Mai 2019
Volume 34, numéro 5
[Le mot du rédacteur en chef]
Vol de défaillance
Par Michael Desmond | Mai 2019
.jpg "Michael Desmond")
Deux irrécupérable tombe en panne dans cinq mois. Pas depuis le Dehavilland Comet dans 1954 (bit.ly/2D0z51d) a un nouveau airliner jet commerciales subi ce genre de catastrophe si tôt dans son cycle de vie. Une paire d’aéronefs Boeing 737 MAX introduits uniquement l’année dernière, est arrêté anormalement de minutes après que le décollage, lors de l’Air de Lion 610 (LI610) plunged dans la mer Java off Indonésie en octobre 2018 et Birr Airlines 302 (ET302) est arrêté anormalement de simplement en dehors d’Addis-Abeba en février. En tout, 346 vies ont été perdues.
J’ai déjà parlé des accidents de compagnies aériennes avant (« Chaîne de reprise après sinistre, » msdn.com/magazine/mt573708), Explorer le rôle de lecture automation et l’instrumentation dans l’incident 2009 d’Air France 447. Et dans les accidents MAX 737 récents, certains des mêmes problèmes sont rognage. Les avions commerciaux sont devenus considérablement (et même remarquablement) plus sûrs ces 30 dernières années, mais lorsque des accidents se produisent, ils sont souvent le résultat d’une erreur combinée des systèmes automatisés et des pilotes qui les commandent.
Dans le cas le MAX 737, un système introduit pour faciliter le nez d’un aéronef à certains points de vol vers le bas un dysfonctionnement au pire des moments, juste après le décollage. La manoeuvre caractéristiques Augmentation système MCAS () a été conçu pour rendre le 737 MAX se comporter davantage comme son prédécesseur, le 737NG largement déployé, en compensant une tendance dans le nouveau jet à pitch parfois des lorsque sous tension avec le nez haute. L’objectif était de rendre les 737 MAX et le NG ressemble beaucoup à battre qu’aucune formation simulateur a été nécessaire pour les pilotes NG, potentiellement l’enregistrement des compagnies aériennes des millions de dollars.
Et où le bât blesse : MCAS devait être pratiquement invisible. Ajout d’instrumentation au cockpit ou publication de procédures spécifiques à l’activation MCAS erronée peut imposer formation du simulateur. Donc quand un capteur d’angle d’attaque (AoA) a échoué sur LI610 et effectivement MCAS nez du plan était trop élevé peu après le décollage, elle interceptée l’équipage non préparé. Les pilotes countermanded à plusieurs reprises la suppression de nez en bas à partir de MCAS, uniquement pour le système à redoubler les moments de force vers une version ultérieure, d'où une présentation rapide.
Cinq mois ultérieures ET302 a rencontré le même phénomène. Enquêteurs a signalé que le groupe a répondu correctement, la désactivation de moteurs trim dans la queue conserver MCAS de forcer le nez plus bas. Mais maintenant les pilotes devaient lutter contre une roue de découpage physique, à l’aide de câbles pour déplacer les stabilisants à l’arrière du plan. Malheureusement, à grande vitesse que Jet a été en déplacement, force aérodynamique rendu cela impossible. Quand ils engagés nouveau découpage moteurs dans une offre pour déclencher les nez de l’avion, MCAS presque immédiatement repoussée le nez et l’équipage perdu le contrôle.
L’enquête sur les accidents est en cours, mais les leçons durs sont émergents. Parmi les problèmes en cours abordés dans son implémentation :
Validation des données: Les données de capteur dans chaque accident AoA a été clairement anormales, qu'encore MCAS est restée activée tout au long de chaque événement. En revanche, les systèmes automatisés comme autopilot généralement revient à contrôle manuel lorsqu’elle provient de données incohérents.
Redondance: MCAS activé en fonction d’entrée depuis un seul des deux capteurs AoA sur le 737 fuselage MAX. Implémentation d’un capteur deuxième réduit de manière significative le risque d’activation accidentelle.
Code conditionnel: MCAS activé en réponse à des valeurs élevées de AoA. Ajout d’une logique pour prendre en compte pour la vitesse, altitude et entrée pilote peuvent empêcher l’activation indésirable, par exemple, MCAS peut être codée pour désactiver si un pilote commandes trim d’après une entrée MCAS.
Mission étendue: MCAS a été décrite comme une amélioration de rendre le nombre maximal de 737 vol et que vous pensez aux pilotes comme un 737NG. Encore le logiciel à plusieurs reprises counteracted commandes pilotes et finalement rogné jusqu’au déformation maximale.
Transparence: MCAS n’avait aucune interface utilisateur, aucune indication visuelle ou auditif qu’il avait activé ou a rencontré un état d’échec et aucune liste de contrôle échec publiées pour les pilotes. L’hypothèse était pilotes seraient interpréter indésirable activation MCAS comme un moteur de découpage de perte de contrôle et utilisez cette liste de vérification pour arrêter le moteur.
Bien que les défauts dans MCAS sont susceptibles de conception de la question reste à plus grande de la façon dont ce système retrouve dans un avion FAA approuvées peut être résolu. Je pense au cours des leçons de la 737 MAX et MCAS vous informe de développement de logiciels et de systèmes des dizaines d’années à venir.
Michael Desmondest le rédacteur en chef de MSDN Magazine.