Kirill Pankratov (neznaika_nalune) wrote,
Kirill Pankratov
neznaika_nalune

Category:

Это не баг, это фича (или позорище Боинга)

Крушения 737-Макс случились не в результате какого-то софтверного бага котороый можно поправить одной заплаткой, и не из-за недостаточной дублированности сенсоров. Проблема, по-видимому, значительно глубже и говорит о кризисе в инженерной культуре по крайней мере в Боинге, но в более широком смысле в больших американских компаниях в целом.

Логика Боинга с 737-Макс была примерно такой. Давайте не будем проектировать новый узкофюзеляжный самолет с нуля, а возьмем 50-летний хлам (737) со всей его механикой, гидравликой, электроникой и т.д. практически в неизменном виде и поставим на него более экономичные (и большего размера) двигатели. А для того чтобы компенсировать несколько изменившуюся аэродинамику, введем новую систему для управления углом атаки, толком не испытанную, которая будет включаться неожиданно для пилотов, по сигналу одного сенсора, и пилотам об этом не расскажем и тренировать их не будем. Основным критерием дизайна было не "что нужно сделать чтобы по крайней мере не понизить безопасность новой модели?", а "как сделать все изменения так чтобы не нужно было проходить новую сертификацию и дополнительную тренировку для пилотов?".

Большинство публикаций обращают внимание на два датчика угла атаки (по отношению к воздушному потоку), и что система MCAS включалась по сигналу любого из них:
Boeing also designed the system to rely on a single sensor — a rarity in aviation, where redundancy is common. Several former Boeing engineers who were not directly involved in the system’s design said their colleagues most likely opted for such an approach since relying on two sensors could still create issues. If one of two sensors malfunctioned, the system could struggle to know which was right.

Airbus addressed this potential problem on some of its planes by installing three or more such sensors. Former Max engineers, including one who worked on the sensors, said adding a third sensor to the Max was a nonstarter. Previous 737s, they said, had used two and managers wanted to limit changes.

https://www.nytimes.com/2019/04/08/business/boeing-737-max-.html

На самом деле дело не в трех датчиках вместо двух. Отказ одного датчика, или даже двух если система имеет множество датчиков для разных параметров - это нормальная ситуация и вся система управления в целом должна с этим справляться. Удивительно примитивна логика MCAS - если два датчика показывают разные данные, то верить тому который показывает аномалию. С такой логикой добавление третьего датчика, наоборот, только повысит вероятность неправильного поведения. На самом деле система должна реагировать не на тот датчик который показывает наибольшую аномалию, а на совокупность датчиков которые не противоречат друг другу в описании состояния обьекта. Если какой-то датчик противоречит совокупности остальных, он считается неисправным, а если не полностью противоречит, но отличается от совокупности больше других - его показания учитываются с уменьшенным весом. Это основные идеи data fusion, совмещения данных, которые давно и широко испольуются в инженерных науках, начиная с кальмановских фильтров и т.п. Довольно простые алгоритмы совмещения данных вовсю испольуются даже в дешевых дронах, не то что в пассажирской авиации.

Движение корпуса самолета, как твердого тела - не безумно запутанная задача, и описывается довольно простыми уравнениями. Помимо двух датчиков угла атаки в самолете используется множество других - тяги, скорости, высоты, положения и ориентации в пространстве, линейного и углового ускорения по трем координатам, и т.д. Если один датчик показывает аномально большой угол атаки, если это реальный сигнал, то он должен быть совместим с изменениями других данных - высоты, ускорения и других, в противном случае датчик неисправен. Включать ключевую для безопасности самолета автоматическую систему по показателям одного аномального датчика - это тупая и порочная логика, но именно ей и следовал Боинг в дизайне 737-Макс. За что сейчас и расплачивается.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 25 comments