Может ли быть слишком много автоматизации в самолете?

    В процессе обсуждения моей статьи о нахождении ошибки в программном обеспечении контроллера авиационного двигателя (FADEC) был затронут ряд вопросов, не имеющих прямого отношения к теме той статьи. Видя довольно большой интерес читателей к авиационно-компьютерной тематике, я решил рассказать еще об одной, довольно известной в узких кругах, истории, где ошибка в логике системы доставила экипажу несколько весьма интересных моментов, а производителю – кучу головной боли. На всякий случай, предупреждение – если считаете, что можете подхватить авиафобию (или она у вас уже есть), то лучше не переворачивайте страницу.

    Итак, в 2005 году состоялся первый полет самолета Falcon 7X компании Dassault, а еще через пару лет первые самолеты этого типа были переданы покупателям. Falcon 7X является представителем сверхдальних бизнес-джетов (в настоящее время стоимость под 60 млн долларов) с одной весьма существенной особенностью – это первый бизнес-джет, построенный по принципу Fly-By-Wire (FBW). Хотя эта технология уже достаточно давно применялась на пассажирских самолетах, 7X был первым бизнес-самолетом, в котором вообще все первичные органы управления функционировали по архитектуре FBW.

    Я имею довольно общее представление о 7X (пока, к сожалению, не обладаю рейтингом на пилотирование этой модели), поэтому заранее прошу прощения, если не смогу рассказать о каких-то нюансах во всех тонкостях, да и это здесь вроде не нужно.

    Технология FBW подразумевает (в большинстве случаев) не только отсутствие прямой связи задающих механизмов (штурвал/сайдстик, педали) с управляющими поверхностями (элероны, рули направления и высоты), но и совершенно другой подход во взаимодействии пилота с самолетом.
    В классическом самолете пилот контролирует положение непосредственно управляющих поверхностей, с их помощью заставляя самолет совершать требуемые эволюции. В архитектуре FBW пилот говорит самолету (вернее, управляющему компьютеру), что именно хочется получить от самолета, а уже компьютер сам решает, как этого достичь (какие рулевые поверхности, и в каком количестве задействовать). Под пилотом подразумевается как человек, так и автопилот – это сути дела не меняет.

    Небольшой пример – простой прямолинейный полет. На обычном самолете в установившемся режиме ничего делать не нужно до того момента, пока не встретится, например, небольшая турбулентность. Как только локальное возмущение воздушной среды изменило положение самолета, пилот тут же должен парировать это изменение с помощью органов управления. Самолет накренился влево и, соответственно, начала разворачиваться в ту же сторону – значит, с помощью штурвала задействуем элероны, вернем самолет в прежнее горизонтальное положение, повернем вправо, чтобы компенсировать предыдущий разворот, потом вернемся на прежний курс, после чего наконец вернем элероны в нейтральное же положение. На самолете с FBW для обеспечения прямолинейного полета нужно поставить установить штурвал ровно, и… все! Теперь самолет знает, что ему нужно лететь прямо, и он решает эту задачу самостоятельно. Порыв ветра – ничего страшного, система самостоятельно использует элероны и остальное, что потребуется – пилот не делает вообще ничего. При необходимости маневрирования, не нужно заботиться о влиянии скорости и веса самолета на его «отзывчивость» — всегда на определенное отклонение штурвала самолет ответит совершенно идентично. Классический же самолет, чем он больше загружен и медленнее летит, тем он более «вяло» отзывается на органы управления.
    Еще FBW обеспечивает защиту от выведения самолета в «неправильные» режимы полета. Например, если самолет летит медленно, близко к скорости сваливания, то как не тяни штурвал на себя, система управления просто не создаст тангаж больше того, при котором самолет еще сможет обеспечить безопасную скорость.

    Конечно, все во много раз сложнее, чем я здесь описал. Например, в большинстве случаев у самолета (вернее, у системы управления) будут разные наборы правил (законы), описывающих взаимосвязи органов управления и управляющих поверхностей. Например, «нормальный» закон работает так, как описано выше. «Прямой» закон имитирует поведение классической системы управления – с точки зрения пилота, он напрямую отклоняет рулевые поверхности, хотя, как правило, такие перемещения все равно ограничены механизмами защиты от попадания самолета в опасное положение. Есть и другие законы (например, аварийные – когда система управления обнаруживает неисправность в своих цепях), но это уже предмет совершенно другой статьи.

    Вернемся же к нашему Falcon’у. Хотя первое время очень многие относились к такому радикальному подходу в организации системы управления крайне настороженно, до 2011 года система FWB (насколько я знаю) серьезных проблем, действительно влияющих на безопасность полетов, не создавала. Была куча мелочей, что вполне понятно – думаю, большинство читателей Хабра легко представит себе сложность как «железа», так и ПО такой системы, и согласится, что выявляемые в ходе начального этапа эксплуатации проблемы – просто неизбежное зло.

    Однако все изменилось в мае 2007 года, когда произошло событие, о котором официально сообщила компания-производитель (а я же знаком с непосредственными участниками событий):

    image

    За этой сухой информацией скрывается следующее. Самолет спокойно снижался, чтобы начать через некоторое время заход на посадку. На высоте около 12000 футов (3.5 км) внезапно началась неконтролируемая перестановка горизонтального стабилизатора на кабрирование. Несмотря на все усилия экипажа, самолет начал резко набирать высоту, причем в процессе перегрузка доходила до 4.5G. С самолетом удалось справиться только после набора лшних 10000 футов (около 3 км), причем для устранения положительного тангажа экипажу пришлось создать на какое-то время крен в 100 градусов.

    Теперь по порядку. Одним из важнейших показателей самолета является его центровка – отношение центра тяжести к центру подъемной силы. Если центровка слишком передняя, то самолет просто не сможет взлететь – руля высоты не хватит, чтобы поднять нос. При слишком задней центровке при взлете самолет задерет нос, начнет терять высоту и свалится. Соответственно, есть диапазон допустимых центровок, который должен выдерживаться на тех или иных этапах полета.

    Современные скоростные самолеты вынуждены решать проблему центровки сразу с двух сторон – во время полета меняется как вес самолета (вырабатывается топливо), так в зависимости от скорости меняется и центр подъемной силы – при приближении к скорости звука происходят хитрые аэродинамические явления. Сам по себе руль высоты не способен справиться с таким диапазоном изменения центровки, поэтому ему на помощь приходит горизонтальный стабилизатор. Имея большую площадь, ГС способен обеспечить необходимый диапазон центровок путем относительно медленного изменения угла установки (но и центровка меняется относительно медленно), а руль высоты используется для управления по тангажу.
    При этом, надеюсь, понятно, что при площади ГС большей, чем площадь руля высоты, этот самый руль высоты перебороть ГС (особенно на больших скоростях) вряд ли сможет. Поэтому механизм, регулирующий угол установки ГС, один из самых строго сертифицируемых во всем самолете. Обязательно наличие не только дублирования (часто – троирования) систем механизма, но и обеспечение возможности немедленно прекратить перемещение ГС при начале неконтролируемого движения. Даже кнопка перемещения чаще всего состоит из двух полукнопок, соединенных последовательно – если одна заклинит, то большие шансы, что вторая все равно разорвет цепь при ее отпускании.

    Немного о том, что испытал экипаж. 4.5G – по пилотажным меркам, это не очень много. Однако это на пилотажных самолетах, да еще когда пилот заранее знает, что он будет делать. Для обычного пассажира уже 1.5G послужит поводом при первой возможности броситься к компьютеру и начать строчить во все форумы рассказ о том, как он только что чудом избежал неминуемой смерти в разваливающемся прямо в воздухе самолете. Вообще что-то до 2G в пассажирской авиации более-менее приемлемо, больше – уже ЧП. Так что 4.5 – это очень и очень серьезно.

    Крен 100 градусов… Некоторое время назад вышел какой-то фильм (я его не видел), где пьяница-летчик спас самолет, перевернув его вверх ногами, после того как на самолете произошло что-то вроде заклинивания ГС. Так вот, в данном случае ситуация была весьма похожа на фильм. Для пассажирского самолета нормальные крены – градусов до 30, причем при 30-градусном крене особо впечатлительные пассажиры начинают падать в обморок. 100 градусов – слегка уже вверх ногами, вообще-то такие самолеты так не летают. Аварийная процедура вывода самолета из положения «нос вверх» подразумевает крен градусов 60, в данном случае ребята немного перестарались (это простительно).

    На следующий день полеты на самолетах этого типа были запрещены по всему миру до выяснения и устранения причин происшествия, производитель начал разбираться в причинах происшедшего, ну а заинтересованные лица (в первую очередь, пилоты) попытались понять, почему в первые же секунды проблемы экипаж не сделал самую естественную в такой ситуации вещь – не отключил полностью механизм перемещения ГС ???

    Снова отступление – учитывая потенциальные проблемы, которые может создать неконтролируемое перемещение ГС (runaway trim), на большинстве самолетов есть либо несколько способов отключить эту систему. Это может быть отдельная кнопка, предохранитель со специальным колпачком, по которому его (предохранитель) можно моментально идентифицировать, а чаще даже оба эти приспособления. Кроме того, при перемещении ГС дольше определенного времени (0.5 – 1.5 с) раздается характерный писк. И процедура отключения ГС отрабатывается до автоматизма – тем более, что она элементарна.

    Поэтому было очень странно, что опытный (в этом не было сомнений) экипаж больше 2-х минут (!!!) боролся с ГС, вместо того, чтобы за пару секунд (максимум) его отключить.

    Ладно, теперь вспоминаем, что я рассказывал о работе FWB. При «нормальном» законе система сама решает, что делать с управляющими поверхностями, в число которых входит и ГС. Если на обычном самолете пилот сам устанавливает требуемый угол ГС, то на 7X это (как и все остальное) отдано на откуп компьютеру. Причем при сертификации Dassault научно доказал, что его решения обеспечивают такой уровень надежности управления ГС, что никаких ручных предохранительных цепей не требуется.

    В принципе, кнопка перемещения (но не отключения) ГС все-таки есть, только вот активируется она в «аварийном» или «прямом» законе, а по каким-то причинам во время ЧП самолет считал, что все в порядке, и оставался в «нормальном» законе. Я считаю, что именно здесь и был основной просчет разработчиков – в явно аварийной ситуации система продолжала находиться в полном неведении о проблеме, и не давала пилотам исправить ситуацию.

    Предохранителей (в классическом авиационном понимании) на таком высокотехнологичном самолете тоже практически нет, так что даже просто нафиг отключить всю систему ГС тоже никакой возможности не было.

    После того, как все борта были поставлены на прикол, началась такая свистопляска, что наши упражнения с TR даже детским лепетом не назвать. Представляете – под сотню самолетов каждый стоимостью около 50 млн долларов, их владельцы были слегка недовольны тем, что неожиданно лишились средства передвижения. Хотя Dassault бросил на решение проблемы практически все свои ресурсы, задача не решалась так просто, как все сначала надеялись.

    Больше чем месяц все самолеты так и оставались на земле, когда, наконец, производитель не объявил, что разобрался в проблеме, и вскоре начнет необходимые действия по приведению бортов в летное состояние. К сожалению, я не обладаю внутренней информацией о том, в чем именно была проблема, но что-то можно увидеть по описанию того, что необходимо было сделать для приведения самолета в порядок.

    image

    Как видно из данного документа, замене подлежат блоки управления (читай – специализированные компьютеры) горизонтальным стабилизатором, а самое главное – обновляется практически все ПО системы управления самолетом.
    Поделиться публикацией

    Комментарии 59

      +3
      Спасибо за посты! Давно в качестве хобби, при основной работе в IT, увлекаюсь авиацией, так что видеть подобное на хабре очень интересно. Буду рад, если этим постом дело не закончится.

      На сколько мне известно, на новых поколениях Boeing'a (777, 787) управление самолетом происходит также через компьютер, и штурвал по факту — джойстик. Однако, по заверению летчиков (не могу сказать это уверенно и определенно, т.к. не читал официальную литературу на эту тему) физическую связь с поверхностями управления кокпит все же сохранил, т.е. в случае полного отказа электроники пилоты могут перейти в режим полностью ручного управления (с помощью гидравлики естественно). На взгляд обывателя это выглядит вполне логично, впрочем как и наличие некой кнопки, которая могла бы выключить компьютер и дать управлять самолетом по старинке. Так вот вопрос, почему же такое резервирование не является стандартом отрасли? Понятно, конечно, что риск весьма ничтожен, но все же…
        +4
        Во всем этом есть одно «но». Кто будет уметь управлять этими ручными системами на компьютерном расслабоне?
          +2
          Смотря на каких пепелацах. После недавней калифорнийской катастрофы 777 (причина — потеря скорости на заходе) FAA внезапно озаботилась недостатками навыков ручного пилотирования и контроля ситуации у экипажей высокоавтоматизированных самолётов. Экипажи ближнемагистральных самолётов (Б737, например) имеют возможность (и стараются, если сами нормальные и лётное начальство не препятствует) отключить автопилот и тренировать навыки ручного пилотирования в процессе захода на посадку и (реже) взлёта и набора высоты; на эшелоне, как правило, работает автопилот, а экипаж только контролирует. На дальнемагистральных бортах принцип такой же, но на ближних рейсах количество взлётов и посадок в рабочий день больше, чем на дальних. Если на рейс из Москвы, скажем, в Казань можно пустить за рабочий день один экипаж туда и обратно, то у них в течение этого дня будут на двоих два взлёта и две посадки — тренируйтесь на здоровье. А в Ханой или на Пхукет так не получится: превышение рабочего времени в авиации, мягко говоря, не приветствуется. Будут на двоих один взлёт и одна посадка — и перебивайся как хочешь. Может, когда-нибудь каждый дальнемагистральный пепелац оснастят тренажёром этого же пепелаца и потребуют от экипажа регулярных тренировок на эшелоне — это вопрос веса, энергии и стоимости. А пока всё будет как есть.
            0
            Экипажи ближнемагистральных самолётов (Б737, например) имеют возможность (и стараются, если сами нормальные и лётное начальство не препятствует) отключить автопилот и тренировать навыки ручного пилотирования в процессе захода на посадку и (реже) взлёта и набора высоты; на эшелоне, как правило, работает автопилот, а экипаж только контролирует. На дальнемагистральных бортах принцип такой же, но на ближних рейсах количество взлётов и посадок в рабочий день больше, чем на дальних. Если на рейс из Москвы, скажем, в Казань можно пустить за рабочий день один экипаж туда и обратно, то у них в течение этого дня будут на двоих два взлёта и две посадки — тренируйтесь на здоровье.


            Не читали «записки ездового пса»? Там ярко, в красках описываются результаты различных «решил потренироваться...».
              +5
              Читал. Там ярко и в красках описываются случаи грубых нарушений правил полётов и их последствия. А ручное пилотирование на этапах взлёта, набора высоты и захода на посадку является одним из штатных методов управления, которым обязан владеть каждый пилот, допущенный к выполнению полётов на конкретном типе ВС. И, если с целью поддержания навыков пилот с согласия старшего на борту на заранее оговорённой высоте отключает автопилот и летит «на руках» (разумеется, при контроле со стороны второго члена экипажа), ничего плохого и опасного в этом нет. Это всё лучше, чем потерять скорость, как случилось в Сан-Франциско или несколько лет назад в Амстердаме (там на заходе разложили Б737-800 почти по той же причине: в ходе полёта по глиссаде автомат тяги по ошибке рано перевёл движки на малый газ, а пилоты это прохлопали; в итоге практически перед полосой потеряли скорость и свалились). Собственно, рекомендую почитать ЖЖ товарищей denokan и airguide; они регулярно пишут и о том, что летают в т. ч. «на руках». А запрещено было в советских нормах в полётах с пассажирами имитировать отказы узлов и систем самолёта (не важно, в целях обучения или проверки). Да и сейчас обучение действиям при отказах делается только на тренажёрах.
        +19
        О, то есть они всего за месяц сумели найти баг, переписать софт и перевыпустить железки для всех самолётов этой марки в мире? И пройти сертификацию? Там наверное месяц никто не спал и не ел.
          +5
          Когда на кону миллионы долларов — будут работать круглосуточно в 3 смены :)
            +1
            Именно так.
              0
              Насколько я понимаю, подольше: 2 месяца от остановки полетов до написания кода/исправлений (26 мая -> 25 июля) и затем еще месяц на сертификацию (25 июля -> середина августа). А когда реально всё доделали и самолеты вновь начали летать — не понял.
                +2
                Если уж вдаваться в детали, все было не совсем сразу. Посредине еще были промежуточные решения, которые позволяли эксплуатировать самолеты с определенными ограничениями.
              0
              Супер, очень интересно было прочитать. Единственный раз интересовался причиной авиапроисшествия, когда во Внуково самолёт выкатился на шоссе. Там ведь тоже проблема была с системой управления? Самолёт был уверен, что он в воздухе, и категорически отказывался включать реверс. Неужели нельзя сделать большую красную кнопку, которая отключит всю автоматику и переведёт самолёт в режим буквального исполнения приказов пилота?
                +6
                denokan.livejournal.com/23264.html — вот комментарий пилота-инструктора S7 на тему той катастрофы.

                Там самолет был уверен, что он в воздухе, т.к. пилоты слишком «мягко» завели его на посадку, и не обжались стойки шасси. Т.е. самолет фактически продолжал лететь прямо над полосой, слегка касаясь ее колесами. РЛЭ в этом случае предписывает вручную выпустить спойлеры, которые нарушат аэродинамику крыла, самолет «притрет» к полосе и стойки обожмутся. Так вот, рекомендацию РЛЭ экипаж почему-то и не выполнил.
                +5
                Реверс не основная система торможения у Ту-204, колесные тормоза должны самостоятельно справляться с торможением самолета при посадке без использования реверса. Реверс, воздушный тормоза (интерцепторы) используют для повышения надежности торможения.

                Касаемо вашего вопроса, почему отказывался включаться реверс — есть датчики обжатия стоек шасси, они указываю системе управления, что самолет не летит, а катится по полосе. Пока не сработали датчики обжатия шасси — реверс не включается, это защитный механизм. Если в воздухе включить реверс, самолет резко потеряет подъемную силу со всеми вытекающими (был такой случай, японский пилот, говорят что психически больной, включил реверс в воздухе).

                Поэтому отключение подобной защиты — не самая удачная идея.

                Касаемо того самого происшествия во Внуково, к аварии привел не единичный отказ, а цепочка: промахнулись немного при заходе, не работали толком тормоза, не сработал реверс, не приняли быстро решение уйти на вторую попытку.

                Поэтому при разработке систем управления воздушными судами не все так однозначно.
                  +1
                  У нас на работе был доклад по предварительным данным расследования, и какое было мнение на тот момент:
                  Из-за бокового ветра не было одновременного обжатия стоек шасси (приземлилась только одна сторона), из-за чего не включались автоматически интерсепторы и блокировалось включение реверса.

                  Подобные неприятности (без катастроф) встречались и с другими судами, где потом чуть меняли логику: если обжалась правая стойка шасси, то выпустить автоматически интерсепторы с левой стороны, и соответсвенно наоборот.

                  Но фактически причина — ошибка экипажа, который взял скорость захода на посадку сильно больше рассчетной (экипаж долго летал на на ТУ-154, у которого эта скорость еще существенно выше — привычка сработала).
                    0
                    А если ложное срабатывание?
                      0
                      Датчики обжатия стоек шасси тоже резервируюся.
                      Например на каждой стойке их стоит 6 штук, и сигнал WOW считается сработавшим если среагировало как минимум 4 датчика.
                        0
                        Ложное срабатывание может быть вызвано не только неисправностью датчика, так что причется ещё и на радиовысотомер заложиться. Ну и СДУ, по хорошему, должна быть достаточно умной, чтобы рулем направления скомпенсировать увод с курса
                          0
                          Современные радиовысотомеры НЯЗ неэффективны на такой высоте (речь же о самолете на полосе), им хотя бы десятки метров нужны.
                    0
                    А разве защита реверса не всегда была?
                    Ведь это же логично, что нельзя включать реверс в воздухе и такую защиту нужно встраивать в первую очередь.
                    Интересно почитать про этого японского пилота, на каком именно самолёте он летел?
                      +2
                      не всегда, вот пример Ту-154
                      www.youtube.com/watch?v=bFT0YO2CdM0#t=82
                        +1
                        Вот про случай c японским пилотом en.wikipedia.org/wiki/Japan_Airlines_Flight_350, самолет DC-8-61, упали с 300 метров.
                          +2
                          На видео включение реверса выглядит как обычное дело ) у пилота стальные яйца
                          +2
                          Вот кстати еще одна «привычка» экипажа: на 154-м реверс можно включить до срабатывания WOW, а на 204-м — только когда оба WOW сработали.
                          0
                          Еще B-767 разбился в Тайланде из-за самопроизвольного включения реверса в полете. Lauda Air, емнип.
                          +3
                          В принципе, кнопка перемещения (но не отключения) ГС все-таки есть, только вот активируется она в «аварийном» или «прямом» законе, а по каким-то причинам во время ЧП самолет считал, что все в порядке, и оставался в «нормальном» законе

                          Ну а неужели не было кнопки принудительного включения «аварийного закона»? Ведь ясно же, что системам управления самолета доступна одна информация для принятия решения об аварийном режиме, а экипажу — другая. И если самолет сам не видит, что авария — то подсказать ему, что ли.

                          Вот на атомных станциях есть автоматическая аварийная защита по сигналам от датчиков, а есть и кнопка аварийной защиты, которую могут нажать операторы.
                            +12
                            Позволю себе
                            процитировать Баш
                            xxx: Шесть этапов дебага
                            ххх: 1. Этого не может быть
                            ххх: 2. Этого не может быть на моем компе
                            ххх: 3. Так быть не должно
                            ххх: 4. Как так может быть?
                            ххх: 5. Ааааа, вот оно что
                            ххх: 6. Как это вообще могло работать?
                            yyy: 7. это всё svn
                            zzz: 8. когда-то мы будем проводить тесты


                            Создатели были абсолютно уверены в том, что такой ситуации быть не может.
                              0
                              Это прекрасно.
                              +2
                              Мировая практика даёт убедительную статистику, что пилоты ошибаются намного чаще. Человеческий фактор — причина более 50% всех авиационных происшествий. Отказ техники (не компьютеров, а вообще любой, включая двигатели, генераторы, гидравлику) — около 20% всего.
                                +3
                                Да да… именно кнопка аварийной защиты в Чернобыле и привела к аварии. Вот не нажал бы её никто, аварии и не было бы. Так что с аварийными кнопками не все однозначно, иногда и они срабатывают не так как задумано.
                                  0
                                  Не нажали бы её было бы еще круче:)
                                    +1
                                    нет, все остановилось бы плавнее. Способов заглушить реактор было несколько, а эта злополучная кнопка была самым простым решением, но не самым верным в той ситуации. К сожалению, поняли что была «не та ситуация» уже после того как все произошло. Так что судить строго тут не получится, в момент нажатия кнопки никто и не мог догадаться к чему это приведет, хотя вообще должны были.
                                    0
                                    В Чернобыле много всего сделали. Начиная с того, что отключили автоматику защиты. Потом загнали реактор в практически неуправляемый режим, и вопреки рекомендациям системы анализа состояния начали эксперимент. Когда кнопку АЗ нажимали — уже всё равно было, что нажимай, что не нажимай, положительная реактивность уже была, и приличная.
                                      +2
                                      Этот неуправляемый режим как раз и стал следствием срабатывания системы аварийной защиты — именно за счет движения стержней защиты активная зона оказалась голой на некоторое время, которого хватило для разгона реактора и расплавления стержней. А дальше расщепление воды на водород-кислород и «бум».
                                        0
                                        Ещё до начала испытаний, в 1:22:30, реактор уже был отравлен, в оперативный запас реактивности близок к нулю, в активной зоне в 2 раза меньше стержней, чем разрешено регламентом эксплуатации. В такой ситуации надо немедленно глушить реактор, потому что он уже близок к неуправляемому. Вместо этого решили таки проводить испытания. Провели несколько манипуляций с циркуляционными насосами, в итоге получили реактор, который резко разгоняется. Тут концевой эффект, про который вы пишете, сыграл свою роль, как другие конструктивные недостатки (та же положительная обратная связь мощности и парообразования в некоторых режимах, например), но в аварии совершенно точно не виновата система защиты. Всё это есть в отчёте МАГАТЭ INSAG-1.

                                        Ну и первый взрыв был тепловой, а не водород+кислород. Просто давление пара.
                                          0
                                          Пожалуй, это имеет смысл. Но все же, емкости с борной кислотой были, и ими в этом случае можно было воспользоваться. Но человеческий фактор… «обойдется», «выкарабкаемся».
                                          Только насколько я слышал, эксперимент как раз оставили на ночь перед плановым остановом реактора чтобы два зайца одним махом так сказать.
                                            0
                                            Не было емкостей с борной кислотой. В реакторах РБМК регулирование борной кислотой не применяется. Это на ВВЭРах есть кислота.
                                      +2
                                      В 86г в Чернобыле операторы нажали кнопку АЗ-5 в тот момент, когда им была видна опасность, а автоматике — еще нет. Реактор взорвался из-за дефектов в механизмах этой защиты, но не из-за наличия возможности принудительно включить ее алгоритм.

                                      Об аварии 86г знают все, а кто знает, сколько потенциальных ядерных катастроф было предотвращено на разных АЭС благодаря тому, что операторы смогли вручную заглушить реактор, когда автоматика еще не видела опасности?
                                        +1
                                        Какая опасность? Операторы просто штатно завершали эксперимент, кнопка аварийной защиты служила не только для защиты от аварий а так же как средство штатного останова реактора. Никто в тот момент не видел опасности — все шло как и должно было идти — эксперимент закончился и реактор останавливался на профилактику. И тут через 16 секунд после нажатия кнопки произошла неожиданность для операторов — взрыв. Кроме того способов остановить реактор существовало несколько, просто эта злополучная кнопка была самым простым из них — нажал и все. Остальные требовали сложных манипуляций или расхода борной кислоты.

                                        Это все равно что пилоты включили бы автопилот, а он сошел бы с ума через пару секунд и угробил самолет.
                                          0
                                          Борное регулирование в реакторах РБМК не применяется. Глушили реактор именно кнопкой АЗ-5 из-за того, что его мощность начала (пока еще медленно) возрастать, и авторегулятор не смог это скомпенсировать. На графиках мощности и положения стержней АР это отчетливо видно. Было ли время у СИУРа погружать малыми группами стержни РР, чтобы остановить рост мощности, не прибегая к АЗ? На этот вопрос может ответить только профессионал. На форуме припять.ком часто выступал один чернобыльский послеаварийный ВИУР. Он придерживается мнения, что кнопку АЗ-5 тогда нажали кратковременно, не с целью полного заглушения реактора, а с целью быстро остановить начавшийся рост мощности. В те времена при отпускании кнопки АЗ-5 движение стержней в зону прекращалось.

                                          Так что опасность была. И автоматика ее не видела (рост мощности был ниже порога срабатывания АЗМ и АЗСР).
                                          0
                                          Две цитаты из отчёта МАГАТЭ INSAG-1:
                                          В 1ч 22мин 30с оператор на распечатке программы быстрой оценки запаса реактивности увидел, что оперативный запас реактивности составил значение, требующее немедленной остановки реактора.
                                          Кнопка А3-5 была нажата в 1 ч 23 мин 40 сек.

                                          И часть автоматических защит специально заблокировали, чтобы она не мешала производить эксперимент.
                                            0
                                            Почему вы ссылаетесь на INSAG-1? Есть же уточненный анализ INSAG-7. В частности, цитата оттуда:

                                            Most analyses now associate the severity of the accident with the defects in the design of control and safety rods in conjunction with the physics design characteristics, which permitted the inadvertent setting up of large positive void coefficients. The scram just before the sharp rise in power that destroyed the reactor may well have been the decisive contributory factor.

                                            Именно это, а не действия персонала по отключению защит и проч. Все эти действия формально являются нарушениями, но не они сыграли решающую роль в наступлении катастрофы.
                                      +6
                                      Читал с упоением, очень интересный пост. Вообще посты об авиации очень интересны. Я очень хочу научится летать, хотя-бы на маленьком кукурузничке, но к сожалению в этом году получилось только вывалистя с парашютом.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Огромное спасибо за статью, даже не подозревал что в самолёте имеется ГС, всегда думал, что достаточно элеронов, руля управления и руля высоты + триммеры и закрылки.

                                          Надеюсь после этого случая производитель вернул на место предохранитель по отключению систем ГС?
                                            0
                                            Как я уже писал, регулируемый ГС имеется, в основном, на реактивных самолетах, которые летают относительно быстро, и у которых центр подъемной силы заметно смещается при изменении скорости.

                                            Насколько знаю (могу ошибаться), никаких «железных» изменений сделано не было.
                                              +2
                                              Специально для вас «страшная» картинка из википедии:
                                              image
                                              Из статьи «Механизация крыла»
                                              +7
                                              curiousGeorge, огромное спасибо за статьи! Читать невероятно интересно. И факты, и повествование — все супер.
                                                +1
                                                Dassault вообще-то, молодцы. Оперативно нашли баг. А еще они используют и спонсируют Frama-C — открытый софт для верификации и статического анализа кода на Си, написан на Ocaml и активно разивается. Причем умеет часть ошибок искать даже без аннотаций. Базирован на SMT решателях и формализации кода и граничных условий.
                                                Скриншот актуальной версии
                                                image
                                                  +1
                                                  Даже кнопка перемещения чаще всего состоит из двух полукнопок, соединенных последовательно – если одна заклинит, то большие шансы, что вторая все равно разорвет цепь при ее отпускании.

                                                  И это то почему я обожаю авиацию!
                                                    +2
                                                    Что такое TR?
                                                      0
                                                      Реверс тяги, из предыдущей статьи автора.
                                                        0
                                                        Расшифровывается как Thrust Reverse
                                                        0
                                                        Буквально пару дней назад слышал следующую историю:
                                                        Airbus A320 заходил на посадку, шёл по глиссаде. Внезапно, глиссада резко ушла вниз, а через некоторое время вернулась на место.
                                                        Самолёт последовал за ней, сначала нырнул, а потом стал набирать высоту. В результате таких манёвров была потеряна скорость.
                                                        К счастью, лётчики вовремя отреагировали, прекратили посадку и ушли на второй круг. Со второго раза посадку удалось совершить, но само происшествие заставило лётчиков понервничать.
                                                        Судя по статье, такая ситуация возникла именно из-за FBW, который не ожидал каких-либо изменений глиссады, поэтому неукоснительно придерживался её, и в результате создал опасную ситуацию. Что случилось с глиссадой — другой вопрос, но человек, наверное, такой бы ситуации не допустил.
                                                          0
                                                          Выглядит очередной страшилкой и сразу же вызывает ряд вопросов. Во-первых, никаких особенностей, присущих только FBW, в этой ситуации вообще нет — любой самолет на автопилоте реагировал бы именно так. Далее — если автомат тяги был включен, то самолет на автопилоте просто не смог мы маневрировать так, что АТ не справился бы. Если же тяга регулировалась вручную, то это вообще проблема исключительно пилота.
                                                          Извините, но пример и не в тему, и вообще выглядит как-то странно.
                                                            0
                                                            Всё нормально, сам виноват что полез туда, в чём не разбираюсь.
                                                            Случай реальный, а не страшилка, никого пугать не собирался. Видимо, я его слишком исказил передавая через третьи руки от непосредственных участников событий.
                                                            Наверное, он и не относится к FBW, но непосредственно связан с автоматизацией в самолёте. Автоматизация решает одни проблемы, но порождает другие, когда случаются не предусмотренные в алгоритмах ситуации. Как я понимаю, отклонений глиссады никто не ждёт, в результате её изменения приводят к неожиданным последствиям.
                                                            В данном случае был составлен какой-то отчёт об инциденте (или как это называется), и, думаю, при рассмотрении этой ситуации решался вопрос почему глиссада отклонилась, а не почему самолёт пошёл за ней и надо ли предусматривать такие ситуации в алгоритмах.
                                                            Под потерей скорости, возможно имелось ввиду, что её было недостаточно для нормального продолжения снижения, а не угроза потери манёвренности.

                                                            На этом закругляюсь, так как боюсь в своей некомпетентности зайти слишком далеко.
                                                            0
                                                            Да, FBW тут не при чем. Такие ситуации постоянно происходят в Шереметьево из-за того, что самолеты пересекают полосы и луч глиссады отражается/искажается/хз
                                                              0
                                                              Вы похоже знаете об этом не понаслышке. Как реагируют самолёты в таких случаях? Тоже следуют за глиссадой?
                                                              Когда мне рассказывали, как раз упоминалось, что это первый подобный случай, и даже в аэропортах с большим трафиком такого не наблюдалось. Может быть это зависит от времени, в течении которого глиссада была искажена?
                                                                +1
                                                                Такие случаи не редки. В шереметьево даже был нотам, что нужно предупреждать диспетчера, что ты собираешься выполнять автоматическую посадку, тогда он не будет подпускать самолеты близко к лучу глиссады.
                                                                Курсо-глиссадная система считается самой надежной. Если самолет захватил глиссаду, то он ее уже не отпустит. У пилотов даже в тестах есть вопрос, как выйти из этого режима, потому что вариантов не много, на большинство команд автопилот не реагирует. В некоторых случаях умные самолеты, могут начать мигать всякими там лампочками давая сигнал пилоту, что что-то не так. Может даже отключиться автопилот. В общем же случае, когда самолет выходит за рамки параметров стабилизированного захода, пилот должен уйти на второй круг.
                                                                Пилот же может поступить иначе — просто отключить автопилот и спокойно продолжить заход. Вот мы, кстати, и придумали, почему самолеты не летают сами :)
                                                            0
                                                            А вот тоже забавная история. Пока инженеры возились с двигателем конвертоплана, FADEC глюканул дал газу и ребята взмыли вверх, потом второй FADEC понял, что первый сошел с ума, отключил его и убрал обороты на малый газ, отчего конвертоплан рухнул с высоты 2 метра :)
                                                            www.flightglobal.com/news/articles/v-22-fadec-fix-follows-uncommanded-take-off-205879/
                                                            Все живы-здоровы :)

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                            Самое читаемое