Катастрофа Boeing 737 Max 8 как результат ошибочной работы ПО

Проблемы были вызваны некорректной работой бортового ПО, и это ставит вопросы о надежности программного управления работой механических систем самолетов, пишет на портале eWeek эксперт Уэйн Раш.

10 марта в Эфиопии разбился пассажирский самолет авиакомпании Ethiopian Airlines, Boeing 737 Max 8, следовавший из Аддис-Абебы в Найроби. Эта катастрофа случилась менее чем через пять месяцев после крушения в Индонезии другого самолета той же модели авиакомпании Lion Air. Согласно предварительным выводам расследования катастрофы самолета Lion Air, пилоты вероятно имели проблемы с автоматической системой, которая предотвращает задирание носа самолета, препятствует потере тяги и срыву в штопор. Boeing рекомендует приостановить полеты всех самолетов этой линейки по всему миру. Многие страны запретили полеты 737 Max 8 и закрыли небо для этого самолета.

Проблемы были вызваны некорректной работой бортового ПО, управляющего работой механических систем самолетов. Количество таких систем может достигать десятков и даже сотен, и многие из них работают с собственными фирменными прошивками. Ситуация требует системного осмысления, поскольку программы контролируют механические системы и оборудование не только в самолетах. Они находятся повсюду: в автомобилях (чем они новее, тем больше узлов управляется софтом), в производственном оборудовании, системах безопасности, отопления, вентиляции, кондиционирования и пр.

Компьютерными автопилотами комплектуется большинство современных авиалайнеров и некоторые частные самолеты. Они находятся на борту круизных лайнеров, атомоходов. Контрольные системы — критически важный элемент многих промышленных систем, поэтому некоторые из них просто не могут без них работать. В автомобилях системы контроля берут на себя часть управления, стабилизируя движение по пересеченной местности, то есть делают езду более гладкой и безопасной.

В авиации компьютерное управление значительно облегчает управление самолетом и, как правило, оно более эффективно, чем ручное. Некоторые самолеты, в том числе F-16 производства General Dynamics и бомбардировщик Northrup Grumman B-2, без компьютерного управления даже не смогут взлететь.

Что такое «Fly-by-Wire»

Одна из схем, которая применяется для управления современными авиалайнерами, известна как «Fly-by-Wire» («полет по проводам»). Ее техническое обозначение — электродистанционная система управления (ЭСУ). Принцип ее работы следующий: команды пилота передаются на компьютер, и он фактически управляет самолетом, отправляя инструкции приводам, которые затем перемещают поверхности управления, включая элероны, лифт, руль и закрылки. Помимо команд пилота ЭСУ учитывает входящие оповещения с датчиков, что позволяет ей определить, что полет проходит безопасно.

Система следит за скоростью воздушного судна, тягой, создаваемой его двигателями, углом атаки (соприкосновения крыльев со встречным потоком воздуха), контролирует распределение нагрузки и многие другие аспекты полета. И если пилот пытается предпринять какие-то нехарактерные действия (например, поднять нос самолета для набора высоты без увеличения тяги), самолет либо выдаст предупреждение, либо откажется выполнять ошибочные действия пилота. В условиях предполагаемой опасности ЭСУ на некоторых моделях самолетов могут противостоять ей самостоятельно, однако алгоритм действий в каждом случае зависит от того, как запрограммирована система управления полетом, в т. ч. какими полномочиями она обладает — если одни производители самолетов отдают полный контроль за управлением пилоту, то другие — автопилоту.

В зависимости от уровня делегированных полномочий, ЭСУ могут обладать полным или частичным конролем или управлять всего несколькими компонентами. Авиалайнеры серии Airbus A320 полностью управляются посредством ЭСУ: пилот перемещает джойстик, расположенный сбоку от контрольной панели, передавая команды на бортовой компьютер, который в итоге осуществляет управление самолетом. Самолеты Airbus последнего поколения достаточно безопасны — ЭСУ начали применять после крушения одного из самолетов во время авиашоу в 1988 г., которое произошло на ранней стадии полета. Тогда у пилота не было полномочий, необходимых для предотвращения катастрофы.

Подход Boeing

В отличие от Airbus, Boeing разрабатывает свои самолеты таким образом, чтобы пилот мог в максимальной степени контролировать полет, но при этом получать прямую связь от ЭСУ, например, путем вибрации или сильного сотрясения штурвальной колонки перед сваливанием в пике. При этом пилот может отменить эти предупреждения. Штурвальные колонки устанавливаются в авиалайнеры Boeing со времен, когда средства управления полетом были полностью механическими или гидравлическими и для выполнения некоторых маневров нужно было прикладывать физические усилия.

Однако в самолетах серии Boeing 737 Max присутствуют бортовые системы, которые не предназначены для управления вручную. Например, закрылки этого самолета автоматически сводит/разводит новая ЭСУ, причем это происходит на большинстве стадий полета. Еще одна автономная от действий пилота система ЭСУ — MCAS (Maneuvering Characteristics Augmentation System, система улучшения характеристик управления самолетом) регулирует положение горизонтального стабилизатора воздушного судна для предотвращения сваливания. Оно происходит в момент, когда угол атаки самолета таков, что крылья теряют подъемную силу. Сваливание можно предотвратить путем уменьшения угла атаки, то есть носовая часть самолета должна накрениться — этого можно добиться путем перевода штурвала в положение «вперед».

Если MCAS обнаруживает на самолете 737 Max признаки сваливания или на это указывают другие летные параметры, то она автоматически переводит штурвал в нужное положение. Boeing выбрал MCAS для установки на 737 Max из-за конструктивных особенностей расположения двигателей под крыльями.

Когда ПО работает против воли пилота

В предварительном отчете о расследовании авиакатастрофы рейса авиакомпании Lion Air упоминалось, что пилоты столкнулись с разницей в показаниях скорости от разных датчиков. При этом возникла ситуация, когда MCAS вмешалась в управление самолетом, пытаясь спасти его от потери скорости и сваливания. Эта система активна только при выключенном автопилоте и убранных закрылках. В случае опасности MCAS активирует горизонтальный стабилизатор и медленно задирает нос самолета для того, чтобы тот смог набрать скорость и высоту.

Пилот может вернуть стабилизатор на место, но через пять секунд MCAS (сверившись с показаниями датчиков) опять берет управление на себя. При этом система «верит» в сваливание, даже если на это указывает только один из двух датчиков — так и случилось на самолете Lion Air, где один датчик сломался, а другой продолжал работать нормально. За несколько минут борьбы с автоматикой пилоты так и не смогли отключить ПО, которое управляло стабилизатором; самолет перешел в пике и на большой скорости врезался в море. Они просто не знали, что отключить автоматику можно просто перещелкнув пару переключателей в правой задней части дроссельной консоли — по предварительным данным, Boeing не посчитал нужным проинформировать об этом пилотов, «чтобы не перегружать их информацией».

Пока что неизвестно, повторилась ли эта ситуация в случае с крушением лайнера эфиопских авиалиний, потому что следственные органы только приступили к изучению полетных данных, однако, как показало изучение спутниковых данных, в траекториях полетов разбившихся самолетов Lion Air и Ethiopian Airlines есть много общего. Надл также отметить немалое количество записей в базе данных FAA (Федеральная авиационная администрация США), в которых говорится о проблемах с MCAS в самолетах серии 737 Max. Эти записи передаются пилотами анонимно, а база используется для повышения безопасности полетов.

Отказ систем может быть связан с разными причинами

Важно помнить, что автоматизированные системы не всегда работают правильно. Сбой могут вызвать неисправные датчики, ошибочная работа компьютера, плохо написанное ПО или вмешательстве человека. Как показали авиакатастрофы пассажирских лайнеров, у инженеров есть достаточно весомый повод приступить к созданию автоматики с набором ПО, которое могло бы отключать ее, если она по какой-либо причине должным образом не реагирует на действия человека.

Последний, кстати, тоже может влиять на работоспособность устройств. Подобная ситуация произошла с американскими боевыми БПЛА, когда они упали из-за незакрепленных проводов.

Причиной проблем может стать и турбулентность, которая способна вывести из строя электрическую систему самолета, лишить его радиосвязи и системы навигации и даже разрушить закрылки. В таких ситуациях без возможности ручного управления просто не спастись.