Вопросы сертификации ВС (по катастрофам Boeing MAX)

Показать применимость этих или каких либо еще норм, которые якобы нарушил "Боинг", это кусок работы того, кто уже утверждает о нарушении норм "Боингом".
Ссылки на соответствующий сертификационный базис я бы еще понял, но никак не АП-25 с НЛГС.
на основании чего вы считаете что вот этот например параграф не применим? Или вы применимость CFR целиком отрицаете?
Самое старое, что нашел - это редакция 1997 года.
27.672 Stability augmentation, automatic, and power-operated systems.
If the functioning of stability augmentation or other automatic or power-operated systems is necessary to show compliance with the flight characteristics requirements of this part, such systems must comply with § 27.671 of this part and the following:
(a) A warning which is clearly distinguishable to the pilot under expected flight conditions without requiring the pilot’s attention must be provided for any failure in the stability augmentation system or in any other automatic or power-operated system which could result in an unsafe condition if the pilot is unaware of the failure. Warning systems must not activate the control systems.
(b) The design of the stability augmentation system or of any other automatic or power-operated system must allow initial counteraction of failures without requiring exceptional pilot skill or strength by overriding the failure by movement of the flight controls in the normal sense and deactivating the failed system.
(c) It must be shown that after any single failure of the stability augmentation system or any other automatic or power-operated system—
(1) The rotorcraft is safely controllable when the failure or malfunction occurs at any speed or altitude within the approved operating limitations;
2) The controllability and maneuverability requirements of this part are met within a practical operational flight envelope (for example, speed, altitude, normal acceleration, and rotorcraft configurations) which is described in the Rotorcraft Flight Manual; and
(3) The trim and stability characteristics are not impaired below a level needed to permit continued safe flight and landing.
[Amdt. 27–21, 49 FR 44433, Nov. 6, 1984; 49 FR 47594, Dec. 6, 1984
 
Реклама
на основании чего вы считаете что вот этот например параграф не применим? Или вы применимость CFR целиком отрицаете?
У В737 длинная история.
Поэтому даже если какое-то требование и появилось в Part 25, то дальше еще надо разбираться - на каком этапе и в каком объеме оно стало применимым и к обитателям единого Сертификата типа всего семейства 737-х. Нужны Сертификационные базисы, без них никак.
 
Вот еще кстати: Advisory Circular 21.101-1B Establishing the Certification Basis of Changed Aeronautical Products
На стр. A-40 установка автопилота приводится как пример несущественного изменения, но с такими замечаниями:
However, in certain cases the installation of an autopilot may include extensive changes and design features that change both the general configuration and the assumptions for certification (i.e., installation of the autopilot may introduce a number of additional mechanical and electronic failure modes and change the hazard classification of given aircraft-level failures).
которые так и просятся, чтобы их приложили к MCAS.
Тема, конечно, раскрыта недостаточно, после катастрофы ее пытается развить JATR (ссылку уже приводили):
The JATR team determined that the Changed Product Rule process was followed and that the process was effective for addressing discrete changes. However, the team determined that the process did not adequately address cumulative effects, system integration, and human factors issues. The Changed Product Rule process allows the applicant to only address in a limited way changed aspects (and areas affected by the change) and does not require analysis of all interactions at the aircraft level.
The current Changed Product Rule process lacks an adequate assessment of how proposed design changes integrate with existing systems and the associated impact of this interaction at the
aircraft level. A more fulsome assessment process would apply to establishing the certification basis as well as to finding compliance throughout the certification process.
 
Последнее редактирование:
У В737 длинная история.
Поэтому даже если какое-то требование и появилось в Part 25, то дальше еще надо разбираться - на каком этапе и в каком объеме оно стало применимым и к обитателям единого Сертификата типа всего семейства 737-х. Нужны Сертификационные базисы, без них никак.
какая бы длинная у 737 история ни была - у MCAS история короткая - создавалась она в этом веке и работает на современной элементной базе, с современными протоколами передачи и обработки данных. И если вы почему-то не согласны с тем что ее проектировали по современным нормам, которым она очевидно не соответствует, то на выбор остаются следующие варианты - этот программный код написали по нормам 1964 года или без норм вообще. Как это снимает вину с Боинга даже и представить себе не могу. Кстати в 1964 понятие отказоустойчивости (и отказобезопасности) означало ровно то же самое что и сейчас. И если посмотреть даже на самые первые Боинги (и вообще любые самолеты) то можно легко заметить что использовались эти понятия при проектировании очень активно.
 
Последнее редактирование:
Поэтому даже если какое-то требование и появилось в Part 25, то дальше еще надо разбираться - на каком этапе и в каком объеме оно стало применимым
Прошу обратить внимание на уже цитированный Advisory Circular 21.101-1B Establishing the Certification Basis of Changed Aeronautical Products
Стр. 3-8:
3.6.5.2 ... You may comply with the existing certification basis unless the standards in the proposed certification basis are deemed inadequate. In cases where the existing certification basis is inadequate or no regulatory standards exist, later requirements and/or special conditions will be required. See paragraph 3.11 of this AC for a detailed discussion.
До 1970 года не было никаких требований к системам улучшения устойчивости, так что извольте соответствовать § 25.672 в хоть какой редакции (вот ссылка на первую) :agree:
 
Последнее редактирование:
какая бы длинная у 737 история ни была - у MCAS история короткая - создавалась она в этом веке и работает на современной элементной базе, с современными протоколами передачи и обработки данных. И если вы не согласны с тем что проектировали ее по современным нормам, которым она очевидно не соответствует, то на выбор остаются следующие варианты - этот программный код написали по нормам 1964 года или без норм вообще. Как это снимает вину с Боинга даже и представить себе не могу. Кстати в 1964 понятие отказоустойчивости (и отказобезопасности) означало ровно то же самое что и сейчас. И если посмотреть даже на самые первые Боинги (и вообще любые самолеты) то можно легко заметить что использовались эти понятия при проектировании очень активно.
Полностью соглашусь, мое крючкотворство выше лишь имело целью не оставить лазеек для оправдания преступной халатности разработчика.
 
Самое старое, что нашел - это редакция 1997 года.
Интересующий нас раздел не изменялся с 1984:

До 1967 года еще копать и копать :rolleyes:

По моему вы не туда копаете. Тонкость в том что похоже Боинг вообще ничего формально не нарушил. И дело не в старых - новых правилах. Он и по старым и по новым одинаково криво проходил. И грабли не в этом. А грабли в том что на Боинге пошли по пути _нужно прикрутить улучшалку? Глядим, вот винтик в стенке, на него и повесим..._ - то есть изначально это был самолет с управлением тросами и без особо компьютеров. Он кстати и сегодня прошел бы сертификацию почти на ура, ну может требования на какие нибудь индикации появились, пережили бы они.

Но им понадобилось все больше и больше компьютерного управления. Дальше, Аэробус например (или SSJ или даже B-787) изначально были созданы с расчетом на это, там есть все нужные данные и нужные сети компьютеров и нужные решения что в какие _law_ и когда падает. И все это проходило сертификацию и справедливо.

На Боинге 737 же было не так. Сначала практически ничего не было. Потом понадобилась какая то автоматизация, не критичная - ну что _взяли прикрутили, сбоку припеку, пару компьютеров_. Сначала для фигни, потом тоже для фигни, потом для чуть серьезнее но тоже фигни. Так как начиналось это с _прикрутим для фигни_ то эту часть никто особо не сертифицировал на тему бесперебойности, _а что будет если прилетит космический луч и вышибет 5 битов данных_ и все такое прочее - ну обслуживают то они _фигню_.

Потом одной команде срочно потребовалось добавить еще одну _ну ведь тоже фигню, подумаешь какое дело чуть подкрутить стабилизатор_. Посмотрели они по сторонам - ага, вот у нас компьютеры - имеются, две штуки, датчики имеются - две штуки. Ну работают компьютеры _один работает другой спит_ но ведь обслуживают _фигню_. Ну мы назовем нашу штуку _еще одной фигней_ и докрутим туда же.

Потом еще одна команда - решила что последнюю _фигню_ надо улучшить. А что, крутить надо на больше градусов и чаще. Пилотам легче будет если сдуру залетят в режим. Посмотрела команда - а, уже есть, компьютер уже подключен, фигня уже сделана.. мы же только два коэффициента поменяем, а оно и так фигня и останется фигней. И поменяли.

И тут уже случилось _переход количества в качество_. Оказывается _много незначительных изменений_ становятся в сумме _одним весьма значительным_. Но процедуры проверки и сертификации этого не учитывали, от слова _совсем_. Исходно все сертифицировали. Потом мелкие мелкие дополнения, каждое из которых _ну фигня же, чего тут бодаться_ пролетали на ура. А то что их _пролетело много_ и последнее _сломало таки спину верблюду_ ни Боинг ни сертификаторы не учитывали.

И вот на этом _теперь надо учесть, и надо всю многочисленную фигню что пролетела мимо полноценных проверок - проверить_ Боинг и споткнулся. Так как вытащив на свет божий МКАС и его историю, все удивились, изумились и стали копать еще. Копание стало выносить на верх другие чудеса, копать стали активнее, и выкопали таки Боингу яму. Впрочем и Аэробусу будет сложнее так как на него конечно тоже свалятся с вопросами _а сколько такой фигни вы наваяли_. Но у них маркет вверх пошел потому что у Боинга вниз, по закону сохранения (заказов) так что им проще.
 
Алгоритм MCAS был разработан как раз для соответствия нормам сертификации по управляемости в предельных режимах. Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.

Очень сомнительно. неужели в нормах не было требования на то, чтобы одиночный отказ одного элемента (датчика например) не приводил к потере управления самолетом? Тут дело скорее в том что МКАС не был проведен по тем нормам к которым он де факто относится (как например проводят автопилот) а был проведет по нормам _мелких изменения_ (ну типа поменяли конструкцию замка форточки.. ну сломалась и сломалась и хрен с ней, так же и авторы МКАС считали). Тут хоть сто требований добавляй, не поможет, требования нужны не на то как сертифицировать а на то что в какую категорию относить. И что делать с _много мелких модификаций_ тоже было неясно (да и сейчас ясно не станет).
 
Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.
Нет, не так. MCAS дал требуемое улучшение управляемости, но сам как система он нормам не соответствует, об этом спор.
Системы предупреждения экипажа ВС, которые здесь постоянно подтягивают за уши, были сертифицированы ранее.
Тех, кто их ставил впереди кобылы, уже забанили, но заметьте, что и § 25.672 содержит требование сообщения об отказе системы улучшения устойчивости.

Ну и в целом: Боинг использовал несовершенство процедуры сертификации, чтобы обойти требования, которым ДОЛЖЕН был соответстовать. Если ФБР скажет то же самое, с вас пиво.
 
Последнее редактирование:
Алгоритм MCAS был разработан как раз для соответствия нормам сертификации по управляемости в предельных режимах.
Да MCAS был разработан для соответствия нормам сертификации по управляемости самолета с этим не поспоришь (да и за чем). Но ведь речь о том по каким нормам спроектирован сам MCAS.
Его реализация соответствует нормам сертификации для 737 на момент сертификации ВС.
Так вот именно это и интересно узнать - каким?
Black Cat строит свою позицию так - Боинг не виноват потому что нормы проектирования (тот же § 27.672 например) в данном конкретном случае не применимы. Допустим. Но это ведь по сути ничего не объясняет а лишь порождает новые вопросы, например:
- на основании чего типовые нормы в типовом случае могут быть неприменимы, т.е. на основании чего нормы сертификационного базиса были изменены с типовых на какие-то иные (если ответ - самосертификация то как это снимает вину с Боинг),
- если были применены какие-то иные нормы, то собственно какие - какой именно документ дал основание реализовать MCAS именно так, вопреки типовым нормам (и если этот документ написал сам Боинг то как это снимает с него вину).
- если Боинг намеренно снизил важность MCAS, написав не соответствующее действительному положению дел теоретическое обоснование, не обеспечив системе отказобезопасность (ей и отказоустойчивость по-сути была не нужна, чай не B2), чтобы не париться с разработкой и сертификацией то как это снимает с него вину?
Круг дискуссии мне видится таким.
Боинг ни в чем не виноват потому что (как всегда) во всем виноваты пилоты. Потому что не сумели за пять(десять) минут решить проблему. Которой при следовании нормам проектирования не должно было быть. Сертификацию то самолет прошел. А не должен был пройти. Боинг старый и ни в чем не виноват потому что (как всегда) во всем виноваты пилоты.
Крутит круг непонимание аргументов тех кто утверждает что Боинг ни в чем не виноват.
 
Последнее редактирование:
Реклама
Была нарушена логика построения отказоустойчивых систем, но не нормы проектирования для систем, не являющихся критическими. Понимаете разницу с точки зрения закона и юристов Boeing?
Понимаю. Это действительно очень интересно - ведь MCAS на самом деле не является критически важной для продолжения полета системой - если она вообще не будет работать (отсутствует) самолет сам по себе не упадет если пилоты не постараются - т.е. в резервировании или каких-то других методах обеспечения бесперебойной работы MCAS при отказах частей ее составляющих действительно нет необходимости. - Это есть стартовая предпосылка инженеров Боинга, вполне правильная.
Но так как MCAS входит в контур управления который является системой отказоустойчивой, то для обеспечения отказоустойчивости контура, MCAS должна быть спроектирована с учетом принципов отказобезопасности - т.е. ее отказ (неправильная работа) не должен влиять на работу контура ...критическим образом. Причем отказобезопасность могла быть реализована как со стороны MCAS так и со стороны контура. И тут уже у юристов Боинг проблемы.
Пример утрированный но все же - никто не ожидает от какой-нибудь третьестепенной лампочки на панели управления особой отказоустойчивости, но если эта лампочка когда перегорает может заставить глючить всю панель или например сожжет какую-нибудь другую лампочку или блок то и к панели и к лампочке большие вопросы. В общем случае чтобы панели глючили как можно меньше и они и лампочки должны быть спроектированы как можно лучше.
Про инженеров FAA которые на голубом глазу заявляли "мы в недостаточной мере понимали как именно работает MCAS" мне совсем нечего сказать.
С экипажа тоже вину не снимешь хотя вопросы насколько быстро можно распознать отказ MCAS как RunawayStabilizer, почему строчка выключить мотор стоит перед строчкой стриммировать и насколько велика разница между Continuously и Continually и т.д. были подробно разобраны, они оставили у меня впечатление какого-то ребуса (абсолютно без иронии).
В общем по моему имхо виноваты все, но зачинщик - Боинг.
 
Последнее редактирование:
PART 27—AIRWORTHINESS STANDARDS: NORMAL CATEGORY ROTORCRAFT
Опс... моя вина. Читать § 25.672. Первая редакция FR 5675 Apr. 8, 1970
Свои сообщения я уже поправил.
Для самолётов действует 25.672 с практически тем же самым текстом
Добавлено про сваливание:
(3) The trim, stability, and stall characteristics...
 
Последнее редактирование:
Ну, это тоже не так - описание и порядок действий после индонезийской катастрофы боинг сделал и эфиопы его должны были прочесть
И отлетать на планшете? Боинг дискредитировал этим бюллетенем и планшетным переучиванием всю цепочку "проектирование и производство-подготовка пилотов-безопасность полетов" в глазах обычных людей. Может профи считают, что это верно, дать очередной набор действия по памяти, как решение проблемы повышения рисков отказа механизма... Может правда этого достаточно. Я, как обычный инженер, так не считаю. Два пилота не выдержали такой нагрузки и не записали в память этот "набор действий". Кто виноват? Они, что не читали/не поняли/превысили максимум использования своей кэш-памяти, или Боинг, который в пользу экономий представил их умения и компетенции к риску неисполнения основной функции пилота? Для меня ответ очевиден. Поэтому показательная порка МАХ и Мулленбурга должна прикончить хотя бы одного из них. Я за Мулленбурга! Он должен пойти на юг с позорным клеймом гендира, облажавшегося на посту ведущей в мире компании, а пока он у руля, пусть МАХ стоит под забором за 346 смертей!
 
При заявке на внесение модификации в уже имеющийся сертификат типа не нужно доказывать соответствие сертификационным требованиям систем всего вс, только тех, в какие вносятся изменения. Но на дату подачи заявки необходимо доказать, что «the changed product complies with the airworthiness requirements applicable to the category of the product in effect on the date of the application.” Это из CFR 21.101. Можете оспаривать, но именно на соответствие нормам FAR 25.671, 25.672, в соответствии с АС 25.1309 и другими документами боинг работы проводил и документы, которые, по его мнению, это доказывают, представил. “ Это было проверено NTSB. Сразу после подачи заявки в 2012 были представлены в т.ч. 3 плана сертификации на:

1. CP13471 Flight Controls – Primary, Elevator and Stabilizer Control, выбранный метод доказывания соответствия – FMEA, FHA и FTA.

2. CP13474 Flight Controls – Autoflight (EDFCS/FCC) & Autothrottle – FHA, S&MF, включая план производителя софта на соответствие RTCA/DO-178B, RTCA/DO-248B, выбранный метод для него - Authorized Representative (AR) review.

3. CP13486 737-MAX Air Data Inertial Reference System – FMEA, FHA и FTA.

Теперь по каждому:

1. Сертификационный план должен постоянно меняться, но после того, как в марте 2016 движение стаба перестало быть ограничено 0,6 градуса за раз, это изменение как-то забыли добавить в предисловие анализа. На запрос NTSB FAA ответил, что в июле 2016 на брифинге по изменениям в системе предотвращения сваливания боинг упомянул об этом, но так как полетные тесты еще не были закончены, на MCAS не концентрировались. В итоге описание появилось только в сентябре, а в FTA не попало вовсе (увод стаба), так как было определено как “major”. Потому как боинг основывал свои оценки на том, что экипаж ситуацию с уводом стаба сможет вовремя распознать и вмешаться. И использует это как аргумент сейчас.

2. Для полноценного анализа MCAS здесь был использован FTA для NG. В оригинальное событие были внесены изменения из-за специфики MCAS (“Erroneous Runaway/oscillatory stab output un-arrested by column cutout”). Причины (с оператором AND) - Column Trim Cutout Fails to Interrupt Stab Motion и Undetected stabilizer trim runaway. Для последнего вероятность была определена как 10(-9) а, значит, для всего события вероятность была ниже порога в 10(-5), что также подтвердил документ от Роквелла (принятый FAA).

3. Оценка безопасности системы ADIRU в части данных об уа не включала категории ошибок, которые не могут быть распознаны ADIRU (например, от неправильно установленного датчика уа). Вместо этого оценивались отсутствие или неверный сигнал от самого блока. Что, следуя дереву ошибок, могло быть вызвано сочетанием двух факторов «потеря обогрева датчика» и «ошибочные данные датчика». Позже боинг заявил, что даже изменение логического оператора с AND на OR не поменяет классификации события с «крайне маловероятного».

Что касается анализа сочетания множественных отказов S&MF, то он был, но событие «ошибочные данные от одного датчика уа» туда не включили, «ошибочные данные СВС» и «потеря данных от одного датчика уа» были оценены как крайне маловероятные. И после того, как лимит MCAS на движение стабом был увеличен, повторно анализ не проводился. Опять, после катастроф боинг провел менее «формальный» анализ, после чего заключил, что ничего менять не надо.

Несмотря на то, что MCAS появилась, как улучшение характеристик управляемости, как часть EDFCS она должна соответствовать требованиям для систем улучшения устойчивости.

Что из этого следует? Боинг давит на то, что, пилотируя, следует задействовать голову. Мне кажется, дело в формальном подходе. Проводя оценку безопасности систем, которую предлагают для массового употребления, стоит задействовать голову проектировщикам систем и, ориентируясь на среднего пользователя, не фокусироваться только на работе железа, а включать в анализ вероятность человеческой ошибки. Это, к сожалению, при существующей системе вредно невозможно.
 
Последнее редактирование:
Самое старое, что нашел - это редакция 1997 года.
Интересующий нас раздел не изменялся с 1984 1970:
До 1967 года еще копать и копать уже не так далеко :rolleyes:
Спасибо большое.
Докопал до первой редакции FAR25 !
§ 25.672 не было вовсе :mad:
Ну и ничего страшного. По этому пункту кстати не основные претензии, сигнализация отказа МКАС и усилия на штурвале. Да и то там читать надо, может еще где написано, я извиняюсь просто не имею временной возможности. А 25.671, 25.207 и 25.1581 там присутствуют как я и предполагал. И озвученные мной претензии по ним сохраняются.
 
Black Cat строит свою позицию так - Боинг не виноват потому что нормы проектирования (тот же § 27.672 например) в данном конкретном случае не применимы.
Вы невнимательны. Я не оправдываю априори "Боинг", вопросы к разработчику есть. Но всего лишь обратил внимание, что вопрос о применимости норм не так уж прост, как могло показаться на первый взгляд.
А то что идут попытки заявить о вине "Боинга" со ссылками на АП-25 и НЛГС - ну это просто детский сад.
 
И отлетать на планшете? Боинг дискредитировал этим бюллетенем и планшетным переучиванием всю цепочку "проектирование и производство-подготовка пилотов-безопасность полетов" в глазах обычных людей. Может профи считают, что это верно, дать очередной набор действия по памяти, как решение проблемы повышения рисков отказа механизма... Может правда этого достаточно. Я, как обычный инженер, так не считаю. Два пилота не выдержали такой нагрузки и не записали в память этот "набор действий". Кто виноват? Они, что не читали/не поняли/превысили максимум использования своей кэш-памяти, или Боинг, который в пользу экономий представил их умения и компетенции к риску неисполнения основной функции пилота? Для меня ответ очевиден. Поэтому показательная порка МАХ и Мулленбурга должна прикончить хотя бы одного из них. Я за Мулленбурга! Он должен пойти на юг с позорным клеймом гендира, облажавшегося на посту ведущей в мире компании, а пока он у руля, пусть МАХ стоит под забором за 346 смертей!
Панегерики обличительных эпитетов пора по убавить: все идет своим чередом.
 
Два пилота не выдержали такой нагрузки
Ситуацию Airspeed Unreliable, многократно на тренажёре отрабатываемую, оказались не способны выполнить. Думаете, некая сессия на тренажёре 737МАХ что-то изменила бы?
 
Реклама
И отлетать на планшете? Боинг дискредитировал этим бюллетенем и планшетным переучиванием всю цепочку "проектирование и производство-подготовка пилотов-безопасность полетов" в глазах обычных людей. Может профи считают, что это верно, дать очередной набор действия по памяти, как решение проблемы повышения рисков отказа механизма... Может правда этого достаточно. Я, как обычный инженер, так не считаю. Два пилота не выдержали такой нагрузки и не записали в память этот "набор действий". Кто виноват? Они, что не читали/не поняли/превысили максимум использования своей кэш-памяти, или Боинг, который в пользу экономий представил их умения и компетенции к риску неисполнения основной функции пилота? Для меня ответ очевиден. Поэтому показательная порка МАХ и Мулленбурга должна прикончить хотя бы одного из них. Я за Мулленбурга! Он должен пойти на юг с позорным клеймом гендира, облажавшегося на посту ведущей в мире компании, а пока он у руля, пусть МАХ стоит под забором за 346 смертей!
Вы сами себе противоречите. Понятно, что боинг сделал плохо и его заставили переделывать. Ок, ценой смертей, как говорится shit happens. Можно и Муленбурга уволить, но это должно быть решение акционеров, а не придурков из конгресса и чего угодно. А вот при чём тут клейма - не пойму. Не ошибается тот, кто ничего не делает. Давайте всех увольнять после любой катастрофы и будем вечно летать на максах и нео, ибо всем будет страшно проектировать новые самолёты, мало ли чего. Сажать и клеймить надо тех, кто вот такие прокладки сажает в самолёт, которые действия по памяти не могут освоить. Извините, но местами мне уже становится смешно от такого подхода, когда пилотам платят за их нечеловеческий труд большие деньги, а нечеловеческий труд сводят к тому, что он должен взять в руки бумажку и нажать нужную кнопку по этой бумажке. И да, о боже, ещё на корявом английском мог объясниться коряво. А чуть что - так тут он оказывается не должен ни летать уметь, ни базовые принципы аэродинамики знать, ни быть психологически готов к отказам, да ещё и иногда иметь возможность прибухнуть в полёте и попрелюбодействовать в кабине.
Боинг виноват, безусловно. Его вина сводится (должна сводиться) к выплате компенсаций семьям, причём аналогичным тем, сколько они бы получили, если б их близким кирпич на голову свалился или их сбил автобус, и затратам на переделку/переучивание. Если есть действительно умысел на сознательное враньё регулятору - не вопрос, уголовное дело и хоть посадки.но точно не кары небесные за ошибку инженера.
 
Назад