Нещодавно я натрапив на цікаву статтю про скандал з літаками компанії Boeing - 737 MAX. Стаття про те, як спроба економити та замовчувати призвела до втрат людьских життів, репутації та купи грошей. Повний таймлайн подій можна подивитись у Wiki.
737 MAX та нова система
Літак Boeing 737 Max був створений як відповідь на літаки наступного покоління головного конкурента – сімейства Airbus A320. Він створений на основі 737-NG та має головну відмінність у частині двигуна: щоб мати можливість встановити двигуни більшого діаметру на конструкцію 737 MAX, мотогондоли двигуна зсунуті ще далі вперед і вище, ніж у попередніх двигунів CFM 56.
Під час льотних випробувань 737 MAX було виявлено, що під високим кутом атаки, коли підйомна сила корпусу від великих мотогондол двигуна, встановлених попереду крил, створює сильну силу носа вгору - центр підйому зміщується вперед. Тяга від низькорозташованих двигунів, що діють нижче центру ваги, також забезпечує силу висунення. Ця проблема може призвести до подальшого підйому, а потім до зупинки. Отже, конструкція 737 MAX порушила критерії льотної придатності Федерального авіаційного управління (FAA) щодо стабільності – FAR 25-173.
Як вирішення цієї проблеми інженери 737 MAX запропонували нову програмну систему - систему розширення маневрових характеристик (MCAS). Ця система була створена для запобігання потрапляння літака в небезпечний нестабільний режим польоту. Він містить два датчики, які в електронному вигляді маніпулюють триммером горизонтального стабілізатора літака, щоб збільшити підйомну силу хвоста, щоб змусити ніс опуститися. Після першого циклу маніпуляції він призупиняється на 5 секунд, а потім повторює спробу, якщо потрібно.
Інженери також провели аналіз ризиків і можливий шлях усунення будь-яких збоїв. Одним із швидких рішень є те, що пілот виконуватиме необхідні дії вручну, без участі електронної системи. Але перші відповіді справжніх пілотів показали, що меншим пілотам може не вистачити сил, щоб відтягнути штурвал (особливо на високій швидкості). Крім того, запропоновану корекцію вручну потрібно виконати дуже швидко, щоб запобігти подальшим проблемам.
Тотальна економія
Незважаючи на ці проблеми, навіть на етапі проектування керівництво зосереджувалося виключно на зниженні витрат для максимізації акціонерної вартості.
В результаті Boeing не дотримувався загальноприйнятої практики проектування подібних систем:
Літаки Airbus мають подібну систему з чотирма датчиками, але літак Boeing має лише два сенсори для 737 MAX (наприклад, новіші моделі тепер мають три)
Тільки один датчик працює в MCAS в один момент часу
Резервні електричні та сигнальні шини для захисту від збоїв не було додано
Індикація кута атаки для системи MCAS не входила в базову комплектацію (тільки у більш дорогу) – тому багато авіакомпаній просто придбали дешевшу версію
Розробку та тестування програмного забезпечення MCAS передали індійським підрядникам тимчасово найнятим розробникам програмного забезпечення за ціною від 9 доларів США на годину.
Довіра та приховування фічей
Крім того, проблеми були з процесом сертифікації 737 MAX. Boeing не повідомляв про MCAS технічних представників авіакомпанії-замовника, не додавав інформацію про систему в посібники з експлуатації для пілотів або в навчальні матеріали та авіасимулятори!
Федеральне авіаційне управління США (FAA) довірило сертифікацію 737 MAX самій компанії Boeing. (Можливо, через нестачу персоналу та скорочення фінансування). Але схвалення FAA викликало довіру в інших країнах.
Проблеми в результаті
У результаті за 5 місяців сталося дві смертельні катастрофи літаків 737 MAX. Ці збої виявили існування системи MCAS. Усі літаки 737 MAX були затримані до подальших розслідувань.
Довіра пасажирів до серії 737 MAX зникла. Авіакомпанії скасовували свої замовлення, якщо могли. Нові замовники не хотіли купувати новий літак серії – в тому числі й ВПС США.
Як наслідок, були виявлені дефекти й в інших літаках Boeing. Керівництво Boeing намагалося зробити все, щоб якнайшвидше повернути 737 MAX в експлуатацію.
Після первинного дослідження можливу першопричину проблеми було знайдено в системі MCAS. Вона не враховувала інші дані, які свідчать про те, що літаку не загрожує зупинка. Правильна реалізація MCAS передбачатиме повну інтеграцію з іншими системами польотних даних для забезпечення резервного копіювання, резервування та підтвердження, тому MCAS не може діяти самостійно чи всупереч більшості інших індикацій.
Висновки
Довіра до інших компаній (команд) може бути, але не через край. Тобто перевіряти роботу все ж таки потрібно. Особливо в кейсі авіа транспорту.
Суцільна економія та аутсорсинг без нормального тестування пропускає купу багів.
Результати роботи аутсорсингу потрібно перевіряти для критично важливого софту. Та й взагалі питання в тому, як можна довірити написання такого софту кудись за океан.
Приховувати фічі від користувачів та перевіряючих органів може бути дуже небезпечно.
