Сам это наблюдал и не раз.


  1. DimonSmart
    16.11.2018 08:57
    #19376868

    Спасибо за отличную статью. Из опыта. Частенько решать проблему поручают тому кто о ней сообщил. (Выглядит как наказание за активность) Было у кого-либо такое? Это особенно вредно когда быстрое решение лишь маркируется проблему. А для комплексного у назначенного решателя нет ни опыта ни полномочий.


    1. hdfan2
      16.11.2018 14:53
      #19378838

      А как же. «Инициатива наказуема», «Не лезь не в свою фигню», да и народное «Не спрашивают – не сплясывай!». Всё это с детства впитывается, и приводит вот к таким проблемам.


  1. nerudo
    16.11.2018 09:09
    #19376898

    Рейс, упавший недавно в Малайзии, похоже, даст много поводов для «разбора факапов в ИТ».


    1. lozga Автор
      16.11.2018 09:35
      #19377020

      По нему еще расследование не закончено. Но боюсь, такими темпами будет вклад в копилку историй «как баги убивают людей».


      1. megazloj
        16.11.2018 15:47
        #19379176

        Уже многие в связи с заявлением Боинга списали все на ошибки в софте, но я тоже соглашусь с тем, что нужно дождаться завершения расследования. Ведь не смотря на то, что у этого конкретного самолета проблема с датчиком угла атаки была и раньше, он не падал. Так что еще будем посмотреть…


        1. DGN
          16.11.2018 16:32
          #19379518

          Боинг признал ошибку. Но это не оправдывает пилотов, они должны были парировать этот отказ.

          Когда то на автоВАЗе внедряли электроусилитель руля. И был такой баг, усилитель вдруг выдавал усилие на полную мощность вправо. Если руль держать как положено, двумя руками, отказ можно парировать и усилитель пересилить. Но очень многие водители улетали в кювет. С самолетом произошло нечто аналогичное.


          1. motpac
            16.11.2018 16:59
            #19379686
            +1

            Вы не поверите, но в начале 2000-х я был знаком с программистом, который писал софт для этого электроусилителя. И выпивали мы часто, и я не помню дня, чтобы не видел его без бутылки пива в руке… Может совпадение?


            1. VioletGiraffe
              16.11.2018 17:00
              #19379698

              Не в программисте проблема, а в организации работы. Автотесты должны были быть (и не только авто-).


            1. GrigoryPerepechko
              16.11.2018 20:20
              #19380576

              Не поверим, вы правы =)


            1. BubaVV
              17.11.2018 00:25
              #19381344
              +1

              А в правой или левой руке? Это может быть важно


          1. megazloj
            16.11.2018 17:10
            #19379746

            Если это был тот самый stab trim runaway, то у них было маловато времени для осознавания ситуации и реакции в виде stab trim cutout.


            1. DGN
              16.11.2018 17:43
              #19379928

              Да, маловато, но вроде как на тренажере ситуация признана решаемой. То есть, выполняя все требования РЛЭ, можно было избежать катастрофы.


            1. DrGluck07
              16.11.2018 19:08
              #19380308

              В предпоследнем посте Денокана написано, что стабилизатор отклоняется очень медленно и они могли просто этого не заметить, особенно пилотируя руками и выполняя чеклист про недостоверную скорость.


            1. chapter_one
              16.11.2018 19:15
              #19380342

              Вот тот чеклист. Действия до пунктирной черты выполняются по памяти, пилоты должны помнить их наизусть и выполнять сразу, как только выполнены условия для старта чеклиста. Не заметить «убегание» стаба очень сложно: у вас появляются усилия на штурвале, у вас с громким треском крутятся два больших колеса на пьедестале, у вас на PFD изменяется тангаж и вертикальная скорость. Выключить автопилот, автомат тяги и приводы стаба — это 2 секунды максимум вместе с осознанием ситуации.

              Ситуация скорее всего была сложнее, потому что у них горел транспарант IAS Disagree. По этому срабатыванию выполняется чек-лист Airspeed Unreliable. Он длинный, но там первые пункты (опять же по памяти) это отключение автопилота и автомата тяги. Затем следует установить тягу и тангаж как указано (10° and 80% N1 при выпущенных закрылках). Далее уже не по памяти нужно СТРИММИРОВАТЬ самолет и искать, какому показанию скорости можно верить. Если в процессе выполнения этого чеклиста у них начал убегать стаб (а они пытаются в этот момент держать тангаж, тягу и стриммировать машину), то ситуация могла быть не очень приятной.

              И вот я решительно не понимаю, почему привод стабилизатора не был выключен сразу же после первой попытки самолета накрутить его на пикирование?


  1. lingvo
    16.11.2018 09:17
    #19376934

    Летчиков наказывают вполне как в АйТи — за опоздание и срыв сроков. И расследуй, не расследуй — так будет и дальше.


  1. chapter_one
    16.11.2018 09:28
    #19376990

    www.ntsb.gov/investigations/AccidentReports/Reports/AAR8805.pdf
    Вот отчет о катастрофе. В нем английским по белому написано, что после пушбэка пилоты запустили оба двигателя. Сигнализация о невзлетной конфигурации завязана на ход РУДов и срабатывает, как установило расследование, при движении их примерно на 2 дюйма, что дает в тех условиях EPR в 1.44 — это много для руления на двух двигателях. Так что версия о том, что они специальны вырубили сигналку, как-то выглядит сильно притянутой за уши.


    1. lozga Автор
      16.11.2018 09:40
      #19377042

      Оба двигателя были запущены в этом конкретном полете. Если P-40 выключали раньше, могли и забыть включить обратно.

      Интервью Джона Кларка есть в сериале Mayday, сезон 9, эпизод 2. Человек реальный, и по официальным данным NTSB участвовал в том расследовании. То, что комиссия не смогла официально установить причину отсутствия контакта в P-40 указано, и то, что это косвенные доказательства, в публикации есть.


      1. chapter_one
        16.11.2018 18:44
        #19380216

        Нет, выключить ранее не могли. Там указано, что на предыдущем участке полета сигнализация точно работала. То есть P40 выключился уже где-то на участке между выталкиванием и взлетом из Детройта. В записи переговоров есть проверка положения автоматов (впрочем, before start checklist чеклист мог быть выполнен формально, эти парни вообще не особо себя утруждали чтением чеклистов) Да, там упоминается возможность ложного сообщения flaps в процессе руления при передвижении РУДов, но тут же сделана оговорка, что по данным самописцев РУДы не перемещались за границу, за которой следует срабатывание. Если бы расследование всерьез рассматривало возможность того, что система часто дает ложные срабатывания и у пилотов сложилась практика ее отключения, то не сомневайтесь — это точно было бы в результатах. А там просто вскользь обмолвились что да, могли выключить сами по причине ложных срабатываний, причем не только сигнализации не готовности к взлету, но и по другим цепям, которые обслуживает этот P40. Расследование явно не увидело тут угрозы.

        Зато на странице 58 комиссия очень детально разбирает процедуру выполнения чеклиста taxi (который они и проморгали) и делает ряд интересных выводов. И вот там действительно вскрыты серьезные недоработки и комиссия прямо и детально о них рассказывает.

        Как-то все не похоже на глючную железку, которая всех так достала, что ее просто выключили. А вот недоработки в процедурах и чеклистах имеются явные.


  1. Augustxeno
    16.11.2018 09:33
    #19377010
    -1

    ехал факап через факап, сколько можно уже пихать этот стиль повсюду, с чего это такие слова разрешены на другом языке, но не на нашем, автор синглтон?


    1. iig
      16.11.2018 11:11
      #19377460

      Действительно, зачем американизмы, если существует общепринятая терминология. Например:
      Х@@ня — что-то пошло не так, но это не критично.
      П@@@@ц — когда всё пропало, и это не исправить..


      1. hdfan2
        16.11.2018 14:56
        #19378852

        Бородатый анекдот на тему
        Приходит мужик к врачу.
        — Доктор, у меня рука опухла и вся посинела!
        — Это х@@ня, х@@ню не лечим.
        На следующий день…
        — Доктор, у меня опухла другая рука, нога и тоже посинела!
        — Это х@@ня, х@@ню не лечим.
        На следующий день…
        — Доктор, вы видите, я весь опух и посинел!
        — Это п@@@@ц, а п@@@@ц неизлечим.


  1. polus
    16.11.2018 10:46
    #19377324

    Маленькое уточнение. За спинами пилотов находится панель автоматов защиты, а не переключателей. Ими можно выключить систему как выключателем, но основная функция другая.


    1. lozga Автор
      16.11.2018 10:47
      #19377330

      Да, вы правы. Там автоматы защиты, которые одновременно и предохранители и переключатели. Я упростил, чтобы не объяснять конструкцию.


  1. o-pod
    16.11.2018 10:52
    #19377354

    некоторые специально отключают предупреждение о невыпущенных закрылках, потому что оно часто ложно срабатывает на рулении и очень раздражает


    В системах мониторинга ИТ-проектов проблема игнорирования встречается не редко. И порой она связана не только с ложными срабатываниями, но и неправильным выбором настроек системы мониторинга.

    Схема простая:
    1. Руководитель предлагает: а давайте отслеживать такой-то параметр системы (в данном примере он не является критическим).
    2. Админ аккуратно настраивает сбор данных по обозначенному параметру. На данном этапе все довольны: система собирает информацию, которая аккуратно складируется в базу данных и никого не отвлекает.
    3. Но в какой-то момент руководитель вдруг решает, что админу неплохо было бы получать уведомления, если отслеживаемый параметр превысит определённое значение, и по каждому случаю срабатывания проводить расследование.
    4. Админ настраивает уведомления. Но вот беда, уведомления приходят по 10 раз в сутки, причём не только в рабочее время на панель мониторинга, но и во время отдыха на телефон (не все компании могут позволить круглосуточное дежурство).
    5. Через несколько дней админ просто выключает телефон перед сном, игнорируя не только уведомления по параметру п.1, но и все остальные.

    Чтоб подобного не случалось, нужно ещё на этапе проектирования системы мониторинга все параметры разбить на группы:
    1. Незначительные — информация собирается, но никак не проявляется. В Zabbix это обычный элемент данных (Item) без триггера (Trigger). Данная группа параметров никак не влияет на работу системы и может использоваться для получения дополнительных сведений (например, при расследовании падений или оптимизации).
    2. Информационные — информация собирается и отображается в панели мониторинга. На примере Zabbix: элемент данных + триггер, но без действия (Action). Данные параметры не приведут к моментальному краху системы, но важны для прогнозирования и предотвращения падений в будущем.
    3. Критические — информация собирается, факты превышения пороговых значений сразу же отображаются в панели мониторинга, а админу отправляется уведомление. В Zabbix: элемент данных + триггер + действие. Только при приближении к критической ситуации нужно дёргать админа в нерабочее время, и только так можно добиться, чтоб он даже не задумывался об игнорировании уведомлений.


  1. DrGluck07
    16.11.2018 10:54
    #19377368
    +1

    Потому что нельзя нарушать технологию работы для данного самолёта и делать «оптимизации» в виде выключения сигнализации чего-либо. 100% это когда-нибудь сработает в обратную сторону. Поэтому и придумали CRM.
    У меня есть два хороших примера про CRM:
    1. youtu.be/xwn1Ag5Hd5Y?t=3664 — смотреть примерно с 1:00:00, героические пилоты на руках сажают аварийный самолёт… на самом деле нет, это штатная посадка.
    2. www.youtube.com/watch?v=ywVsNjPZMkc — пилоты спокойно занимаются своим делом, делают кроссчек любого действия, моментально обнаруживают ошибки коллеги и исправляют их.


    1. Jeka_M3
      17.11.2018 00:04
      #19381298

      > www.youtube.com/watch?v=ywVsNjPZMkc — пилоты спокойно занимаются своим делом, делают кроссчек любого действия, моментально обнаруживают ошибки коллеги и исправляют их.

      Вот другой отрывок — www.youtube.com/watch?v=KK5KTQGuXSQ
      Тут хорошо видны слаженные действия при нештатной ситуации: сработала TCAS, предупреждая о трафике на пересекающемся курсе. Заметно конечно, что девушка (второй пилот) слегка не ожидала такого, но через секунду взяла себя в руки и чётко выполняла действия. А КВС вообще спокойный как слон.


      1. DrGluck07
        18.11.2018 13:58
        #19385122

        Да, у них там много таких интересных эпизодов. Кстати, я дал ссылку не на оригинальный канал, потому что там раньше не было перевода на английский.


  1. vershinin
    16.11.2018 12:43
    #19378110

    Тут между самолётами разница в три поколения.


    1. DrGluck07
      16.11.2018 12:59
      #19378200

      Если это ответ мне, то имею сказать следующее: вот эти дяденьки 50+ лет и на B737NG или A320 летают ровно так же. Они так привыкли, таков был наш прославленный советский CRM.


      1. vershinin
        17.11.2018 01:14
        #19381412

        Наш прославленный советский CRM делал ставку на слётанные экипажи. Очень хорошо видно, что экипаж Ил-62 неслётан.
        Слётанные экипажи из дяденек 50+ лет летают нормально, без всех этих героических усилий.
        Западная школа делает ставку на регламент, что даёт возможность заменять пилотов без особых проблем.


        1. DrGluck07
          18.11.2018 14:00
          #19385132

          Очевидно ставка на слётанные экипажи себя не оправдала. В итоге вместо единой технологии работы всё начинали применять свои собственные «оптимизации», что и приводило к большому количеству катастроф.


  1. striver
    16.11.2018 14:19
    #19378628

    Специально еще раз повторю — опытные профессионалы тоже совершают ошибки
    Специалисты с опытом 15+ лет могут осознанно игнорировать элементарные правила безопасности. Поэтому по статистике наибольший травматизм в возрасте 40-50 лет среди спецов (молодые бояться потому что неопытные, а в возрасте — боятся, потому что уже не молоды).


  1. CorneliusAgrippa
    16.11.2018 14:52
    #19378834
    +6

    Есть еще такая хорошая методика «5 Why» — если примерно пять раз задать вопрос «А почему (это произошло)?», то докопаешься до сути.
    Допустим, на полупроводниковом производстве оператор уронил коробку с пластинами, все разбилось, убыток на несколько тысяч долларов. Самый простой (и часто используемый) подход — наказать оператора за рукожопство. Но можно и по другому:

    1. Почему оператор уронил коробку? — Он подскользнулся на мокром полу
    2. Почему на полу была жидкость? — Она вытекла из системы охлаждения производственной установки
    3. Почему жидкость вытекла? — Потекла прокладка, которую недавно поменяли
    4. Почему раньше не текла при смене прокладки? — Потому, что поставили прокладку другого номинала
    5. Почему поставили прокладку другого номинала? — Потому, что в инструкции по обслуживанию нет четкого указания, какую прокладку ставить, а техник, который ее раньше всегда менял, уволился

    Таким образом, для предотвращения убытков надо не наказывать оператора, а уточнять процедуру техобслуживания.


    1. hhba
      16.11.2018 15:21
      #19379016

      Угу, типичная вещь и при разборе NC, и при анализе рисков. К сожалению хорошо работает только в таких "красивых" случаях. Вот уберите разлитую жидкость — допустим он внезапно взял и уронил. Никто не знает, почему, включая его самого. И таких случаев очень много.


      1. DGN
        16.11.2018 16:06
        #19379314
        +2

        И тем не менее, если за 10 лет работы завода коробку роняли 7 раз, и из них 5 на этом самом месте — об этом стоит как то узнать и попробовать найти причину (как бы это можно было сделать??). Может там солнечный блик в окошко попадает в глаз. Или периодически подтекает смазка из станка.


        1. hhba
          16.11.2018 23:27
          #19381198

          если за 10 лет работы завода коробку роняли 7 раз, и из них 5 на этом самом месте


          Если так — то да. А если один раз? Списать на случайность?


          1. DGN
            16.11.2018 23:43
            #19381260

            В этом и сложность. Одиночное событие не выглядит серией, и не вызывает тщательного расследования. При повторе события, часто невозможно точно восстановить обстоятельства предыдущего сходного события.

            Применительно к авиации, потребовалась серия катастроф ан-12 и ту-104 для выявления конструктивного недостатка. И это в авиации, с протоколированием обстоятельств катастрофы, с черными ящиками. Автокатастроф, с рулевым управлением или педалью газа, требуется куда как больше. Мы знаем только о широко освещенных, получивших резонанс случаях.


    1. vyatsek
      16.11.2018 20:49
      #19380696

      Как я люблю вот такие вот способы 5 why, 10 шагов и т.д.
      Причин всегда может быть много как и решений, все очень сильно зависит. Иногда, конкретно в этой проблеме может быть вагон решений.
      Чем писать всякие инструкции, может имеет смысл перенести трубу, дать не скользкуб обувь носильщику и и.д.
      С причиной очень желательно разобраться всегда. Вопрос фиксить причину или придумать защиту может быть очень неоднозначным


  1. Aleho
    16.11.2018 15:00
    #19378890

    Этот SWOB внедряется еще со времен НПП, только собственного названия эта идея тогда не имела. Еще, кстати, существуют анонимные донесения по безопасности полетов.
    Только все равно, доля вины экипажа будет расти. Техника совершенствуется, становится надежнее, а человек нет, более того — для него процедуры управления только усложняются. Причем они усложняются по нескольким «каналам», собственно сами эксплуатационные процедуры, ну и правила полетов — томики руководящих документов ощутимо потяжелели.
    Всё что в статье написано уже давно разжевано и расписано в материалах по человеческому фактору в авиации и хорошо иллюстрирует принятые там концепции SHELL и цепи ошибок.
    Ну а сознательное отключение каких-либо систем воздушного судна из-за ложных срабатываний — очень старая проблема, даже на относительно «простых» типах имеющая место.


  1. hhba
    16.11.2018 15:24
    #19379052

    К слову, SWOB де-факто много где существует, однако не всегда явно оговаривается и сотрудники всё-таки испытывают страх перед наказанием, не все и не всегда решаются всё-таки честно разобрать проблему и внезапно понять, что никто тебя убивать не собирается. Ну и в памяти народной же "лихие девяностые" с попаданием в рабство после порчи товары и т.п.


  1. sirrosh
    16.11.2018 17:21
    #19379792

    катастрофа Ан-148 в феврале этого года произошла из-за того, что пилоты отложили один из пунктов чеклиста и забыли его потом выполнить (для справедливости надо отметить, что конструкторы самолета тоже недоработали — этот пункт нельзя было выполнить заранее в спокойной обстановке).

    Можно подробнее, пожалуйста! Отчет МАК я видел пока только предварительный, окончательный, вроде, не опубликован?

    Обогрев приемников давления, да, но не он один. Судя по объективным данным самописцев, как и в каждой аварии здесь сыграло сочетание факторов, причем все человеческие, ни одного (известного, пока) технического. Огорчает для начала то, что экипаж даже не подумал потянуться за аварийной папкой (или спросить свой айпэд), и содержимое раздела 5.19.4.3 РЛЭ им не вспомнилось :(


    1. lozga Автор
      16.11.2018 18:24
      #19380112
      +1

      То, что обогрев ППД из чеклиста «отложили» и забыли потом выполнить, есть в предварительном отчете, как и то, что по РПП его не позволяли включать заранее.


      1. sirrosh
        16.11.2018 18:46
        #19380224

        Я из процитированного абзаца не понял, что конструкторы самолета недоработали и где на это указано в расследовании.
        Шасси, например, ведь тоже нельзя убирать заранее, стоя на земле…


        1. chapter_one
          16.11.2018 19:40
          #19380422
          +2

          Недоработка в процедурах и конструкции системы обогрева. На нормальных самолетах все, что можно включить заранее, стараются как раз включать заранее, пока мы спокойно стоим у гейта, никуда не рулим, не общаемся плотно с диспетчерами и т.п. Потому что потом загрузка может быть довольно плотной и вероятность что-то забыть резко увеличивается. Обогрев ПВД на таких самолетах умеет автоматически работать на пониженной мощности пока нет скорости, так что можно его включит заранее и ничего не сгорит. А на Ан-148 конструкторы решили поступить дедовским проверенным способом: обогрев сразу шпарит на всю дурь, а чтоб не спалить обогреватели мы будем включать систему перед взлетом, не ранее чем за 5 (вроде бы) минут. Вот и недоработка, причем серьезная. Такие приколы, кстати, вообще характерны для советской техники.


          1. sirrosh
            16.11.2018 20:03
            #19380508

            Спасибо за ответ, почему нельзя включать заранее я знал, думал, там вскрылись какие-то конкретные просчеты. При взлете он должен быть включен, не слышал их CVR, но, вероятно, последующие чеклисты «из головы» делались, а не с планшета.
            Кстати, глянул, РЛЭ Ан-148-100 со мной согласно (п.3.6.1): на исполнительном необходимо включить обогрев ППД, независимо ни от чего.

            Об ограничениях и рекомендациях использования обогрева
            Обогрев включается при положительных температурах за 1 мин до начала разбега, а при отрицательных - за 3 мин.
            ...
            Перед взлетом в условиях возможного обледенения (наличие облачности, тумана, снегопада, дождя или мороси при температуре воздуха у земли +5 °С и ниже) включить обогрев приёмников ППД перед началом руления
            ...
            При задержке на предварительном старте более 10 мин выключить обогрев ППД для охлаждения приёмника и включить за 3 - 5 мин до начала разбега.


            1. chapter_one
              16.11.2018 20:16
              #19380564
              +3

              Да, конечно, он должен быть включен, и пилоты обязаны в этом убедиться. Но вы же согласны, что вот эти три абзаца из РЛЭ дают на порядок большую вероятность накосячить, чем просто «включить обогрев ПВД» еще перед рулением (и там же, кстати, и проверить) и забыть о них до самой посадки? Особенно умиляет последний пункт. И ведь ничего не мешало исключить это еще на этапе проектирования, просто научив обогрев работать на малой мощности на земле. Это серьезный косяк конструкторов.


              1. sirrosh
                19.11.2018 11:56
                #19387944

                Судя по количеству плюсов к вашему комментарию многие разделяют ваше мнение. Оно совершенно верно логически, с т.з. гражданского инженера-системотехника, но применительно к авиации разом расширяет поле отказов и, как ни странно, усложняет кабинные процедуры.
                Вы так легко постановили: "… работать… на земле". А теперь скажите, как надежно (основываясь на максимально объективных и неподложных данных) определить условие «на земле»?
                Датчик обжима стоек? Один или все? А если вышел(вышли) из строя — спалили нагреватель или закопали самолет обледенелой трубкой? Ввести в РЛЭ еще одно «если», еще один чек в аварийную карту (а ведь там загрузка экипажа несравнимо больше, нежели на рулении)? Стоп, так против чего боролись?
                Ладно, что насчет показаний РВ? Хм, одного или двух? Ах, они могут быть принудительно отключены… добавить еще одно «если»? Стоп…

                Понимаете, что не все так однозначно?! Допустим, втиснули как-то логику, а потом проводим анализ цепочек отказов и серьезности их последствий (HAZOP, кажется, по-модному) и выясняется, допустим, что наш регулятор мощности при определенной цепочке отказов, возникающей, скажем, раз в 10тыс часов, может сгореть так, что унесет за собой половину низковольтной части борта.

                Кстати, о радиовысотомерах. На B777 относительно недавно (любители сериала «Расследование катастроф» мне подскажут конкретику) наелись земли при посадке (не в Лондоне, там наелись из-за отрыва льда со стенок топливной плюс неэффективная конструкция подогревателя) из-за отказа левого РВ, на который завязана автоматическая система сброса газов на посадке. РВ занижал показания, это заметили, когда посреди глиссады самолет вдруг заорал «RETARD!» (англ. «дебил!»… ну или «замедляйся, тормози») и перевел в малый газ, а должен был это сделать в считанных метрах от полосы. Пилотирующий это заметил и газы восстановил, но не отключил автомат тяги (как следовало по инструкции при ложном срабатывании), следующий автосброс газов был замечен слишком поздно, несмотря на орущий информатор(!).
                И что сделал Боинг после этого инцидента? А практически ничего! Внес пару строчек в РЛЭ.

                Понимаете, я не защищаю ни в коем случае (пост)советское авиастроение. Я хочу попытаться донести, что все решения в авиации неимоверно сложны логически, хоть на первый взгляд это может так не казаться. И если подогрев ППД сделан просто тумблером с вон теми строчками в РЛЭ, скорее всего это и было самое простое(!), надежное(!!) и безопасное(!!!) решение.
                Конкуренты имеют человеко-столетия, потраченные на оптимизацию этих процессов, поэтому ясно как день, что КБ Антонова, Сухого, Туполева уже не наверстают это отставание никогда.


                1. chapter_one
                  19.11.2018 15:10
                  #19389138

                  Знаете, если у вас одновременно отказали все три концевика открытого положения стоек шасси, плюс все указатели скорости (включая допплеровский измеритель и GPS), плюс оба радиовысотомера, да еще нет информации об оборотах двигателей, то некорректно работающий обогрев ППД — это не то, о чем стоит беспокоится. Я прекрасно понимаю, что самолет сложная система, где все взаимосвязано, но вы слишком усложняете простую задачу. А по поводу «просто тумблера», который пилоты должны согласно нескольким абзацам в РЛЭ сами переключать в зависимости от условий… Знаете, практика показала, что пилоты в такой схеме как раз и есть самое слабое звено: они забывают включить обогрев, они забывают выключить обогрев, они забывают прочитать чеклист. Если есть возможность исключить эти ошибки — надо исключать. Тем более, что система обогрева очень простая и не является критической. И многие миллионы часов безаварийного налета тех же Боингов и Эйрбасов, у которых как раз обогрев включается на земле, а затем самолет сам разбирается, сколько ампер закачать в нагреватель, прекрасно этот тезис подтверждают.


                  1. sirrosh
                    19.11.2018 16:31
                    #19389664

                    Попробую короче.
                    Вы здесь и ранее мыслите как гражданский инженер и с этой т.з. совершенно логично предлагаете усложнять условия (концевики замков шасси, мерять разные скорости, высоты, обороты двигателей), но тем самым только изощреннее «закапываете собаку», т.е. сильно разветвляете это дерево наследуемых отказов. И надо будет все более сложные инструкции придумывать экипажу, не из трех абзацев на рулении, а из трех страниц в отказавшем самолете в воздухе.

                    Вы не заметили другого в моем комментарии.
                    Стандартами определено, что в случае сбоя или невключении подогрева приемников давления и попытке включить автоматику, их использующую, должен звучать дженерал аларм и автоматика должна либо не включиться, либо работать в безопасном (деградированном) режиме. Мне не удалось из оф. источников (МАК, Антонов) узнать, как пилоты отреагировали на предупреждение и было ли оно.

                    P.S.: Кстати, а вы знаете, что в B737 (все без исключения серии!) подогрев трубок точно такой же одноступенчатый и «неавтоматический» и включается, двумя тумблерами с оверхед панели? Думаете, недоработка или все же знают, что делают?


                    1. chapter_one
                      19.11.2018 17:45
                      #19390060

                      Я знаю, что на 737 NG (а эту машину я знаю очень хорошо) выключателями probe heat нужно оперировать в нормальном полете всего три раза: перед рейсом в Preflight Procedure их нужно установить в auto (да, положения off там нет), сразу после запуска двигателей в Engine Start Procedure они включаются в on и остаются в этом положении весь полет, после посадки в After Landing Procedure снова в auto. Заметьте две вещи: все эти операции выполняются когда самолет никуда не движется, и экипаж ни на что не отвлекается; в положении auto самолет сам включает обогрев, если датчики обледенения дают срабатывание. Отключить обогрев совсем можно соответствующим автоматом защиты, с оверхэда они не отключаются, а только переводятся в «ждущий режим».

                      Далее обращаемся к QRH и FCTM. Во всех случаях без исключения, где мы имеем неверные показания скорости, или угла атаки, или высоты, или забортной температуры, пилотам нужно дернуть Probe Heat в ON, если это почему-то было не сделано еще перед полетом. Без всяких условий вроде забортной температуры, скорости, условий обледенения и прочего. Просто включить и все.

                      Как по вашему, что безопаснее: такой вариант, или ручные операции на Ан-148? Статистику аварийности 737 можете найти сами.


  1. JerryJJ
    16.11.2018 17:35
    #19379880
    +1

    В принципе, если продолжать аналогии между IT и авиацией, можно открыть «Руководство по расследованию авиационных инцидентов и происшествий». В п. 1.1 главы 1 так и написано, что расследование проводится единственно с целью предотвращения возникновения подобных инцидентов в будущем, а не с целью установления чьей-либо вины или ответственности.


  1. Cright
    16.11.2018 17:59
    #19380004

    А что мешает переложить вопрос открытия/закрытия закрылок на автоматику? По параметрам: высота такая-то, скорость такая-то, давление на стойке шасси отсутствует (самолёт в воздухе), предупреждении о сваливания ещё не сработало, но скоро может; открываем закрылки на подходящий угол.


    1. DrGluck07
      16.11.2018 19:04
      #19380294

      В некотором роде это сейчас так и работает, на некоторых самолётах закрылки убираются сами по мере роста скорости. Но всё равно пилоты это контролируют.
      Излишняя автоматизированность тоже может приводить к проблемам. Например свежий пример с упавшим 737MAX, который автоматика внезапно загнала в землю во время ручного пилотирования. Пилоты были отвлечены на пилотирование в условиях недостоверных показателей скорости и просто не отреагировали на перекладку стабилизатора на пикирование.


    1. SunTechnik
      18.11.2018 18:56
      #19385796

      Закрылки отрываются, мягко говоря, не мгновенно.
      На момент взлета они должны быть выпущены. Их поздно выпускать в момент отрыва от земли.


    1. Looka
      18.11.2018 18:56
      #19385798

      Мешает недостоверность данных (критериев)
      Самолет в воздухе — датчик шасси может выйти из строя
      Закрылки (по разным. причинам) могут выпускаться не симметрично.
      и тд


  1. toxicdream
    16.11.2018 18:26
    #19380122

    Нашли что сравнивать.
    Просто посмотрите как вся прогерская братья ложит болт на предупреждения и подсказки компилятора...


  1. toxicdream
    16.11.2018 18:27
    #19380132

    Нашли что сравнивать.
    Просто посмотрите как вся прогерская братья ложит болт на предупреждения и подсказки компилятора. Не говоря уже про написание тестов...


  1. lxsmkv
    16.11.2018 19:33
    #19380408
    +1

    Я нашим разработчикам всегда говорю, чем злиться на то, что что-то неработает, или работает не так как надо, ты репорт напиши, авось починят. А не зарепортишь — не починят никогда. Но есть такие ребята, которые будут лучше кактус есть и плакать чем сообщат о проблеме. А некоторые так вообще — не работает, и ладно, не моя проблема, а то, что я из-за этого работать не могу, так ну это же очевидно. И человек просто сидит три недели со сломаным рабочим окружением. Реальный случай, между прочим. Я б за такое взбучку устраивал. Не за то, что человек нихрена не делает, а за то, что мирится с проблемами.
    Представьте себе, в армии, у тебя автомат не работает… Так ты если не доложишь с тебя три шкуры снимут, а на гражданке как-то не так.


  1. Faint
    16.11.2018 22:24
    #19380944

    Удивлён, что никто не посоветовал посмотреть серию документальных фильмов от National Geographic "Расследование авиакатастроф", в которых рассмотрены наверно все авиакатастрофы, начиная с 1950 годов.
    Фильмы настолько увлекательны, что я посмотрел все серии (а там несколько сезонов!) и, например, мог предугадал причины февральского крушения самолёта в Подмосковье, хотя сам далёк от авиации.
    Также, после просмотра получаешь хорошие знания в логике расследования любого инцидента. И что самое главное, если в России всегда можно назвать имя виновного в катастрофе, то в мировой практике чаще виновным становится или компания или неверная система. Есть чему поучиться!


    1. encyclopedist
      17.11.2018 23:05
      #19383910

      В России МАК тоже всё расследует, выдаёт рекомендации по предотвращению, и все отчёты на сайте публикует. Тоже очень полезное и увлекательное чтение.


  1. Vsevo10d
    17.11.2018 02:26
    #19381510

    Вспоминается рейс президента Курвалэнд и то, что там сигнал о близости земли звучал все время, потому что шли на посадку на необорудованный военный аэропорт. Вышло, что собственными руками загнали в березы самолет, не обращая внимание на TAWS, оравший в реальности по делу, а не из-за процедуры посадки.


  1. UltimateOrb
    18.11.2018 18:57
    #19385802

    Читаю статью/комментарии и понимаю какую тотальную безответственность пытаются оправдать люди. Если пилот отключает предупреждение о не выпущенных закрылках, потому что оно часто ложно срабатывает, то он не опытный профессионал, а человек М***К и это не мужик. У него самолет сломан, он не должен летать, но он решает рискнуть жизнью 156 человек, потому что прогнулся под систему, потому что все хотят денег. Так что профессионализмом тут и не пахнет. Пилоты и все кто допустил подобный самолет к поле там проявили верх безответственности. «ложное срабатывание не означает аварию с невозможностью лететь дальше» — вот до тех пор пока у нас будет такая логика, мы так и будем отправлять пачками людей в мир иной.


    1. DMGarikk
      18.11.2018 19:04
      #19385826

      то он не опытный профессионал, а человек М***К и это не мужик

      а как вы считаете, в мире существуют профессионалы и мужики? а то если оценивать вашим взглядом, то их не существует нигде в мире


      1. UltimateOrb
        19.11.2018 09:58
        #19387374

        Конечно существуют. Любой здравомыслящий человек, который не будет рисковать сотнями жизней ради своей выгоды.


        1. DMGarikk
          19.11.2018 10:09
          #19387424

          Тем не менее такое не то чтобы «сплошь и рядом», а вообще везде происходит.
          У меня есть куча «захватывающих» примеров из того как вагоны в РЖД ездят и историй аварий с жуткими подробностями (но такое редко доходит до федеральных СМИ, потому что пострадавших обычно 1-3 человека, но сама по себе потенциальная опасность для безопасности движения гораздо существенней… чудом уже десятки лет ничего не происходит)
          И я совершенно не удивлен что тоже самое и с самолетами.
          более того, тут ещё проще пример… как думаете много людей проверяют давление шин в автомобиле не «на глазок»? Тут можно сказать что «в новых авто оно само!!»… на что я отвечу что как раз таки в новых авто (там где отказались от индивидуальных датчиков… тоесть почти на всех) у контроля давления в шинах есть один системный изъян из-за которого можно запросто не заметить ситуацию когда спущены(подспущены) все 4 колеса… многие про это знают? (я уж помолчу про назначение «лампочки ручника» для которых её загорание почемуто в лучшем случае означает — ааа… колодки поменять надо… но почти никто не помнит что она действительно означает)
          а потом эти люди водят автобус/самолет/поезд


  1. devidbleyn
    18.11.2018 18:57
    #19385804

    Очень часто вижу авиакатастрофы из-за человеческой ошибки. Даже недавние.
    Почти все недавние. Вспомните. Там почти во всех человеческая ошибка.
    Это тянется до сих пор, даже с современными супер компьютерами. Это неисправимо.


    1. UltimateOrb
      19.11.2018 10:04
      #19387402

      В авиации не будут изменения в этом плане. Всегда проще всего все списать на пилота, его же все равно уже нет в живых. А нужно привлекать к ответственности управление компании. Вот тогда бы они десять раз подумали прежде чем экономить на обслуживании самолета, нагружать сверх нормы пилотов и т.д.