[Перевод] Ненадёжный корпус Боинга программно не исправишь
Чтобы разместить на самолёте более новые и крупные двигатели, в Боинг решили подвинуть их вперёд. Это изменение изменило и аэродинамику самолёта. Для компенсации этого в Боинг добавили один датчик и обновление для ПО: MCAS.
Сага с Боингом модели 737 MAX служит достойным для изучения примером как инженерной некомпетентности, так и инженерной этики — точнее, её отсутствия.
Появились новые детали того, какую конкурентную нагрузку испытывали инженеры Боинг 737 из-за того, что производитель пытался воспрепятствовать уходу крупнейших авиакомпаний США к своему конкуренту Airbus. В европейском консорциуме конкуренцию флагманскому продукту Боинга составляла новая модель от Airbus, A320neo. Американские авиаперевозчики, например, American Airlines, готовились переходить на модель от Airbus с большей дальностью полёта.
В ответ Боинг выпустил обновлённую, по заявлениям компании, версию 737-й рабочей лошадки, оборудованную более крупными двигателями CFM LEAP, дающими большую дальность полёта и большую эффективность. Но из-за укрупнённых двигателей инженерам Боинга пришлось выдвинуть их дальше вперёд на передний край крыла, чтобы клиренс аппарата не стал слишком маленьким.
А это решение означало, что 737 MAX будет пытаться увеличивать угол тангажа при ускорении или при большом угле атаки — угле между крылом и направлением полёта. Проблему с задиранием носа, которую необходимо было решить для прохождения сертификации, решили исправить при помощи программного обеспечения MCAS.
Критики посчитали, что иное расположение двигателей делает 737 MAX, по сути, другим самолётом, с другими характеристиками управления, и это требует нового управляющего софта и тренировки пилотов. В результате процесс повторной сертификации, которого в Боинге стремились избежать из-за конкуренции, был бы слишком долгим и дорогим.
По сути, критики говорят, что в ответ на угрозу со стороны Airbus, Боинг низвёл уровень безопасности пассажиров до «среднего кресла в эконом-классе», а финансовые соображения «возвысил до первого класса». В компании Боинг это отрицают.
Среди критиков Боинга находится Грегори Трэвис, программист со стажем и пилот с ППП-сертификатом, управлявший в симуляторах самолётами вплоть до Боинг 757. Трэвис опубликовал критику, связанную с фиаско, которое 737 MAX потерпел на прошлой неделе. В заключении он написал: «Скорее всего, MCAS, изначально добавленный для увеличения безопасности, убил уже больше людей, чем мог спасти. Его не нужно «исправлять» с помощью ещё большей сложности и увеличения количества программ. Его нужно полностью устранить».
«Сбивающие с толку» решения
В интервью Трэвис сказал, что «больше всего меня сбивает с толку мысль о том, как это вообще могло произойти» с коммерческим производителем самолётов с долгой историей безопасности и надёжности, а также прекрасной инженерной репутацией.
Трэвис не испытывает сомнений в оценке Боинга 737 MAX. «Это ненадёжный корпус. Нужно исправить корпус, а его нельзя исправить, не передвинув двигатели» назад и в сторону от текущего местоположения.
Главная проблема схемы с выдвинутыми вперёд двигателями состоит в том, что «раз уж он начал увеличивать угол тангажа, он захочет продолжать и дальше, — сказал Трэвис. — А это очень плохо», продолжал он, поскольку увеличенный угол тангажа увеличивает угол атаки.
Отсюда и появился MCAS, реализованный при помощи ПО на полётном компьютере 737 MAX. Используя единственный датчик, MCAS должен был исправлять то, что впоследствии оказалось смертельной ошибкой в дизайне, опуская нос самолёта на основе данных от этого единственного датчика. Трэвис настаивает, что пилоты двух трагических рейсов 737 MAX не могли преодолеть работу этой системы, независимо от того, как сильно они тянули ручку управления. Единственным способом отключить систему было активировать прерыватель, кнопка которого должна была быть заметной на панели управления 737 MAX [на деле об этой опции вообще никто не знал / прим. перев.].
Боинг подвесил двигатели к корпусу, размер которого не изменился. И у этой модели двигатели почти задевают взлётную полосу.
Компания предлагала единственный датчик угла атаки в качестве штатного оборудования и брала дополнительные деньги за второй датчик вместе с индикатором «отмены», который позволил бы пилотам 737 MAX «проверить» отказавший датчик. Описывая подобные решения, другой обозреватель отметил: «Кто вообще разрабатывает систему с единственной точкой отказа?»
EE Times отправила в Боинг PDF с анализом Трэвиса и его заключением о том, что изготовитель решил проблему с корпусом наиболее дешёвым способом, подходившим для получения федеральной сертификации.
Представитель Боинга отказался комментировать этот анализ, сославшись на то, что расследования по поводу двух катастроф, с самолётами компаний Lion Air и Ethiopian Airlines, ещё идут. Вместо этого изданию указали на несколько публичных заявлений по поводу аварий.
По сути, Трэвис выражает сожаление по поводу «культурной лени», господствующей в сообществе разработчиков ПО, которая медленно проникает в такие критически важные системы, как полётные компьютеры. «Под ленью я имею в виду, что люди всё меньше стараются сделать правильный и наиболее простой дизайн, — писал он. — Я считаю, ответственность должны начать нести там, где она возникает».
Некомпетентность или неэтичность?
Относится ли предостерегающая история Боинга 737 MAX к этичности инженерных решений — согласно инженерной этике, всё нужно делать правильно с первого раза, убеждаться, что критически важные системы работают с надёжностью в пять девяток (99,999%) и имеют избыточную страховку — в этом ещё предстоит разобраться.
«Всё дело может оказаться в некомпетентности инженеров», — заключает Трэвис.
Либо так, либо давление со стороны конкурентов заставило Боинг, по сути, скрыть существование системы MCAS, чтобы избежать долгого процесса повторной сертификации, который требует тщательной повторной тренировки пилотов на новых дорогих симуляторах. Всё это подняло бы стоимость каждого экземпляра самолёта на миллионы долларов, отметил Трэвис, и уменьшило бы шансы Боинга на выигрыш в соревновании с Airbus 320neo.
Трагедии с 737 MAX вызывают в памяти инженерные решения, приведшие к катастрофе с шатлом «Челленджер» в 1986 году и к пожару на «Аполлон-1» в 1967. Спешка Боинга в ответ на вызовы со стороны конкурентов напомнили Трэвису и другим такое проклятие группового мышления, как «лихорадка запуска», которая во время разработки проекта «Аполлон» привела к гибели команды троих космонавтов во время наземных испытаний на стартовом комплексе. В том эпизоде безопасностью команды пренебрегли ради соблюдения графика.
Инженерные решения компании Боинг, в спешке разрабатывавшей 737 MAX, привели к гибели 347 человек.
Трэвис ожидает, что у Боинга теперь есть два выхода. «Я вполне допускаю сценарий, по которому они больше не будут продавать эти самолёты». Но более вероятно, что в ближайшие дни мы услышим объявление о том, что производитель исправляет ПО MCAS так, чтобы оно обрабатывало входные данные с нескольких датчиков угла атаки.
В любом случае, заключает Трэвис, «Теперь между человеком и машиной стоят программы».