Les presento la traducción del artículo "Cómo se ve el desastre del Boeing 737 Max a un desarrollador de software" por Greg Travis. Se tratará de cómo el deseo de Boeing de ahorrar dinero y "cortar esquinas" para obtener ganancias comerciales, así como la cultura de "incompetencia y falta de ética" en la comunidad de desarrollo condujo a la muerte de 346 personas. No comparto la posición del autor en todo (en particular, creo que el factor humano es mucho más malo que el software), pero es difícil estar en desacuerdo con los argumentos principales.
Debajo hay muchas letras. Si lees pereza, pero quieres familiarizarte con el tema, entonces en Habré está la primera versión más corta de este artículo en la traducción de
Vyacheslav Golovanov , la puedes encontrar
aquí .
Las opiniones expresadas en este artículo son únicamente del autor y no son la posición de IEEE Spectrum o IEEE ( aprox. Transl. - y el traductor también :) ).
Soy piloto con 30 años de experiencia y desarrollador de software con 40 años de experiencia. Escribí mucho sobre aviación y desarrollo de software. Ha llegado el momento de escribir sobre ambas cosas al mismo tiempo.
Ahora todas las noticias están llenas de titulares sobre los
accidentes del nuevo modelo de avión Boeing 737 Max (inglés) , que ocurrió literalmente uno tras otro con el avión recién lanzado. Para una industria cuya existencia depende totalmente de la sensación de control y seguridad total de los clientes, estos dos accidentes representan un gran peligro existencial. Y a pesar del hecho de que en las últimas décadas el número de muertes en accidentes aéreos ha disminuido, este logro no es en absoluto una razón para una excesiva confianza en sí mismo.
WestJet Boeing 737 MAX 8, acefitt , Creative Commons Attribution 2.0 GenericEl primer modelo Boeing 737 apareció por primera vez en 1967, cuando tenía 3 años. Era un avión pequeño con motores pequeños y sistemas de control relativamente simples.
Las aerolíneas (especialmente el suroeste de Estados Unidos) los amaron por su simplicidad, confiabilidad y flexibilidad. Además, para pilotarlos en la cabina en lugar de las habituales tres o cuatro personas en ese momento, solo se requerían dos miembros de la tripulación, lo que permitió a las aerolíneas comenzar a ahorrar significativamente. Junto con el desarrollo del mercado del transporte aéreo y el advenimiento de las nuevas tecnologías, el 737 creció rápidamente en tamaño y la complejidad de la electrónica y la mecánica aumentó. Por supuesto, no solo creció el 737. Los aviones de pasajeros requieren grandes inversiones tanto de la industria aeronáutica como de las aerolíneas que los compran, por lo tanto, ambos también se ampliaron constantemente.
Sin embargo, la mayoría de estas fuerzas tecnológicas y de mercado actuaron en función de los intereses económicos de las empresas y no en función de la seguridad de los pasajeros. Los ingenieros trabajaron incansablemente para reducir lo que la industria llama el "costo por pasajero-kilómetro", es decir, el costo de entregar un pasajero del punto A al punto B.
Gran parte de esta historia de optimización tiene que ver con los motores.
El Teorema de Eficiencia (Eficiencia) de
Carnot de los motores térmicos dice que cuanto más caliente y caliente sea un motor, más eficiente se vuelve. Este principio es igualmente cierto para el motor de motosierra y para el motor a reacción.
Elemental La forma más fácil y rápida de hacer que un motor sea más eficiente en términos de consumo de combustible por unidad de potencia es hacerlo más grande. Es por eso que el motor Lycoming O-360 en mi pequeño Cessna tiene pistones del tamaño de una placa grande. Por lo tanto, los motores diesel en embarcaciones marinas se hacen del tamaño de una casa de tres pisos. Y exactamente por la misma razón, Boeing quería instalar los enormes motores CFM International LEAP en el nuevo 737.
Solo hay un pequeño problema: el 737 original estaba equipado con motores muy pequeños para los estándares actuales, lo que facilitaba colocarlos debajo de las alas. Sin embargo, a medida que el 737 aumentó de tamaño, sus motores también crecieron, y la separación entre ellos y el suelo se hizo cada vez más pequeña.
Para solucionar este problema, se inventaron muchos trucos (o "hacks", como los llamarían los desarrolladores de software). Por ejemplo, lo más notable y obvio para el público es cambiar la forma de las entradas de aire de redondo a ovalado para proporcionar más espacio debajo del motor.
En el caso del 737 Max, la situación se volvió crítica. El diámetro de las palas de los motores instalados en el 737 original era de 100 cm (40 pulgadas), en los nuevos motores para el 737 Max el diámetro aumentó a 176 cm. Con una diferencia en la línea central de más de 30 cm, ya no puede hacer que la entrada de aire sea tan ovalada que el motor No comenzó a raspar el suelo.
Luego se decidió construir el motor desde arriba y moverlo hacia adelante y hacia arriba en relación con el ala. Esto, a su vez, condujo al desplazamiento de la línea axial del empuje del motor. Ahora, con un aumento en la potencia del motor, el avión tiene una tendencia hacia el cableado, es decir, hacia la nariz.
Como referencia: el ángulo de ataque de una aeronave es el ángulo entre la dirección del vector de velocidad del flujo de aire entrante y el plano del ala. Imagine que saca la mano de la ventana abierta de un automóvil que se mueve por la carretera. Si sostienes tu palma casi paralela al suelo, este será un pequeño ángulo de ataque; girando la palma sobre el plano de la tierra, aumentará el ángulo de ataque. Cuando el ángulo de ataque se vuelve demasiado grande (supercrítico), se produce un bloqueo aerodinámico como resultado de la interrupción del flujo de aire. Puede verificar esto usted mismo sacando la mano de la ventana de un automóvil en movimiento: al girar lentamente la mano, sentirá una fuerza de elevación cada vez mayor que empuja la mano hacia arriba hasta que la mano se caiga repentinamente; esta es una parada de la corriente con una parada posterior.
Por lo tanto, resulta que la tendencia a la conversión con el aumento de la potencia del motor en la práctica significa un riesgo de mayor desarrollo de la pérdida de la aeronave si los pilotos aprietan el gas (como a mi hijo le gusta decir). Tal desarrollo de eventos se vuelve especialmente probable a baja velocidad de vuelo.
Peor aún, debido al hecho de que las góndolas del motor están tan avanzadas y son tan grandes que ellas mismas crean elevación, especialmente en grandes ángulos de ataque. Es decir, las góndolas empeoraron aún más la mala situación.
Enfatizo: en 737 Max, las góndolas del motor en ángulos altos de ataque funcionan como alas y crean elevación. Además, el centro de aplicación de esta fuerza se desplaza mucho más adelante en relación con el centro de aplicación de la fuerza de elevación del ala, lo que, a su vez, lleva al hecho de que el 737 Max tiende a aumentar aún más el ángulo de ataque con un aumento en el ángulo de ataque. Y este es el peor ejemplo de incompetencia en aerodinámica.
En sí mismo, un cambio en el tono con un cambio en la potencia del motor es una ocurrencia bastante común en el control de la aeronave. Incluso mi pequeña Cessna levanta la nariz un poco mientras aplica gas. Durante el entrenamiento, se informa a los pilotos sobre tales dificultades y se les enseña a superarlas. Sin embargo, existen ciertos límites de seguridad establecidos por los reguladores con los cuales los propios pilotos están listos para soportar.
Es otra cosa cuando el tono cambia con el aumento del ángulo de ataque. Un avión, que ya se acerca al punto de parada aerodinámica, bajo ninguna circunstancia debería tener una tendencia a desarrollar aún más este efecto. Esta propiedad se llama "inestabilidad dinámica", y la única clase de aeronave donde está permitido, los cazas, está equipada con catapultas para pilotos.
Todos en la comunidad de la aviación sueñan con un avión, que sería lo más natural y fácil de volar posible. Por ejemplo, cuando se cambia la potencia del motor, se bajan las aletas o se extiende el tren de aterrizaje, las condiciones de vuelo no deberían cambiar notablemente, no deberían producirse vueltas o debería cambiar el tono, el comportamiento debe ser predecible.
El casco de la aeronave (el hierro mismo) debería funcionar inicialmente de la manera más predecible posible, y no requerir "campanas y silbatos" adicionales. Este canon de aviación se estableció durante los primeros vuelos de los hermanos Wright a Kitty Hawk.
Obviamente, el nuevo modelo Boeing 737 Max se dobla demasiado la nariz con una mayor tracción, especialmente en ángulos de ataque ya grandes. Violaron la ley de aviación más antigua y posiblemente los criterios de certificación de la FAA (Administración Federal de Aviación) en los Estados Unidos. Pero en lugar de regresar a la mesa de dibujo y arreglar el cuerpo del avión, Boeing decidió confiar en un cierto
"Sistema de aumento de características de maniobra" ( MCAS).
Boeing resolvió el problema con el hierro utilizando software.
Dejaré una discusión sobre la aparición de un lenguaje corporativo (
aprox. Traducción: aparentemente, el autor significa que el nombre "Sistema para mejorar la maniobrabilidad" no significa CÓMO no hace absolutamente nada que sea inusual para los términos de aviación ) en aviación léxico para otro artículo, pero tengamos en cuenta que este sistema podría llamarse de manera diferente, por ejemplo, "Una forma barata de evitar un bloqueo cuando los pilotos lo golpean" (CWTPASWTPPI). Sin embargo, probablemente valga la pena detenerse en MCAS.
Por supuesto, MCAS es una alternativa mucho más barata al procesamiento profundo de la célula, dada la necesidad de acomodar nuevos motores grandes. Tal procesamiento podría requerir, por ejemplo, alargar el tren de aterrizaje delantero (que luego no podría caber en el fuselaje cuando se empuja hacia el cuerpo), plegar las alas hacia arriba u otros cambios similares. Eso sería monstruosamente costoso.
Todo el desarrollo y fabricación del Max 737 se llevó a cabo bajo los auspicios del mito "este es el mismo viejo 737". Reconozca que este no es un modelo antiguo, y luego la recertificación llevaría años y requeriría millones de dólares.
"De hecho, los pilotos con licencia para volar el Boeing 737 en 1967 pueden controlar todas las versiones posteriores del 737".
De una revisión de una versión anterior de un artículo de uno de los 737 pilotos en una de las aerolíneas más grandes.
Peor aún, tales cambios importantes requerirían no solo una nueva certificación por parte de la FAA, sino también el desarrollo de un planeador Boeing completamente nuevo. Ahora estamos hablando de mucho dinero, tanto para fabricantes de aviones como para aerolíneas.
Y todo porque el argumento principal del Boeing cuando vendía el 737 Max era que era el mismo 737, y cualquier piloto que volara en modelos anteriores también podría controlar a Max, sin un costoso reciclaje, obteniendo un nuevo certificado y una nueva calificación. Las aerolíneas, y Southwest son un excelente ejemplo, tienden a preferir una flota de un tipo de avión "estándar". Prefieren tener un solo modelo de avión que pueda ser controlado por cualquiera de sus pilotos, ya que tanto los pilotos como los aviones se vuelven intercambiables, maximizando la flexibilidad y minimizando los costos.
De una forma u otra, todo se reduce a dinero, y MCAS se ha convertido en otra oportunidad para que Boeing y sus clientes hagan que el dinero fluya en la dirección correcta. La necesidad de insistir en que las características de vuelo del 737 Max no diferían de los modelos 737 anteriores fue la clave para la intercambiabilidad de la flota del 737 Max. Probablemente fue la razón por la cual la documentación sobre la existencia misma de MCAS estaba oculta.
Si este cambio de repente se vuelve demasiado notorio, por ejemplo, se refleja en el manual de la aeronave o se le prestará especial atención cuando los pilotos se entrenan, entonces alguien, probablemente alguien de los pilotos, se levantaría y diría: Oye, algo que no se parece al 737 ". Y el dinero fluiría en la dirección equivocada.
Como ya expliqué, puede realizar un experimento con un ángulo de ataque por su cuenta simplemente sacando la mano de la ventana de un automóvil en movimiento y girando la palma de la mano. Entonces, una máquina tan compleja como un avión también tiene el equivalente mecánico de una mano expuesta desde una ventana: un sensor de ángulo de ataque.
Puede notarlo al abordar un avión. Como regla general, hay dos de ellos, uno a cada lado de la aeronave, generalmente debajo de las ventanas de la cabina. No los confunda con tubos de pitot (lea sobre ellos a continuación). El sensor de ángulo de ataque se ve como una veleta, y el tubo de Pitot se parece a ... mmm, tubo. El sensor de ángulo de ataque se ve como una veleta precisamente porque es una veleta. Su ala mecánica se mueve en respuesta a los cambios en el ángulo de ataque.
Los tubos de Pitot miden la fuerza con la que la corriente de aire "presiona" sobre el avión, y el sensor de ángulo de ataque determina de qué dirección proviene esta corriente. Como los tubos de Pitot, de hecho, miden la presión, se utilizan para determinar la velocidad de la aeronave en relación con el aire. El sensor de ángulo de ataque determina la dirección de la aeronave en relación con el flujo.
Hay dos conjuntos de sensores de ángulo y dos conjuntos de tubos de Pitot, uno a cada lado del fuselaje. Típicamente, los instrumentos instalados en el lado del piloto principal toman sus lecturas de los sensores en el mismo lado del casco; de manera similar, los instrumentos del segundo piloto muestran los valores de los sensores de su lado de la embarcación. Este enfoque crea una redundancia natural en el equipo, lo que permite una validación cruzada rápida y fácil por parte de cualquiera de los pilotos. Si el copiloto considera que su indicador de velocidad del aire es impar, puede verificarlo contra el dispositivo similar en el costado del piloto principal. Si el testimonio difiere, entonces los pilotos descubren cuál de los dispositivos muestra la verdad y cuál está mintiendo.
Había una vez una broma que decía que cuando en el futuro los aviones puedan volar solos, un piloto y un perro aún tendrán que sentarse en la cabina. Se necesita un piloto para que los pasajeros estén más tranquilos al darse cuenta de que hay alguien al frente. El perro debe morder al piloto si incluso trata de tocar algo.
En el 737, el Boeing no solo fabricó dispositivos y sensores de respaldo de la aeronave, sino también una computadora de a bordo de respaldo, instalando una computadora cada uno de los pilotos principales y secundarios. Una computadora de vuelo hace muchas cosas útiles diferentes, pero su tarea principal es hacer un piloto automático del avión cuando se le dijo que lo hiciera, y verificar que el piloto no cometió errores en el modo de piloto manual. El último párrafo se llama "protección del rango de modos de vuelo".
Pero llamemos a las cosas por su nombre: este es el "perro que muerde" del chiste.
¿Qué hace MCAS? Este sistema debería bajar la nariz de la aeronave si considera que la embarcación está más allá de los límites de ángulos de ataque aceptables para evitar la pérdida aerodinámica. Boeing instaló MCAS en el 737 Max debido al hecho de que los motores más grandes y su nueva ubicación hicieron que el estancamiento fuera más probable que en las generaciones anteriores del modelo.
En ese momento, cuando el MCAS se da cuenta de que el ángulo de ataque se ha vuelto demasiado grande, ordena a los trimmers de la aeronave (el sistema que hace que la aeronave se mueva hacia arriba o hacia abajo) que apunten la proa del barco hacia abajo. También hace algo más: indirectamente, usando lo que Boeing llama Elevator Feel Computer (computadora de detección de elevador, EFC), empuja las ruedas de control del piloto (timones que los pilotos empujan o tiran para levantar o bajar la nariz) avión) hacia abajo.
En 737 Max, como la mayoría de los otros aviones modernos e incluso automóviles, una computadora monitorea todos los procesos, o incluso los controla directamente. En muchos casos, ya no hay una conexión mecánica directa (es decir, cables, líneas hidráulicas y tubos) entre los instrumentos de control del piloto y el plumaje aerodinámico real, la quilla y otros dispositivos que hacen que el avión vuele. Y si hay una conexión mecánica de este tipo, la computadora decide qué está permitido que el piloto haga con ellos (y nuevamente ese mismo perro que muerde).
Sin embargo, es importante que los pilotos reciban una respuesta física sobre todo lo que sucede. En los viejos tiempos, cuando los cables conectaban los elementos de control de los pilotos con el plumaje, tenían que tirar del timón con gran esfuerzo si el avión se caía. Tenían que forzarlo a empujarlo si el avión ganaba altitud. Bajo la supervisión de una computadora, las sensaciones naturales de control desaparecieron. El 737 Max ya no tiene un "sentimiento natural".
Sí, en 737 hay sistemas hidráulicos redundantes que unen los controles con los que el piloto interactúa y trabajan directamente los alerones y otras partes de la aeronave. Sin embargo, estos sistemas hidráulicos son tan potentes que no transmiten retroalimentación directa de las fuerzas aerodinámicas que actúan sobre los alerones. Los pilotos solo sentirán lo que la computadora les permitirá sentir. Y a veces las sensaciones no son tan agradables.
Cuando la computadora de vuelo dirige el avión a declinar debido al hecho de que el sistema MCAS decidió que estaba a punto de entrar en la cabina, una cadena de motores y compensadores hace que los timones de la cabina se muevan hacia adelante. Y resultó que la computadora puede poner tanto esfuerzo en los timones que los pilotos, tratando de atraerlos hacia ellos y mostrarle a la computadora que está haciendo algo completamente, completamente mal, se agotan rápidamente.
De hecho, el hecho de que el sistema no permita que el piloto controle la aeronave tirando del timón sobre sí mismo fue una decisión deliberada de los diseñadores del 737 Max. Porque si los pilotos pueden tirar de la columna de control y redirigir la nariz de la aeronave hacia arriba, cuando el sistema MCAS dice que debe apuntar hacia abajo, ¿cuál es el punto en dicho sistema?
, MCAS , , , . , , ().
, MCAS, : «, 737», .
— . , , , , . . .
, , . , , , , , . «» , , . — .
737 Max — , . , .
, , , , . , , « ». . -. . — .
, — , , — .
. , , , , . , .
, , . , . , MCAS . , .
, MCAS . .
— HAL, .
— , , , .
MCAS , , , , , “” .
FAA . , , .
, , , FAA , . . FAA , , .
FAA : « , ?” : „ .” FAA: “ , .»
« » (“Designated Engineering Representative,” DER). , , FAA , .
, , , . , . DER , . , - , “ ".
, MCAS 737 Max , , . , , , .
: , MCAS, , 0.8 , , , .
, . , MCAS, , , , , . , ?
, — 737 Max. . 737 . . , , ( ), , . №3.
. , «» DER, .
. , , .
, 737 Max, . Cessna 172 1979 , . 737 (1955 1967).
, ( Garmin G5s) (CAN,
Controller Area Network ), . CAN Drive-by-Wire ( ),
ARINC , 737 Max.
. , 172, MCAS 737 Max. , 737 Max, , , , , , , Lion Air.
, « ” ( ), „“ . , Cessna, , , , . , „ “.
, $20,000 737 , . ?
, (“Supplemental Type Certificate,” STC). , FAA , Cessna 172 1979 Garmin , - , Cessna 172. .
, () ( ), , , . , .
, , , , .
, , . , , . , 172, , 172.
, , Cessna, , 737 Max.
: , , 737 Max , . , MCAS , , , . MCAS …
Otra diferencia entre mi piloto automático y el sistema con el MCAS en 737 Max es que los dispositivos conectados al bus CAN se comunican constantemente y realizan verificaciones cruzadas, lo que, al parecer, MCAS no. Por ejemplo, un piloto automático sondea constantemente las dos computadoras integradas G5 para determinar la ubicación. Si los datos divergen, el sistema notifica al piloto y se apaga, cambiando al modo de control manual. Ella no dirige el avión al suelo, si de repente comienza a creer que él está a punto de caerse.
Y probablemente la mayor diferencia es la fuerza que el piloto debe ejercer para aplastar los comandos del piloto automático en mi avión y en el 737 Max. En mi 172 todavía hay cables que conectan directamente los controles a las superficies aerodinámicas. La computadora se ve obligada a presionar las mismas palancas que yo, y es mucho más débil que yo. Si la computadora decide incorrectamente que el avión comienza a caerse, puedo superar fácilmente su resistencia.
En mi Cessna, el hombre siempre sale victorioso de la batalla con piloto automático. La misma filosofía siempre ha sido profesada por Boeing en el desarrollo de su avión, además, se usó contra su rival jurado Airbus, que actuó directamente opuesto. Sin embargo, con el lanzamiento de 737 Max, el Boeing, parece que, sin decírselo a nadie, decidió cambiar la estrategia de la relación entre el hombre y la máquina e igualmente cambiar silenciosamente las instrucciones de funcionamiento.
Toda esta saga con 737 Max debería enseñarnos no solo que la complicación conduce a riesgos adicionales, y que la tecnología tiene su propio límite, sino también lo que deberíamos tener prioridades reales. Hoy, lo principal es el dinero, no la seguridad. Piensan en ello solo en la medida en que es necesario continuar el movimiento del dinero en la dirección correcta. El problema se agudiza cada día, ya que los dispositivos dependen cada vez más de lo que es demasiado fácil de cambiar: el software.
Los defectos en el dispositivo y el hardware, ya sean motores mal ubicados o juntas tóricas que se dispersan en el frío, son obviamente difíciles de solucionar. Cuando digo "difícil", me refiero a "caro". Los defectos de software, por otro lado, pueden repararse de forma rápida y económica. Todo lo que se requiere es simplemente publicar la actualización y lanzar el parche. Además, nos hemos asegurado de que los compradores ahora consideren que todo esto es la norma: tanto las actualizaciones para el sistema operativo en la computadora como los parches instalados automáticamente en mi Tesla mientras duermo.
En la década de 1990, una vez escribí un artículo comparando la complejidad relativa de los procesadores Intel Pentium, expresada en el número de transistores por chip, con la complejidad del nuevo sistema operativo Microsoft Windows, expresado en líneas de código fuente. Resultó que eran relativamente igualmente complejos.
Casi al mismo tiempo, resultó que las versiones anteriores de los procesadores Pentium estaban sujetas a un error llamado
error FDIV . Solo un pequeño número de usuarios de Pentium (aprox. Traducción: científicos y matemáticos) podría haber tenido algún problema. Se encontraron defectos similares en Windows, que también afectaron solo a una pequeña parte de los usuarios del sistema operativo.
Sin embargo, las implicaciones para Intel y Microsoft fueron fundamentalmente diferentes. Se lanzaron sistemáticamente pequeños parches de software para Windows, mientras que Intel tuvo que retirar todos los procesadores defectuosos en 1994. Esto le costó a la compañía $ 475 millones, más de 800 millones a los precios actuales.
En mi opinión, la relativa simplicidad y la falta de costos significativos de material al actualizar el software ha llevado al desarrollo de una cultura de la pereza en la comunidad de desarrolladores. Además, debido al hecho de que el software controla cada vez más el "hardware", esta cultura de la pereza comienza a penetrar en el desarrollo de la tecnología, por ejemplo, en la construcción de aviones. Cada vez menos, prestamos la debida atención al desarrollo de un diseño correcto y simple del equipo, porque es muy sencillo solucionar el defecto con la ayuda del software.
Cada vez que sale una nueva actualización para mi Tesla, la computadora de vuelo Garmin en mi Cessna, el termostato Nest o el televisor en mi casa, una vez más me doy cuenta de que ninguna de estas cosas ha sido lanzada desde la fábrica realmente lista. Porque sus creadores se han dado cuenta de que esto no es necesario. El trabajo se puede terminar algún tiempo después lanzando la próxima actualización.
»Soy un ingeniero de redes, un ex programador que escribió software para aviónica de aviones. Siempre fue curioso que tuvimos que esquivar la lucha por poner una nueva placa base en una computadora certificada, y el software no requería ninguna certificación (excepto restricciones generales como "no puede funcionar en Windows" o "debe estar escrito en C ++"). Es cierto que fue hace unos 10 años, espero que las cosas sean diferentes ahora ".
- Anónimamente, por correspondencia personal
Actualmente, Boeing está instalando una nueva actualización para la computadora de a bordo y MCAS 737 Max. No estoy seguro, pero creo que esta actualización se centrará principalmente en dos cosas:
El primero es enseñar al software a verificar la instrumentación, como lo hacen los pilotos. Es decir, si un sensor del ángulo de ataque comienza a informar que el avión está a punto de caerse, y el otro sensor no lo hace, es decir, la esperanza es que el sistema ya no dirija el avión con la nariz hacia el suelo, pero aún así notifica primero a los pilotos sobre el conflicto en las lecturas de los sensores.
El segundo es abandonar la estrategia de "disparar primero, harás preguntas más tarde", es decir, comenzar a buscar diferentes fuentes en lugar de una.
Por mi vida, no entiendo cómo resultó que estos dos principios básicos de la industria de la aviación, los fundamentos del pensamiento que han servido fielmente a la industria hasta ahora, podrían olvidarse al desarrollar MCAS. No sé y no entiendo qué proceso en el trabajo de DER se ha roto tanto que hizo un defecto tan fundamental en el proyecto.
Sospecho que el motivo radica aproximadamente en el mismo lugar que el motivo del deseo de Boeing de suministrar motores más grandes y evitar los altos costos asociados con él: el
deseo de comer queso gratis , que, como todos saben, ocurre solo en una trampa para ratones.
Charles Parrow, sociólogo de la Universidad de Yale y autor del libro 1984
Accidentes normales: viviendo con tecnologías de alto riesgo, demuestra claramente el énfasis en la necesidad de desarrollar sistemas lo más simples posible. Toda la esencia del libro está contenida en el título. Parrow argumenta que la falla del sistema es un resultado normal de la operación de cualquier sistema complejo con componentes estrechamente relacionados, cuando el comportamiento de un componente afecta directamente el comportamiento de otro. A pesar de que, individualmente, tales errores pueden parecer causados por un mal funcionamiento técnico o un proceso interrumpido, de hecho, deben considerarse como características integrales del sistema mismo. Estos son los accidentes "esperados".
Este problema en ninguna parte se siente más grave que en los sistemas diseñados para mejorar la seguridad. Cada nuevo cambio realizado, cada complicación se vuelve cada vez menos efectiva y, en última instancia, conduce a resultados completamente negativos. Imponer una solución encima de otra en un intento de aumentar la seguridad en última instancia conduce a su reducción.
Esto es lo que nos dice el antiguo principio de ingeniería del diseño: "Cuanto más simple, mejor" (
"Mantenlo simple, estúpido" , KISS), y su versión de aviación: "Simplifica, luego agrega ligereza" ("Simplifica, luego agrega ligereza" )
Uno de los principios principales de la FAA en la certificación de aeronaves durante la era Eisenhower fue un pacto peculiar de simplicidad: las aeronaves no deberían mostrar cambios significativos en el tono con un cambio en la potencia del motor. Este requisito apareció durante la existencia de una relación directa entre los controles de un piloto en la cabina y el plumaje de una aeronave. Este requisito, cuando fue escrito, impuso correctamente un requisito de simplicidad en el diseño de la propia estructura del avión. Ahora, entre el hombre y la máquina, ha aparecido una capa de software, y nadie sabe con certeza lo que realmente está sucediendo allí. Las cosas se han vuelto demasiado complicadas de entender.
No puedo sacar de mi cabeza los paralelos entre las catástrofes de 737 Max y el
transbordador espacial Challenger . El accidente del Challenger ocurrió porque la gente siguió las instrucciones, y no al revés, otra ilustración de los desastres "normales". Las reglas decían que antes de lanzar el transbordador, se requería una conferencia para garantizar la preparación completa para el vuelo. Nadie dijo que al tomar una decisión, uno no debería dar demasiado peso a las posibles consecuencias políticas que podrían surgir debido al aplazamiento del lanzamiento. Todos los datos de entrada se pesaron cuidadosamente de acuerdo con el proceso establecido, la mayoría acordó su lanzamiento. Y siete personas perecieron.
En el caso del 737 Max, todo también se hizo de acuerdo con todas las reglas. Las reglas dicen que la inclinación de la aeronave no debería cambiar demasiado cuando cambia la potencia del motor, y que el ingeniero designado (DER) tiene derecho a firmar cualquier cambio destinado a resolver este problema. No hay nada en las reglas que DER no deba guiarse por consideraciones comerciales al tomar una decisión. Y ahora 346 personas están muertas.
Es muy probable que MCAS, diseñado para mejorar la seguridad de vuelo, haya matado a más personas de las que podría haber salvado. No es necesario intentar solucionarlo con un aumento adicional en la complejidad, software adicional. Solo necesita ser eliminado.
Sobre el autor
Greg Travis - escritor, gerente de desarrollo de software, piloto, propietario de aeronaves. En 1977, a la edad de 13 años, creó Note, una de las primeras plataformas de redes sociales; su tiempo de vuelo es más de 2000 horas, controlaba todo, desde planeadores hasta Boeing 757 (en un simulador con simulación completa de movimiento).