Как стать автором
Обновить

Комментарии 115

Я так понимаю MD-80 — устаревший самолет. Я как-то «летал» на симуляторе ТУ-154. Тоже устаревший самолет. Так там если что-то не готово к взлету, то горит табло «К взлету не готов». И если попробовать взлететь, звучит сирена.
То есть это все реализуемо на простой релейно — транзисторной автоматике. Никаких компьютеров тут не нужно. А нужно делать так, чтобы автоматику эту отключить было невозможно. Включили главный выключатель бортсети — заработала автоматика. А если есть ложные срабатывания — значит самолет неисправен и мы никуда не летим до устранения!
А если пилоты летели с неисправной сигнализацией и тем более, отключали ее — это их вина! Или вина тех кто не хотел чинить самолет и вынуждали экипаж лететь «и так».
Не сказать, что сильно устаревший, они до сих пор летают. То, что вы назвали, выросло в идею «темного кокпита» — если все как надо, никаких предупреждающих индикаторов не горит.

А что касается ложных срабатываний — там была плохо спроектирована логика — когда самолет выполнял руление на одном двигателе, РУД надо было продвинуть сильно вперед, и срабатывало предупреждение. И пилоты ехали по аэродрому под постоянные «Бип! Закрылки! Бип! Предкрылки!». Раздражает.

И я еще раз повторяю — вина пилотов не отменяет того факта, что, когда ложные срабатывания убрали, искушение нарушать инструкцию пропало. Корень проблемы не в нарушении правил, а в интерфейсах, которые мешают работать.
Тут не только в интерфейсах, а в организации проблема.
Надо так: при любом ложном срабатывании если мы на земле, прекращаем вылет и возвращаемся на стоянку. Факт сработки фиксируется бортовым самописцем.
Производителя завалили бы рекламациями и засудили за сорванные вылеты. Им пришлось бы менять интерфейс. А так производителю было пофиг…

А решить технически проблему рулежки на одном двигателе очень просто.
Можно срабатывать сигнализацию когда РУД 2х двигателей в положении больше чем нужно. На одном двигателе никто не взлетает.
Или переключатель «полет / рулежка»
Увы, так не получится — ложное срабатывание не означает аварию с невозможностью лететь дальше.
На одном двигателе никто не взлетает.

Зато летают. Зачем в непростой ситуации (полёт на одном двигателе) ещё и ложная сигнализация закрылков/предкрылков?

Или переключатель «полет / рулежка»

Про который однажды тоже забудут.
В полете сигнализация другая. И вобще если загнулся один движок, сигнализации там будет огого сколько.
Попробуйте полетайте в хорошем симуляторе. Это доступно каждому. Сразу многое станет понятно. Летать конечно симулятор не научит, но посмотреть как работает сигнализация уж точно можно.
какие симуляторы посоветуете?
НЛО прилетело и опубликовало эту надпись здесь
FlightGear уже не торт?
НЛО прилетело и опубликовало эту надпись здесь
А MSFS?
НЛО прилетело и опубликовало эту надпись здесь
Вообще то взлетают, скажем пожар-вибрация-стружка в масле. Взлет штатно продолжается на одном.

Но в общем, надо было искать больше признаков взлета и заводить все их в систему. Сложность в том, что иногда взлет происходить прямо с руления, без остановки. Сигнализацию закрылков надо бы включить пораньше, экипажу надо время на осознание проблемы, решить выпускать и продолжать взлет, или прекращать его. Руление иногда происходит на довольно большой скорости.

Отдельный переключатель и вовсе плохое решение. Если он больше ни на что не влияет, его не будут включать. А если влияет — то это еще один пункт внимания экипажа, и так занятого.
В чем проблема у плотов уже при рулении выпустить закрылки?
Иногда так и делают. А иногда не делают, так как в механизм закрылков летит с рулежки грязь и набивается снег, закрылки создают аэродинамическое сопротивление.

Кстати говоря, к той катастрофе. Известно, что полоса была короткой, а масса велика. В такой ситуации, практикуется выпускать закрылки в процессе разбега, это сокращает жизнь дистанцию набора скорости отрыва, так как с убранными закрылками самолет резвее разгоняется. Как вариант, второй пилот увлекся контролем за скоростью и забыл, а может не услышал команды на выпуск закрылков. Важно, обсуждалась ли такая особенность взлета, или КВС был авторитарен и лишнего на «черный ящик для прокурора» не болтал. В такую версию укладывается и выключенный предохранитель. Не укладывается лишь то, что КВС мог забыть про такую особенность взлета. Тем не менее, есть и такие случаи, и куда более вопиющие.
В некоторых случаях они и выпускаются не после выталкивания (как в большинстве случаев), а например уже перед занятием исполнительной позиции, например при наличии условий обледенения.
На ТУ-154 есть выключатель руление / взлет переключает угол поворота стойки шасси.
Без него «К взлету не готов» не погаснет.
Конечно лишний переключатель это плохо. Но современными средствами автоматики можно безошибочно определить взлет. По многим параметрам. И вовремя предупредить о не выпущенных закрылках. И при этом не пищать на рулении.
Какая бы ни была скорость руления, это происходит не на взлетном режиме всех двигателей и не при скорости V1
Взлет не обязательно проходит на взлетном режиме всех двигателей. При скорости V1 уже поздно что то пищать, закрылки выходят не мгновенно.

И безусловно, простейшей автоматики должно хватать для того чтобы в большинстве ситуаций отличить взлет от руления. Как известно, мы можем оптимизировать систему или на минимальное число ложных срабатываний или на минимальное число несрабатываний. Конструкторы самолета благоразумно посчитали, более допустимым выдать предупреждение когда не нужно, чем не выдать его когда нужно. И вот тут у нас возникает интересная тема. Должен быть такой человек, изучающий фактическое использование системы (в данном случае самолета) и выдающий рекомендации производителю по изменению эргономики, по правкам в РЛЭ и прочим подобным вещам. Кто то должен заметить засаленный переключатель Р-40, провести анонимный опрос, отправить рекомендацию производителю. Скажем, на ТУ-154 в некоторых режимах, зазор по скоростям в РЛЭ всего 10кмч, и экипажи привыкли нарушать вверх. Это часто приводит к избытку скорости на глиссаде, логично провести испытания и дать в РЛЭ актуальные ограничения (скорректировав оставшиеся там с модели Б). Кто то «там не верху» должен узнать, что выключатели на ощупь слишком похожи и часто выключается не та система которая нужна, а другие наоборот, стоят рядом и ошибочно задеваются.
а) в случае отмены вылетов по неготовности какой-либо системы или при ложном срабатывании чего бы то ни было — произойдёт революция в авиации: все самолёты останутся на земле, никто никуда не полетит;
б) переключатель полёт / руление — всегда будет в положении „выломано”, потому что кроме полёта и руления у самолёта есть ещё состояния и по причине того о чём вообще пост весь был;
в) производителя нельзя засудить за сорванные вылеты по причине „тут табло загорелось, я не буду дальше выполнять чеклист, вышка, нам буксирчик на сорок пятую стоянку нужен и трапы” так же как нельзя засудить автоконцерн за то, что вы отказались выезжать со стоянки потому что в магнитоле заиграла Земфира вместо Тимати;
д) срабатывать сигнализацию при РУД в любом положении — значит сигнализировать вообще нерелевантную и неадекватную обстановке информацию.

В общем, в комментарии выше вообще всё ровно так, как не надо делать.
На одном двигателе никто не взлетает.


image
НЛО прилетело и опубликовало эту надпись здесь
Глючит и исправный самолёт — это разве не взаимоисключающие понятия?
Самолет почти никогда не бывает полностью исправен, это как неглючный софт. Многие неисправности, при соблюдении ряда условий, позволяют выполнить безопасный полет.
Постоянно слышу эту формулировку, при этом никто и никогда не дает конкретных примеров. Вот, к примеру, дадут ли взлететь пассажирскому самолету среднего размера, если у него не работает реверс одного из двигаталей?
Решение принимает лично КВС и оно зависит от многих факторов. Но реверс это не жизненно важная система и скорее всего ограничений очень не много по нему.

Ведь в общем что такое реверс? Вспомогательная тормозная система. Экономит ресурс покрышек и тормозных механизмов, сокращает пробег. Если погода сухая, полосы длинные, шины и тормоза в отличном состоянии, будет совсем небольшое ограничение максимальной взлетной массы. Полет будет полностью безопасен, если учитывать эту особенность самолета. А если про нее забыть, машинально, на автоматизме, дать обороты двигателю после касания — можно на ровном месте получить катастрофу.
Для этого и существуют перечни допустимых отказов и неисправностей (в том или ином их виде).
КВС же принимает решение руководствуясь этими документами.
И если неработоспособность системы реверса на данном типе будет в списке допустимых — то да, он вправе принять решение на вылет, при условии что взлетно-посадочные полосы аэропортов вылета и назначения обеспечивают безопасное выполнение взлета и посадки данного типа ВС без использования реверса.
НЛО прилетело и опубликовало эту надпись здесь
Вот вам и пример: на кухне глючит/неисправен один кипятильник, в MEL он не входит, летать можно спокойно, только чай с кофЁм для паксов будет слегка запаздывать по подаче, и ни один КВС в здравом уме не отменит взлёт. Сам кипятильник починят/заменять на очередном x-Check (хз каком, в такие дебри я не лезу), либо когда будет время.
Спасибо за очень полезную информацию о кипятильнике. С удовольствием почитаю об особенностях взлёта и посадки дримлайнера с одним неработающим, прошу прощения, сортиром. Ведь это именно то, что DGN имел ввиду, не так ли?
НЛО прилетело и опубликовало эту надпись здесь

Если отказ в MEL не описан, то можно лететь?

НЛО прилетело и опубликовало эту надпись здесь

Вопрос был к автору примера про кипятильник. Он написал, что кипятильник не входит в MEL, и можно спокойно лететь… вот хотел уточнить...

Вот, к примеру, дадут ли взлететь пассажирскому самолету среднего размера, если у него не работает реверс одного из двигаталей?
Дают и летают.
Но на такие вещи есть срок устранения.
И кстати была авария, когда с целью продления этого срока исправный реверс перекинули с левого на правый движок, а экипаж прошляпил и при посадке включил как обычно… и улетел с полосы вбок.
У разбившегося в Иркутске в 2006 году A-310 была именно такая конфигурация (без одного реверса), она была разрешена в MEL.
Про реверс уже сказали. Я могу привести другой пример — стёкла в кабине.
В зависимости от расположения трещин, отслоений и прочих дефектов позволяется отсрочить ремонт на, допустим, 10 полётов.
При трещине в значимом участке (мешает обзору) или большой длине — вылет не позволяется (решает механик, а не КВС в данном случае — это у него на руках мануал от производителя с критериями).

Неработающая APU (вспомогательная силовая установка) — частый дефект, не приводящий к отмене вылета. Тем не менее, самолёт сам завестись уже не сможет (только по питанию от установки в аэропорту).
Поправлюсь. Не автоматику, а сигнализацию.
Она самолет в землю не направит.

Сигнализация свое дело сделала а дельше — вопрос людей.
Ремень безопасности в машине тоже все за спиной застегивают и заглушку ставят чтоб не пилинькало?

А сделать защиты так, чтобы не мешали работе очень даже можно. Достаточно немного подумать головой. В статье же описан вопиющий случай нарушения связи между производителем и пользователем. Производители забили и нехотят ничего менять. А пользователи вырубили все нафиг и тоже забили.
в авиапроме такие все тупицы работали, немножко головой подумать не могли
А вот с «подумать» на крупном предприятии может быть очень плохо.
То что один разработчик сделает легко, на большом заводе может превратиться в проблему.
Куча бюрократии, согласований, у начальства свое мнение. Сам это наблюдал и не раз.
Спасибо за отличную статью. Из опыта. Частенько решать проблему поручают тому кто о ней сообщил. (Выглядит как наказание за активность) Было у кого-либо такое? Это особенно вредно когда быстрое решение лишь маркируется проблему. А для комплексного у назначенного решателя нет ни опыта ни полномочий.
А как же. «Инициатива наказуема», «Не лезь не в свою фигню», да и народное «Не спрашивают – не сплясывай!». Всё это с детства впитывается, и приводит вот к таким проблемам.
Рейс, упавший недавно в Малайзии, похоже, даст много поводов для «разбора факапов в ИТ».
По нему еще расследование не закончено. Но боюсь, такими темпами будет вклад в копилку историй «как баги убивают людей».
Уже многие в связи с заявлением Боинга списали все на ошибки в софте, но я тоже соглашусь с тем, что нужно дождаться завершения расследования. Ведь не смотря на то, что у этого конкретного самолета проблема с датчиком угла атаки была и раньше, он не падал. Так что еще будем посмотреть…
Боинг признал ошибку. Но это не оправдывает пилотов, они должны были парировать этот отказ.

Когда то на автоВАЗе внедряли электроусилитель руля. И был такой баг, усилитель вдруг выдавал усилие на полную мощность вправо. Если руль держать как положено, двумя руками, отказ можно парировать и усилитель пересилить. Но очень многие водители улетали в кювет. С самолетом произошло нечто аналогичное.
НЛО прилетело и опубликовало эту надпись здесь
Не в программисте проблема, а в организации работы. Автотесты должны были быть (и не только авто-).
А в правой или левой руке? Это может быть важно

Если это был тот самый stab trim runaway, то у них было маловато времени для осознавания ситуации и реакции в виде stab trim cutout.

Да, маловато, но вроде как на тренажере ситуация признана решаемой. То есть, выполняя все требования РЛЭ, можно было избежать катастрофы.
В предпоследнем посте Денокана написано, что стабилизатор отклоняется очень медленно и они могли просто этого не заметить, особенно пилотируя руками и выполняя чеклист про недостоверную скорость.
НЛО прилетело и опубликовало эту надпись здесь

Летчиков наказывают вполне как в АйТи — за опоздание и срыв сроков. И расследуй, не расследуй — так будет и дальше.

НЛО прилетело и опубликовало эту надпись здесь
Оба двигателя были запущены в этом конкретном полете. Если P-40 выключали раньше, могли и забыть включить обратно.

Интервью Джона Кларка есть в сериале Mayday, сезон 9, эпизод 2. Человек реальный, и по официальным данным NTSB участвовал в том расследовании. То, что комиссия не смогла официально установить причину отсутствия контакта в P-40 указано, и то, что это косвенные доказательства, в публикации есть.
НЛО прилетело и опубликовало эту надпись здесь
ехал факап через факап, сколько можно уже пихать этот стиль повсюду, с чего это такие слова разрешены на другом языке, но не на нашем, автор синглтон?

Действительно, зачем американизмы, если существует общепринятая терминология. Например:
Х@@ня — что-то пошло не так, но это не критично.
П@@@@ц — когда всё пропало, и это не исправить..

Бородатый анекдот на тему
Приходит мужик к врачу.
— Доктор, у меня рука опухла и вся посинела!
— Это х@@ня, х@@ню не лечим.
На следующий день…
— Доктор, у меня опухла другая рука, нога и тоже посинела!
— Это х@@ня, х@@ню не лечим.
На следующий день…
— Доктор, вы видите, я весь опух и посинел!
— Это п@@@@ц, а п@@@@ц неизлечим.
Маленькое уточнение. За спинами пилотов находится панель автоматов защиты, а не переключателей. Ими можно выключить систему как выключателем, но основная функция другая.
Да, вы правы. Там автоматы защиты, которые одновременно и предохранители и переключатели. Я упростил, чтобы не объяснять конструкцию.
некоторые специально отключают предупреждение о невыпущенных закрылках, потому что оно часто ложно срабатывает на рулении и очень раздражает


В системах мониторинга ИТ-проектов проблема игнорирования встречается не редко. И порой она связана не только с ложными срабатываниями, но и неправильным выбором настроек системы мониторинга.

Схема простая:
1. Руководитель предлагает: а давайте отслеживать такой-то параметр системы (в данном примере он не является критическим).
2. Админ аккуратно настраивает сбор данных по обозначенному параметру. На данном этапе все довольны: система собирает информацию, которая аккуратно складируется в базу данных и никого не отвлекает.
3. Но в какой-то момент руководитель вдруг решает, что админу неплохо было бы получать уведомления, если отслеживаемый параметр превысит определённое значение, и по каждому случаю срабатывания проводить расследование.
4. Админ настраивает уведомления. Но вот беда, уведомления приходят по 10 раз в сутки, причём не только в рабочее время на панель мониторинга, но и во время отдыха на телефон (не все компании могут позволить круглосуточное дежурство).
5. Через несколько дней админ просто выключает телефон перед сном, игнорируя не только уведомления по параметру п.1, но и все остальные.

Чтоб подобного не случалось, нужно ещё на этапе проектирования системы мониторинга все параметры разбить на группы:
1. Незначительные — информация собирается, но никак не проявляется. В Zabbix это обычный элемент данных (Item) без триггера (Trigger). Данная группа параметров никак не влияет на работу системы и может использоваться для получения дополнительных сведений (например, при расследовании падений или оптимизации).
2. Информационные — информация собирается и отображается в панели мониторинга. На примере Zabbix: элемент данных + триггер, но без действия (Action). Данные параметры не приведут к моментальному краху системы, но важны для прогнозирования и предотвращения падений в будущем.
3. Критические — информация собирается, факты превышения пороговых значений сразу же отображаются в панели мониторинга, а админу отправляется уведомление. В Zabbix: элемент данных + триггер + действие. Только при приближении к критической ситуации нужно дёргать админа в нерабочее время, и только так можно добиться, чтоб он даже не задумывался об игнорировании уведомлений.
Потому что нельзя нарушать технологию работы для данного самолёта и делать «оптимизации» в виде выключения сигнализации чего-либо. 100% это когда-нибудь сработает в обратную сторону. Поэтому и придумали CRM.
У меня есть два хороших примера про CRM:
1. youtu.be/xwn1Ag5Hd5Y?t=3664 — смотреть примерно с 1:00:00, героические пилоты на руках сажают аварийный самолёт… на самом деле нет, это штатная посадка.
2. www.youtube.com/watch?v=ywVsNjPZMkc — пилоты спокойно занимаются своим делом, делают кроссчек любого действия, моментально обнаруживают ошибки коллеги и исправляют их.
> www.youtube.com/watch?v=ywVsNjPZMkc — пилоты спокойно занимаются своим делом, делают кроссчек любого действия, моментально обнаруживают ошибки коллеги и исправляют их.

Вот другой отрывок — www.youtube.com/watch?v=KK5KTQGuXSQ
Тут хорошо видны слаженные действия при нештатной ситуации: сработала TCAS, предупреждая о трафике на пересекающемся курсе. Заметно конечно, что девушка (второй пилот) слегка не ожидала такого, но через секунду взяла себя в руки и чётко выполняла действия. А КВС вообще спокойный как слон.
Да, у них там много таких интересных эпизодов. Кстати, я дал ссылку не на оригинальный канал, потому что там раньше не было перевода на английский.
Тут между самолётами разница в три поколения.
Если это ответ мне, то имею сказать следующее: вот эти дяденьки 50+ лет и на B737NG или A320 летают ровно так же. Они так привыкли, таков был наш прославленный советский CRM.
Наш прославленный советский CRM делал ставку на слётанные экипажи. Очень хорошо видно, что экипаж Ил-62 неслётан.
Слётанные экипажи из дяденек 50+ лет летают нормально, без всех этих героических усилий.
Западная школа делает ставку на регламент, что даёт возможность заменять пилотов без особых проблем.
Очевидно ставка на слётанные экипажи себя не оправдала. В итоге вместо единой технологии работы всё начинали применять свои собственные «оптимизации», что и приводило к большому количеству катастроф.
После ряда катастроф, когда по определенным причинам («братан», «я его уже много лет знаю, он не косячит» и т.д.) пилотами были допущены грубые ошибки в последствие приведшие к катастрофам, практику слетанных экипажей убрали и теперь в основном ты летишь с каким-то рандомным пилотом. Повода ему доверять на 100% у тебя нет, поэтому перепроверяешь его чек-листами по полной.
Чеклисты хорошо работают при выполнении формальных процедур.
В случае нештатной ситуации слетанность работает лучше.
Вот и в CRM, после отмены слетанности, стало много больше внимания уделяться ошибкам по причинам несоответствия психологических характеристик членов экипажа и недостаточной коммуникации между ними.
Ну и не нужно путать слетанность с непрофессионализмом и раздолбайством "(«братан», «я его уже много лет знаю, он не косячит» и т.д.)"
Специально еще раз повторю — опытные профессионалы тоже совершают ошибки
Специалисты с опытом 15+ лет могут осознанно игнорировать элементарные правила безопасности. Поэтому по статистике наибольший травматизм в возрасте 40-50 лет среди спецов (молодые бояться потому что неопытные, а в возрасте — боятся, потому что уже не молоды).
Вот тут кэп в себя поверил и дважды проигнорировал замечание второго пилота по поводу ухода на второй круг из-за отсутствия видимости полосы при неточном заходе. И вторак тоже не нашел духа забрать управление и уйти на второй.
Есть еще такая хорошая методика «5 Why» — если примерно пять раз задать вопрос «А почему (это произошло)?», то докопаешься до сути.
Допустим, на полупроводниковом производстве оператор уронил коробку с пластинами, все разбилось, убыток на несколько тысяч долларов. Самый простой (и часто используемый) подход — наказать оператора за рукожопство. Но можно и по другому:

  1. Почему оператор уронил коробку? — Он подскользнулся на мокром полу
  2. Почему на полу была жидкость? — Она вытекла из системы охлаждения производственной установки
  3. Почему жидкость вытекла? — Потекла прокладка, которую недавно поменяли
  4. Почему раньше не текла при смене прокладки? — Потому, что поставили прокладку другого номинала
  5. Почему поставили прокладку другого номинала? — Потому, что в инструкции по обслуживанию нет четкого указания, какую прокладку ставить, а техник, который ее раньше всегда менял, уволился

Таким образом, для предотвращения убытков надо не наказывать оператора, а уточнять процедуру техобслуживания.

Угу, типичная вещь и при разборе NC, и при анализе рисков. К сожалению хорошо работает только в таких "красивых" случаях. Вот уберите разлитую жидкость — допустим он внезапно взял и уронил. Никто не знает, почему, включая его самого. И таких случаев очень много.

И тем не менее, если за 10 лет работы завода коробку роняли 7 раз, и из них 5 на этом самом месте — об этом стоит как то узнать и попробовать найти причину (как бы это можно было сделать??). Может там солнечный блик в окошко попадает в глаз. Или периодически подтекает смазка из станка.
если за 10 лет работы завода коробку роняли 7 раз, и из них 5 на этом самом месте


Если так — то да. А если один раз? Списать на случайность?
В этом и сложность. Одиночное событие не выглядит серией, и не вызывает тщательного расследования. При повторе события, часто невозможно точно восстановить обстоятельства предыдущего сходного события.

Применительно к авиации, потребовалась серия катастроф ан-12 и ту-104 для выявления конструктивного недостатка. И это в авиации, с протоколированием обстоятельств катастрофы, с черными ящиками. Автокатастроф, с рулевым управлением или педалью газа, требуется куда как больше. Мы знаем только о широко освещенных, получивших резонанс случаях.

Как я люблю вот такие вот способы 5 why, 10 шагов и т.д.
Причин всегда может быть много как и решений, все очень сильно зависит. Иногда, конкретно в этой проблеме может быть вагон решений.
Чем писать всякие инструкции, может имеет смысл перенести трубу, дать не скользкуб обувь носильщику и и.д.
С причиной очень желательно разобраться всегда. Вопрос фиксить причину или придумать защиту может быть очень неоднозначным

Этот SWOB внедряется еще со времен НПП, только собственного названия эта идея тогда не имела. Еще, кстати, существуют анонимные донесения по безопасности полетов.
Только все равно, доля вины экипажа будет расти. Техника совершенствуется, становится надежнее, а человек нет, более того — для него процедуры управления только усложняются. Причем они усложняются по нескольким «каналам», собственно сами эксплуатационные процедуры, ну и правила полетов — томики руководящих документов ощутимо потяжелели.
Всё что в статье написано уже давно разжевано и расписано в материалах по человеческому фактору в авиации и хорошо иллюстрирует принятые там концепции SHELL и цепи ошибок.
Ну а сознательное отключение каких-либо систем воздушного судна из-за ложных срабатываний — очень старая проблема, даже на относительно «простых» типах имеющая место.

К слову, SWOB де-факто много где существует, однако не всегда явно оговаривается и сотрудники всё-таки испытывают страх перед наказанием, не все и не всегда решаются всё-таки честно разобрать проблему и внезапно понять, что никто тебя убивать не собирается. Ну и в памяти народной же "лихие девяностые" с попаданием в рабство после порчи товары и т.п.

катастрофа Ан-148 в феврале этого года произошла из-за того, что пилоты отложили один из пунктов чеклиста и забыли его потом выполнить (для справедливости надо отметить, что конструкторы самолета тоже недоработали — этот пункт нельзя было выполнить заранее в спокойной обстановке).

Можно подробнее, пожалуйста! Отчет МАК я видел пока только предварительный, окончательный, вроде, не опубликован?

Обогрев приемников давления, да, но не он один. Судя по объективным данным самописцев, как и в каждой аварии здесь сыграло сочетание факторов, причем все человеческие, ни одного (известного, пока) технического. Огорчает для начала то, что экипаж даже не подумал потянуться за аварийной папкой (или спросить свой айпэд), и содержимое раздела 5.19.4.3 РЛЭ им не вспомнилось :(
То, что обогрев ППД из чеклиста «отложили» и забыли потом выполнить, есть в предварительном отчете, как и то, что по РПП его не позволяли включать заранее.
Я из процитированного абзаца не понял, что конструкторы самолета недоработали и где на это указано в расследовании.
Шасси, например, ведь тоже нельзя убирать заранее, стоя на земле…
НЛО прилетело и опубликовало эту надпись здесь
Спасибо за ответ, почему нельзя включать заранее я знал, думал, там вскрылись какие-то конкретные просчеты. При взлете он должен быть включен, не слышал их CVR, но, вероятно, последующие чеклисты «из головы» делались, а не с планшета.
Кстати, глянул, РЛЭ Ан-148-100 со мной согласно (п.3.6.1): на исполнительном необходимо включить обогрев ППД, независимо ни от чего.

Об ограничениях и рекомендациях использования обогрева
Обогрев включается при положительных температурах за 1 мин до начала разбега, а при отрицательных - за 3 мин.
...
Перед взлетом в условиях возможного обледенения (наличие облачности, тумана, снегопада, дождя или мороси при температуре воздуха у земли +5 °С и ниже) включить обогрев приёмников ППД перед началом руления
...
При задержке на предварительном старте более 10 мин выключить обогрев ППД для охлаждения приёмника и включить за 3 - 5 мин до начала разбега.


Но самое интересное и интригующее, что исходя из того же РЛЭ попытка включения автопилотов на невключенном обогреве ППД вызывает сигнализацию отказа, со всеми присущими светозвуковыми эффектами.

Об инженерной стороне (пост)советской (авиа)техники можно вздыхать долго, в конце неизбежно прити к выводу вроде: «ну, так хотя бы что-то где-то как-то делается...».
НЛО прилетело и опубликовало эту надпись здесь
Судя по количеству плюсов к вашему комментарию многие разделяют ваше мнение. Оно совершенно верно логически, с т.з. гражданского инженера-системотехника, но применительно к авиации разом расширяет поле отказов и, как ни странно, усложняет кабинные процедуры.
Вы так легко постановили: "… работать… на земле". А теперь скажите, как надежно (основываясь на максимально объективных и неподложных данных) определить условие «на земле»?
Датчик обжима стоек? Один или все? А если вышел(вышли) из строя — спалили нагреватель или закопали самолет обледенелой трубкой? Ввести в РЛЭ еще одно «если», еще один чек в аварийную карту (а ведь там загрузка экипажа несравнимо больше, нежели на рулении)? Стоп, так против чего боролись?
Ладно, что насчет показаний РВ? Хм, одного или двух? Ах, они могут быть принудительно отключены… добавить еще одно «если»? Стоп…

Понимаете, что не все так однозначно?! Допустим, втиснули как-то логику, а потом проводим анализ цепочек отказов и серьезности их последствий (HAZOP, кажется, по-модному) и выясняется, допустим, что наш регулятор мощности при определенной цепочке отказов, возникающей, скажем, раз в 10тыс часов, может сгореть так, что унесет за собой половину низковольтной части борта.

Кстати, о радиовысотомерах. На B777 относительно недавно (любители сериала «Расследование катастроф» мне подскажут конкретику) наелись земли при посадке (не в Лондоне, там наелись из-за отрыва льда со стенок топливной плюс неэффективная конструкция подогревателя) из-за отказа левого РВ, на который завязана автоматическая система сброса газов на посадке. РВ занижал показания, это заметили, когда посреди глиссады самолет вдруг заорал «RETARD!» (англ. «дебил!»… ну или «замедляйся, тормози») и перевел в малый газ, а должен был это сделать в считанных метрах от полосы. Пилотирующий это заметил и газы восстановил, но не отключил автомат тяги (как следовало по инструкции при ложном срабатывании), следующий автосброс газов был замечен слишком поздно, несмотря на орущий информатор(!).
И что сделал Боинг после этого инцидента? А практически ничего! Внес пару строчек в РЛЭ.

Понимаете, я не защищаю ни в коем случае (пост)советское авиастроение. Я хочу попытаться донести, что все решения в авиации неимоверно сложны логически, хоть на первый взгляд это может так не казаться. И если подогрев ППД сделан просто тумблером с вон теми строчками в РЛЭ, скорее всего это и было самое простое(!), надежное(!!) и безопасное(!!!) решение.
Конкуренты имеют человеко-столетия, потраченные на оптимизацию этих процессов, поэтому ясно как день, что КБ Антонова, Сухого, Туполева уже не наверстают это отставание никогда.
НЛО прилетело и опубликовало эту надпись здесь
Попробую короче.
Вы здесь и ранее мыслите как гражданский инженер и с этой т.з. совершенно логично предлагаете усложнять условия (концевики замков шасси, мерять разные скорости, высоты, обороты двигателей), но тем самым только изощреннее «закапываете собаку», т.е. сильно разветвляете это дерево наследуемых отказов. И надо будет все более сложные инструкции придумывать экипажу, не из трех абзацев на рулении, а из трех страниц в отказавшем самолете в воздухе.

Вы не заметили другого в моем комментарии.
Стандартами определено, что в случае сбоя или невключении подогрева приемников давления и попытке включить автоматику, их использующую, должен звучать дженерал аларм и автоматика должна либо не включиться, либо работать в безопасном (деградированном) режиме. Мне не удалось из оф. источников (МАК, Антонов) узнать, как пилоты отреагировали на предупреждение и было ли оно.

P.S.: Кстати, а вы знаете, что в B737 (все без исключения серии!) подогрев трубок точно такой же одноступенчатый и «неавтоматический» и включается, двумя тумблерами с оверхед панели? Думаете, недоработка или все же знают, что делают?
НЛО прилетело и опубликовало эту надпись здесь
Я знаю, что на 737 NG (а эту машину я знаю очень хорошо) выключателями probe heat нужно оперировать в нормальном полете всего три раза: перед рейсом в Preflight Procedure их нужно установить в auto (да, положения off там нет)

Теперь мне еще больше кажется, что ice and rain панель в 737NG вам не очень хорошо знакома:
Ice and rain panel 737NG
Не говоря уже об остальных вещах, о которых вы пишете.
НЛО прилетело и опубликовало эту надпись здесь
Спаибо, благодаря вашей помощи отполирую свое утверждение до следующего: на абсолютном большинстве находящихся в эксплуатации самолетов B73х до 739 (737-900) включительно подогреватели приемников давления управляются двухпозиционным тумблером ВКЛ-ВЫКЛ, в точности так же, как и на обсуждаемом в статье Ан-148.
НЛО прилетело и опубликовало эту надпись здесь
В принципе, если продолжать аналогии между IT и авиацией, можно открыть «Руководство по расследованию авиационных инцидентов и происшествий». В п. 1.1 главы 1 так и написано, что расследование проводится единственно с целью предотвращения возникновения подобных инцидентов в будущем, а не с целью установления чьей-либо вины или ответственности.

А что мешает переложить вопрос открытия/закрытия закрылок на автоматику? По параметрам: высота такая-то, скорость такая-то, давление на стойке шасси отсутствует (самолёт в воздухе), предупреждении о сваливания ещё не сработало, но скоро может; открываем закрылки на подходящий угол.

В некотором роде это сейчас так и работает, на некоторых самолётах закрылки убираются сами по мере роста скорости. Но всё равно пилоты это контролируют.
Излишняя автоматизированность тоже может приводить к проблемам. Например свежий пример с упавшим 737MAX, который автоматика внезапно загнала в землю во время ручного пилотирования. Пилоты были отвлечены на пилотирование в условиях недостоверных показателей скорости и просто не отреагировали на перекладку стабилизатора на пикирование.
Закрылки отрываются, мягко говоря, не мгновенно.
На момент взлета они должны быть выпущены. Их поздно выпускать в момент отрыва от земли.
Мешает недостоверность данных (критериев)
Самолет в воздухе — датчик шасси может выйти из строя
Закрылки (по разным. причинам) могут выпускаться не симметрично.
и тд

Нашли что сравнивать.
Просто посмотрите как вся прогерская братья ложит болт на предупреждения и подсказки компилятора...

Нашли что сравнивать.
Просто посмотрите как вся прогерская братья ложит болт на предупреждения и подсказки компилятора. Не говоря уже про написание тестов...

Я нашим разработчикам всегда говорю, чем злиться на то, что что-то неработает, или работает не так как надо, ты репорт напиши, авось починят. А не зарепортишь — не починят никогда. Но есть такие ребята, которые будут лучше кактус есть и плакать чем сообщат о проблеме. А некоторые так вообще — не работает, и ладно, не моя проблема, а то, что я из-за этого работать не могу, так ну это же очевидно. И человек просто сидит три недели со сломаным рабочим окружением. Реальный случай, между прочим. Я б за такое взбучку устраивал. Не за то, что человек нихрена не делает, а за то, что мирится с проблемами.
Представьте себе, в армии, у тебя автомат не работает… Так ты если не доложишь с тебя три шкуры снимут, а на гражданке как-то не так.

Удивлён, что никто не посоветовал посмотреть серию документальных фильмов от National Geographic "Расследование авиакатастроф", в которых рассмотрены наверно все авиакатастрофы, начиная с 1950 годов.
Фильмы настолько увлекательны, что я посмотрел все серии (а там несколько сезонов!) и, например, мог предугадал причины февральского крушения самолёта в Подмосковье, хотя сам далёк от авиации.
Также, после просмотра получаешь хорошие знания в логике расследования любого инцидента. И что самое главное, если в России всегда можно назвать имя виновного в катастрофе, то в мировой практике чаще виновным становится или компания или неверная система. Есть чему поучиться!

В России МАК тоже всё расследует, выдаёт рекомендации по предотвращению, и все отчёты на сайте публикует. Тоже очень полезное и увлекательное чтение.

Вспоминается рейс президента Курвалэнд и то, что там сигнал о близости земли звучал все время, потому что шли на посадку на необорудованный военный аэропорт. Вышло, что собственными руками загнали в березы самолет, не обращая внимание на TAWS, оравший в реальности по делу, а не из-за процедуры посадки.
Читаю статью/комментарии и понимаю какую тотальную безответственность пытаются оправдать люди. Если пилот отключает предупреждение о не выпущенных закрылках, потому что оно часто ложно срабатывает, то он не опытный профессионал, а человек М***К и это не мужик. У него самолет сломан, он не должен летать, но он решает рискнуть жизнью 156 человек, потому что прогнулся под систему, потому что все хотят денег. Так что профессионализмом тут и не пахнет. Пилоты и все кто допустил подобный самолет к поле там проявили верх безответственности. «ложное срабатывание не означает аварию с невозможностью лететь дальше» — вот до тех пор пока у нас будет такая логика, мы так и будем отправлять пачками людей в мир иной.
то он не опытный профессионал, а человек М***К и это не мужик

а как вы считаете, в мире существуют профессионалы и мужики? а то если оценивать вашим взглядом, то их не существует нигде в мире
Конечно существуют. Любой здравомыслящий человек, который не будет рисковать сотнями жизней ради своей выгоды.
Тем не менее такое не то чтобы «сплошь и рядом», а вообще везде происходит.
У меня есть куча «захватывающих» примеров из того как вагоны в РЖД ездят и историй аварий с жуткими подробностями (но такое редко доходит до федеральных СМИ, потому что пострадавших обычно 1-3 человека, но сама по себе потенциальная опасность для безопасности движения гораздо существенней… чудом уже десятки лет ничего не происходит)
И я совершенно не удивлен что тоже самое и с самолетами.
более того, тут ещё проще пример… как думаете много людей проверяют давление шин в автомобиле не «на глазок»? Тут можно сказать что «в новых авто оно само!!»… на что я отвечу что как раз таки в новых авто (там где отказались от индивидуальных датчиков… тоесть почти на всех) у контроля давления в шинах есть один системный изъян из-за которого можно запросто не заметить ситуацию когда спущены(подспущены) все 4 колеса… многие про это знают? (я уж помолчу про назначение «лампочки ручника» для которых её загорание почемуто в лучшем случае означает — ааа… колодки поменять надо… но почти никто не помнит что она действительно означает)
а потом эти люди водят автобус/самолет/поезд
Очень часто вижу авиакатастрофы из-за человеческой ошибки. Даже недавние.
Почти все недавние. Вспомните. Там почти во всех человеческая ошибка.
Это тянется до сих пор, даже с современными супер компьютерами. Это неисправимо.
В авиации не будут изменения в этом плане. Всегда проще всего все списать на пилота, его же все равно уже нет в живых. А нужно привлекать к ответственности управление компании. Вот тогда бы они десять раз подумали прежде чем экономить на обслуживании самолета, нагружать сверх нормы пилотов и т.д.
Компьютеры программирует тоже человек.
Не бойтесь копать глубоко и озвучивать даже неприятные причины. Никто никогда не будет наказан за участие в SWOB или что угодно, обнаруженное на SWOB.

Для реализации этого необходим ОЧЕНЬ высокий уровень доверия сотрудников к руководству. Да и друг к другу тоже. В маленьких компаниях (человек до 20-30) — такое, хотя и нечасто встречается, но в принципе возможно. В крупных организациях — увы, почти недостижимо.
А уж в госконторах и компаниях с госучастием (это я к вопросу об аварии «Союза») — вообще из области ненаучной фантастики. Потому как у них критерии эффективности совсем другие. Важен не результат работы, а побуквенное соблюдение всех инструкций. А если инструкции мешают эффективно работать, и их соблюдение не способствует достижению результатов — тем хуже для результатов.
Поэтому в случае каких-либо проблем у всех причастных задача одна — доказать, что лично они никаких инструкций не нарушили, и виноват кто-то другой. И все расследование сводится к поиску «стрелочника».
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.