Делегировано Boeing
ФАУ, ссылаясь на отсутствие финансирования и ресурсов, с годами делегирует компании Boeing все более широкие полномочия по сертификации безопасности своих собственных самолетов.
В начале сертификации 737 MAX группа FAA по технике безопасности разделила технические оценки, которые будут делегированы Boeing, по сравнению с теми, которые они считают более критичными и будут сохранены в FAA.
Но несколько технических экспертов FAA сказали в интервью, что, поскольку сертификация продолжалась, менеджеры подталкивали их к скорости процесса. Разработка MAX отстала на девять месяцев от конкурента Airbus A320neo. Для Boeing время было очень важно.
Бывший инженер по безопасности FAA, который непосредственно участвовал в сертификации MAX, сказал, что на полпути процесса сертификации: “руководство попросило нас пересмотреть, что будет делегировано. Менеджмент думал, что мы сохранили слишком много в FAA.”
"Было постоянное давление, чтобы переоценивать наши первоначальные решения”, - сказал бывший инженер. "И даже после того, как мы пересмотрели его ... продолжалось обсуждение руководством о делегировании еще большего количества пунктов компании Boeing.”
Даже работа, которая была сохранена, например, обзор технических документов, предоставленных Boeing, иногда была свернута.
” Полного и надлежащего рассмотрения документов не было", - добавил бывший инженер. "Обзор был спешно достичь определенных дат сертификации.”
Когда времени было слишком мало для технического персонала FAA для завершения проверки, иногда менеджеры либо подписались на документы сами, либо делегировали свой отзыв обратно Boeing.
"Менеджеры FAA, а не технические эксперты агентства, имеют окончательные полномочия по делегированию", - сказал инженер.
Неточный лимит
В этой атмосфере, анализ безопасности системы на MCAS, только одна часть горы документов, необходимых для сертификации, была делегирована Boeing.
Первоначальный документ Boeing, предоставленный FAA, включал описание, указывающее предел того, насколько система может перемещать горизонтальный хвост — предел 0,6 градуса, из физического максимума всего лишь менее 5 градусов движения носом вниз.
Этот предел был позже увеличен после того, как летные испытания показали, что более мощное движение хвоста требовалось для предотвращения высокоскоростного сваливания, когда самолет находится в опасности потери подъема и спирали.
Поведение самолета в высоком угле атаки сложно моделировать заранее чисто анализом, и поэтому, поскольку летчики-испытатели работают через процедуры восстановления стойла во время летных испытаний на новом самолете, это не редкость, чтобы настроить программное обеспечение управления для уточнения производительности самолета.
После крушения рейса 610 Lion Air Boeing впервые предоставил авиакомпаниям сведения о MCAS. В бюллетене авиакомпании Boeing указано, что лимит командования MCAS составляет 2,5 градуса. Это число было новым для инженеров FAA, которые видели 0,6 градуса в оценке безопасности.
"FAA полагал, что самолет был разработан до 0,6 предела, и это то, что думали иностранные регулирующие органы, тоже" сказал инженер FAA. "Это имеет значение в вашей оценке риска.”
Более высокий предел означал, что каждый раз, когда MCAS срабатывал, это вызывало гораздо большее движение хвоста, чем было указано в первоначальном документе анализа безопасности.
Бывший инженер по безопасности FAA, работавший над сертификацией MAX, и бывший инженер по управлению полетом Boeing, работавший над MAX в качестве уполномоченного представителя FAA, оба сказали, что такие анализы безопасности должны обновляться, чтобы отражать наиболее точную информацию о воздушном судне после летных испытаний.
"Цифры должны соответствовать любой конструкции, которая была протестирована и выставлена", - сказал бывший инженер FAA.
Но оба заявили, что иногда заключались соглашения об обновлении документов только в более поздний срок.
"Возможно, что последние номера не будут там, пока они будут рассмотрены, и они пришли к выводу, что различия не изменят выводы или серьезность оценки опасности”, - сказал бывший инженер по управлению полетом Boeing.
Если окончательный документ по анализу безопасности был обновлен по частям, он, безусловно, все еще содержал ограничение 0,6 в некоторых местах, и обновление не было широко распространено в группе технической оценки FAA.
"Ни один из инженеров не знал о более высоком пределе, - сказал второй нынешний инженер FAA.
Расхождение по этому номеру увеличено другим элементом в анализе безопасности системы: предел полномочий системы для перемещения хвоста применяется каждый раз, когда срабатывает MCA. И это может быть вызвано несколько раз, как это было на Lion Air flight.
Один текущий инженер по безопасности FAA сказал, что каждый раз, когда пилоты на Lion Air сбрасывают переключатели на свои контрольные колонки, чтобы вытащить нос назад, MCAS снова пинали бы и “позволили новые приращения 2,5 градуса.”
"Поэтому, как только они нажали пару раз, они были на полной остановке, - сказал он, - это означает, что в полной мере хвостовое шарнирное соединение.
Питер Лемме, бывший инженер по управлению полетом Boeing, который теперь является консультантом по авионике и спутниковой связи, сказал, что, поскольку MCAS сбрасывается каждый раз, когда он используется, " он фактически имеет неограниченные полномочия.”
Поворотный горизонтальный хвост, который технически называют стабилизатором, до конечной остановки дает носу самолета максимально возможный толчок вниз.
” Он имел полное право переместить стабилизатор на полную сумму", - сказал Лемме. - В этом нет необходимости. Никто не должен был соглашаться на предоставление ему неограниченных полномочий.”
На Lion Air flight,
когда MCAS толкнул нос струи вниз, капитан вытащил его обратно, используя переключатели большого пальца на контрольной колонке. Все еще работая под ложным углом атаки, MCA каждый раз пинали, чтобы повернуть горизонтальный хвост и снова нажать нос вниз.
Данные "черного ящика", опубликованные в отчете о предварительном расследовании, показывают, что после того, как этот цикл повторялся 21 раз, капитан самолета передал управление первому офицеру. По мере того, как MCAS толкнул нос в два или три раза больше, первый офицер ответил только двумя короткими щелчками переключателей большого пальца.
На пределе 2.5 градусов, 2 цикла MCA без коррекции были бы достаточно для достижения максимального влияния носа-вниз.
В последние секунды данные черного ящика показывают, что капитан возобновил контроль и вернулся с высокой силой. Но было слишком поздно. Самолет нырял в море со скоростью более 500 миль в час.
Сбой системы на одном датчике
Суть анализа безопасности системы Boeing в отношении MCAS состояла в том, что в обычном полете активация MCAS до максимально допустимого уровня 0,6 градуса была классифицирована как только “крупный сбой”, что означает, что это может вызвать физические страдания людей в самолете, но не смерть.
В случае экстремального маневра, в частности, когда самолет находится в накрытой нисходящей спирали, активация MCA была классифицирована как” опасный отказ", что означает, что это может привести к серьезным или смертельным травмам небольшого числа пассажиров. Это все еще один уровень ниже "катастрофического отказа", который представляет собой потерю самолета с несколькими смертельными случаями.
Бывший инженер по управлению полетом Boeing, который работал над сертификацией MAX от имени FAA, сказал, что ли система на самолете может полагаться на один вход датчика или должна иметь два, определяется классификацией отказов в анализе безопасности системы.
Он сказал, что практически все оборудование на любом коммерческом самолете, включая различные датчики, является достаточно надежным, чтобы удовлетворить требование “крупного отказа”, которое заключается в том, что вероятность отказа должна быть меньше одного на 100 000. Таким образом, таким системам, как правило, разрешается полагаться на один входной датчик.
Но когда последствия оцениваются как более серьезные, с требованием "опасного сбоя", требующим более строгой вероятности одного из 10 миллионов, то система, как правило, должна иметь по крайней мере два отдельных канала ввода в случае, если один пойдет не так.
Анализ безопасности системы Boeing оценка того, что отказ MCAS будет “опасные” проблемы бывший инженер по управлению полетом Lemme, потому что система срабатывает при считывании с одного датчика угла атаки.
"Опасный режим отказа в зависимости от одного датчика, я не думаю, что проходит собрать," сказал Lemme.
Как и все 737s, MAX фактически имеет два датчика, по одному с каждой стороны фюзеляжа возле кабины. Но MCA был разработан, чтобы взять чтение только от одного из них.
Лемме сказал, что Boeing мог бы разработать систему для сравнения показаний двух лопастей, что указывало бы, если бы один из них был удален.
В качестве альтернативы, система могла быть разработана, чтобы проверить, что угол атаки был точен, когда самолет рулил на землю перед взлетом, когда угол атаки должен был считать нулем.
"Они могли бы создать двухканальную систему. Или они могли бы проверить значение угла атаки на земле”, - сказал Лемме. "Я не знаю, почему они этого не сделали.”
Данные "черного ящика", представленные в отчете о предварительном расследовании, показывают, что показания двух датчиков отличались примерно на 20 градусов не только во время полета, но и во время выруливания самолета на землю перед взлетом.
Никакой подготовки, никакой информации
После авиакатастрофы Lion, 737 MAX пилотов по всему миру были уведомлены о существовании MCA и что делать, если система срабатывает ненадлежащим образом.
Boeing настаивает на том, что пилоты на Lion Air flight должны были признать, что горизонтальный стабилизатор двигался незамкнутым, и должны были ответить стандартной процедурой контрольного списка пилотов, чтобы справиться с тем, что называется “стабилизатором бегства.”
Если бы они сделали это, пилоты бы попали в выключатели и деактивировали механизм автоматического стабилизатора.
Boeing отметил, что пилоты, летевшие на том же самолете за день до крушения, испытали подобное поведение с полетом 610 и сделали именно это: они бросили выключатели стабилизатора, вернули управление и продолжили с остальной частью полета.
Тем не менее ,
пилоты и авиационные эксперты говорят, что то, что произошло на Lion Air flight, не похоже на стандартный стабилизатор runaway, потому что это определяется как непрерывное незамкнутое движение хвоста.
Во время аварийного полета хвостовое движение не было непрерывным; пилоты могли несколько раз противостоять движению носом вниз.
В добавлении, MCAS изменили реакцию колонки управления к движению стабилизатора. Вытягивать назад на колонке нормально прерывает любое движение носа-вниз стабилизатора, но с MCAS работая что функция колонки управления была неработающей.
Эти различия, конечно, могли спутать пилотов Lion Air с тем, что происходило.
Поскольку MCAS должен был активировать только в экстремальных обстоятельствах, далеко за пределами обычного конверта, Boeing решил, что 737 пилотов не нуждаются в дополнительной подготовке по системе — и действительно им даже не нужно было знать об этом. Это не было упомянуто в их руководствах по полету.
Эта позиция позволила новому самолету заработать общий "рейтинг типа" с существующими 737 моделями, что позволило авиакомпаниям минимизировать обучение пилотов, двигающихся к максимуму.
Дэннис Tajer, представитель Ассоциации пилотов союзников в American Airlines, сказал, что его обучение переходу от старой 737 NG Model C cockpitpit к новой 737 MAX состояло из немногим более чем часового сеанса на iPad, без обучения симуляторов.
Минимизация максимальной тренировки по переходу пилотов была важной экономией для клиентов Boeing, ключевым пунктом продажи для самолета, который набрал более 5000 заказов.
Веб-сайт компании передал самолет авиакомпаниям с обещанием, что “по мере того, как вы строите свой флот 737 MAX, миллионы долларов будут спасены из-за его общности с 737 следующего поколения.”
После авиакатастрофы
официальные лица профсоюзов пилотов американских и юго-западных авиалиний критиковали Boeing за то, что он не предоставил никакой информации о MCAS или ее возможной неисправности в руководствах по пилотированию 737 MAX.
Инженер по безопасности FAA сказал, что отсутствие предварительной информации могло иметь решающее значение в авиакатастрофе Lion.
Анализ безопасности системы Boeing предполагал, что” пилоты узнают, что происходит, как бегство, и отключают выключатели", - сказал инженер. "Предположения здесь неверны. Человеческие факторы не были должным образом оценены.”
В понедельник, перед заземлением 737 MAX, Boeing изложил "улучшение программного обеспечения управления полетом для 737 MAX", что он развивается вскоре после авиакатастрофы Lion.
Согласно подробному брифингу FAA для законодателей, Boeing изменит программное обеспечение MCAS, чтобы обеспечить ввод системы с обоих датчиков угла атаки.
Это также ограничит, сколько MCA может переместить горизонтальный хвост в ответ на ошибочный сигнал. И когда активированный, система пнет внутри только для одного цикла, вернее чем множественные времена.
Boeing также планирует обновить требования к подготовке пилотов и руководства для летных экипажей, чтобы включить MCA.
Эти предлагаемые изменения отражают критику, высказанную инженерами по безопасности в этой истории. Они говорили с "Сиэттл Таймс" до аварии в Эфиопии.
FAA сказал, что он будет поручить программное обеспечение Boeing исправить в директиве летной годности не позднее апреля.
Перед лицом судебных исков, возбужденных семьями погибших, Boeing должен будет объяснить, почему эти исправления не были частью оригинальной конструкции системы. И FAA будет защищать свою сертификацию системы как безопасной.