Авария Boeing 737 Max глазами разработчика ПО

Автор оригинала: Gregory Travis
  • Перевод
Представляю вашему вниманию перевод статьи «How the Boeing 737 Max Disaster Looks to a Software Developer» Грега Трэвиса. Речь пойдет о том, как желание Боинга сэкономить и «срезать углы» для коммерческой выгоды, а также культура «некомпетентности и неэтичности» в сообществе разработчиков привело к гибели 346 человек. Я не во всем разделяю позицию автора (в частности, я считаю, что человеческий фактор куда большее зло, чем ПО), но с основными доводами сложно не согласиться.

Ниже очень много букв. Если читать лень, а ознакомиться с темой хочется, то на Хабре есть первая, более короткая версия этой статьи в переводе Вячеслава Голованова, с ней можно ознакомиться здесь.

Взгляды, выраженные в данной статье, являются исключительно взглядами автора и не являются позицией IEEE Spectrum или IEEE (прим. пер. — и переводчика тоже :)).
Я — пилот с 30-летним стажем и разработчик программного обеспечения c 40-летним. Я много писал и об авиации, и о разработке ПО. Пришло время написать одновременно и о том, и о другом.

Сейчас все новости пестрят заголовками об авариях новой модели самолёта Боинга 737 Max(англ.), произошедших буквально одна за одной со свежевыпущенными самолётами. Для индустрии, существование которой всецело держится на ощущении клиентами полного контроля и безопасности, эти два крушения представляют большую экзистенциальную опасность. И несмотря на то, что за последние десятилетия количество смертей в авиакатастрофах снизилось, это достижение — вовсе не повод для излишней самоуверенности.

image
WestJet Boeing 737 MAX 8, acefitt, Creative Commons Attribution 2.0 Generic

Первая модель Боинг 737 впервые появилась в 1967, когда мне было 3 года. Это был небольшой самолет с небольшими двигателями и сравнительно простыми системами управления.

Авиакомпании (особенно американская Southwest) полюбили их за простоту, надежность и гибкость. К тому же для пилотирования ими в кабине вместо обычных в то время трёх или четырёх человек требовалось всего два члена экипажа, что позволило авиакомпаниям начать существенно экономить. Вместе с развитием рынка авиаперевозок и появлением новых технологий 737 стремительно рос в размерах, возрастала и сложность электроники и механики. Рос, конечно, не только 737. Авиалайнеры требуют гигантских капиталовложений как со стороны индустрии авиастроения, так и со стороны покупающих их авиакомпаний, поэтому и те, и другие также постоянно укрупнялись.

Большая часть этих рыночных и технологических сил, однако, действовали исходя из экономических интересов компаний, а не в интересах безопасности пассажиров. Инженеры безустанно работали над снижением того, что в индустрии называют «стоимостью пассажиро-километра» — то есть стоимости доставки пассажира из точки А в точку Б.

Очень многое в этой истории оптимизации связано с двигателями. Теорема Карно о коэффициенте полезного действия (КПД) тепловых двигателей говорит, что чем больше и горячее вы делаете двигатель, тем более эффективным он становится. Этот принцип верен в равной мере и для двигателя бензопилы, и для реактивного двигателя.

Элементарно. Наиболее простой и быстрый способ сделать двигатель более эффективным с точки зрения потребления топлива на единицу мощности — сделать его больше. Именно поэтому в двигателе Lycoming O-360 моего небольшого самолёта Cessna стоят поршни размером с большую тарелку. Поэтому дизельные моторы на морских судах делаются размером с трехэтажный дом. И ровно по этой же причине Боинг захотел установить огромные двигатели CFM International LEAP в новую модель 737.

Есть только одна небольшая проблема: оригинальный 737 по сегодняшним меркам оснащался совсем небольшими двигателями, что позволяло легко разместить их под крыльями. Однако по мере того как 737 всё увеличивался в размерах, его двигатели тоже росли, а клиренс между ними и землёй становился всё меньше и меньше.

Чтобы обойти эту проблему было придумано множество ухищрений (или «хаков», как их назвали бы разработчики ПО). К примеру, наиболее заметным и наглядным для публики является изменение формы воздухозаборников с круглой на овальную, чтобы обеспечить больше места под двигателем.

В случае с 737 Max ситуация стала критической. Диаметр лопастей двигателей, устанавливаемых на оригинальный 737, был равен 100 см (40 дюймов), в новых же двигателях для 737 Max диаметр вырос до 176 см. При разнице по осевой линии больше 30 см вы уже не можете сделать воздухозаборник овальным настолько, чтобы двигатель не начал скрести землю.

Тогда было решено нарастить двигатель сверху и сместить его вперед и вверх относительно крыла. Это, в свою очередь, привело к смещению осевой линии тяги двигателя. Теперь при увеличении мощности двигателя, самолет получил тенденцию к кабрированию, то есть к подъему носа.

Для справки: угол атаки самолета — это угол между направлением вектора скорости набегающего воздушного потока и плоскостью крыла. Представьте, что вы выставили руку из открытого окна движущегося по шоссе автомобиля. Если вы будете держать ладонь почти параллельно земле, то это будет малым углом атаки; повернув ладонь относительно плоскости земли, вы увеличите угол атаки. Когда угол атаки становится слишком велик (закритическим), наступает аэродинамическое сваливание в результате срыва воздушного потока. Вы можете убедиться в этом самостоятельно всё также выставив руку из окна движущегося автомобиля: медленно поворачивая свою ладонь вы будете чувствовать всё возрастающую подъёмную силу, толкающую руку вверх, пока ваша рука вдруг не упадёт вниз — это и есть срыв потока с последующим сваливанием.

Таким образом получается, что тенденция к кабрированию при увеличении мощности двигателя на практике означает риск дальнейшего развития сваливания самолета, если пилоты «выжимают газ» (как любит говорить мой сын). Такое развитие событий становится особенно вероятным при низкой скорости полёта.

Хуже того, из-за того, что гондолы двигателей выдвинуты настолько далеко вперёд и так велики, они сами создают подъемную силу, особенно при больших углах атаки. То есть гондолы сделали и без того плохую ситуацию ещё хуже.

Подчеркну: в 737 Max сами гондолы двигателей при высоких углах атаки работают как крылья и создают подъёмную силу. Причём центр приложения этой силы смещён далеко вперёд относительно центра приложения подъёмной силы крыла, что, в свою очередь, приводит к тому, что 737 Max при увеличении угла атаки имеет тенденцию к ещё большему увеличению угла атаки. И это — худший пример некомпетентности в аэродинамике.

Само по себе изменение тангажа при изменении мощности двигателя — достаточно распространённое явление при управлении самолётами. Даже моя небольшая Cessna немного задирает нос при подаче газа. Во время обучения пилотам рассказывают о таких трудностях и учат их преодолевать. Существуют, однако, определённые безопасные пределы, установленные регуляторами с которыми сами пилоты готовы мириться.

Совсем другое дело, когда тангаж меняется при увеличении угла атаки. Самолет, и без того приближающийся к точке аэродинамического сваливания, не должен ни при каких условиях иметь тенденцию к дальнейшему развитию этого эффекта. Такое свойство называется «динамической неустойчивостью», и единственный класс самолётов, где это допустимо — истребители — оборудуется катапультами для пилотов.

Каждый человек в авиационном сообществе мечтает о самолёте, управлять которым было бы максимально естественно и просто. Например, при изменении мощности двигателя, опускании закрылок или выдвижении шасси, условия полёта не должны заметно меняться, не должны возникать крены или изменяться тангаж — поведение должно оставаться предсказуемым.

Корпус летательного аппарата (само железо) должен работать изначально максимально предсказуемо, а не требовать дополнительных “прибамбасов”. Этот авиационный канон был заложен ещё во времена первых полётов братьев Райт в Китти-Хоук.

Очевидно, что новая модель Боинга 737 Max слишком сильно задирает нос при увеличении тяги, особенно при уже и без того больших углах атаки. Они нарушили древнейший закон авиации, а, возможно, и критерии сертификации FAA (Federal Aviation Administration) в США. Но вместо того, чтобы вернуться обратно к чертёжной доске и исправить корпус самолета, Боинг решил положиться на некую «Систему повышения маневренных характеристик» (“Maneuvering Characteristics Augmentation System”(англ.), MCAS).

Боинг решил проблему с железом при помощи программного обеспечения.

Я оставлю обсуждение появления корпоративного языка (прим. пер.: по всей видимости, автор имеет в виду, что название «Система повышения маневренных характеристик» не говорит о том, КАК она это делает ровным счётом ничего, что несвойственно для авиационных терминов) в авиационном лексиконе для другой статьи, но давайте отметим, что эта система могла бы называться и иначе, например, «Дешёвый способ предотвратить сваливание, когда пилоты решили поддать газку» (“Cheap way to prevent a stall when the pilots punch it,” CWTPASWTPPI). Впрочем, наверное, стоит остановиться на MCAS.

Безусловно, MCAS является куда более дешёвой альтернативой глубокой переработки планера, учитывая необходимость вместить новые большие двигатели. Такая переработка могла бы потребовать, например, удлинения переднего посадочного шасси (которое могло бы после этого и не влезть в фюзеляж при втягивании в корпус), загибания крыльев вверх или каких-нибудь других подобных изменений. Это обошлось бы чудовищно дорого.

Вся разработка и изготовление Max 737 проходили под эгидой мифа «это всё тот же старый добрый 737». Признай Боинг, что это не старая модель, и тогда пересертификация заняла бы годы и потребовала миллионы долларов.

«По факту, пилоты, лицензированные летать на Боингах 737 в 1967 году, могут управлять всеми последующими версиями 737».
Из отзыва на раннюю версию статьи от одного из пилотов 737 в одной из крупнейших авиакомпаний.


Хуже того, подобные крупные изменения могли бы потребовать не просто пересертификации в FAA, но и разработки совсем нового планера Боингом. Вот теперь мы говорим о действительно больших деньгах, причём как для производителей самолётов, так и для авиакомпаний.

И всё потому, что главным аргументом Боинга при продаже 737 Max было то, что он всё тот же 737, и любой пилот, летавший на предыдущих моделях, сможет управлять и Max — без дорогого переобучения, получения нового сертификата и нового рейтинга. Авиакомпании — и Southwest тому яркий пример — как правило предпочитают парк из одного «стандартного» типа самолётов. Они предпочитают иметь единственную модель самолёта, которой может управлять любой их пилот, так как тогда и лётчики, и самолеты становятся взаимозаменяемыми, максимизируя гибкость и минимизируя расходы.

Всё так или иначе сводится к деньгам, и MCAS стал ещё одной возможностью для Боинга и его клиентов достижения того, чтобы деньги текли в нужном направлении. Необходимость настаивать на том, что летные характеристики 737 Max не отличаются от предыдущих моделей 737, была ключом к взаимозаменяемости авиапарка 737 Max. Вероятно, она же стала причиной того, что документация о самом существовании MCAS скрывалась.

Если бы вдруг это изменение стало слишком заметным, к примеру, было отражено в руководстве по эксплуатации самолётом или на него обращали бы особое внимание при прохождении пилотами тренировки, то кто-то — вероятно, кто-то из лётчиков — встал бы и сказал: «Эй, что-то это не похоже на 737». И деньги потекли бы не в ту сторону.

Как я уже объяснил, вы можете провести эксперимент с углом атаки самостоятельно, просто выставив руку из окна движущегося автомобиля и покрутив ладонью. Так вот, у такой сложной машины как самолёт тоже есть механический эквивалент руки, выставленной из окна, — сенсор угла атаки.

Вы можете заметить его при посадке в самолёт. Как правило, их два, по одному на каждой стороне самолёта, обычно прямо под окнами кабины пилотов. Не перепутайте их с трубками Пито (о них читайте ниже). Сенсор угла атаки выглядит как флюгер, а трубка Пито — как… хм, трубка. Сенсор угла атаки выглядит как флюгер именно потому, что он и есть флюгер. Его механическое крыло двигается в ответ на изменения угла атаки.

Трубки Пито измеряют, с какой силой воздушный поток «давит» на самолёт, а датчик угла атаки определяет, с какого направления этот поток набегает. Так как трубки Пито, по сути, измеряют давление, они используются для определения скорости движения самолёта относительно воздуха. Сенсор угла атаки же определяет направление движения самолёта относительно потока.

Существует два набора датчиков угла атаки и два набора трубок Пито, по одному на каждой стороне фюзеляжа. Обычно приборы, установленные на стороне основного пилота, берут свои показания с сенсоров с этой же стороны корпуса; аналогично, приборы у второго пилота показывают значения с датчиков его стороны судна. Такой подход создаёт естественную избыточность в аппаратуре, что позволяет быстро и просто проводить перекрёстную проверку любым из пилотов. Если второй пилот считает, что его индикатор авиационной скорости чудит, он может сверить его с показателем аналогичного прибора на стороне основного пилота. Если показания расходятся, то лётчики выясняют какой из приборов показывает истину, а какой лжёт.

Давным давно была шутка о том, что когда в будущем самолёты смогут летать сами по себе, в кабине всё равно должны будут сидеть пилот и собака. Пилот нужен для того, чтобы пассажирам была спокойнее от осознания, что кто-то там впереди есть. Собака же должна кусать пилота, если он попытается хоть к чему-то прикоснуться.

В 737-ом Боинг не только сделал резервные авиационные приборы и сенсоры, но и резервный бортовой компьютер, установив по одному компьютеру со стороны основного и второго пилотов. Полётный компьютер делает множество разных полезных вещей, но основной его задачей является автопилотирование самолётом тогда, когда ему сказали это делать, и проверка, что лётчик не допустил ошибок в ручном режиме пилотирования. Последний пункт называется «защитой диапазона режимов полёта».

Но давайте назовём вещи своими именами — это и есть та самая «кусачая собака» из анекдота.

Что же делает MCAS? Эта система должна опускать нос самолёта, если считает, что судно выходит за пределы допустимых углов атаки, чтобы избежать аэродинамического сваливания. Боинг установил MCAS в 737 Max из-за того, что более крупные двигатели и их новое расположение привели к тому, что сваливание стало более вероятным, чем в предыдущих поколениях модели.

В тот момент, когда MCAS замечает, что угол атаки стал слишком велик, он командует триммерам самолета (системе, которая заставляет самолёт двигаться вверх или вниз) направить нос судна вниз. Она также делает ещё кое-что: косвенно, используя то, что Боинг называет «Elevator Feel Computer» (компьютер ощущения руля высоты, EFC), она толкает штурвальные колонки управления пилота (штурвалы, которые лётчики толкают или тянут, чтобы поднять или опустить нос самолёта) вниз.

В 737 Max, как и большинстве других современных авиалайнеров и даже автомобилей, за всеми процессами наблюдает компьютер, а то и вовсе управляет ими напрямую. Во многих случаях уже не существует прямой механической связи (то есть тросов, гидравлических линий и трубок) между инструментами управления у лётчика и реальным аэродинамическим оперением самолёта, килем и прочими устройствами, которые заставляют самолёт лететь. А если такая механическая связь и есть, то компьютер сам решает что позволительно делать с ними пилоту (и снова та самая кусачая собака).

Однако важно, чтобы пилоты получали физический отклик обо всём, что происходит. В старые добрые времена, когда тросы связывали органы управления лётчиков с оперением, им приходилось с большим усилием тянуть штурвал, если самолёт снижался. Им приходилось с силой толкать его, если самолёт набирал высоту. Под присмотром компьютера же естественные ощущения контроля исчезли. В 737 Max больше не существует «естественного ощущения».

Да, в 737 есть резервные гидравлические системы, связывающие органы управления, с которыми взаимодействует пилот, и непосредственно работающие элероны и другие части самолёта. Однако эти гидравлические системы настолько мощные, что не передают прямой обратной связи от аэродинамических сил, действующих на элероны. Пилоты будут чувствовать только то, что компьютер позволит им почувствовать. И иногда ощущения получаются не такие уж и приятные.

Когда полётный компьютер направляет самолёт на снижение из-за того, что система MCAS решила, что он вот-вот войдёт в сваливание, цепочка моторчиков и компенсаторов заставляет двигаться штурвалы в кабине вперёд. И оказалось, что компьютер может приложить столько усилия к штурвалам, что лётчики, пытаясь притянуть их к себе и показать компьютеру, что он делает что-то совсем-совсем неправильное, быстро выбиваются из сил.

На самом деле то, что система не даёт пилоту управлять самолётом, потянув на себя штурвал, было осознанным решением конструкторов 737 Max. Потому что если лётчики могут потянуть за колонку управления и вновь направить нос самолёта вверх, когда система MCAS говорит, что он должен быть направлен вниз, то в чём вообще смысл в такой системе?

Несмотря на то, что MCAS интегрирован в полётный компьютер, он вмешивается даже тогда, когда автопилот выключен и пилоты пребывают в уверенности, что самостоятельно управляют самолётом. В борьбе же между лётчиками и бортовым компьютером за то, кто в кабине главный, последний измотал людей до смерти (буквально).

Наконец, требовалось скрыть само существование системы MCAS, чтобы никто не сказал: «Эй, это уже не старик 737», и нужные банковские счета не пострадали.

Полётный компьютер — это всего лишь компьютер. Это значит, что внутри него нет ни алюминиевых деталек, ни тросов, ни топливопроводов, ни прочих атрибутов авиации. Они заполнены строками кода. Вот где всё становится опасным.

Эти строки кода, несомненно, написаны людьми под управлением начальников. Ни программисты, ни их начальники не знакомы с особенной культурой и нравами авиационного мира настолько, насколько люди, работающие на фабриках, склёпывающие крылья, разрабатывающие управляющие скобы и устанавливающие посадочные шасси в фюзеляж. Эти люди обладают общей «отраслевой» памятью о том, что сработало в прошлом в авиации, а что пошло не так. Разработчики программного обеспечения — нет.

В 737 Max одновременно активен лишь один из полётных компьютеров — либо на стороне основного, либо на стороне второго пилота. Активный компьютер получает данные только с тех датчиков, что установлены на его стороне самолёта.

Если человек при пилотировании замечает, что данные компьютеров расходятся, он осматривает панель управления, оценивает показания других приборов и разбирается, что не так. В системе, установленной на Боинге, бортовой компьютер не «осматривает другие приборы». Он доверяет только приборам на своей стороне. Он не делает по-старинке. Он сверхсовременный. Он — ПО.

Значит, даже если конкретный сенсор угла атаки выйдет из строя — что постоянно случается с приборами, подверженными переходам из одной экстремальной среды в другую, постоянным вибрациям и тряске — компьютер управления просто поверит ему.

Хуже того. Существует несколько других приборов, которые прямым и косвенным способом позволяют определить угол атаки, например, трубки Пито, искусственный горизонт и так далее. Лётчик бы проверил все эти приборы, чтобы быстро диагностировать неисправный датчик угла атаки.

В крайнем случае пилот всегда может выглянуть в окно и визуально убедиться, что нет, нос самолёта не задран опасно вверх. Это окончательная проверка, и она должна оставаться исключительной и абсолютной привилегией лётчика. К сожалению, текущая версия MCAS лишает его этого права. Она отбирает у пилотов возможность реагировать на то, что они видят собственными глазами.

Как человек с нарциссическим расстройством личности, MCAS затмевает собой решения пилотов. И это в конце концов оказалось плохо для всех.



— HAL, подними нос.
— Прости, Дейв, боюсь, я не могу этого для тебя сделать.


Бортовой компьютер под управлением MCAS остается слепым к любым доказательствам, что он неправ, включая те, что пилот видит собственными глазами, а когда он отчаянно пытается выровнять самолёт и тянет до отказа роботизированный штурвал на себя, компьютер “кусает” лётчика и его пассажиров до смерти.

В старые времена в FAA работала армия авиационных инженеров. Они работали плечом к плечу с производителями самолётов, чтобы убедиться, что самолёт безопасен и готов к сертификации.

По мере того, как самолёты становились всё сложнее, разрыв между тем, сколько FAA и производители самолетов могли платить своим служащим, постоянно увеличивался. Всё больше инженеров переходило из публичного сектора в частный. Вскорости у FAA не осталось возможностей разобраться, насколько конкретная модель самолёта безопасна, и можно ли её производить.

Тогда FAA предложила авиаконструкторам: «А что если ваши люди будут сами нам говорить, насколько проект безопасен?” Производители ответили: „Звучит неплохо.” А FAA: “И передайте привет Джо, мы скучаем.»

Так родилась концепция «Выделенных инженерных представителей» (“Designated Engineering Representative,” DER). Эти представители являются наемными лицами самолетостроительных компаний, производителей двигателей и разработчиков ПО, которые удостоверяют для FAA факт того, что всё безопасно и хорошо.

Это выглядит как явный конфликт интересов, однако это не совсем так, всё же никто не заинтересован в том, чтобы самолёты падали. Индустрия авиаперевозок полностью полагается на доверие публики, а каждая авиакатастрофа представляет для отрасли экзистенциальную угрозу. Никто из производителей не станет нанимать DER только для того, чтобы он подписывал любые бумаги. С другой стороны, после долгого трудового дня кто-то может на слово поверить парням из отдела разработки ПО, что “да всё там в порядке".

Поразительно, что кажется никто из разработчиков ПО для MCAS в 737 Max не поднял вопрос об использовании при определении развивающегося сваливания не одного, а нескольких источников данных, включая расположенный с другой стороны датчик угла атаки. Как пожизненный член братства разработчиков программного обеспечения, я не понимаю, какая гремучая смесь некомпетентности, высокомерия и отсутствия понимания авиационной культуры могла привести к такой ошибке.

От переводчика: В комментариях к статье один из пользователей указал на то, что MCAS, помимо прочего, не просто уменьшал угол атаки на 0.8 градуса после того, как в первый раз определил развивающийся процесс сваливания, как предполагалось, но делал это в цикле до упора при каждом новом измерении.


Но я точно знаю, что это индикатор куда более глубокой проблемы в отрасли. Люди, которые писали код для оригинальной системы MCAS, были, очевидно, бесконечно далеки от того уровня профессиональной зрелости, что от них требовалась, и даже не подозревали об этом. Как можно теперь доверить им исправление этого ПО, да и вообще верить в надежность и безопасность остального ПО управления полётом?

Итак, Боинг создал аэродинамически нестабильный корпус летательного аппарата — 737 Max. Первая большая ошибка. Боинг затем попытался замаскировать возникшую проблему динамической нестабильности нового 737 с помощью ПО. Вторая ошибка. Наконец, ПО опиралось на показания систем, известных своей склонностью к отказам (сенсоры угла атаки), и не имела даже примитивных процедур перекрестных проверок не только с другими типами приборов, но и даже сверки с показаниями второго набора датчиков. Большая ошибка №3.

Любая из этих проблем не позволила бы пройти проверку на качество. Любой из них было бы достаточно, чтобы не получить «ОК» не только от DER, но и от самого младшего инженера.

Это не просто большая проблема. Это политический, социальный, экономический и технический грех.

Так получилось, что в промежутке между первой и второй катастрофами 737 Max, мне пришлось установить новый цифровой автопилот для моего собственного самолёта. Это Cessna 172 1979 года, самый популярный самолёт в истории по количеству произведенных образцов. Он получил первый лётный сертификат почти на десятилетие раньше первого Боинга 737 (1955 год против 1967).

Мой новый автопилот состоит из нескольких сверхсовременных компонентов, включая резервный бортовой компьютер (с двумя Garmin G5s) и замысловатую коммуникационную шину (CAN, Controller Area Network), позволяющей разным компонентам системы общаться друг с другом вне зависимости от их расположения в корпусе самолёта. CAN шина была разработана в автомобильной промышленности для реализации технологии Drive-by-Wire (электронной цифровой системы управления автомобилем), но с точки зрения целей и реализации она схожа с шинами ARINC, соединяющими компоненты в 737 Max.

Мой автопилот также включает в себя электронные триммеры. Следовательно, он может вносить такие же поправки к конфигурацию полета моей 172, как и полётные компьютеры с системой MCAS в 737 Max. Помню, что после первой катастрофы 737 Max, во время установки автопилота, при разговоре с другом я отметил, что, вероятно, добавляю потенциальный источник опасности, схожей с той, что привела к гибели рейса Lion Air.

Наконец, мой новый автопилот также имеет «защитную оболочку” (ту самую защиту диапазона режимов полёта), где „оболочкой“ является график предельных эксплуатационных свойств самолёта. В то время, когда автопилот не управляет моей Cessna, система тем не менее продолжает контролировать состояние самолёта, чтобы удостовериться, что я не свалю его в штопор, не полечу вверх шасси или не сделаю массу других штук. Да, у него тоже есть режим „кусачая собака“.

Как видите, сходства между моим автопилотом за $20,000 и многомиллионным автопилотом в каждом 737 прямые, осязаемые и релевантные. В чём же различия?

Для начала, установка нового автопилота потребовала получения нового сертификата (“Supplemental Type Certificate,” STC). То есть и производитель автопилота, и FAA согласны, что моя Cessna 172 1979 года со встроенным автопилотом от Garmin настолько существенно отличается от того самолёта, что когда-то сошёл с конвейера, что это уже вовсе не та же Cessna 172. Это совсем другой самолёт.

В дополнение к тому, что у моего самолёта теперь новый (дополнительный) сертификат типа воздушного судна (и новый процесс сертификации), нам потребовалось получить, пересмотреть и дополнить кипу документации по нему, включая руководство по эксплуатации летательного аппарата. Как вы понимаете, по большей части эти дополнения содержат информацию об автопилоте.

Особенно следует отметить, что в этой документации, с которой должен ознакомиться любой собирающийся полетать на этом самолёте, подробно объясняется функционирование автопилота и как он управляет триммерами, а также описываются особенности работы защиты диапазона режимов полёта.

Подробно объясняется и как определить, что система функционирует неправильно, и как её быстро отключить. Строки о том, что для выключения надо выдернуть предохранитель из системы автопилота, повторяются снова и снова едва ли не на каждой странице новой документации. Любому пилоту, захотевшему полетать на моей 172, сразу становится ясно, что она отличается от любой другой 172.

В этом и есть огромная разница между тем, что говорят лётчикам, собирающимся впервые сесть за штурвал моей Cessna, и теми, что садились в 737 Max.

От переводчика: Один из читателей оригинальной статьи указал, что несмотря на то, что у Боинга 737 Max два бортовых компьютера, переключиться с одного на другой в полёте нельзя. Более того, отключить MCAS можно, только вытащив предохранитель из гидравлического мотора, приводящего в движение триммеры оперения, но у лётчиков всё равно не хватает сил поменять положение триммеров без помощи гидравлики. А MCAS их уже установил в минимальное возможное положение…


Ещё одним отличием между моим автопилотом и системой с MCAS в 737 Max является то, что приборы, связанные CAN шиной постоянно коммуницируют и проводят перекрёстные проверки, чего, по-видимому, MCAS не делает. Например, автопилот постоянно опрашивает оба бортовых компьютера G5 для определения расположения. Если данные расходятся, то система оповещает пилота и отключается, переходя в режим ручного управления. Она не направляет самолёт в землю, если вдруг начинает считать, что он вот-вот начнёт сваливаться.

И, вероятно, самым большим отличием является сила, которую лётчик должен приложить, чтобы подавить команды автопилота на моем самолёте и на 737 Max. В моей 172 всё ещё есть тросы, напрямую соединяющие органы управления с аэродинамическими поверхностями. Компьютер вынужден нажимать на те же самые рычаги, что и я, причём он намного слабее меня. Случись, что компьютер неверно решит, что самолёт начинает сваливаться, я с лёгкостью смогу преодолеть его сопротивление.

В моей Cessna человек все ещё всегда выходит победителем из битвы с автопилотом. Точно такую же философию всегда исповедовал и Боинг при разработке своих самолётов, более того — использовал против своего заклятого конкурента Airbus, который действовал прямо наоборот. Однако с выходом 737 Max Боинг, похоже, никому ничего не говоря, решил поменять стратегию взаимоотношений человека и машины и так же тихо поменять инструкцию по эксплуатации.

Вся эта сага с 737 Max должна научить нас не только тому, что усложнение приводит к дополнительным рискам, и что у технологий есть свой предел, но и тому, какие у нас должны быть реальные приоритеты. На сегодняшний день главное — деньги, а не безопасность. О ней думают только лишь постольку, поскольку она необходима для продолжения движения денег в нужном направлении. Проблема с каждым днём становится всё острее, так как устройства всё больше зависят от того, что слишком просто изменить — программного обеспечения.

Дефекты в устройстве техники и “железе”, будь то неудачно расположенные двигатели или уплотнительные кольца, рассыпающиеся на морозе, заведомо сложно исправить. Говоря „сложно“, я имею в виду „дорого“. С другой стороны, дефекты в программном обеспечении можно исправить быстро и дёшево. Всё, что требуется — просто опубликовать обновление и выпустить патч. Более того, мы добились того, что покупатели теперь считают всё это нормой — и обновления для операционной системы на компьютере, и патчи, автоматически устанавливаемые на мою Теслу пока я сплю.

В 1990-х я как-то написал статью, в которой сравнивал относительную сложность процессоров Intel Pentium, выраженную в количестве транзисторов на чипе, со сложностью новой ОС Microsoft Windows, выраженную в строках исходного кода. Оказалось, что они были сравнительно одинаково сложными.

Примерно в тоже самое время выяснилось, что ранние версии процессоров Pentium были подвержены багу, названному ошибкой FDIV. Лишь небольшое количество пользователей Pentium (прим. пер.: учёные и математики) могли испытывать какие-либо проблемы в связи с ней. В Windows были найдены аналогичные дефекты, также затрагивавшие лишь незначительную часть пользователей ОС.

Однако последствия для компаний Intel и Microsoft оказались в корне разными. Для Windows планомерно выпускались небольшие программные заплатки, Intel же пришлось в 1994 году отозвать все бракованные процессоры. Это обошлось компании в 475 миллионов долларов — более 800 миллионов в сегодняшних ценах.

По моему мнению, относительная простота и отсутствие значительных материальных затрат при обновлении ПО привело к развитию культуры лени в сообществе разработчиков. Более того, из-за того, что ПО всё больше и больше контролирует „железо“, эта культура лени начинает проникать и в разработку техники — к примеру, в самолётостроение. Всё реже мы уделяем должное внимание разработке правильной и простой конструкции техники, ведь так просто потом исправить дефект с помощью ПО.

Каждый раз, когда выходит новое обновление для моей Tesla, полётного компьютера Garmin в моей Cessna, термостата Nest или телевизора у меня дома, я лишний раз понимаю, что ни одна из этих вещей не была выпущена с фабрики по-настоящему готовой. Потому что их создатели осознали, что это вовсе необязательно. Работу можно будет закончить когда-нибудь потом, выпустив очередное обновление.
»Я — сетевой инженер, бывший программист, писавший ПО для авионики самолётов. Всегда было любопытно, что нам приходилось изворачиваться изо всех сил, чтобы поставить новую плату в сертифицированный компьютер, а ПО не требовало никакой сертификации (кроме общих ограничений типа «не может работать под Windows» или «должно быть написано на С++»). Правда, это было около 10 лет назад, надеюсь, что сейчас дела обстоят иначе."
— Анонимно, из личной переписки
В настоящее время Боинг устанавливает новое обновление для бортового компьютера и MCAS 737 Max. Не знаю точно, но полагаю, что это обновление будет в основном направлено на две вещи:

Первое — научить программное обеспечение делать перекрёстную проверку приборов, как это делают лётчики. То есть если один датчик угла атаки начнёт сообщать о том, что самолёт вот-вот начнёт сваливаться, а другой датчик — нет, то есть надежда, что система больше не будет сразу направлять самолёт носом в землю, а всё же сначала уведомит пилотов о конфликте в показаниях датчиков.

Второе — отказаться от стратеги «сначала стреляй, вопросы потом задавать будешь», то есть начать смотреть на разные источники вместо одного.

Хоть убей, не понимаю, каким образом получилось, что эти два базовых принципа авиационной промышленности, основы мышления, верно служившие индустрии до сих пор, могли быть забыты при разработке MCAS. Я не знаю и не понимаю, какой процесс в работе DER настолько сломался, что он допустил такой фундаментальный дефект в проекте.

Подозреваю, что причина кроется примерно там же, где и причина желания Боинга поставить двигатели большего размера и избежать связанных с этим крупных расходов — желания съесть бесплатный сыр, который, как известно каждому, бывает только в мышеловке.

Упор на необходимость разрабатывать максимально простые системы хорошо показан у Чарльза Пэрроу, социолога Йельского университета, автора книги «Нормальные аварии: жизнь с высокорискованными технологиями» (Normal Accidents: Living With High-Risk Technologies(англ.)) 1984 года. Вся суть книги содержится уже в названии. Пэрроу утверждает, что системный сбой является нормальным результатом работы любой сложной системы с тесно связанными компонентами, когда поведение одного компонента непосредственно отражается на поведении другого. Несмотря на то, что по отдельности такие ошибки могут казаться вызванными той или иной неисправностью техники или сломанным процессом, на самом деле они должны рассматриваться как неотъемлемые особенности самой системы. Это «ожидаемые» аварии.

Эта проблема нигде не ощущается так остро, как в системах, предназначенных для повышения безопасности. Каждое новое внесенное изменение, каждое усложнение становится всё менее эффективным, а в конечном счёте приводит и вовсе к отрицательным результатам. Наложение одного исправление поверх другого в попытке повысить безопасности в конце концов приводит к её уменьшению.

Именно об этом нам говорит и старый инженерный принцип проектирования — «Чем проще, тем лучше» (“Keep it simple, stupid”, KISS), и его авиационный вариант: «Упрости, потом добавь лёгкости» (“Simplify, then add lightness”).

Одним из основных принципов FAA при сертификации самолётов во времена Эйзенхауэра был своеобразный завет простоты: самолеты не должны демонстрировать значительных изменений тангажа с изменением мощности двигателя. Это требование появилось во времена существования прямой связи между органами управления у лётчика в кабине и оперением самолёта. Это требование — когда оно было написано — справедливо накладывало требование простоты на конструкцию самого планера. Теперь же между человеком и машиной появилась прослойка программного обеспечения, и никто точно не знает, что же там происходит на самом деле. Вещи стали слишком сложными для понимания.

Не могу выкинуть из головы параллели между катастрофами 737 Max и космического челнока Челленджер. Авария с Челленджером произошла потому, что люди следовали инструкциям, а не наоборот — ещё одна иллюстрация «нормальных» катастроф. Правила говорили, что перед запуском челнока требуется провести конференцию, чтобы убедиться в полной готовности к полёту. Никто не говорил, что при вынесении решения нельзя придавать слишком большой вес возможным политические последствиям, которые могли бы возникнуть из-за переноса запуска. Все вводные данные были тщательно взвешены согласно установленному процессу, большинство согласилось на запуск. И семь человек погибло.

В случае с 737 Max всё тоже делалось по всем правилам. Правила говорят, что тангаж самолёта не должен слишком сильно изменяться при изменении мощности двигателя и что назначенный инженер (DER) вправе подписать любые изменения, направленные на решение этой проблемы. В правилах нет ничего о том, что DER не должен руководствоваться деловыми соображения при принятии решения. И вот уже 346 человек мертвы.

Весьма вероятно, что система MCAS, разрабатываемая с расчетом на повышение безопасности полётов, убила больше людей, чем могла бы когда-либо спасти. Не надо пытаться исправлять её дальнейшим повышением сложности, дополнительным ПО. Её нужно просто убрать.

Об авторе


Грег Тревис — писатель, руководитель в разработке ПО, пилот, владелец самолёта. В 1977 году в возрасте 13 лет он создал Note — одну из первых социальных медиаплатформ; его налёт составляет более 2000 часов, он управлял всем от планеров до Боинга 757 (в симуляторе с полной имитацией движения).
Поделиться публикацией

Комментарии 234

    –1

    Никогд на хабре статей про катастрофы Boeing 737MAX не было…
    Зачем надо повторно переводить статью? Давайте ждать официальные итоги расследований, остальное это мысли не всегда здоровых людей и самопиар.

      +22
      На мой взгляд Хабр — отличное место для этой статьи, так как причины этих катастроф, по всей видимости, находятся в том, как такие же разработчики, как все мы, отнеслись к написанию софта для 737. Это хороший повод задуматься.

      И это не «повторный» перевод — это полная версия статьи.
        –1

        Вы правы, что это хороший повод задуматься. Но мы раз в неделю задумываемся про причины катастрофы Boing 737 MAX, а новых сведений о реальных причинах ваша публикация не несет. Все как и предыдущие разы сведется к спорам о виновных, конструкции самолета и терминологии использованной переводчиком.

          +2
          Да, но единственное новое в этой статье — у автора есть тесла и свой самолет. Все остальное уже было.
          Разве что не уверен, были ли цитаты Эйзенхауэра…
            0
            Замечательный перевод, большое Вам спасибо. Читается легко и глаз радует.

            Но, как уже говорили, ничего нового автор оригинала не сказал, сплошной самопиар. Многократные повторения одного и того же. Статья больше похожа на раскрытие автором заговора производителей и эксплуатантов авиатехники. И постоянные оговорки «очевидно, безусловно, как правило, вероятно, несомненно, но я точно знаю» веры в слова автора не добавляют.

            И так запросто оптом обвинять всех инженеров Боинга в некомпетентности и тупости на основании того что он «пожизненный член братства разработчиков программного обеспечения (?)“ не есть хорошо. Своими рассуждениями, извините, он больше похож на дилетанта „сейчас я сорву покровы и всем глаза открою“.
              –2
              При чем тут разработчики? Я не знаю, конечно, как у вас, но у нас Product Owner всегда прав. Не в том смысле, что его слово — закон, а в том, что никто не перепроверяет, правильно ли он донес требования бизнеса в каждой конкретной user story.
                –1
                Потому что когда вы работаете в такой отрасли, как авиация, то нужно не просто следовать заданиям бизнеса, а думать о последствия своей работы. Как, например, сотрудники Google, отказавшиеся работать над проектами, используемыми в оборонке.
                  +1
                  Ну вот расскажите это программистам Боинга, работавшим над этой системой. Они, оказывается, должны были все предвидеть и отказаться пилить эту систему, рискуя своей работой. Хороший совет, годный.
                  Сами-то увольняетесь при каждом удобном случае под предлогом того, что могут погибнуть люди?
                    +1
                    Зря вы так.
                    Тут приводили ссылку на редитте где именно такого инженера Боинга и описывали — не шёл на поводу у начальства, не давал «добро» новым материалам (вроде углепластика) без всего комплекса испытаний (а это — годы). Его «сослали» на безответственную работу.
                    Как говорится, перед Богом каждый будет отвечать за себя а не за соседа или начальника…
            0
            Тогда было решено нарастить двигатель сверху и сместить его вперед и вверх относительно крыла. Это, в свою очередь, привело к смещению осевой линии тяги двигателя. Теперь при увеличении мощности двигателя, самолет получил тенденцию к кабрированию, то есть к подъему носа.
            Так вроде ось тяги двигателей стала проходить ближе к центру масс, соответственно рычаг вращающего момента уменьшился, тенденция к кабрированию непосредственно от тяги двигателей должна была снизится.
            В моей 172 всё ещё есть кабели, напрямую соединяющие органы управления с аэродинамическими поверхностями. Компьютер вынужден нажимать на те же самые рычаги, что и я, причём он намного слабее меня. Случись, что компьютер неверно решит, что самолёт начинает сваливаться, я с лёгкостью смогу преодолеть его сопротивление.
            Ну да, сравнивать Cessna 172 массой 1160 кг и скоростью 200км/ч с Boeing 737 массой 70-80 тонн и скоростью 850 км/ч… В 737 тоже есть полная механическая связь органов управления с управляющими поверхностями. Вот только усилие заметно выше.
              0

              Нет там прямой механической связи — связь через гидравлику и тот самый EFC, который обеспечивает обратную связь от рулей к штурвалу и является аналоговым компьютером, представляющим собой механизм с эксцентриком. Он изменяет давление в гидравлической системе в зависимости от высоты и скорости полёта (у него свой комплект трубок Пито).

                +2
                Связи нет только на руле направления. Гидравлика выполняет роль бустеров, увеличивая усилие.
                In the event of total hydraulic power failure, rotation of the pilots’ control wheels mechanically positions the ailerons.
                With loss of hydraulic system A and B the elevators can be mechanically positioned by forward or aft movement of the pilots’ control columns.
                  –1

                  Я и говорю, что через гидравлику. Прямых связей тросами от штурвала к рулям, на сколько я знаю, нет.

                    0
                    Внимательно прочитайте цитаты. Они описывают случаи полного отказа обоих гидросистем.
                      –1

                      Гидравлика может и в ручном режиме работать. Где в вашей цитате сказано, что управляется не через гидравлику, а через трос?

                        0
                        Can be mechanically positioned, конечно, может означать не только трос, но и шестерни и другие передачи, но гидроусилители при отказе гидросистем работать точно не будут, а на чисто гидравлических самолётах (например, последние модели пассажирских и грузовых Дугласов) отказ всех гидросистем с потерей жидкости приводил к полной потере управления. Так что таки механическая передача.
                          +1
                          По моему у вас обсуждение не туда зашло.
                          Триммирование без гидравлики выполняется медленно.
                          MCAS(или как его) не отключается без отключения гидравлики. При этом до того как его бы отключили он загоняет триммера(а не рули высоты!) в крайнее положение. Ну я так понял.
                            0
                            Триммирование вообще с гидравликой не связано. Там электромоторы стоят. И отключить их можно в любой момент, не обязательно дожидаться, пока стабилизатор до упора уйдёт на пикирование. И обратно можно было переложить стабилизатор кнопками на штурвале, у них приоритет над MCAS.
                      0
                      В том то и дело, что есть. Гидравлика идёт в параллель — как гидроусилитель на машине. Причём даже контроль двигателей идёт по тросику. Т.е. пилотировать можно при полностью обесточенном самолёте (но сложно и желательно позвать качка на место второго пилота)
                      Это у Эйрбаса прямой связи нет. Но там это изначально закладывалось, и продумывалось, и сертифицировалось. Поэтому таких накладок у них, насколько я помню, была только одна — когда на эшелоне слишком много датчиков отказало, а пилоты это проспали и не перешли на более прямое управление.
                        0
                        А в каком случае самолёт может полностью обесточиться?
                          0
                          Если аккумуляторы ему в ноль высадить, не запуская силовые установки.
                            0
                            Недавно читал, был случай когда двигатели погасли на низких оборотах, попытки завести высадили в 0 батарею.
                              0
                              Что был за тип, не помните? Почти на всех современных «больших» запуск двигателей пневматический. Какой-нибудь Ан-24 небось?
                              0

                              Там аварийный генератор вроде есть...

                              0
                              Например, если топливо закончится посреди полета.
                                0
                                Конкретно в этом случае не полностью обесточился. Резервная турбина, работающая исключительно за счёт набегающего потока, запитала часть критически важных систем.
                                  0
                                  Эта самая «резервная турбина» (вы про RAT?) есть далеко не везде. В частности, ее отродясь не водится на 737. В частности и потому, что 737 можно управлять и без электричества, и без гидрашки. И RAT, кстати, не вырабатывает электричество. Ее основная задача качать гидрашку, это гидронасос. А вот от давления в гидрашке уже работает резервный генератор, который дает борту электричество. Это кроме случаев, когда у нас полностью электрический самолет, типа 787. Но таких самолетов пока очень мало.
                                    0

                                    Зачем вы со мной решили поспорить? faoriu спросил в каком случае самолет может полностью обесточиться. Alcpp привел ему конкретный пример. Я ему и всем читателям (т.е. и вам тоже) по-русски написал, что "конкретно в этом случае" это не так. Почему вы решили вдруг обобщить мою реплику на весь остальной мир?

                                      0
                                      Я с вами спорю? Выдыхайте, никакого спора нет. На вопрос был приведен вполне корректный ответ, «если кончится топливо». Пример автором ответа был выбран не самый удачный, ибо RAT на А330 имеется, но есть куча самолетов, на которых ее нет. И на них отсутствие топлива на борту или невозможность его подачи в двигатели и APU и есть тот самый случай, когда после довольно быстрого исчерпания заряда аккумуляторов самолет будет полностью обесточен.

                                      На конкретный вопрос был дан вполне конкретный и верный ответ. А вы, как настоящий зануда, докопались до несущественных деталей, а потом еще и решили, что с вами кто-то спорит.
                                        –3
                                        До-до-до! Целых два абзаца написали… не спорим, ни разу не спорим… 3 часа ночи, но не можете спать о того, что в интернете кто-то не прав? )

                                        И да, я настоящий зануда. А вы так говорите, как-будто это плохо. Быть занудой, например, для пилота — это просто супер.

                                        А вот вы, как тот студент, который рассказывает «а вот если бы у рыбы была шерсть, то в ней обязательно были бы блохи». И ещё плохо понимаете русский язык, потому что «конкретно в этом случае» означает, что я про другие случаи не говорю. А вы мне, как дятел, уже второй камент пытаетесь вдолбить, что RATа может и не быть. Чё правда что ли? Расскажите ещё разок, а то до меня плохо доходит.
                              0
                              Это у Эйрбаса прямой связи нет

                              Начиная с 777 на Боингах тросов теперь тоже нет.
                        0
                        Так вроде ось тяги двигателей стала проходить ближе к центру масс, соответственно рычаг вращающего момента уменьшился, тенденция к кабрированию непосредственно от тяги двигателей должна была снизится.


                        ИМХО тут дело в центре масс, а в центрах приложения сил. Быть может я совсем не прав (не специалист), но мне представляется аналогия с картиной на стене: раньше она висела на двух гвоздях, расположенных один под другим, а теперь «нижний» гвоздь сместился влево и вверх. Если этот «гвоздь» будет создавать тягу влево (простите :)), то картина начнет поворачивать по часовой стрелке — то есть «нос» будет задираться вверх.

                        Автор говорит о том, что в 737 есть связь через гидравлику, но назвать её «прямой» нельзя:
                        Да, в 737 есть резервные гидравлические системы, связывающие органы управления, с которыми взаимодействует пилот, и непосредственно работающие элероны и другие части самолёта. Однако эти гидравлические системы настолько мощные, что не передают прямой обратной связи от аэродинамических сил, действующих на элероны.


                        Не думаю, что он подразумевает, что в авиалайнерах надо оставить прямую механическую связь, это скорее про то, что у пилотов должна оставаться возможность действовать вручную, отключив всю автоматику. По мне даже такая формулировка спорная, в норме ПО «индустриального» качества должно в 99.9(9)% случаев превосходить человека во всём, а риском от оставшейся ничтожной части можно пренебречь. Однако, всегда стоить помнить, что за этими 0.(0)1% могут скрываться человеческие жизни.
                          0
                          Летящий самолёт не закреплён жёстко. Все действующие на него силы считаются относительно центра масс. Вы можете расположить двигатели в самом носу самолёта, но, пока ось их тяги проходит через центр масс, непосредственно тяга не будет создавать ни пикирующего, ни кабрирующего моментов.
                            0
                            Двигатели больше и мощнее предыдущих, поэтому не смотря на то, что их поставили чуть выше — центр двигателя чуть опустился. И момент значимо вырос.
                              0
                              Каким образом опустился центр двигателя, если расстояние до земли осталось прежним, а диаметр двигателя стал больше?
                              image
                                0
                                Имелось ввиду, что если не выносить двигатель дальше в продольной проекции от кромки крыла и выше в поперечной, то нижняя кромка двигателя была бы опасно близка к земле. На фотографии, которую вы привели, отчетливо видно, что центры двигателей расположены на одной прямой, как раз из-за того, что он расположен выше, и он все равно ближе к земле, чем было раньше
                                  0
                                  Не знаю, я приложил линейку к центрам спиралей, у MAX (справа) эта точка малость выше, чем у NG (слева). Но, даже если они на одном уровне, то всё равно при одинаковой тяге двигателей они будут давать одинаковый кабрирующий момент.
                                    +3
                                    Еще раз сошлюсь flying-elk.livejournal.com/46084.html
                                    там всё понятно описано.
                                    Приведу оттуда кусочек:
                                    «Боинг объявил, что у 737МАХ на 14% выше топливная эффективность, по сравнению с прошлыми моделями. Надо понимать, что и «прошлые модели» были очень даже неплохими, но уже «очень доведёнными» самолетами. За счёт чего же, вроде как не много изменяя, но тут тут такой прорыв? Это достигнуто во многом за счёт установки других двигателей, с вентиляторами большего диаметра. Но тут же возникла проблема — новый двигатель банально не помещался «под крыло» у Б-737, там не такое уж большое расстояние от кромки крыла до поверхности земли. Так как Б-737 самолёт не новый, скомпонован плотно, то основные стойки шасси там удлинять особо не куда, они просто упрутся колёсами в друг друга при уборке. А «раздвинуть» их дальше потребовало бы радикально изменять всю конструкции центральной самолёта. И «Боинг» нашёл «простое» решение — чуть приподнял ось двигателя на пару градусов вверх. Вместе со всем остальным МАХ-у немного удлинили переднюю стойку шасси — можете себе представить какие они там сантиметры «выжимали» из конструкции, что-бы туда уместился новый двигатель?! Но «задирание оси двигателя» вылилось в то, что теперь вектор тяги имеет угол вверх и проходит дальше от центра тяжести самолёта, а это ещё понижает статическую его устойчивость.»
                                    Как-то так.
                        +2
                        Справедливости ради, «тросы», а не «кабели» (в оригинале, видимо, «cables»). :)
                        Странно, что бортовые компьютеры не имеют связи между собой. Как минимум, это необходимо для взаимопроверки. Если я правильно понял, «горячий резерв» предоставлялся как опция за отдельную (и немалую) плату.
                          +2
                          Компьютеры имеют связь, но сверяют ограниченный набор параметров. Например, есть взаимопроверка воздушной скорости и соответствующий транспарант «IAS Disagree».
                            0

                            У боинга взвешивание (выбор неверного) производится пилотом, т.е. выведены показания двух систем, одна из них является активно-управляющей, человек сравнивает показатели и на своё усмотрение либо переходит на ручной режим (отключает АП) либо оставляет как есть.
                            Часть показателей сверяются автоматически, но только в целях индикации.

                            –1
                            Best practices for NTP (https://access.redhat.com/solutions/778603):

                            * Use at least 4 NTP servers.

                            * With two, it is impossible to tell which one is better, because you don't have any other references to compare them with. This is actually the worst possible configuration…

                            * With three servers, you have the minimum number of time sources needed to allow ntpd to dectect if one time source is a «falseticker».

                            Авиаконструкторам пора учиться у программистов, два датчика скорости/угла атаки — отличный пример как не надо делать…
                              +4
                              Давно делают. Для военных, где цена не важна. Одно из первых правил, которое нам объясняли на военной кафедре — блок необходимо троировать, иначе неизвестно какой из двух даёт некорректные показания.
                              С другой стороны, бизнес в сфере гражданской авиации — это тонкий баланс между безусловной надёжностью и доходностью этого бизнеса. Собственно, FAA и было создано для того, чтобы доходность не перевесила, но действительно что-то пошло не так.
                                –1
                                Выплатить страховку родственникам всегда дешевле, чем сделать надежно и безопасно… Еще и на взятки чиновникам останется…
                                  +3
                                  Увы, но это так. И пока ( Бабло(сделать нормально)+Бабло(отзыв и исправление) ) > ( Бабло(выплатить жертвам)+Бабло(потеря репутации) ) у нас будут происходить такие вещи.
                                    +5
                                    Вот же сообщество. За одно и то же суждение rstepanov огрёб минусов, а JerleShannara — плюсов.

                                    «Невидимая рука рынка» давно уже посчитала цену каждому человеку. Если бы не внешнее регулирование — падали бы каждый год по 300 тушек, если бы заносить чинушам всё-равно получалось дешевле.
                                    0
                                    Вас, похоже, минусуют люди, не читавшие роман Артура Хейли «Аэропорт».
                                    0
                                    Классика жанра — а кто сравнивает показания? Блок-арбитр? А если он выйдет из строя?
                                    Кроме того, были случаи, когда неверные показания были у двух из трёх датчиков.
                                    В данном случае достаточно было обнаружить расхождение показаний датчиков, сообщить об этом пилотам и отключить автоматику, использующую эти датчики.
                                      0
                                      Показания должны сравнивать полетные компьютеры, которых тоже должно быть три штуки + протокол арбитража. И при возникновении расхождения — предупреждать экипаж и наземные службы.

                                      Отключать автоматику или нет — неоднозначно, таки 21 век уже и беспилотники более чем актуальны. На грузовых самолетах так экипаж точно уже не нужен. На пассажирских — пусть экипаж решает что делать.

                                      Да, выход из строя двух датчиков из трех возможен. Но показания практически всех датчиков (по крайней мере угла атаки и скорости) взаимосвязаны, так что это тоже можно диагностировать.
                                        –1
                                        Не помогут вам компьютеры. Простой пример. Одно дело, когда глюк произошел в компьютере А, а в компьютерах Б и Ц нет. Но если все три компьютера А Б Ц ошибутся по причине одинакового бага ПО или железа, то ошибки выведено не будет, но в реальности ошибка будет.
                                        Вы не совсем верно понимаете ошибку как таковую, и зачем-то трактуете ошибку как некое состояние «не как у всех». При этом, если ошибка «у всех», то вы такое состояние ошибочным считать не будете же, а это сразу фейл.
                                        Выход тут один на самом деле. Если пилите компьютеры — то это должны быть разные компьютеры, т.е. совершенно разные, вот я подчеркиваю — абсолютно разные. Начиная от железа и его компонентов и ос и абсолютно отличающимися алгоритмами расчетов. Эти системы должны отличаться во всем, ибо если такие системы имеют что-то общее, и в этом месте будет баг изначальный, то ошибку оно не покажет. И эти совершенно разные компьютеры на тестах должны выдавать одно и то же всегда при отсутствии ошибок конечно же. Своеобразная инвариантная система.
                                        Ровно так же и датчики должны быть принципиально по-разному реализованными, ибо какой смысл дублировать одно и то же, если оно оба может соврать одинаково…

                                        Как разминка для ума. Попробуйте на обычном компьютере реализуйте операцию сложения, но принципиально разными способами) И да, такое возможно. Только вот если процессор багнутый, то баг вы сможете отловить, именно потому, что одно и то же сложение можно интерпретировать по-разному в рамках процессорных команд. Т.е. программа А будет манипулировать одним ПО, а программа Б другим. А в итоге у вас должно получиться одинаково. Если не одинаково — значит баг.

                                        И само собой про криптографию не забывайте. Если действительно обратиться к математику, то он может спроектировать действительно отказоустойчивую штуку, которая чрезвычайно сильно следит за собой, именно используя всю мощь криптографии. А как известно, любая система на 100% надежна тогда и только тогда, когда она криптографически надежна, и на это есть строгое математическое доказательство. Только так, и не иначе. Ничего другого пока нет.
                                          +2
                                          А как известно, любая система на 100% надежна тогда и только тогда, когда она криптографически надежна, и на это есть строгое математическое доказательство.

                                          И что же это за теорема, позвольте узнать?
                                          Какая связь вообще между криптографией (защитой информации) и корректностью вычислений?
                                          Полагаю, вы путаете доказательство корректности программ и криптографию. Нет, там нет ничего общего.
                                            –3
                                            Общего нет) Но вы в реальном мире живете или?
                                            Вы докажете корректность алгоритма на бумашке, а кто докажет корректность исполняющей среды, да еще и риалтайм? Что вам дают эти штуки по отдельности? Ничего)
                                            Но вместе — дают. Подумайте. Причем ничего другого нет, к сожалению… Если есть — скажите. Интересно, может быть и вправду что-то появилось…

                                            Криптография — это далеко не защита информации) Вы совсем напутали… Защита информации как прикладная часть криптографии существует. Но защита информации от всей криптографии в общем смысле — это какие-то жалкие смею сказать 5%…
                                              0
                                              Криптография — это далеко не защита информации) Вы совсем напутали…

                                              Вот вы сказали глупость. А теперь продолжаете на ней настаивать. :) Зачем?
                                              Я же задал вам простой вопрос:

                                              А как известно, любая система на 100% надежна тогда и только тогда, когда она криптографически надежна, и на это есть строгое математическое доказательство.

                                              Как называется теорема? Когда и кем доказана?
                                                0
                                                Зачем?
                                                Затем, что например слабенький хэш — вовсе ничего не защитит. Но перебор капитально ускорит. Или например возьмите элемент слабого блокчейна. Разве оно преследует какую-то защиту?) Вовсе нет. И т.д. А теперь подумайте, кто сказал глупость.
                                                Я же задал вам простой вопрос: Как называется теорема? Когда и кем доказана?
                                                Вы про какую теорему? Причем тут теорема вообще? Криптография строится на нескольких теоремах, но причем тут они? Где вам написано, что нужно доказывать криптографическую теорему? Вы мозгом повреждены что ли? Или букв не видите? Или вы видите только то что видите, или хотите видеть?
                                                Послушайте, есть квадратное уравнение, есть теорема Виета о корнях. Если вы находите корни с помощью этой теоремы, ну и славно. Так вы докажите это) Приведите математические вычисления, обоснуйте свое решение — математически. Вы докажете, что корни лезут оттуда-то и оттуда. А причем тут собственно сама теорема Виета о корнях, и зачем ее доказывать?

                                                Так вот смысл в том, что любую систему вы можете представить как набор чего-то. Любую) Какая вам разница что это? Способов заданий систем множество, это да, это огромная проблема. Это всего лишь оптимизация, с целью исключения избыточного описания, которое ни на что не влияет, и дело не в этом. Если вы представите нужным способом систему, то вы можете применить к ней криптографию. И это вовсе не цель защиты информации))) А может быть и да, смотря что вам нужно. Так вот все это заработает тогда и только тогда, когда вы докажете то, что сея система криптографически устойчива. К чему? А тоже зависит от задачи) Может быть к перебору. А может быть устойчива к коллизиям. И т.д. Причем тут вообще защита информации? Но смысл такой, что пока вы не докажете математически [именно математически] — ничего у вас не выйдет.

                                                Пример на пальцах. Реализована простенькая криптографическая шляпа. На проводке домашней) Куски соединяемых проводов представлены как некие элементы криптографической системы. На каждом куске провода стоит высокочастотный генератор импульсов. Тут увольте, я далеко не радиофизик, и реализацией занимался не я, это ж не мое) Занимался товарищ мой этим делом. Так вот смыл прост как тапок. Каждый кусок провода имеет свой генератор, и генерирует последовательность, которую можно интерпретировать как нули и единицы. Если провода определенным образом собрать в кучу [не всякая «топология» пойдет], и запускать генераторы враз, то вы и получите хэш проводки) Не так соберете — хэш будет другой. Понятно нет? И какую такую защиту информации я тут преследую? И какую такую теорему я тут доказываю? Вы выдаете желаемое за действительное, а зачем?))

                                                И да, при адекватном выборе элементов системы, при вменяемой проектировке системы, и самое главное — при строгом математическом доказательстве — только так можно говорить о том, что полученный хэш совпадающий с расчетным — гарантирует 100% целостность системы из соединенных проводников.
                                                  0
                                                  Затем, что например слабенький хэш — вовсе ничего не защитит. Но перебор капитально ускорит

                                                  Чаво? Зачем выдвигать смелые утверждения в области, в которой вы, очевидно, не разбираетесь?
                                                  Перебор чего вам капитально ускорит слабенький хэш? Я вам напомню, что хэш-функция в криптографии выбирается таким образом, чтобы никакой зависимости от вариации параметров не было вообще. Если вы говорите про обычные хэш функции, которые должны быстро вычисляться, чтобы по ним можно было быстро проводить поиск, то при чем тут криптография?

                                                  Или например возьмите элемент слабого блокчейна. Разве оно преследует какую-то защиту?)

                                                  Безусловно преследует. Суть блокчейна — защитить блоки от вмешательств из вне. И если блок-чейн — слабый, то он просто никому не нужен.

                                                  А теперь подумайте, кто сказал глупость.

                                                  Вы. При том продолжаете это делать с каждой фразой все больше и больше. Повторю вопрос: зачем?

                                                  Вы про какую теорему? Причем тут теорема вообще?

                                                  Теорема — при том, что вы успели ляпнуть вот это:
                                                  А как известно, любая система на 100% надежна тогда и только тогда, когда она криптографически надежна, и на это есть строгое математическое доказательство.


                                                  Ну я и хочу, чтобы вы подтвердили свои слова. Приведите уже «строгое математическое доказательство».

                                                  Если вы представите нужным способом систему, то вы можете применить к ней криптографию.

                                                  У вас идет какой-то поток сознания. Вы явно плывете в теме. При этом пытаетесь строить из себя эксперта. Зачем? :)

                                                  На всякий случай, вот вам определение криптографии с вики:
                                                  наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства


                                                  Где вы тут увидели про надежность програм?

                                                  Реализована простенькая криптографическая шляпа. На проводке домашней) Куски соединяемых проводов представлены как некие элементы криптографической системы.

                                                  ???

                                                  и самое главное — при строгом математическом доказательстве

                                                  Опять двадцать пять :) При КАКОМ доказательстве? При доказательстве ЧЕГО?
                                                    0
                                                    Справедливости ради замечу, что такая теорема действительно есть и она довольно известна и, можно сказать, очевидна. Но она совсем не о том, а скорее обратная. Формулируется так: максимальная криптостойкость достигается тогда и только тогда, когда она зависит только от ключа, а не от алгоритма.
                                                    Т.к. тут равносильность, то можно сказать и в обратную сторону: программа без уязвимостей/ошибок обладает максимальной криптостойкостью.

                                                    Связь же с хешами ускользает от меня.
                                                      0
                                                      Но она совсем не о том, а скорее обратная. Формулируется так: максимальная криптостойкость достигается тогда и только тогда, когда она зависит только от ключа, а не от алгоритма.

                                                      Ну т.е. это совершенно не про то, что задвигал InterceptorTSK.

                                                      Он говорил это:
                                                      А как известно, любая система на 100% надежна тогда и только тогда, когда она криптографически надежна, и на это есть строгое математическое доказательство.


                                                      Что такое надежность системы? Ну, как я понимаю, некая характеристика системы, которая показывает насколько система способна продолжать работу в случае отказа отдельных ее элементов. С натяжкой, под этим можно понимать корректность работы системы в принципе. Никакой связи здесь с криптографией не вижу вообще.

                                                      программа без уязвимостей/ошибок обладает максимальной криптостойкостью.

                                                      В обратную сторону у вас что-то потерялось, как мне кажется. Если в прямую сторону речь шла про криптоалгоритмы, то в обратную — уже про произвольные программы.

                                                      Связь же с хешами ускользает от меня.

                                                      От меня тоже. Особенно, про слабые хэши.
                                                        0
                                                        В обратную сторону у вас что-то потерялось, как мне кажется.

                                                        В пустой бутылке есть водка (и, даже, жидкий гелий) — ровно ноль литров (и, даже кубокилометров) :)


                                                        Т.е. понятие криптостойкости формально применимо даже там, где никакого шифрования нет. В конце концов речь идёт просто о потребных вычислительных мощностях для обработки потока данных.
                                                        И для бажной программы, знание всех её багов позволяет городить "костыли" и "грязные хаки", что упрощает работу с этой программой (см. API Windows :) ), а это, чисто формально, разумеется, и есть снижение "криптостойкости" (из серии: а если бы мы шифровали, то у бабушки был бы ...)


                                                        Сие иногда используется в "высшей CS", но я до таких высот никогда не добирался.

                                                          0
                                                          Т.е. понятие криптостойкости формально применимо даже там, где никакого шифрования нет.

                                                          Что-то вы тоже не то говорите. В слове «криптостойкость», есть корень «крипто-», который намекает на устойчивость алгоритмов шифрования к взлому.

                                                          Вот с вики:
                                                          Криптографическая стойкость (или криптостойкость) — способность криптографического алгоритма противостоять криптоанализу.

                                                          Т.е. криптографию — только к шифрованию.
                                                          а грязные хаки — это уже не криптография.

                                                          Но речь шла о другом. Есть такое направление математики — доказательство корректности программ. Теоретически, подход был придуман как раз для критических отраслей. Вроде авиации, оборонки, космоса и т.д.

                                                          Т.е. на любой разработанный алгоритм можно провести его формальное доказательство корректности и убедиться, что он работает именно так, как вы того ожидаете. Подход интересный, но, насколько я знаю, не взлетел. С ростом сложности программ — экспоненциально растет сложность доказательства. Т.е. не применяется.
                                        0
                                        В безопасных схемах такие ситуации предусматриваются. То есть, должны предусматриваться, согласно стандартам. Если система не может дальше нормально работать, то она должна обеспечить безопасный отказ.
                                        Впрочем, я смотрю с точки зрения ЖД автоматики. У нас всё проще: грубо говоря, если один из дублированных микроконтроллеров в модуле отвалился, то этот модуль затыкается, и его функции подхватывает резервный модуль. Если оба сдохли, то отрубаем все сигналы поездам, что приемлемо. Полагаю, в самолете подобное не прокатит. Возможно, у них стандартами заданы намного более низкие нормы по интенсивности опасного отказа. Анализ системы по утвержденным методикам должен подтвердить, что схемные решения обеспечивают интенсивность опасных отказов не выше заданной.
                                          0
                                          Тут проблема немного другая. Скажем, имеем дублированные датчики положения стрелки. Что будет делать контроллер, если эти один из датчиков покажет, что стрелка в прямом положении, и второй — что та же стрелка в отклонённом положении.
                                            0

                                            Во ряде случаев определить, какой именно из них врёт, можно по косвенным признакам с других сигналов (датчиков).

                                              0
                                              Не знаю, что в таком случае будет — потому что сейчас это устроено немного не так. Но если бы стрелка контролировалась именно так, как вы говорите, то одновременное получение контроля плюсового и минусового положения стрелки должно приравниваться к потере контроля стрелки, со всеми вытекающими: отменяется маршрут, проложенный через стрелку — с перекрытием сигнала; блокируется задание новых маршрутов и звенит звонок взреза. И это только со стороны автоматики, еще на этот случай предусматриваются инструкции для дежурного по станции.
                                              В реальных стрелках положение контролируется автопереключателем — специальным контактным механизмом, положение контактов которого контролируется контрольной схемой стрелки. Там просто нет и не может быть такого понятия, как одновременный контроль плюсового и минусового положения стрелки. Либо схема выдает, что стрелка в плюсе, либо она в минусе, либо контроль потерян. Ложный контроль от стрелки может организовать лишь грамотный диверсант-железнодорожник. Но это всё равно, что хакеру дать физический доступ к своему ноутбуку — от такой атаки не защититься.
                                      +4
                                      пилот всегда может выглянуть в окно и визуально убедиться, что нет, нос самолёта не задран опасно вверх

                                      Интересно, как он собрался это делать в условиях полёта по приборам (туман, большая высота и т.д.?). Заметно, что товарищ пилотирует Цессну и имеет только рейтинг для полётов по VFR. Это помимо фактических ошибок типа "отключить MCAS можно только вытащив предохранитель из гидравлического мотора" (прям вспоминается фильм "Экипаж"). Зачем здесь эта диванная аналитика, разве своих таких программистов-аналитиков не хватает?

                                        +4
                                        Вы вытащили слова из контекста. Автор пишет о том, что у пилота есть не только приборы, но и визуальные ориентиры, на которые он опирается. Касательно сертификации в переводе есть параграф о том, что автор летал на разных типов самолётов, включая авиалайнеры. Хотя я, конечно, свечку не держал.

                                        Фраза о предохранителях, как вы видите, написана комментаторами к оригинальной статье, а не автором. «Выдернуть предохранитель», вероятно, надо понимать не как буквальное действие, а как «выключить предохранитель». Если интересно, то на stackoverflow есть подробный ответ о том, насколько не очевидно отключается MCAS.

                                        Диванная аналитика тут, конечно, не при чём. Эксперт автор или нет, он поднимает вопрос о том, что недостаточный контроль качества ПО и отсутствие понимание особенностей отрасли разработчика, к сожалению, приводит к таким печальным последствиям.
                                          0
                                          у пилота есть не только приборы, но и визуальные ориентиры, на которые он опирается

                                          Очень интересно узнать, какие есть визуальные ориентиры в облаках или выше FL180.


                                          на stackoverflow есть подробный ответ о том, насколько не очевидно отключается MCAS

                                          Который вы, очевидно, невнимательно прочитали, поскольку отключить автоматику стабилизатора можно с помощью тумблера около колеса управления этим стабилизатором, что там и написано.


                                          недостаточный контроль качества ПО

                                          Каким образом контроль качества ПО относится к неудачным решениям по резервированию датчиков и алгоритмам работы MCAS? Тут претензии скорее к тем, кто писал спеки, а это явно не программисты.


                                          в переводе есть параграф о том, что автор летал на разных типов самолётов, включая авиалайнеры

                                          Написано, что у него есть Цессна и он летал на лайнере в симуляторе. Я сам на SR-71 и Concorde летал (в симуляторе)

                                            0
                                            Если интересно, то на stackoverflow есть подробный ответ о том, насколько не очевидно отключается MCAS.

                                            Честно говоря, там ответ некорректный.

                                            1) «не очевидно»???? У пилота нет задачи отключить MCAS. У пилота есть задача парировать отказ. Runaway stabilizier — это то самое. И есть Memory items о том, что нужно делать. Это не просто не «не очевидно», это должно от зубов отлетать.
                                            2) stab trim cutout — надежно успокаивает MCAS, залипшие контакты, сошедший с ума двигатель и т.д.
                                            3) Да, включение автопилота отрубает MCAS. Вот только по чек-листу, автопилот должен быть отключен до окончания полета. Равно как и auto throttle.

                                            Эксперт автор или нет, он поднимает вопрос о том, что недостаточный контроль качества ПО и отсутствие понимание особенностей отрасли разработчика, к сожалению, приводит к таким печальным последствиям.

                                            Меня удручает, что никто не поднимает вопросы об адекватной подготовке пилотов, которые в обоих катастрофах имели возможность безопасно приземлиться и выжить.
                                              0
                                              Лично моё мнение, я не пилот, не конструктор самолетов и не пишу код для самолетов, но: при любом нестандартном поведении самолета есть 2 варианта причины — отказ механики (тот же стабилизатор могло заклинить чисто механическим способом) или отказ электроники (команды не выполняются или выполняются неправильно). Так как Боинги строятся и преподносятся покупателям как самолеты, в которых сохраняется прямая механическая связь между пилотом и управляющими поверхностями, первое, что должно приходить в голову пилоту самолета, который начал вести себя не так как ожидается — отключить ВСЮ автоматику и лететь на руках. Это должно быть вбито в подкорку еще до того, как пилот сядет за штурвал настоящего самолета.
                                                0
                                                что должно приходить в голову пилоту самолета, который начал вести себя не так как ожидается — отключить ВСЮ автоматику и лететь на руках.

                                                Вы так говорите, как будто этого нет? ВСЮ автоматику управления стабилизатором можно отключить на любом боинге всего двумя тумблерами. Один — отключает управление от автопилота, второй — от всех остальных вмешательств.

                                                Это должно быть вбито в подкорку еще до того, как пилот сядет за штурвал настоящего самолета.

                                                Именно про это мои комментарии. По какой-то неведомой причине, это НЕ ВБИТО В ПОДКОРКУ ПИЛОТОВ.
                                                  0
                                                  У MAX несколько не так. У него любой из двух тумблеров отключает электропривод триммера полностью.
                                                    0
                                                    У MAX несколько не так. У него любой из двух тумблеров отключает электропривод триммера полностью.

                                                    Слышал что-то такое. Два тумблера оставили для обратной совместимости?
                                                +1
                                                Меня удручает, что никто не поднимает вопросы об адекватной подготовке пилотов, которые в обоих катастрофах имели возможность безопасно приземлиться и выжить.


                                                Ну смотрите:

                                                1. Боинг скрыл, фактически, существование системы MCAS, которая вела себя, как выяснилось, совсем не так, как триммирование в прежних поколениях 737, и даже не так, как декларировалось для MAX.

                                                2. Пилоты исходили из того, что ничего не поменялось (так им говорили во время «переучивания»), но сталкивались с незнакомыми им симптомами, причем на очень ранних стадиях полета. Чтобы отключить некую систему, надо с достаточной степенью уверенности предполагать, что это она. Для достаточной степени уверенности у них не было информации. Также у них не было запаса высоты, т.е. был высокий уровень стресса.

                                                3. Собственно говоря, одна из причин внедрения MCAS состояла в том, чтобы избежать необходимости адекватно готовить пилотов — их вообще готовить (переучивать) якобы не нужно было.

                                                Да, включение автопилота отрубает MCAS


                                                Кажется, нет. И выключение — тоже нет. Lion Air упал при включенном автопилоте.
                                                  –1
                                                  1. Боинг не скрывал наличие MCAS, она упоминается в документации на 737 MAX. Боинг не привёл описания её работы.
                                                  2. Пилотам не надо было отключать MCAS, это просто невозможно. Им надо было выполнить по памяти чеклист «Runaway Stabilizer», присутствующий ещё с моделей Classic.
                                                  И да, включение автопилота и/или выпуск закрылков не отключает MCAS, но приводит к тому, что MCAS перестаёт подавать команды на электромоторы триммеров. Это описано в разъяснении, которое Боинг разослал после первой катастрофы.
                                            +11
                                            Ни программисты, ни их начальники не знакомы с особенной культурой и нравами авиационного мира настолько, насколько люди, работающие на фабриках, склёпывающие крылья, разрабатывающие управляющие скобы и устанавливающие посадочные шасси в фюзеляж. Эти люди обладают общей „отраслевой“ памятью о том, что сработало в прошлом в авиации, а что пошло не так. Разработчики программного обеспечения — нет.

                                            Сегодня, в очередную годовщину Чернобыльской аварии, невольно приходит на ум грустная аналогия. Персонал для этой АЭС подготавливался не из атомщиков, а из энергетиков, и не обладал той самой «отраслевой» памятью. Соответственно, реактор воспринимался ими не как дальний родственник атомной бомбы, а как паровой котел с экзотическим способом нагрева. Что, в свою очередь, отразилось и на поведении операторов станции в ту роковую ночь, и на принятых решениях.
                                              +2
                                              Ну сколько можно… Не валите всё на людей, хотя это проще всего, мертвые за себя постоять не могут. Нет уже никого в живых из той смены. Ну не должен реактор был так себя вести по имеющимся тогда представлениям. Им просто не повезло открыть новый режим работы реактора.

                                              Читаем в «ЧЕРНОБЫЛЬСКАЯ АВАРИЯ: ДОПОЛНЕНИЕ К INSAG-1INSAG-7 Доклад Международной консультативной группы по ядерной безопасности. Напечатано МАГАТЭ в Австрии Октябрь 1993»
                                              www-pub.iaea.org/mtcd/publications/pdf/pub913r_web.pdf

                                              " (2) В настоящее время представляется, что авария явилась след-ствием совпадения следующих основных факторов: специфических физических характеристик реактора; специфических особенностей конструкции органов управления реактором; и того факта, что реак-тор был выведен в состояние, не оговоренное регламентом и неисследованное независимым органом по вопросам безопасности. Наиболее важным представляется то, что именно физические харак-теристики реактора обусловили его неустойчивое поведение."
                                                +1
                                                После длительной работы реактора на половинной мощности и затем «провала» до нуля неизбежно должно было начаться ксеноновое отравление активной зоны с очень неприятными последствиями (т.наз. йодная яма). Это состояние было тогда прекрасно известно, и именно из-за непредсказуемости дальнейшего поведения реактора в регламенте запрещалось разгонять его сразу же после потери им мощности — требовалось подождать сутки или более.

                                                Вот это и есть «состояние, не оговоренное регламентом». Если бы операторы последовали регламенту и не начали пытаться заново «раскочегарить» реактор, не нарвались бы и на неисследованный режим работы. Правда, это означало бы срыв испытаний, очередной срыв сроков и соответствующие оргвыводы…
                                                  0
                                                  Напомню, что ВСЕ реакторы данной кострукции после аварии переделывали, дабы изменить " физические харак-теристики реактора", что говорит о том что проблема нешуточной была. А насчет разгона из йодной ямы — про прямой запрет не слышал. Другое дело что это в голову никому до этого не приходило.
                                                  А работа смены, в общем, прекрасный пример к чему приводят наказания за ошибки. Не за нарушения, а именно за ошибки. Если бы смена не боялась оргвыводов, то спокойно остановила бы реактор, как и пологалось (Safety First!). А после написала бы отчёт о случившимися. А дальше уже руководство думало как не допустить этого снова: то-ли тренировать, то-ли что-то в конструкции переделывать. Как и принято по современным понятиям о руководстве. Человек не машина — ошибался и будет ошибаться. А смене-бы ешё и спасибо сказали.
                                                  Но в те времена основной способ недопущения снова — отиметь и запугать подчинённого до заикания. Чего дежурная смена всячески пыталась избежать.
                                                    0
                                                    В этом и заключается прямое влияние другой «отраслевой» памяти у специалистов из МинЭнерго. В противовес этому, у атомщиков был негласно принят следующий принцип. Пусть оператору ПОКАЗАЛОСЬ, что реактор ведет себя как-то не так, и он немедленно заглушил этот реактор. Так вот, за это оператору не будет НИКАКОГО наказания, даже на словах. Корпоративная среда, как-никак: первые кадры для АЭС готовили те же люди, которые создавали атомную бомбу.

                                                    К сожалению, влияние иной корпоративной культуры этим не исчерпывается. План проводившихся испытаний, похоже, не показывали никому, кроме самих энергетиков. Ну в самом деле: какого <вырезано> для имитации нагрузки при выбеге генератора к нему были подключены именно главные циркуляционные насосы реактора?!!! Неужели нельзя было найти другую эквивалентную нагрузку, не связанную с ядерными процессами?

                                                    А дальше… дальше уже всё было предопределено теми самыми особенностями конструкции. Когда генератор начал снижать обороты, замедлится поток воды от ГЦН и усилилось парообразование в активной зоне. За счет положительного парового коэффициента реактор начал саморазгоняться. Заглушить его можно было только вернув активную зону все управляющие стержни, которые операторы подняли за несколько минут до этого, в попытке разогнать реактор с имевшимся ксеноновым «отравлением». И тут уже сработала другая особенность конструкции: вытеснители под управляющими стержнями…

                                                    Ну и напоследок: сразу после аварии в СССР в регламенте операторов АЭС ужесточитили запрет на «разгон» — стали требовать глушить реактор даже после значительного снижения мощности реактора по каким-либо причинам (информация на осень 1986). Так сказать, усилили бдительность. Разумеется, операторам сразу же стало намного труднее работать.
                                                      0
                                                      насчет разгона из йодной ямы — про прямой запрет не слышал.

                                                      По моему это было в регламенте. После попадания в йодную яму ИМХО коэффициент реактивности становится таким, что реактором становится невозможно управлять.
                                                +6

                                                На самом деле, многое из статьи знакомо, особенно использование типа устройства, разработанного 15 лет назад, чтобы избежать сертификации типа. Так делают все, с недавнего времени сертификатчики стали требовать пересертификации прибора, если изменяется версия ПО, но и тут компании идут на хитрости и скажем, говорят, что мажорная версия ПО не поменялась, а минорные изменения не влияют на надежность, либо вообще не меняют версию ПО, показываему пользователю, а для себя хранят реальную… В общем Боинг тут делает, как все и проблема эта системная.

                                                  +1

                                                  Вот вот вот, и мне знакомо, как по прошлой моей отрасли, так и по нынешней. Чего только не придумывают, ещё и самих разработчиков заставляют придумывать. Не в целях круговой поруки слава Богу, а просто потому, что собственной фантазии не всегда хватает на непротиворечивые легенды.


                                                  Только общественный контроль и неотвратимость наказания для топ-менеджмента (а не для слесарей, как это у нас бывает), ничто иное не поможет.

                                                    +2
                                                    А как вы себе представляете «общественный» контроль над самолетостроением? Вот лично я, ревьювить чертежи и код боинга, как-то не очень готов. Да и тестить «на проде» не особо тянет.
                                                      0
                                                      Общественный контроль может состоять в том числе и в том, о чем вы написали. Поверьте, достаточно большое количество людей готовы бросить взгляд, а зачастую уже от брошенного взгляда волосы на голове шевелятся. Но вообще общественный контроль должен быть не за этим, а за тем, как принимаются решения — за постоянными компромиссами. Сейчас если кто-то из отрасли о чем-то даже и знает, и даже не боится сказать, то по крайней мере говорить ему бесполезно — никто не будет его слушать.
                                                –5

                                                Просто в программисты теперь идёт чуть ли не домохозяйка. Результаты получаются соответсвенно.

                                                  +4
                                                  Тут дело совсем не в программистах.
                                                    0
                                                    Тут дело в том, что конкуренция и снижение себестоимости загоняет компании в угол. Можно рискнуть и снизить издержки и если пронесет снять сливки, если не пронесет, то потеряете рынок. Если же не рисковать, то рынок потеряете в любом случае. Программисты часть этого звена, но точно такая же как и механики и все остальные.
                                                    В данном случае, просто не пронесло…
                                                      0

                                                      Домохозяйки негодуют.

                                                      0
                                                      А я писал, что американский Боинг это треш-контора, типа российских заводов в 90ые
                                                        0
                                                        В США дело не только в Боинге, контролирующие государственные системы, судя по статье, также участвовали в системном сбое.
                                                        Да, системное поведение напоминает развал СССР, похоже крах Империй имеет общие признаки. Берегите себя, выбирайте траектории перемещения подальше от рушащихся колоссов.
                                                          0

                                                          Почему все ищут какой-то сговор Боинга с FAA, но забывают, что MAX был также одобрен европейскими, китайскими и всеми остальными контролирующими органами?

                                                            0
                                                            Потому что FAA может заставить делать Боинг практически всё, полномочия у неё широки, а например, китайцам исходный код никто не даст смотреть, придётся верить на слово.
                                                              0

                                                              Другие агентства всегда могут отказать в сертификации, в случае чего. Кроме того существование MCAS никто не скрывал.

                                                            –2
                                                            Да везде есть гавенные компании. тот же микрософт, например — жутчайший треш
                                                              –1
                                                              если что — я там работал
                                                          –4
                                                          Статья про код и ни слова про элементарные юнит-тесты, которые в этой отрасли должны покрывать 100% строк кода.

                                                          Похоже програмисты пришли из авиационной промышленности и не получили элементарных знаний по культуре написания современного кода.
                                                            +1
                                                            Один раз попал на некий проект — авто медиа система для одной очень важной немецкой конторки которая эту систему перепродавала одному очень большому немецкому производителю.

                                                            И втихаря разработку аутсорсила в одну бывшую страну союза (что было запрещено разглашать).

                                                            Все «вроде» по взрослому, система анализа требований, куча аналитиков, юнит тесты, MISRA C++ но как же я не завидую тем элитным покупателям авто с этой системой.

                                                            Если за месяц один билд был без ошибок — невероятное чудо! Внутрь вообще лучше не заглядывать, зоопарк Великих Создателей и Я-Художников постарался на славу.

                                                            И так везде…

                                                            Сейчас продукты делают не инженеры, а Маркетологи и Творческие Личности которые никогда не поймут что такое тех процесс, допуски, контроль качества и ответственность их нулевая.

                                                            А современные средства разработки не имеют возможности гарантировать качество и посадить обезьяну за баранку :)
                                                              +1

                                                              После треша с фальсификацией данных по выбросам дизелей VW вроде бы ясно, что «немецкое авто» — это просто бренд для недалёких бизнесменов из Восточной Европы и Азии.

                                                              0
                                                              Статья про то, как все тесты прошли, однако товар был зафейлен:
                                                              Когда новые технологии важнее основ: почему «сгибаемый» Samsung Galaxy Fold оказался провалом
                                                                0
                                                                Почему же «все» тесты. Там как раз и пишут, что самый главный тест — эксплуатация в реальных, а не стерильных, условиях — судя по всему и не проводился.
                                                                  0
                                                                  Все, которые посчитали достаточными для выпуска модели на рынок. Никакие тесты, к сожалению, не являются достаточными. Жизнь всегда богаче тестов (карта — не территория). Даже покрыв 100% кода тестами нет 100% гарантии что что-то пойдет не так. Зато можно пребывать (в преступной) самонадеянности.
                                                                    0
                                                                    Даже покрыв 100% кода тестами нет 100% гарантии что что-то пойдет не так.

                                                                    Помню пример с проекта — разработчики покрыли 100% новой фичи юнит-тестами. У них все отрабатывает нормально. Затем запускаются GUI-тесты и на одном из них падает. Причем действия вроде бы те же самые, а падает. Когда разобрались — выяснилось вот что — юнит-тесты дергали функции фреймворка и логики напрямую, и поэтому у них все нормально было, а при клике через веб-драйвер — фреймворк между двумя определенными функциями еще запускал дополнительно свой обработчик, на котором все и падало.
                                                                      0
                                                                      «Не все тесты одинаково полезны». «Достаточность» тех или иных тестов — разная.
                                                                –1
                                                                К сожалению, текущая версия MCAS лишает его этого права. Она отбирает у пилотов возможность реагировать на то, чтобы они видят собственными глазами.

                                                                Опять двадцать пять! Пилоты по прежнему имеют приоритет в управлении. И по прежнему могут щелчком тумблера избавиться хоть от MCAS, хоть от чего угодно еще (залипшего контакта и т.д.). Более того, после двух катастроф, есть простой алгоритм обхода проблемы — достаточно выпустить закрылки и MCAS успокоится.
                                                                Но нет, опять начали дрюкать боинг, который итак признал свой косяк и работает над его устранением, но опять ни слова про авиакомпании, по вине которых экипаж, видимо, недостаточно подготовлен к действиям в нештатных ситуациях.
                                                                  +3
                                                                  Боинг больно бьют за то что он ВТИХАРЯ изменил критический алгоритм управления самолётом.
                                                                  Лётчики, теоретически, должны были воспринять работу системы как поломку оборудования и выполнить стандартную процедуру. И некоторые экипажи так и делали. Но! Управление стабилизатором в ручном режиме очень медленно. И если MCAS уже загнал стабилизатор до упора на пикирование, то может тупо не хватить времени вернуть его в нейтраль.
                                                                    –2
                                                                    Боинг больно бьют за то что он ВТИХАРЯ изменил критический алгоритм управления самолётом.

                                                                    Справедливо бьют. Боинг накосячил.
                                                                    Но:
                                                                    1) ВТИХАРЯ — не совсем так. Упоминание системы есть в FCOM.
                                                                    2) MCAS — это не критический алгоритм. Это система предотвращения сваливания. Из-за особенностей движков.
                                                                    3) Отказ в двух катастрофах — это runaway stabilizier. И тут мы приходим к следующему:

                                                                    Лётчики, теоретически, должны были воспринять работу системы как поломку оборудования и выполнить стандартную процедуру.

                                                                    … И мне совершенно непонятно, почему все бьют ТОЛЬКО Боинг. Обоих катастроф могло не быть, если бы летчики были квалифицированными.

                                                                    Мне совершенно непонятно, почему никто не делает акцент про адекватную подготовку пилотов.

                                                                    И некоторые экипажи так и делали.

                                                                    Именно так и должны делать ВСЕ экипажи, а не некоторые. Кабина самолета — не место для дилетантов. А то у нас получаются еще и эйр татарстан и fly dubai.
                                                                    Вам ЭТО надо? Чтобы полет в самолете был полноценной русской рулеткой?

                                                                    Более того. «Некоторые» — это 60 экипажей. Отказ датчика угла атаки — штука не редкая. От летчиков слышал, что около 60 раз пилоты максов сталкивались с MCAS. Но мгновенно реагировали, отключали ее и спокойно летели дальше. Т.е. обычно все-таки пилоты — квалифицированные.

                                                                    И если MCAS уже загнал стабилизатор до упора на пикирование, то может тупо не хватить времени вернуть его в нейтраль.

                                                                    После индонезийской катастрофы Боинг всем операторам разослала письмо-предупреждение. Где исправила свой косяк подробного документирования MCAS.
                                                                    Что характерно, до Индонезийской катастрофы, даже без этого письма, пилоты спокойно справлялись с отказом.
                                                                    После катастрофы, Боинг уточнила действия на этот случай. У вас есть несколько вариантов, как победить MCAS и не угробить самолет.

                                                                    Если Эфиопские пилоты об этом НЕ ЗНАЛИ, то это — камень в огород пилотов и авиакомпании.

                                                                    В предварительном отчете есть запись, что до авиакомпании письмо боинга доведено.

                                                                    И если MCAS уже загнал стабилизатор до упора на пикирование, то может тупо не хватить времени вернуть его в нейтраль.

                                                                    … То это говорит только о том, что экипаж достаточно длительное время ковырялся в носу. Поскольку MCAS не перекладывает мгновенно стаб на пикирование.
                                                                      +2

                                                                      Вы все правильно говорите о квалификации пилотов, но если бы Боинг сделал изначально всё правильно, не допустимы грубейших ошибок при проектировании и при разработке ПО, то этого бы и не потребовалось. А то это как если бы ABS на машине не сработал, а обвиняли бы водителя, что он не умеет тормозить прерывисто, когда колеса заблокировались. Безусловно, это полезный навык, но система изначально работала неверно, что и привело к аварии.

                                                                        0
                                                                        А то это как если бы ABS на машине не сработал, а обвиняли бы водителя, что он не умеет тормозить прерывисто, когда колеса заблокировались.

                                                                        Отличный пример. И кого, по вашему будут обвинять в случае смертельного ДТП и отказа ABS? Именно водитель и будет виноват в такой ситуации. Да, ровно потому что не умел тормозить прерывисто.

                                                                        Безусловно, это полезный навык,

                                                                        Ненене. Это не полезный навык. Это — НЕОБХОДИМЫЙ навык. И я как раз про то, что пилотов нужно готовить более лучше. Лично я не хочу летать с экипажем, который ничем не отличается от неоптыной девочки оператора ПК.
                                                                        И система виновата тоже. Ну так ведь боинг после первой же катастрофы начал вносить изменения в систему. Вот только катастроф не должно было быть. Их можно было избежать.
                                                                          +1

                                                                          Умения тормозить прерывисто нет в списке обязательных навыков водителя: по логике ПДД водитель вообще не должен доводить до ситуации, когда этот навык понадобится.


                                                                          С боингом всё же не так всё. Там ситуация началась независимо от действий пилотов.


                                                                          Т.е. если приводить аналогию с автомобилем, то лучше вспомнить глюк электроусилителя на Приоре, когда он в кювет самостоятельно сворачивал

                                                                            0
                                                                            Умения тормозить прерывисто нет в списке обязательных навыков водителя: по логике ПДД водитель вообще не должен доводить до ситуации, когда этот навык понадобится.

                                                                            Способов оказания первой помощи, внезапно, тоже нет в ПДД. Однако, в КоАП есть статья за неоказание первой помощи.
                                                                            У вас знания умозрительные только? Представьте ситуацию. Вы едете свои законные 60км/ч. перед вами пешеходный переход. Слепая бабушка с клюшкой медленно и неторопливо переходит дорогу. А у вас отказывает ABS, а на дороге — гололед. В итоге вы сшибаете бабушку. Уверяю вас, свою двушечку вы получите. И суд мало будет волновать, что это не вы, а ABS.
                                                                            Кстати, на случай отказа ABS в авто есть лампочка. И если лампочка у вас горит. Значит тормозить вы будете прерывисто, а не так, как учит мануал. Или дома сидите, пока не почините датчик.

                                                                            С боингом всё же не так всё. Там ситуация началась независимо от действий пилотов.

                                                                            Не вижу отличий. Вопрос не в том, по чьей вине возникла аварийная ситуация. Вопрос в том — можно было ее парировать или нет. И пока я не вижу доказательств тому, что нельзя было.

                                                                            Т.е. если приводить аналогию с автомобилем, то лучше вспомнить глюк электроусилителя на Приоре, когда он в кювет самостоятельно сворачивал

                                                                            Да вот не также. Водитель на скорости 160 физически не мог парировать отказ ЭУРа. Более того, у него нет аварийного тумблера, отключающего на фиг ЭУР. А даже если бы и был, то там как раз именно та ситуация, когда времени среагировать не хватило бы вообще никак. Пара секунд и все закончилось.
                                                                            Другое дело, что если бы водитель не нарушал ПДД и ехал бы свои 90км/ч, то, возможно, у него было бы время на то, чтобы вдарить по тормозам. А возможно, от резкого нырка в кювет на скорости 90км/ч и были шансы выжить… Но это все неточно.

                                                                            У пилотов времени на принятие решений было намного больше.
                                                                              +1
                                                                              Э-э-э, что это было?

                                                                              Способов оказания первой помощи, внезапно, тоже нет в ПДД

                                                                              Внезапно есть в обязательной программе подготовки водителей и в билетах на права и есть требование в ПДД.

                                                                              У вас знания умозрительные только?

                                                                              12 лет вождения мотоцикл/авто

                                                                              А у вас отказывает ABS, а на дороге — гололед. В итоге вы сшибаете бабушку. Уверяю вас, свою двушечку вы получите.

                                                                              Уверяю вас — необязательно. Сосед сбил (вообще та ещё сволочь — но без «связей») — только лечение оплачивал (ибо безусловно). Признали что не имел возможности остановится.

                                                                              Вопрос не в том, по чьей вине возникла аварийная ситуация.

                                                                              Именно в этом.

                                                                              Водитель на скорости 160 физически не мог парировать отказ ЭУРа.

                                                                              На 80 км/ч ЭУР отключается совсем. А так он легко перебарывается — сам лично владел такой Приорой.

                                                                              Более того, у него нет аварийного тумблера, отключающего на фиг ЭУР.
                                                                              Есть предохранитель. Я его лично вытаскивал, чтобы отключить ЭУР нафиг. Есть замок зажигания — вырубает вообще всё.

                                                                                0
                                                                                Внезапно есть в обязательной программе подготовки водителей и в билетах на права и есть требование в ПДД.

                                                                                Верно. Но в ПДД-то нет :) Тоже самое и с ездой в гололед. Тоже самое и с МКПП/АКПП. В ПДД — нет, а навык, оказывается нужен.

                                                                                Уверяю вас — необязательно. Сосед сбил (вообще та ещё сволочь — но без «связей») — только лечение оплачивал (ибо безусловно). Признали что не имел возможности остановится.

                                                                                На переходе???

                                                                                Именно в этом.

                                                                                В контексте расследования АВИАКАТАСТРОФЫ — цель не наказать виновных, а ПРЕДОТВРАТИТЬ такое в будущем. Акценты разные немного.

                                                                                На 80 км/ч ЭУР отключается совсем. А так он легко перебарывается — сам лично владел такой Приорой.

                                                                                В НОРМАЛЬНЫХ условиях. Но история про то, что у ЭУРа сорвало крышу.
                                                                                Почему водитель не смог его перебороть — не знаю.

                                                                                Есть предохранитель. Я его лично вытаскивал, чтобы отключить ЭУР нафиг.

                                                                                Находится за крышкой, сбоку от двери? Во время езды такой не вытащишь.

                                                                                Есть замок зажигания — вырубает вообще всё.

                                                                                А заодно блокирует руль. Прекрасная альтернатива полету в кювет :)

                                                                                Я про аналогии. В боинге есть процедуры на случай отказов. И они весьма разнообразны. В авто на случай отказов одна единственная процедура — остановиться на фиг.
                                                                                  0
                                                                                  Верно. Но в ПДД-то нет :) Тоже самое и с ездой в гололед. Тоже самое и с МКПП/АКПП. В ПДД — нет, а навык, оказывается нужен.

                                                                                  В ПДД есть требование к водителю, выбирать скорость движения в соответствии с обстановкой.
                                                                                    0
                                                                                    В ПДД есть требование к водителю, выбирать скорость движения в соответствии с обстановкой.

                                                                                    Итак, если ABS отказала и водитель не справился с управлением и совершил ДТП, то виноват именно он, поскольку не выбрал скорость движения в соответствии с обстановкой. Что и требовалось доказать.

                                                                                    С боингом ситуация примерно та же. Пока аварийную ситуацию возможно парировать — ее нужно парировать. Это не пожелание к экипажу, а ТРЕБОВАНИЕ. Обе катастрофы можно было предотвратить. А боинг — виноват в разработке кривой системы.
                                                                                    +1
                                                                                    Но в ПДД-то нет

                                                                                    п 2.5 §2

                                                                                    На переходе???

                                                                                    Да. После ледяного дождя: человек не успел пробежать — упал, сосед не успел затормозить.

                                                                                    цель не наказать виновных, а ПРЕДОТВРАТИТЬ

                                                                                    А наказывают у нас чисто из садизма?

                                                                                    А заодно блокирует руль

                                                                                    Вы вообще в какой вселенной живёте? Пока ключ вставлен руль не блокируется

                                                                                    В авто на случай отказов одна единственная процедура — остановиться на фиг

                                                                                    Особенно хорошо работает на ж/д переезде…

                                                                                    Вы уж давайте к нам, в нашу реальность полностью пролазьте, нечего меж вселенных висеть!
                                                                                      0
                                                                                      п 2.5 §2

                                                                                      И если почитать, то там написано про обязанность оказать первую помощь, но не написано, как именно эта помощь оказывается. Что не отменяет того, что водитель должен это знать и уметь.

                                                                                      Да. После ледяного дождя: человек не успел пробежать — упал, сосед не успел затормозить.

                                                                                      Таки ABS отказала в этой ситуации? Или ABS — работала, а машина продолжала ехать?

                                                                                      Вы вообще в какой вселенной живёте? Пока ключ вставлен руль не блокируется

                                                                                      В вашей живу, в вашей. Прекрасно блокируется. Чтобы не блокировался — нужно ключ в положение 2 провернуть. А там уже кое-что да запитано.

                                                                                      Особенно хорошо работает на ж/д переезде…

                                                                                      О чем мы спорим? У вас в авто есть аварийный чек-лист на видном месте? А пилоты 2 раза в год тренажер проходят + у них есть QRH всегда с собой + memory items в памяти нужно держать.
                                                                              0
                                                                              Если к ДТП приведёт не действие или бездействие водителя, то обвинять будут производителя, по вине которого неправильно сработала тормозная система. В случае наличия в машине ABS, в инструкции подчёркивается, что тормозное усилие надо держать постоянно и максимально большим, к примеру.

                                                                              Пилоты, ВЕРОЯТНО, могли бы отреагировать лучше, быстрее, быть сильнее, чтобы справиться с гидравликой, и тому подобное, не первопричина аварии — в ПО и в конструкции, а не в лётчиках.
                                                                                0
                                                                                Если к ДТП приведёт не действие или бездействие водителя, то обвинять будут производителя, по вине которого неправильно сработала тормозная система.

                                                                                Вы это на практике проверяли, или вы — так думаете?
                                                                                Суд не будет волновать, что вы задавили кого-то из-за того, что у вас, внезапно, ABS отказал. Вы получите срок, а суд учтет, что ДТП было не преднамеренным. Поэтому срок будет относительно небольшим. Двушечка, к примеру.
                                                                                К тому же, на машинах с ABS есть лампочка, которая горит при отказе ABS. Если у вас эта лампочка горит, то тормозить вы будете прерывисто. или не будете садиться за руль. Или будете сидеть за ДТП.

                                                                                не первопричина аварии — в ПО и в конструкции, а не в лётчиках.

                                                                                Никто не снимает ответственности с Боинга. Боинг безусловно накосячил и должен понести ответственность. Но если бы летчики были более квалифицированными, они были бы живыми.
                                                                                Здесь две виноватых стороны: боинг и пилоты. Почему вы стремитесь снять ответственность с пилотов? Они себя сами наказали. Но ведь расследование направлено не на наказание виновных, а на предотвращение катастроф в будущем. Ваша позиция (если к ней прислушаются ЛПР) с неизбежностью приведет к понижению квалификации экипажей и увеличению частоты катастроф. Вам это надо?
                                                                            0
                                                                            Вы владеете цифрами касательно того сколько времени было у пилотов на оценку опасной ситуации и реакцию в одном и втором случае?
                                                                              +2
                                                                              По индонезийцам графики самописцев уже опубликовали. Больше шести минут они пытались бороться с MCAS откатывая триммер кнопками на штурвале.
                                                                              PK-LQP
                                                                              image
                                                                                0
                                                                                Спасибо, очень интересно. И если у экипажа есть тумблер, отключающий это систему не все выглядит так уж необратимо. Правда, надо еще догадаться что глючит именно она и знать где этот тумблер.
                                                                                  +1
                                                                                  Не важно, глюк ли это MCAS, или просто таракан на контакты попал. Ситуация с самопроизвольной перекладкой стабилизатора это условие применения чеклиста «Runaway Stabilizer». Этот чеклист применяется «по памяти», то есть пилоты должны знать его наизусть. Он содержит, в том числе, и отключение электромоторов триммера.
                                                                                    0
                                                                                    Судя по графику, перед тем как уйти в пикирование, что то сломалось окончательно. Даже есть короткие периоды бездействия системы если линейка не кривая. Но смысл еще в том, что прежде чем обвинять пилотов с нескольких аккаунтов, лучше посмотрите на себя.
                                                                                    Мне вот больше интересно, почему, успешно выравнивая самолёт, под конец настало фиаско? Хотя штурвалы тянули пока не повисли на ремнях.
                                                                                      0
                                                                                      Судя по графику, пилоты перестали корректировать триммер. Если первые пять минут верхний график показывает достаточно долгие нажатия на кнопку триммера на штурвале, то в последнюю минуту нажатия были очень короткие. Соответственно, стабилизатор не успевал возвращаться в нужное положение. MCAS же активировался через пять секунд после отпускания кнопки и продолжал переставлять стабилизатор на пикирование.
                                                                                      Но смысл еще в том, что прежде чем обвинять пилотов с нескольких аккаунтов, лучше посмотрите на себя.
                                                                                      Никогда мультиаккаунтов не заводил и не собираюсь. И зачем мне смотреть на себя? Что я там, по вашему, должен увидеть?
                                                                                        +1
                                                                                        Первые пять минут рулил КВС, последнюю — 2П. А КВС читал доки.
                                                                                        Вероятно забыл сказать что нужно не просто останавливать, а ещё и откручивать назад.
                                                                                        +1
                                                                                        Дело в том, что там есть ещё одна система, которая просто нагружает штурвал вперёд. Т.е. с точки зрения пилотов — что жмут они на триммер, что не жмут — ничего не меняется.
                                                                                        Они могли прийти к выводу, что проблема вообще не в системе триммирования, а, например, в сбитой центровке или заклинивших поверхностях.
                                                                                          0
                                                                                          Они могли прийти к выводу, что проблема вообще не в системе триммирования, а, например, в сбитой центровке или заклинивших поверхностях.

                                                                                          Странное предположение:
                                                                                          1) У них горит транспарант IAS disagree.
                                                                                          2) Боинг выслала письмо с указанием возможных последствий отказа датчика угла атаки с перечислением всех эффектов
                                                                                          3) колесо связано со стабом механически. Если бы стаб заклинил, колесо бы не вращалось. А оно вращалось.
                                                                                            +2

                                                                                            1) IAS — не AoA.


                                                                                            2) Ну выслало, да. Но пилотам-то нужно решить обратную задачу: по комплексу проблем, понять что именно сбоит. И готового решения этой задачи им никто не давал. А, например, когда я проезжаю, круговой перекрёсток, я 6 на 6 правильно умножить не могу (вот буквально по пути на работу было) — не хватает "вычислительной мощности"


                                                                                            3) Стаб — это не рули высоты. Да и нарушение центровки (например весь багаж свалился в нос) это не отменяет.

                                                                                              0
                                                                                              IAS — не AoA.

                                                                                              И что? У вас показания скорости гарантированно недостоверные. А это может означать, в том числе и отказ датчика угла атаки.

                                                                                              Ну выслало, да. Но пилотам-то нужно решить обратную задачу: по комплексу проблем, понять что именно сбоит. И готового решения этой задачи им никто не давал.

                                                                                              Именно, что давал. По итогам катастрофы в индонезии:
                                                                                              1) Боинг пошел исправлять косяк в MCAS
                                                                                              2) разослал ГОТОВОЕ РЕШЕНИЕ с описанием симптомов
                                                                                              Либо невнимательно читали, либо забили, либо забыли. Но, несерьезно. Два раза туда-обратно успели стаб переставить. Только после этого догадались, что что-то происходит.

                                                                                              А, например, когда я проезжаю, круговой перекрёсток, я 6 на 6 правильно умножить не могу (вот буквально по пути на работу было) — не хватает «вычислительной мощности»

                                                                                              Возможно, это одна из причин, почему вы — не пилот. Пилоты проходят строгий отбор. Это не для того, чтобы от балды кандидатов поотсеивать. Это как раз на случай аварийных ситуаций. Но, видимо, в эфиопии/индонезии с отсевом кандидатов все очень плохо обстоит.

                                                                                              Да и нарушение центровки (например весь багаж свалился в нос) это не отменяет.

                                                                                              Это к чему вообще?
                                                                                              1) экипаж знал, что стаб не заклинило. Они с MCAS его два раза туда-сюда покрутить успели.
                                                                                              2) при чем тут центровка? Пилоты видят и слышат, как стаб убегает.
                                                                                              0
                                                                                              Письмо читали перед второй аварией, там честно выключили.
                                                                                              И колесо у них вращалось только в одну сторону.
                                                                                                0
                                                                                                там честно выключили.

                                                                                                1) перед этим прогнав пару раз стаб туда и обратно, т.е. потеряли время + вымотались. А MCAS при этом не устала.
                                                                                                2) выключили после того, как MCAS увела стаб в пикирование. А по письму надо было сперва оттриммировать самолет как положено, после этого отключать.

                                                                                                И колесо у них вращалось только в одну сторону.

                                                                                                С чего вы взяли?
                                                                                                  0
                                                                                                  С чего вы взяли?
                                                                                                  По графику видно, что пока было выключено — колесо было откручено примерно на один оборот. Но не в ту сторону.
                                                                                                  Т.е. в кабине пытались его крутить. И в одну сторону оно крутится свободно, а в другую — надо преодолевать нагрузку на стабилизатор примерно в 5 тонн. Что пилоты должны были подумать?
                                                                                              0
                                                                                              >Они могли прийти к выводу, что проблема вообще не в системе триммирования,

                                                                                              Если никто не давит на кнопку триммирования, автопилот выключен, а колесо триммера самопроизвольно вращается, нагружая штурвал вместо помощи — это и есть ситуация runaway stabilizer. Это опасная ситуация, и пилотов учат действовать по порядку: сначала отключать триммер, пилотировать самолёт, и только потом уже разбираться в причинах, а не наоборот.
                                                                                                0
                                                                                                Тут вообще надо увидеть что оно крутится, на первом самолёте в предшествующем рейсе это только пассажир заметил, а не пилоты.
                                                                                                  0
                                                                                                  Вы посмотрели видео, которое я запостил в другом комменте, на который вы тоже отвечали? Не увидеть, что оно крутится может только слепой или глухой. На колесе триммирования белая метка нарисована, и оно громко шумит. Даже если пилот не видит, что у него крутится триммер — он это почувствует по изменению усилия на штурвале. Если они и этого не замечает — значит либо в кабине бардак (отвлёкся, ведёт лишние разговоры, ребёнка посадил за штурвал и т.п), либо пилот усталый/невыспавшийся/пьяный, либо он профнепригоден.
                                                                                                    0
                                                                                                    Да, смотрел — но оно снято совсем не с той точки с которой смотрит пилот, это колесо для него получается где-то под локтём, а смотрит он на экраны на пульте.
                                                                                                    И в полёте оно крутится постоянно — т.е. это привычный шум, который в стрессовой ситуации игнорируется.
                                                                                                    Т.е. пилот чувствует усилие на штурвале, снимает его триммером — но никак не может врубится что за фигня, это не RunAway, управляется же…
                                                                                                      0
                                                                                                      Пилот смотрит во все стороны, а не только на экраны. И крутится это колесо не постоянно, а лишь когда пилот кнопку на штурвале нажимает (либо когда автопилот работает, но он был отключен). Если же крутится, когда кнопка не нажата и автопилот не включен — то это он самый, runaway.
                                                                                                        0
                                                                                                        Я имел в виду — в нормальном полёте крутится. Т.е. привычно.
                                                                                                        И не так уж громко оно щёлкает.
                                                                                        0
                                                                                        По второй графики тоже уже есть
                                                                                        +1
                                                                                        Вы владеете цифрами касательно того сколько времени было у пилотов на оценку опасной ситуации и реакцию в одном и втором случае?

                                                                                        Про индонезию вам написали. В Эфиопии было чуть больше трех минут. При этом, 2 раза пилоты отматывали стаб на место с триммера. Еще один раз — не смогли. После чего догадались отключить электропривод стабилизатора… А дальше что-то непонятное. Второй пилот доложил командиру, что колесом самолет не триммируется. Не знаю, что бы это могло значить, но очень похоже на то, что они просто не в курсе того, что нужно было делать.
                                                                                          +1
                                                                                          Вполне может быть, что он просто не смог повернуть колесо вручную. На большой скорости и сильно отклонённом стабилизаторе нужно приложить очень большое усилие для вращения.
                                                                                            0
                                                                                            Вполне может быть, что он просто не смог повернуть колесо вручную. На большой скорости и сильно отклонённом стабилизаторе нужно приложить очень большое усилие для вращения.

                                                                                            Возможно. Но судя по всему он не очень-то и пытался. Было два эпизода, когда командир спрашивал у второго пилота, что там с колесом. Оба раза ответ — не управляется. Либо он все это время пытался пересилить колесо. Либо попробовал покрутить, не заметил эффекта и плюнул на это дело. В любом случае, до такого состояния просто не следовало доводить. Даже с косячной MCAS.
                                                                                        +1
                                                                                        Упоминание названия системы было до аварии в одном месте документации — пречне имеющихся систем на самолёте. НИГДЕ не было описано что это за система, алгоритм работы и как её отключить. Только после аварии изготовитель разослал описание её работы.
                                                                                        Про квалификацию пилотов спора нет, я это и написал.
                                                                                        Тут есть еще один нюанс. Боинг уверен что при перекладывании стабилизатрора в крайнее положение пикирования, рулей высоты достаточно для вывода самолёта в горизонтальный полёт, невзирая на стабилизатор. Летчики, кому на тренажёре это сделать НЕ удавалось — известны. А вот те кому удалось, пока в интернете неизвестны.
                                                                                          0
                                                                                          НИГДЕ не было описано что это за система, алгоритм работы

                                                                                          Да, боинг — знатные поросята. Очень хорошо накосячили.

                                                                                          и как её отключить.

                                                                                          А вот это как раз было. Т.е. косяк боинга — не фатальный. Но это все же косяк и боинг должен понести ответственность.

                                                                                          Только после аварии изготовитель разослал описание её работы.

                                                                                          Внимание, вопрос: почему после этого произошла вторая катастрофа? Теперь все было документировано, после первой катастрофы прошло мало времени. В памяти должно быть свежо. И тем не менее, в поведении экипажа была куча ошибок.

                                                                                          Тут есть еще один нюанс. Боинг уверен что при перекладывании стабилизатрора в крайнее положение пикирования, рулей высоты достаточно для вывода самолёта в горизонтальный полёт, невзирая на стабилизатор.

                                                                                          Об этом много писали. Да, это проблема. Но письмо боинга включает этот момент.
                                                                                        0
                                                                                        Но! Управление стабилизатором в ручном режиме очень медленно. И если MCAS уже загнал стабилизатор до упора на пикирование, то может тупо не хватить времени вернуть его в нейтраль.

                                                                                        Кнопки триммирования на штурвале имеют абсолютный приоритет над MCAS, и пилоты этими кнопками пользовались несколько минут, успешно раз за разом восстанавливая балансировку. После того как они отпускали кнопку, MCAS выжидал несколько секунд, и только после этого начинал опять перекладывать стабилизатор (причём не сразу до упора, а постепенно, в несколько небольших шагов). Пилотам достаточно было выставить стабилизатор в желаемое положение кнопками (как они уже не раз до этого сделали), после чего отключить моторы перекладки (стандартная процедура при любой неисправности механизма перекладки — хоть из-за MCAS, хоть из-за контактов в самих кнопках, хоть из-за неведомых барабашек). Тогда им не пришлось бы крутить маховики вручную из самого крайнего положения и тратить драгоценное время.


                                                                                        Но они, имея полный контроль над самолётом, не догадались этого сделать вовремя и правильно, и убили людей и себя. А собак за это вешают на Боинг и на систему, которая имела низший приоритет в системе управления. Это как оправдывать водителя в аварии тем, что пьяный друг в течении трёх минут убеждал его ехать по встречке и периодически тянул за рукав.


                                                                                        Как остановить убегающий стабилизатор (и MCAS)
                                                                                          0
                                                                                          Спасибо за видео. Всем интересующимся темой советую посмотреть его с начала — английский там довольно простой, зато все разложено по полочкам и есть отличные кадры, показывающие физическое устойство механизма управления стабилизатором.
                                                                                            +2
                                                                                            Собак на экипаж вешать бестолку — он погиб.
                                                                                            А его уровень квалификации соответствовал требуемому Боингом, иначе бы он не сдал экзамен.
                                                                                            Так что если уровень оказался недостаточным — виноват опять же Боинг
                                                                                              0
                                                                                              Эдак можно любую халатность и нерасторопность прикрыть: «Я экзамен сдал, значит если что — виноват инструктор: не научил, не рассмотрел вовремя».

                                                                                              Вина экипажа доказывается не для того, чтобы наказать мёртвых, а чтобы научить живых.
                                                                                                0
                                                                                                Боинг виноват дважды — накосячил как с самим конструированием, так и с обучением пилотов (в частности вообще не сказал им про наличие данной системы — и неизвестно что ещё)
                                                                                                Экзамен всё-таки должен проверять наличие необходимых знаний.
                                                                                                А пилоты виноваты разве что в безинициативности (не захотели изучить больше чем требовалось)

                                                                                                В подобных сферах, связанных с безопасностью сотен людей — «научить живых» нельзя оставлять на добрую волю обучаемого, оно должно быть регламентировано.
                                                                                                  0

                                                                                                  Пилоты могли сдать сертификационный экзамен на тип и благополучно забыть половину выученного. Для того, чтобы не забывали, в авиакомпаниях устраивают дополнительные тренировки пилотов для поддержания авыков — но это уже не вина Боинга, если авиакомпании эксплуатируют пилотов, не выделяя им достаточно времени на тренировку, полноценный отдых, и т.п.

                                                                                                    +2
                                                                                                    Если бы компании на самом деле не выделяли время — это бы вполне всплыло. Но нету, однако.
                                                                                          0
                                                                                          Мне порой кажется что это раздувание проблемы в СМИ происки конкурентов или падких СМИ. Самолёты падали до этого и после этого упадут. Тут важно какие выводы будут сделаны.
                                                                                          0
                                                                                          дубль
                                                                                            0
                                                                                            Новость дня: Инженеры Боинг открыли дублирование.

                                                                                            В следующих новостях: Инженеры Боинг открыли троирование. Инженеры Боинг открыли возможность построения кластера по надёжности. Инженеры Боинг приняли закон Ома.

                                                                                            Не надо решать проблемы, которые были давно решены индустрией.
                                                                                              0

                                                                                              Неужели проблема определения сбоящего сенсора уже решена индустрией? Троирование на Airbus тоже не всегда помогает.

                                                                                              +1
                                                                                              Отличная статья! И дело тут не в боинге, как частном случае. А, именно, как заметил автор статьи в безответственной технологии разработки ПО, которое стало стандартом уже десятки лет назад. И вот оно пробралось во все компоненты вокруг нас. Вот оно — истинное восстание машин.
                                                                                                0
                                                                                                Червю Моррисона в прошлом году 30 лет было. А эксплойт в виде переполнения буфера всё еще живее всех живых. Это не восстание машин, это «понабрали студентов по объявлению», причем студент при этом вполне может быть и senior developer, увы.
                                                                                                0

                                                                                                Довольно странная статья, насколько я знаю "Software Developer" в авиации пишут все по спецификации проверенной и одобренной авиационными специалистами. См. например https://habr.com/ru/post/144686/. То есть очень сомнительно, что разработчики ПО могли принять решение о том со скольких и каких датчиков получать данные, и как вообще эта вся система должна работать.

                                                                                                  0
                                                                                                  Проблема была не в количестве датчиков, а в том, что там в логике ошибка была — MCAS увеличивала воздействие до бесконечности. Да ещё и факт наличия такой критической системы скрыли от контролирующих органов и пилотов (точнее сильно принизили её возможность влияния на управление самолётом, и не указали, что система не отключаемая — фактически критическую систему выдали за вспомогательную).
                                                                                                  +1

                                                                                                  Хороший перевод, спасибо. Читал обе статьи.
                                                                                                  Категорически согласен, что все ПО релизится сырым. До версии х.1 вообще ставить противопоказано.

                                                                                                    –1
                                                                                                    О, майн год! Вот хочется тут действительно вопросить: «что за… я сейчас прочитал?!» Смешались в кучу кони, люди. Начиная уже с этого перла: «Я — пилот с 30-летним стажем и разработчик программного обеспечения c 40-летним». Чувак, тебе 90 лет? Но нет, он пишет, что в 1967 ему было 5 лет. Значит ты писал код в кабине самолёта, в перерыве между взлётами, посадками и хватаниями стюардесс за попки?! :)
                                                                                                    Далее, вот это перл: «Корпус летательного аппарата (само железо) должен работать изначально максимально предсказуемо, а не требовать дополнительных “прибамбасов”. Чувак, ты серъёзно?! Что такое ЭДСУ? Не, не слышал? А такие ЛА как Су-27, или Ан-124, видимо, с божьей помощью летают. Ничего так, что без как раз-таки “прибамбасов”, подобные ЛА просто навернутся, не успев от полосы оторваться?!
                                                                                                    Ну а этот бред сумасшедшего даже комментировать не хочется „В 737 Max одновременно активен лишь один из полётных компьютеров — либо на стороне основного, либо на стороне второго пилота. Активный компьютер получает данные только с тех датчиков, что установлены на его стороне самолёта.“
                                                                                                      0

                                                                                                      Справедливости ради, возможность прямого управления без компьютера сохраняется во всех гражданских самолётах, насколько мне известно.

                                                                                                        0
                                                                                                        Да какие у него там стюардессы на Цессне? Боинг, как он сам пишет, он только на симуляторе пилотировал. То есть, скорее всего, он не пилот-программист, а программист-пилот.
                                                                                                          –2
                                                                                                          Ну там много перлов, взять тот же «чем больше двигатель, тем он экономичнее на единицу мощности» — и сравнение поршневого ДВС с турбореактивным в этом разрезе. :)

                                                                                                          И дальше по тексту еще изрядно попадается — он приводит количественные отличия 737MAX от других, выдавая их за принципиальные, характерные только для этой модели, что на самом деле не так.

                                                                                                          Тем не менее, с его выводом я, скорее, соглашусь, нежели нет. Боинг, извините, охренел, и то, что его приведут в чувство — это хорошо. Плохо, что такой ценой.
                                                                                                          0
                                                                                                          Куча неточностей и просто ошибок. Особенно, относительно MCAS. Даже сама суть проблемы изложена не верно. Проблема была не в отсутствии резервирования, а в ошибке в логике функционирования системы и в том, что сам алгоритм работы MCAS был скрыт от пилотов и сертифицирующих/контролирующих органов.
                                                                                                          Куча воды, которая не относится к данному конкретному инциденту, зато не рассказано почему и как сложилась такая ситуация.
                                                                                                            +1
                                                                                                            Статья норм, воды и неточностей много. Резюме, КМК, одно: катастрофа произошла из-за оптимизации расходов. Точнее, из-за сокращения расходов. Кое-кто, вполне умышленно, осознавая риски (т.к. планер, по сути, изменился, изменилась центровка и поведение), убедил контролирующие органы в том, что планер остался прежним. По сути, кто-то решил обойти процедуру сертификации, понадеялся на инженеров.
                                                                                                            Результат нужно запомнить всем, кто так или иначе связан с разработкой устройств, в которых важна безопасность.
                                                                                                              +1
                                                                                                              Про самолеты ничего не скажу. Но про дизель вы что-то не то… У вас причины и следствия немножко напутаны.
                                                                                                              Смысл в том, что дизельный двигатель — это необходимость. И заключается она вовсе не в том, что вы описываете. Хотя я могу и ошибаться. Смысл в том, что бензиновый поршень примерно более 10 см совсем не эффективный. Вот не получается наращивать диаметр поршня бензинового двигателя бесконечно. Вы кстати не задумывались, почему нет огромных бензиновых двигателей? И отсюда и только отсюда и лезет дизельный двигатель. Так что дизель — это всего лишь иное решение, взамен которому просто нет. Была бы воля инженеров — они бы с радостью запилили огромный бензиновый двигатель, и понатыкали его везде, хоть в судно хоть в тепловоз, ибо он проще, но… Не получится…
                                                                                                              И смею предположить, что тип поршневого авиационного двигателя ровно так же зависит прежде всего от топлива, и выбор совсем не богатый…
                                                                                                                –1
                                                                                                                С дизельным двигателем, как и с бензиновым, у меня все нормально. Я специально комментарий потер, чтобы не занудничать, т.к. статья не про него. Дизель эффективен тем, что дизельное топливо дешевле, не требует системы зажигания — ДТ самовоспламеняется под давлением. ДТ менее взрывоопасно, в отличие от бензина. Думаю, ДТ менее токсично. ДТ экономичнее, по-видимому, у него выше удельная теплота сгорания, смотреть лень. Лично я не вижу предпосылок к тому, чтобы диаметр поршня бензинового двигателя нельзя было увеличивать. Масштабирование — классика конструирования. В любом случае, можно увеличить число цилиндров — это уж точно выгоднее, и двигатель ровнее работать будет. Дизельное топливо дешевле, кстати говоря — это еще одна причина большие машины делать дизельными.
                                                                                                                Ну, тогда уж повторю свои тезисы: судовой дизель большой, т.к. работает на низких оборотах, т.к. нужна высокая надежность. Чем ниже обороты, тем меньше износ. За это приходится платить большой массой и размерами дизеля при относительно небольшой мощности. Это — особенность судовых дизелей. КПД судового двигателя ниже, т.к. большая масса шатунно-поршневой группы, ниже температура.
                                                                                                                В авиации, кстати, бензиновые двигатели очень распространены. Т.к. бензиновый двигатель легче дизельного двигателя той же мощности.
                                                                                                                Чтобы повысить КПД двигателя, нужно повысить температуру. Для этого используют, например, турбонаддув — закачивают в цилиндры побольше воздуха, впрыскивают побольше топлива, и получают более мощный, более экономичный, но менее надежный двигатель.
                                                                                                                Я не вижу причин для того, чтобы бензиновый двигатель был проще дизельного. Почти все то же самое. Только у дизеля нет сложной системы управления зажиганием. Зато у дизеля есть либо ТНВД, либо CommonRail.
                                                                                                                Чтобы понять, чем ДТ лучше бензина, попробуйте постоять рядом с открытой бочкой с бензином. Или покурить.
                                                                                                                В целом, хоть это и занудство, у автора была некоторая проблема с причинно-следственной связью (большой дизель на судне делается не для повышения КПД).
                                                                                                                Все писать лень, статья не об этом.
                                                                                                                  0
                                                                                                                  Я специально комментарий потер
                                                                                                                  Вы выкрутиться пытаетесь зачем-то)
                                                                                                                  Хорошо, давайте по порядку. И если честно, вот никакого желания нету...
                                                                                                                  Дизель эффективен тем, что дизельное топливо дешевле
                                                                                                                  С чего вы это взяли? Кило бенза и кило солярки стоят одинаково. Для производителя нефти — это продукт разделения нефти и не более… С чего тогда вдруг производитель нефти обязан вам продавать кило того и кило другого по сильно разной цене?
                                                                                                                  не требует системы зажигания — ДТ самовоспламеняется под давлением.
                                                                                                                  Ага, не требует «искры», но требует систему самовоспламенения под давлением. И кто сказал, что оно дешевле?
                                                                                                                  Думаю, ДТ менее токсично.
                                                                                                                  Токсично все. Опасность заключается токсичных примесях в углеводородах нефти. БОльшая часть нефти — это набор углеводородов, которых штук 150-250, все зависит от места, т.е. от того как нефть образовалась в природе. И только некоторые углеводороды опасны, и их очень мало. Но нефть содержит кучу всего помимо, а это соединения серы и циклические соединения, и вот как раз таки они опасны. При этом, они есть как в бензине так и в солярке и их количество зависит больше всего от того места, где добыта нефть.
                                                                                                                  Лично я не вижу предпосылок к тому, чтобы диаметр поршня бензинового двигателя нельзя было увеличивать.
                                                                                                                  Ну так увидьте) И что значит лично вы? Есть наука, например то же машиностроение, и каким боком вы относитесь к машиностроению?
                                                                                                                  Масштабирование — классика конструирования.
                                                                                                                  Кто вам такую ерунду сказал?
                                                                                                                  В любом случае, можно увеличить число цилиндров — это уж точно выгоднее
                                                                                                                  Увеличение кол-ва цилиндров — это не прямая пропорциональность от мощности. Начиная примерно от шести — каждый следующий цилиндр не будет давать ощутимого прироста. Про сложность сильномногоцилиндровых бензиновых моторов наверное и говорить не стоит.
                                                                                                                  и двигатель ровнее работать будет
                                                                                                                  Простите, что?))
                                                                                                                  судовой дизель большой, т.к. работает на низких оборотах, т.к. нужна высокая надежность. Чем ниже обороты, тем меньше износ. За это приходится платить большой массой и размерами дизеля при относительно небольшой мощности.
                                                                                                                  Судовой дизель большой, по причине того что там поршни большие))) И по причине того, что давление дизеля намного я подчеркиваю намного больше чем в бензиновом двигателе. Для того, что бы дизель держал давление и его тупо не разорвало — увеличивают толщину стенки дизельного двигателя, а как иначе-то?) Он же тупо лопнет тогда… И отсюда и вес пляшет. Любой дизельный двигатель с соизмеримым бензиновым всегда будет вешать сильно больше, ибо он тупо толще «стенкой». Рабочие давления же принципиально разные...
                                                                                                                  КПД судового двигателя ниже, т.к. большая масса шатунно-поршневой группы, ниже температура.
                                                                                                                  КПД это отдельный вопрос) Это суммарная характеристика тепловой машины, не путайте. Но рабочее тело в дизеле гораздо прям гораздо сильнее нагревается, чем в бензиновом двигателе. Если вы сильно увеличите давление системы, то температура этой системы тоже вырастет пропорционально. Это же вроде как банальные законы из шестого класса физики, нет?
                                                                                                                  Чтобы повысить КПД двигателя, нужно повысить температуру.
                                                                                                                  Это у вас мантра такая что ли?) КПД замеряют разницей температур, но как это влияет на внутренние процессы?) Никак.
                                                                                                                  Для этого используют, например, турбонаддув — закачивают в цилиндры побольше воздуха, впрыскивают побольше топлива, и получают более мощный, более экономичный, но менее надежный двигатель.
                                                                                                                  Турбина в дизеле — это неотьемлимая часть двигателя. В бензиновом двигателе — это нагнетатель вообще-то… И впрямую нагнетатель частью бензинового двигателя не является. И даже по-этому ну поставите вы нагнетатель на бензиновый двигатель, ну и станет он менее надежным, так он на это и не рассчитывался вообще-то) С дизельным двигателем совершенно другое. Дизель рассчитывался на высокое давление изначально.
                                                                                                                  Я не вижу причин для того, чтобы бензиновый двигатель был проще дизельного. Почти все то же самое. Только у дизеля нет сложной системы управления зажиганием. Зато у дизеля есть либо ТНВД, либо CommonRail.
                                                                                                                  Ага) Оттого дизелисты все и парятся с тнвд поголовно ага?)) Видать сильно простая шутка… Ну да. А если две турбины у дизеля? А ведь такое почти повсеместно. И по вашему это просто?))) Однако… И при этом если взять обычный карбюратор-инжектор и сравнить… Слушайте, вы точно понимаете о чем вы говорите? Вы рабочие температуры и обороты турбины хоть раз посмотрите уже. И поймите что это часть дизеля.

                                                                                                                  Вот если честно, знаете, я совсем никак не касаюсь машиностроения… Но! Гнать такой пурген который гоните вы, это надо сильно постараться) Может вам лучше все таки программированием RegisterWindowClassExA заниматься? И то, даже это крайне сомнительно. У вас логики нет.