أقدم إليكم ترجمة المقال "كيف تبدو كارثة بوينغ 737 ماكس إلى مطور برامج" من إعداد جريج ترافيس. سيكون حول كيفية رغبة بوينغ في توفير المال و "قطع الزوايا" لتحقيق مكاسب تجارية ، وكذلك ثقافة "عدم الكفاءة وعدم الأخلاق" في مجتمع التنمية أدت إلى وفاة 346 شخصًا. لا أشارك موقع المؤلف في كل شيء (على وجه الخصوص ، أعتقد أن العامل البشري أكثر شرا من البرمجيات) ، لكن من الصعب الاختلاف مع الحجج الرئيسية.
أدناه الكثير من الرسائل. إذا كنت تقرأ الكسل ، لكنك تريد التعرف على الموضوع ، ثم في
Habré ، هناك النسخة الأولى والأقصر من هذه المقالة في ترجمة
Vyacheslav Golovanov ، يمكن العثور عليها
هنا .
الآراء المعبر عنها في هذه المقالة هي فقط آراء المؤلف وليست موضع IEEE Spectrum أو IEEE ( تقريبًا. الترجمة - والمترجم أيضًا :) ).
أنا رائد مع 30 عامًا من الخبرة ومطور برامج يتمتع بخبرة 40 عامًا. لقد كتبت الكثير عن الطيران وتطوير البرمجيات. لقد حان الوقت للكتابة عن كلا الأمرين في نفس الوقت.
الآن كل الأخبار مليئة بالعناوين الرئيسية عن
حوادث نموذج طائرة بوينج 737 ماكس الجديد (المهندس) ، والذي حدث حرفيًا واحدًا تلو الآخر مع الطائرة التي تم إصدارها حديثًا. بالنسبة للصناعة التي يعتمد وجودها بالكامل على إحساس العملاء بالسيطرة والسلامة التامة ، يشكل هذان الحادثان خطرًا وجوديًا كبيرًا. وعلى الرغم من حقيقة أن عدد الوفيات في حوادث تحطم الطائرات قد انخفض خلال العقود الماضية ، فإن هذا الإنجاز ليس سبباً على الإطلاق للثقة المفرطة بالنفس.
WestJet Boeing 737 MAX 8، acefitt ، Creative Commons Attribution 2.0 Genericظهر أول طراز من طراز بوينج 737 في عام 1967 ، عندما كان عمري 3 سنوات. كانت طائرة صغيرة مع محركات صغيرة وأنظمة تحكم بسيطة نسبيا.
أحبتها شركات الطيران (خاصة الجنوب الغربي الأمريكي) بسبب بساطتها وموثوقيتها ومرونتها. بالإضافة إلى ذلك ، لتجريبهم في قمرة القيادة بدلاً من ثلاثة أو أربعة أشخاص عاديين في ذلك الوقت ، لم يكن هناك سوى اثنين من أفراد الطاقم ، مما سمح لشركات الطيران بالبدء في الادخار بشكل كبير. جنبا إلى جنب مع تطور سوق النقل الجوي وظهور التقنيات الجديدة ، نما حجم طائرة 737 بسرعة ، وزاد تعقيد الإلكترونيات والميكانيكا. بالطبع ، لم ينمو 737 فقط ، فالطائرات تتطلب استثمارات ضخمة من كل من صناعة الطائرات ومن شركات الطيران التي تشتريها ، وبالتالي تم توسيع كلاهما باستمرار.
ومع ذلك ، فإن معظم هذه القوى السوقية والتكنولوجية تعمل على أساس المصالح الاقتصادية للشركات ، وليس لصالح سلامة الركاب. لقد عمل المهندسون بلا كلل لخفض ما تسميه الصناعة "التكلفة لكل كيلومتر مسافر" - أي تكلفة توصيل الركاب من النقطة أ إلى النقطة ب.
يرتبط الكثير من قصة التحسين هذه بالمحركات. تقول
نظرية كارنو للكفاءة (الكفاءة) للمحركات الحرارية أنه كلما زاد إنتاجك للمحرك وأكثر سخونة ، أصبح أكثر كفاءة. هذا المبدأ صحيح بالمثل لمحرك المنشار وللمحرك النفاث.
التفكير. إن أسهل وأسرع طريقة لجعل المحرك أكثر كفاءة من حيث استهلاك الوقود لكل وحدة طاقة هو جعله أكبر. لهذا السبب فإن محرك Lycoming O-360 في سيارتي سيسنا الصغيرة لديه مكابس بحجم طبق كبير. لذلك ، يتم تصنيع محركات الديزل في السفن البحرية بحجم منزل من ثلاثة طوابق. وللسبب نفسه بالضبط ، أرادت Boeing تثبيت محركات CFM International LEAP الضخمة في 737 الجديدة.
توجد مشكلة صغيرة واحدة فقط: تم تجهيز الطراز 737 الأصلي بمحركات صغيرة جدًا وفقًا لمعايير اليوم ، مما جعل وضعه تحت الأجنحة أمرًا سهلاً. ومع ذلك ، مع زيادة حجم طائرة 737 ، نمت محركاتها أيضًا ، وأصبحت الخلوص بينها وبين الأرض أصغر وأصغر.
للتغلب على هذه المشكلة ، تم اختراع العديد من الحيل (أو "الاختراقات" ، كما يطلق عليها مطورو البرامج). على سبيل المثال ، فإن أكثر ما يلفت الانتباه والواضح للجمهور هو تغيير شكل مآخذ الهواء من الدوران إلى البيضاوي لتوفير مساحة أكبر تحت المحرك.
في حالة 737 ماكس ، أصبح الوضع حرجاً. كان قطر شفرات المحركات المثبتة على الأصلي 737 100 سم (40 بوصة) ، في محركات جديدة لطراز 737 ماكس ، زاد قطرها إلى 176 سم ، مع وجود اختلاف في خط الوسط أكثر من 30 سم ، لم يعد بإمكانك جعل الهواء يستهلك بحيث البيضاوي المحرك لم تبدأ في كشط الأرض.
ثم تقرر بناء المحرك من الأعلى وتحريكه للأمام وللأعلى بالنسبة للجناح. وهذا بدوره أدى إلى إزاحة الخط المحوري لدفعة المحرك. الآن ، مع زيادة قوة المحرك ، تميل الطائرة نحو الكابلات ، أي إلى الأنف.
كمرجع: زاوية الهجوم للطائرة هي الزاوية بين اتجاه متجه السرعة لتدفق الهواء الوارد وطائرة الجناح. تخيل أنك وضعت يدك من النافذة المفتوحة لسيارة تتحرك على طول الطريق السريع. إذا أمسك راحة يدك بالتوازي مع الأرض ، فستكون هذه زاوية صغيرة للهجوم ؛ تحول راحة يدك عن طائرة الأرض ، وسوف تزيد من زاوية الهجوم. عندما تصبح زاوية الهجوم أكبر من اللازم (فوق الحرجة) ، تحدث المماطلة الهوائية نتيجة لتعطل تدفق الهواء. يمكنك التحقق من ذلك بنفسك عن طريق إخراج يدك من نافذة السيارة المتحركة: فالتحول ببطء بين يديك ستشعر بوجود قوة رفع متزايدة تدفع يدك للأعلى حتى تسقط يدك فجأة - هذا كشك للتيار مع كشك لاحق.
وهكذا ، اتضح أن الميل للتحويل مع زيادة قوة المحرك في الممارسة العملية يعني خطر حدوث مزيد من التطوير لموقف الطائرات إذا ضغط الطيارون على الغاز (كما يحب ابني أن يقول). مثل هذا التطور للأحداث يصبح مرجحًا بشكل خاص عند سرعة طيران منخفضة.
الأسوأ من ذلك ، نظرًا لحقيقة أن nacelles المحرك متقدمة جدًا وكبيرة جدًا ، فإنها تخلق المصعد ، خاصة في زوايا الهجوم الكبيرة. وهذا يعني أن الجندول جعل الوضع السيئ بالفعل أسوأ.
وأؤكد: في 737 كحد أقصى ، يعمل محرك nacelles في زوايا عالية من الهجوم مثل الأجنحة وإنشاء المصعد. علاوة على ذلك ، يتم تغيير مركز تطبيق هذه القوة إلى الأمام بعيدًا عن مركز تطبيق قوة الرفع للجناح ، الأمر الذي يؤدي بدوره إلى حقيقة أن 737 Max تميل إلى زيادة زاوية الهجوم أكثر مع زيادة في زاوية الهجوم. وهذا هو أسوأ مثال على عدم الكفاءة في الديناميكا الهوائية.
في حد ذاته ، يعد التغيير في الملعب مع تغيير في قوة المحرك أمرًا شائعًا إلى حد ما في التحكم في الطائرات. حتى سيسني الصغيرة ترفع أنفها قليلاً أثناء استخدام الغاز. أثناء التدريب ، يتم إخبار الطيارين بهذه الصعوبات ويتم تعليمهم للتغلب عليها. ومع ذلك ، هناك بعض الحدود الآمنة المحددة من قبل المنظمين والتي يكون الطيارون أنفسهم على استعداد لتحملها.
إنه شيء آخر تمامًا عندما يتغير الملعب مع زيادة زاوية الهجوم. الطائرة ، التي تقترب بالفعل من نقطة المماطلة الهوائية ، يجب ألا تميل بأي حال من الأحوال إلى تطوير هذا التأثير. تُسمى هذه الخاصية "عدم الاستقرار الديناميكي" ، والفئة الوحيدة من الطائرات التي يُسمح بها - المقاتلون - مجهزة بمقاليع للطيارين.
الجميع في مجتمع الطيران يحلمون بالطائرة ، والتي ستكون طبيعية وسهلة للطيران قدر الإمكان. على سبيل المثال ، عند تغيير قوة المحرك ، أو تخفيض اللوحات أو تمديد معدات الهبوط ، يجب ألا تتغير ظروف الطيران بشكل ملحوظ ، أو يجب ألا تحدث اللفات ، أو يجب أن تتغير الملعب - يجب أن يظل السلوك متوقعًا.
يجب أن تعمل بدن الطائرة (المكواة نفسها) بشكل مبدئي قدر الإمكان ، وألا تتطلب "أجراس وصفارات" إضافية. تم وضع قانون الطيران هذا خلال الرحلات الجوية الأولى للأخوين رايت إلى كيتي هوك.
من الواضح أن طراز Boeing 737 Max الجديد يرفع من أنفه مع زيادة الجر ، خاصة في زوايا الهجوم الكبيرة بالفعل. لقد انتهكوا أقدم قانون للطيران ، وربما معايير شهادة إدارة الطيران الفيدرالية (FAA) في الولايات المتحدة. ولكن بدلاً من العودة إلى لوحة الرسم وإصلاح جسم الطائرة ، قررت شركة Boeing الاعتماد على "نظام معين لتحسين
خصائص المناورة" ( MCAS).
حلت شركة بوينج مشكلة الحديد باستخدام البرمجيات.
سأترك مناقشة ظهور لغة
مشتركة (
تقريبًا. الترجمة: على ما يبدو ، يشير المؤلف إلى أن اسم "نظام لتحسين القدرة على المناورة" لا يعني كيف لا يفعل شيئًا غير مألوف بالنسبة لشروط الطيران ) في مجال الطيران معجم لمقال آخر ، ولكن دعونا نلاحظ أن هذا النظام يمكن أن يسمى بشكل مختلف ، على سبيل المثال ، "وسيلة رخيصة لمنع كشك عندما الطيارين لكمة ،" CWTPASWTPPI). ومع ذلك ، ربما يستحق التوقف في MCAS.
بالطبع ، تعد MCAS بديلاً أرخص بكثير للمعالجة العميقة لهيكل الطائرة ، نظرًا للحاجة إلى استيعاب محركات كبيرة جديدة. قد تتطلب مثل هذه المعالجة ، على سبيل المثال ، إطالة معدات الهبوط الأمامية (والتي لا يمكن بعد ذلك وضعها في جسم الطائرة عند سحبها في الجسم) ، أو طي الأجنحة للأعلى ، أو بعض التغييرات الأخرى المشابهة. سيكون ذلك مكلفاً للغاية.
حدثت كل عمليات التطوير والتصنيع لـ Max 737 تحت رعاية الأسطورة "هذا هو نفس العمر 737 الجيد". ندرك أن هذا ليس نموذجًا قديمًا ، ومن ثم ستستغرق عملية إعادة التصديق سنوات وتتطلب ملايين الدولارات.
"في الواقع ، يمكن للطيارين المرخص لهم بالطيران من طراز بوينج 737 في عام 1967 التحكم في جميع الإصدارات اللاحقة من طراز 737."
من مراجعة لنسخة سابقة من مقال من واحد من الطيارين 737 في واحدة من أكبر شركات الطيران.
والأسوأ من ذلك ، أن مثل هذه التغييرات الرئيسية لا تتطلب فقط إعادة التصديق من قبل القوات المسلحة الأنغولية ، ولكن أيضًا تطوير طائرة بوينغ جديدة تمامًا. الآن نحن نتحدث عن أموال كبيرة حقًا ، سواء بالنسبة لمصنعي الطائرات أو لشركات الطيران.
والأهم من ذلك أن الحجة الرئيسية لشركة بوينغ عند بيعها للطائرة 737 ماكس كانت أنها نفس طائرة 737 ، وأن أي طيار يطير في الطرز السابقة سيكون قادرًا على التحكم في ماكس أيضًا - دون إعادة تدريب باهظة الثمن ، والحصول على شهادة جديدة وتصنيف جديد. وتميل الخطوط الجوية - والجنوب الغربي على سبيل المثال - إلى تفضيل أسطول من نوع "قياسي" واحد من الطائرات. إنهم يفضلون امتلاك نموذج طائرة واحد يمكن التحكم فيه بواسطة أي من طيارتهم ، حيث أصبح كل من الطيارين والطائرات قابلة للتبادل ، مما يزيد من المرونة ويقلل التكاليف إلى الحد الأدنى.
بطريقة أو بأخرى ، كل ذلك يعود إلى الأموال ، وأصبحت MCAS فرصة أخرى لشركة بوينج وعملائها لكسب الأموال في الاتجاه الصحيح. كانت الحاجة إلى الإصرار على أن خصائص الرحلة من طراز 737 ماكس لا تختلف عن طرازات 737 السابقة هي مفتاح قابلية التبادل لأسطول طائرات 737 ماكس. ربما كان السبب وراء إخفاء الوثائق المتعلقة بوجود MCAS.
إذا أصبح هذا التغيير فجأة ملحوظًا جدًا ، على سبيل المثال ، فقد انعكس ذلك في دليل الطائرة أو كان سيولى اهتمامًا خاصًا عندما يخضع الطيارون للتدريب ، فحينئذٍ ، قد يستيقظ شخص ما - ربما شخص من الطيارين - ويقول: مهلا ، شيء لا يبدو مثل 737. " وسوف يتدفق المال في الاتجاه الخاطئ.
كما شرحت بالفعل ، يمكنك إجراء تجربة بزاوية هجوم بمفردك عن طريق وضع يدك ببساطة خارج نافذة السيارة المتحركة وتحريف راحة يدك. لذلك ، فإن مثل هذه الآلة المعقدة كطائرة لها أيضًا المكافئ الميكانيكي لليد المكشوفة من نافذة - زاوية مستشعر الهجوم.
قد تلاحظ ذلك عند ركوب الطائرة. كقاعدة عامة ، هناك اثنان منهم ، واحد على كل جانب من الطائرة ، وعادة ما يكون مباشرة تحت نوافذ قمرة القيادة. لا تخلط بينها وبين أنابيب الحفر (اقرأ عنها أدناه). تبدو زاوية مستشعر الهجوم وكأنه ريشة الطقس ، وأنبوب pitot يشبه ... hmm ، أنبوب. تبدو زاوية مستشعر الهجوم وكأنه ريشة الطقس تحديداً لأنها ريشة الطقس. يتحرك جناحها الميكانيكي استجابةً للتغيرات في زاوية الهجوم.
تقيس أنابيب Pitot القوة التي "يضغط" مجرى الهواء بها على الطائرة ، وتحدد زاوية مستشعر الهجوم الاتجاه الذي يأتي منه هذا التدفق. نظرًا لأن أنابيب Pitot ، في الواقع ، تقيس الضغط ، فهي تُستخدم لتحديد سرعة الطائرة بالنسبة إلى الهواء. تحدد زاوية مستشعر الهجوم اتجاه الطائرة بالنسبة إلى التدفق.
هناك مجموعتان من مجسات الزاوية ومجموعتين من أنابيب الحفر ، واحدة على كل جانب من جسم الطائرة. عادة ، تأخذ الأدوات المثبتة على جانب الطيار الرئيسي قراءاتها من أجهزة الاستشعار على نفس الجانب من الهيكل ؛ وبالمثل ، تُظهر أدوات الطيار الثاني القيم من مجسات جانبه من السفينة. هذا النهج يخلق التكرار الطبيعي في المعدات ، والذي يسمح التحقق السريع والسهل من قبل أي من الطيارين. إذا اعتبر مساعد الطيار أن مؤشر سرعة الهواء لديه غريب ، فيمكنه التحقق من ذلك مقابل الجهاز المماثل على جانب الطيار الرئيسي. إذا تباعدت الشهادة ، فإن الطيارين يكتشفون أيٍّ من الأجهزة يُظهر الحقيقة ، والكذب.
ذات مرة ، كانت هناك مزحة أنه عندما تتمكن الطائرات في المستقبل من الطيران بمفردها ، سيظل على الطيار والكلب الجلوس في قمرة القيادة. هناك حاجة إلى الطيار حتى الركاب أكثر هدوءا من إدراك أن هناك شخص ما في الجبهة. يجب أن يعض الكلب الطيار إذا حاول لمس شيء ما.
في طائرة 737 ، لم تصنع طائرة بوينغ أجهزة ومستشعرات للطائرات الاحتياطية فحسب ، بل صنعت أيضًا جهاز كمبيوتر احتياطيًا على متن الطائرة ، حيث قام بتركيب جهاز كمبيوتر واحد من الطيارين الرئيسي والثاني. يقوم كمبيوتر الرحلة بالكثير من الأشياء المفيدة المختلفة ، ولكن مهمته الرئيسية هي تشغيل الطيار الآلي عندما طُلب منه القيام بذلك ، والتحقق من أن الطيار لم يرتكب أية أخطاء في وضع الدليل اليدوي. وتسمى الفقرة الأخيرة "حماية مجموعة من أوضاع الطيران".
لكن دعونا نطلق على الأشياء بأسمائها الحقيقية - هذا هو "الكلب القاسي" من النكتة.
ماذا تفعل MCAS؟ يجب أن يخفض هذا النظام أنف الطائرة إذا اعتبر أن الوعاء خارج حدود زوايا الهجوم المقبولة لتجنب المماطلة الهوائية. قامت شركة بوينج بتثبيت نظام MCAS في طراز 737 Max نظرًا لحقيقة أن المحركات الأكبر حجمًا وموقعها الجديد قد زاد احتمال توقفها عن الأجيال السابقة من الطراز.
في تلك اللحظة ، عندما تلاحظ MCAS أن زاوية الهجوم أصبحت كبيرة جدًا ، فإنه يأمر قواطع الطائرة (النظام الذي يجعل الطائرة تتحرك لأعلى أو لأسفل) لتوجيه القوس إلى أسفل السفينة. إنها تقوم أيضًا بشيء آخر: بشكل غير مباشر ، باستخدام ما تسميه بوينج جهاز الكمبيوتر المصعد Elevator Feel Computer (جهاز استشعار استشعار المصعد ، EFC) ، فهي تدفع عجلات التحكم التجريبية (الدرجات التي يدفعها الطيارون أو يسحبونها لرفع الأنف أو خفضه. الطائرة) إلى أسفل.
في 737 كحد أقصى ، مثل معظم الطائرات الحديثة وحتى السيارات ، يراقب الكمبيوتر جميع العمليات أو يتحكم فيها بشكل مباشر. في كثير من الحالات ، لم يعد هناك اتصال ميكانيكي مباشر (مثل الكابلات والخطوط الهيدروليكية والأنابيب) بين أدوات التحكم للطيار والريش الديناميكي الهوائي الحقيقي للطائرة والعار والأجهزة الأخرى التي تجعل الطائرة تطير. وإذا كان هناك مثل هذا الاتصال الميكانيكي ، فإن الكمبيوتر يقرر ما يجوز للطيار القيام به (ومرة أخرى نفس الكلب العض).
ومع ذلك ، من المهم أن يتلقى الطيارون استجابة جسدية حول كل ما يحدث. في الأيام الخوالي ، عندما قامت الكابلات بتوصيل عناصر التحكم في الطيارين بالريش ، كان عليهم سحب القائد بجهد كبير إذا كانت الطائرة قد سقطت. كان عليهم إجباره على دفعه إذا كانت الطائرة تكتسب ارتفاعًا. تحت إشراف جهاز كمبيوتر ، اختفت الأحاسيس الطبيعية للسيطرة. لم يعد 737 Max يتمتع "بشعور طبيعي".
نعم ، في عام 737 ، توجد أنظمة هيدروليكية زائدة تربط عناصر التحكم التي يتفاعل معها الطيار ويعمل مباشرة مع الجنيحات وأجزاء أخرى من الطائرة. ومع ذلك ، فإن هذه الأنظمة الهيدروليكية قوية لدرجة أنها لا تنقل ردود الفعل المباشرة من القوى الهوائية التي تعمل على الجنيحات. سوف يشعر الطيارون فقط بما سيسمح لهم به الكمبيوتر. وأحيانا ليست الأحاسيس ممتعة.
عندما يوجه كمبيوتر الرحلة الطائرة إلى الانخفاض بسبب حقيقة أن نظام MCAS قرر أنه كان على وشك الدخول إلى المماطلة ، فإن سلسلة من المحركات والمعوضات تجعل الخوذات في قمرة القيادة تتحرك للأمام. واتضح أن الكمبيوتر يمكن أن يبذل الكثير من الجهد في الخوذات حتى أن الطيارين ، في محاولة لسحبهم لأنفسهم وإظهار الكمبيوتر أنه يقوم بشيء ما ، خاطئ تمامًا ، قد استنفدوا بسرعة.في الواقع ، فإن حقيقة أن النظام لا يسمح للطيار بالتحكم في الطائرة عن طريق سحب رأسه على نفسه كان قرارًا متعمدًا لمصممي 737 Max. لأنه إذا كان بإمكان الطيارين سحب عمود التحكم وإعادة توجيه أنف الطائرة إلى أعلى ، عندما يقول نظام MCAS إنه يجب أن يشير إلى أسفل ، فما هي النقطة في مثل هذا النظام؟على الرغم من حقيقة أن MCAS مدمجة في كمبيوتر الرحلة ، فإنها تتدخل حتى عند إيقاف تشغيل الطيار الآلي ويكون الطيارون واثقين من أنهم يتحكمون في الطائرة بشكل مستقل. في الصراع بين الطيارين والكمبيوتر الموجود على متن الطائرة من هو المسؤول في قمرة القيادة ، استنفد الأخير الأشخاص حتى الموت (حرفيًا).أخيرًا ، كان من الضروري إخفاء وجود نظام MCAS ذاته حتى لا يقول أحد: "مهلاً ، لم يعد هذا هو القديم 737" ، ولم تتأثر الحسابات المصرفية اللازمة.كمبيوتر الرحلة هو مجرد كمبيوتر. هذا يعني أنه لا توجد أجزاء من الألمنيوم أو كابلات أو خطوط وقود أو سمات الطيران الأخرى. تمتلئ بسطور التعليمات البرمجية. هذا هو المكان الذي يصبح كل شيء خطير.هذه الأسطر من التعليمات البرمجية مكتوبة بلا شك من قبل أشخاص تحت سيطرة الرؤساء. لا يتعرف المبرمجون أو رؤسائهم على الثقافة والعادات الخاصة لعالم الطيران مثلهم مثل الأشخاص الذين يعملون في المصانع ، وأجنحة التثبيت ، وتطوير أقواس التوجيه ، وتركيب معدات الهبوط في جسم الطائرة. هؤلاء الناس لديهم ذاكرة "صناعة" مشتركة لما كان يعمل في الماضي في مجال الطيران وما الخطأ الذي حدث. مطورو البرمجيات - لا.في 737 كحد أقصى ، يعمل جهاز كمبيوتر واحد فقط من أجهزة الطيران في نفس الوقت - إما على جانب الرئيسي أو على جانب مساعد الطيار. يتلقى الكمبيوتر النشط فقط البيانات من أجهزة الاستشعار المثبتة على جانبها من الطائرة.إذا لاحظ شخص ما أثناء التجربة أن بيانات الكمبيوتر تتباعد ، فإنه يتفقد لوحة التحكم ، ويقيّم قراءات الأجهزة الأخرى ويفهم الخطأ. في نظام مثبت على طائرة بوينغ ، لا يقوم "الكمبيوتر الموجود على متن الطائرة" "بفحص الأجهزة الأخرى". يثق فقط الأجهزة على جانبه. انه لا يفعل الطريقة القديمة. إنه عصري. إنه برنامج.هذا يعني أنه حتى لو فشل جهاز استشعار معين لزاوية الهجوم - وهو ما يحدث للأجهزة التي تخضع للانتقالات من بيئة متطرفة إلى أخرى ، إلى الاهتزازات والاهتزازات المستمرة - فإن جهاز التحكم في التحكم سيصدقها بكل بساطة.أسوأ من ذلك. هناك العديد من الأجهزة الأخرى التي تحدد بشكل مباشر وغير مباشر زاوية الهجوم ، على سبيل المثال ، أنابيب الحفر ، الأفق الاصطناعي ، وما إلى ذلك. يقوم الطيار بفحص كل هذه الأدوات من أجل تشخيص زاوية الخلل في جهاز استشعار الهجوم بسرعة.في الحالات القصوى ، يمكن للطيار أن ينظر دائمًا من النافذة ويتأكد بصريًا من أن لا ، لا يتم سحب أنف الطائرة بشكل خطير. هذا هو الاختبار النهائي ، ويجب أن يظل الامتياز الحصري والمطلق للطيار. لسوء الحظ ، الإصدار الحالي من MCAS يحرمه من هذا الحق. إنها تستبعد قدرة الطيارين على الرد على ما يرونه بأعينهم.كشخص يعاني من اضطراب الشخصية النرجسية ، تحجب MCAS قرارات الطيارين. وهذا في النهاية اتضح أنه سيئ للجميع.- هال ، ارفع أنفك.
- آسف ، ديف ، أخشى أنني لا أستطيع فعل هذا من أجلك.
يظل الكمبيوتر الموجود على متن الطائرة MCAS على عاتق من أي دليل على وجود خطأ ، بما في ذلك ما يراه الطيار بأم عينيه ، وعندما يحاول يائسًا تسوية مستوى الطائرة وسحب عجلة التحكم الآلية باتجاه نفسه ، "يعض" الطيار والركاب حتى الموت. .في الأيام الخوالي ، كان لدى القوات المسلحة الأنغولية جيش من مهندسي الطيران. لقد عملوا جنبا إلى جنب مع الشركات المصنعة للطائرات للتأكد من أن الطائرة كانت آمنة وجاهزة للتصديق.عندما أصبحت الطائرات أكثر تعقيدًا ، فإن الفجوة بين المبلغ الذي يمكن أن تدفعه القوات المسلحة الأنغولية ومصنعو الطائرات لموظفيها تتسع باستمرار. كان عدد متزايد من المهندسين ينتقلون من القطاع العام إلى القطاع الخاص. قريباً ، لم يكن لدى القوات المسلحة الأنغولية الفرصة لمعرفة مدى سلامة نموذج طائرة معين ، وما إذا كان يمكن إنتاجه.ثم اقترح FAA لمصممي الطائرات: "ماذا لو أخبرك الناس بأنفسنا كم هو آمن المشروع؟" أجاب المصنعون: "يبدو جيدًا". و FAA: "وقل مرحبا لجو ، ونحن نفتقد".وهكذا ولد مفهوم "ممثل الهندسة المعينة" (DER). هؤلاء الممثلون هم مرتزقة لمصنعي الطائرات ومصنعي المحركات ومطوري البرامج الذين يشهدون لـ FAA بأن كل شيء آمن وجيد.هذا يبدو وكأنه تضارب واضح في المصالح ، لكن هذا ليس صحيحًا تمامًا ، لكن لا أحد مهتم بالطائرات التي تتحطم. تعتمد صناعة الطيران بالكامل على ثقة الجمهور ، ويشكل كل حادث تحطم طائرة تهديدًا وجوديًا لهذه الصناعة. لن يقوم أي من المصنّعين بتوظيف DER لمجرد التوقيع على أي أوراق. من ناحية أخرى ، بعد يوم طويل من العمل ، قد يقوم شخص ما بنقل كلمة إلى اللاعبين من قسم تطوير البرمجيات "نعم ، كل شيء على ما يرام".من اللافت للنظر أن أياً من مطوري برمجيات MCAS في 737 Max قد أثار مسألة عدم استخدام واحدة ، بل عدة مصادر للبيانات عند تحديد كشك التطوير ، بما في ذلك زاوية مستشعر الهجوم الموجود على الجانب الآخر. بصفتي عضوًا دائمًا في جمعية تطوير البرمجيات ، لا أفهم ما الذي يمكن أن يؤدي به مزيج متفجر من عدم الكفاءة والغطرسة وعدم فهم ثقافة الطيران إلى حدوث مثل هذا الخطأ.من أحد المترجمين: في أحد التعليقات على المقال ، أشار أحد المستخدمين إلى أن MCAS ، من بين أمور أخرى ، لم تقلل من زاوية الهجوم بمقدار 0.8 درجة فقط بعد أن حددت المرة الأولى عملية المماطلة النامية ، كما هو متوقع ، لكنها فعلت ذلك في حلقة متوقفة مع كل البعد الجديد.
ولكني أعلم أن هذا مؤشر على وجود مشكلة أعمق بكثير في الصناعة. من الواضح أن الأشخاص الذين كتبوا رمز نظام MCAS الأصلي كانوا بلا حدود بعيدًا عن مستوى النضج المهني الذي كان مطلوبًا منهم ، ولم يكونوا على علم به. كيف يمكن للمرء الآن أن يعهد إليهم بتصحيح هذا البرنامج ، وبالفعل يؤمنون بموثوقية وأمن بقية برنامج إدارة الطيران؟لذلك ، خلقت بوينج جسمًا غير مستقر من حيث الحركة الهوائية للطائرة - 737 كحد أقصى. الخطأ الكبير الأول. بعد ذلك ، حاولت شركة Boeing إخفاء مشكلة عدم الاستقرار الديناميكي الناشئة في برنامج 737 الجديد. الخطأ الثاني. أخيرًا ، اعتمد البرنامج على قراءات الأنظمة المعروفة بميلها إلى الفشل (زاوية حساسات الهجوم) ، ولم يكن لديه حتى إجراءات فحص أولية ، ليس فقط مع أنواع أخرى من الأدوات ، ولكن حتى مع قراءات المجموعة الثانية من المستشعرات. خطأ كبير رقم 3.أي من هذه المشاكل لن تسمح باختبار الجودة. سيكون أي منهم كافيًا لعدم الحصول على "موافق" ليس فقط من DER ، ولكن أيضًا من أصغر مهندس.هذه ليست مجرد مشكلة كبيرة. هذه هي الخطيئة السياسية والاجتماعية والاقتصادية والتقنية.لقد حدث أنه في الفترة الفاصلة بين الكارثة الأولى والثانية لـ 737 Max ، كان عليّ أن أقوم بتثبيت الطيار الآلي الرقمي الجديد لطائرتي الخاصة. هذه هي طائرة سيسنا 172 عام 1979 ، وهي أكثر الطائرات شعبية في التاريخ من حيث عدد الموديلات المصنعة. حصل على أول شهادة طيران قبل عقد تقريبًا من أول طائرة بوينج 737 (1955 مقابل 1967).يتكون الطيار الآلي الجديد الخاص بي من العديد من المكونات الحديثة للغاية ، بما في ذلك جهاز كمبيوتر احتياطي داخلي (مع اثنين من Garmin G5s) وحافلة اتصال معقدة (CAN ، شبكة منطقة المراقب) ، والذي يسمح لمكونات مختلفة من النظام بالتواصل مع بعضها البعض ، بغض النظر عن موقعها في جسم الطائرة. تم تطوير حافلة CAN في صناعة السيارات لتطبيق تقنية Drive-by-Wire (النظام الإلكتروني للتحكم في السيارة الرقمية) ، ولكن من حيث الأهداف والتنفيذ ، فهي تشبه حافلات ARINC التي تربط المكونات في 737 Max.يشمل الطيار الآلي أيضًا قادين إلكترونيين. ونتيجة لذلك ، يمكنه إجراء نفس التصحيحات على تكوين رحلة جهاز الـ 172 الخاص بي مثل أجهزة الكمبيوتر التي تعمل مع MCAS في أقصى 737. أتذكر أنه بعد الانهيار الأول للطائرة 737 ماكس ، أثناء تثبيت الطيار الآلي ، عند التحدث مع صديق ، لاحظت أنني ربما أضيف مصدرًا محتملاً لخطر مماثل للمصدر الذي أدى إلى وفاة رحلة طيران الأسد.أخيرًا ، يشتمل الطيار الآلي الجديد الخاص بي أيضًا على "قشرة واقية" (الحماية الكاملة لمجموعة أوضاع الطيران) ، حيث "القشرة" هي رسم بياني لخصائص التشغيل القصوى للطائرة. في الوقت الذي لا يتحكم فيه الطيار الآلي في سيارتي سيسنا ، يواصل النظام مراقبة حالة الطائرة للتأكد من أنني لن أتخلص منها في المفتاح ، ولن أطير على الهيكل ، أو سوف أقوم بالكثير من الأشياء الأخرى. نعم ، لديه أيضًا وضع "كلب عض".كما ترون ، فإن أوجه التشابه بين الطيار الآلي بقيمة 20 ألف دولار والطيار الآلي الذي تبلغ قيمته ملايين الدولارات في كل 737 ، تكون مباشرة وملموسة وذات صلة. ما هي الاختلافات؟بالنسبة للمبتدئين ، يتطلب تثبيت الطيار الآلي الجديد شهادة جديدة ("شهادة النوع الإضافي" ، STC). وهذا يعني أن كلاً من مصنّع الطيار الآلي و FAA يوافقان على أن طائرتي Cessna 172 عام 1979 مع طيار آلي مدمج من Garmin مختلفة تمامًا عن الطائرة لدرجة أنها خرجت من خط التجميع حتى لم تعد هي نفسها من طراز Cessna 172. إنها طائرة مختلفة تمامًا .بالإضافة إلى حقيقة أن طائرتي لديها الآن شهادة (إضافية) جديدة مثل الطائرة (وعملية إصدار الشهادات الجديدة) ، نحتاج إلى الحصول على مجموعة من الوثائق ومراجعتها واستكمالها ، بما في ذلك دليل تشغيل الطائرة. كما فهمت ، تحتوي هذه الوظائف الإضافية في معظمها على معلومات حول الطيار الآلي.تجدر الإشارة بشكل خاص إلى أن هذه الوثائق ، التي يجب على أي شخص يرغب في الطيران على هذه الطائرة أن يطلع عليها ، توضح بالتفصيل تشغيل الطيار الآلي وكيف تتحكم في أدوات التشذيب ، كما توضح ميزات حماية مجموعة أوضاع الطيران.كما يوضح بالتفصيل كيفية تحديد أن النظام لا يعمل بشكل صحيح وكيفية إيقاف تشغيله بسرعة. يتم تكرار الخطوط التي تحتاجها لسحب المصهر من نظام الطيار الآلي لإيقاف التشغيل مرارًا وتكرارًا في كل صفحة تقريبًا من الوثائق الجديدة. لأي طيار يريد السفرعلى متن الطائرة 172 ، يصبح من الواضح على الفور أنه يختلف عن أي طائرة أخرى. هناك فرق كبير بين ما يقولونه للطيارين الذين سيصعدون طائرة سيسنا لأول مرة وأولئك الذين دخلوا 737 ماكس .: , , 737 Max , . , MCAS , , , . MCAS …
هناك اختلاف آخر بين الطيار الآلي الخاص بي ونظام مع MCAS في 737 ماكس هو أن الأجهزة المتصلة بحافلة CAN يمكنها التواصل باستمرار وتجري اختبارات متقاطعة ، والتي ، على ما يبدو ، MCAS لا. على سبيل المثال ، يقوم الطيار الآلي بالاستقصاء المستمر لكل من أجهزة الكمبيوتر G5 الموجودة على متن الطائرة لتحديد الموقع. إذا تباعدت البيانات ، يقوم النظام بإبلاغ الطيار وإيقاف التشغيل ، والتحول إلى وضع التحكم اليدوي. إنها لا توجه الطائرة إلى الأرض ، إذا بدأت فجأة في الاعتقاد بأنه على وشك البدء في السقوط.
وربما يكون الفرق الأكبر هو القوة التي يجب أن يمارسها الطيار لسحق أوامر الطيار الآلي على طائرتي وعلى 737 ماكس. في بلدي 172 لا تزال هناك الكابلات التي تربط مباشرة الضوابط إلى الأسطح الهوائية. يضطر جهاز الكمبيوتر إلى الضغط على نفس العتلات مثلي ، وهو أضعف بكثير مني. إذا قرر الكمبيوتر بشكل غير صحيح أن الطائرة بدأت في السقوط ، فيمكنني التغلب بسهولة على مقاومتها.
في سيارتي سيسنا ، لا يزال الإنسان يخرج دائمًا منتصراً من المعركة مع الطيار الآلي. بالضبط نفس الفلسفة التي لطالما عرفتها شركة بوينج في تطوير طائراتها ، علاوة على ذلك ، فقد استخدمت ضد منافستها اللينة إيرباص ، التي كانت تعمل مباشرة مقابل ذلك. ومع ذلك ، مع إصدار 737 Max ، يبدو أن Boeing ، دون إخبار أي شخص ، قد قررت تغيير استراتيجية العلاقة بين الإنسان والآلة وتغيير تعليمات التشغيل بهدوء.
كل هذه الملحمة مع 737 Max يجب أن تعلمنا ليس فقط أن المضاعفات تؤدي إلى مخاطر إضافية ، وأن التكنولوجيا لها حدودها الخاصة ، ولكن أيضًا ما يجب أن يكون لدينا أولويات حقيقية. اليوم ، الشيء الرئيسي هو المال ، وليس الأمن. يفكرون في الأمر فقط بقدر ما هو ضروري لمواصلة حركة الأموال في الاتجاه الصحيح. أصبحت المشكلة أكثر حدة كل يوم ، لأن الأجهزة تعتمد بشكل متزايد على ما هو سهل التغيير - البرمجيات.
من الواضح أنه يصعب إصلاح العيوب الموجودة في الجهاز والأجهزة ، سواء كانت محركات في مكان ضعيف أو حلقات متناثرة في البرد. عندما أقول "صعب" ، أعني "غالي". عيوب البرمجيات ، من ناحية أخرى ، يمكن إصلاحها بسرعة وبتكلفة منخفضة. كل ما هو مطلوب هو نشر التحديث وإطلاق التصحيح. علاوة على ذلك ، تأكدنا من أن المشترين الآن يعتبرون كل هذا هو القاعدة - كلا التحديثين لنظام التشغيل على الكمبيوتر ، والبقع المثبتة تلقائيًا على Tesla أثناء نومي.
في التسعينيات من القرن الماضي ، كتبت مقالًا يقارن التعقيد النسبي لمعالجات Intel Pentium ، معبراً عنه في عدد الترانزستورات لكل شريحة ، مع تعقيد نظام التشغيل الجديد Microsoft Windows ، معبراً عنه في سطور الكود المصدري. اتضح أنهم كانوا متساويين في التعقيد نسبيا.
في الوقت نفسه تقريبًا ، اتضح أن الإصدارات السابقة من معالجات Pentium كانت عرضة
لحدوث خطأ يسمى
FDIV . عدد قليل فقط من مستخدمي بنتيوم (تقريبًا. ترجم: علماء وعلماء رياضيات) يمكن أن يكونوا قد واجهوا أي مشاكل معها. تم العثور على عيوب مماثلة في Windows ، مما أثر أيضًا على جزء صغير من مستخدمي نظام التشغيل.
ومع ذلك ، فإن الآثار المترتبة على إنتل ومايكروسوفت كانت مختلفة اختلافا جذريا. تم إصدار تصحيحات البرامج الصغيرة بشكل منتظم لنظام التشغيل Windows ، بينما اضطرت Intel لسحب جميع المعالجات المعيبة في عام 1994. هذا كلف الشركة 475 مليون دولار - أكثر من 800 مليون دولار بأسعار اليوم.
في رأيي ، أدت البساطة النسبية ونقص التكاليف المادية الكبيرة عند تحديث البرنامج إلى تطوير ثقافة الكسل في مجتمع المطورين. علاوة على ذلك ، نظرًا لحقيقة أن البرامج تتحكم أكثر فأكثر في "الأجهزة" ، فإن ثقافة الكسل هذه تبدأ في اختراق التكنولوجيا - على سبيل المثال ، في صناعة الطائرات. أقل وأقل ، نولي الاهتمام اللازم لتطوير تصميم صحيح وبسيط للمعدات ، لأنه من السهل للغاية إصلاح الخلل بمساعدة البرنامج.
في كل مرة يتم فيها إصدار تحديث جديد لجهاز Tesla الخاص بي ، أو جهاز Garmin للرحلات الجوية في جهاز Cessna ، أو جهاز Nest thermostat ، أو التليفزيون في منزلي ، أدرك مرة أخرى أنه لم يتم إطلاق أي من هذه الأشياء من المصنع بالفعل. لأن منشئيهم أدركوا أن هذا ليس ضروريًا. يمكن الانتهاء من العمل في وقت لاحق من خلال إصدار التحديث التالي.
»أنا مهندس شبكات ، ومبرمج سابق كتب برامج لإلكترونيات الطيران للطائرات. لقد كان من الغريب دائمًا أننا اضطررنا إلى التهرب بشدة من وضع اللوحة الأم الجديدة في جهاز كمبيوتر معتمد ، ولم يتطلب البرنامج أي شهادة (باستثناء القيود العامة مثل "لا يمكن أن يعمل تحت Windows" أو "يجب أن يكتب في C ++"). صحيح ، لقد كان قبل حوالي 10 سنوات ، آمل أن تكون الأمور مختلفة الآن. "
- مجهول الهوية ، من المراسلات الشخصية
تقوم بوينغ حاليًا بتثبيت تحديث جديد للكمبيوتر الموجود على متن الطائرة و MCAS 737 Max. لا أعرف بالتأكيد ، لكنني أعتقد أن هذا التحديث سيركز بشكل أساسي على أمرين:
الأول هو تعليم البرنامج على فحص الأجهزة ، كما يفعل الطيارون. أي إذا بدأ مستشعر بزاوية الهجوم في الإبلاغ عن أن الطائرة على وشك أن تبدأ في السقوط ، وأن المستشعر الآخر لا ، يعني أن النظام لن يوجه الطائرة فورًا بأنفه إلى الأرض ، ولكن لا يزال يخطر الطيارين أولاً بالنزاع. في قراءات أجهزة الاستشعار.
والثاني هو التخلي عن استراتيجية "تبادل لاطلاق النار أولاً ، سوف تطرح الأسئلة لاحقًا" ، أي البدء في البحث عن مصادر مختلفة بدلاً من واحدة.
على مدى حياتي ، لا أفهم كيف اتضح أن هذين المبدأين الأساسيين في صناعة الطيران ، أسس التفكير التي خدمت الصناعة بإخلاص حتى الآن ، يمكن نسيانها أثناء تطوير MCAS. لا أعرف ولا أفهم أي عملية في عمل DER قد كسر الكثير مما جعل هذا العيب الأساسي في المشروع.
أظن أن السبب يكمن في نفس المكان الذي يوجد فيه سبب رغبة بوينج في توفير محركات أكبر وتجنب النفقات الكبيرة المرتبطة بها -
الرغبة في تناول الجبن المجاني ، والذي ، كما يعلم الجميع ، لا يحدث إلا في مصيدة فئران.
إن تشارلز بارو ، عالم الاجتماع بجامعة ييل ، ومؤلف كتاب عام 1984
للحوادث الطبيعية: التعايش مع تقنيات عالية الخطورة ، أظهر بوضوح الحاجة إلى تطوير أنظمة بسيطة قدر الإمكان. ويرد جوهر الكتاب كله في العنوان. يقول بارو أن فشل النظام هو نتيجة طبيعية لتشغيل أي نظام معقد مع مكونات وثيقة الارتباط ، عندما يؤثر سلوك أحد المكونات بشكل مباشر على سلوك آخر. على الرغم من حقيقة أن مثل هذه الأخطاء بشكل فردي قد يكون سببها عطل فني أو عملية مقطوعة ، في الواقع يجب اعتبارها ميزات أساسية للنظام نفسه. هذه هي الحوادث "المتوقعة".
هذه المشكلة ليست أكثر حدة في الأنظمة المصممة لتعزيز الأمان. كل تغيير جديد تم إجراؤه ، يصبح كل تعقيد أقل فعالية ، ويؤدي في النهاية إلى نتائج سلبية تمامًا. إن فرض إصلاح واحد فوق الآخر في محاولة لزيادة الأمان يؤدي في النهاية إلى تقليله.
هذا ما يخبرنا به مبدأ التصميم الهندسي القديم - "كلما كان ذلك أبسطًا" (
"اجعله بسيطًا ، غبي" ، KISS) ، وإصدار الطيران الخاص به: "تبسيط ، ثم أضف إضاءة" ("تبسيط ، ثم أضف إضاءة" ).
كان أحد المبادئ الرئيسية لإدارة الطيران الفيدرالية (FAA) في إصدار الشهادات للطائرات خلال عصر أيزنهاور هو عهد خاص بالبساطة: يجب ألا تظهر الطائرة تغييرات مهمة في الملعب مع تغيير في قوة المحرك. ظهر هذا الشرط خلال وجود علاقة مباشرة بين ضوابط الطيار في قمرة القيادة وريش الطائرة. هذا الشرط - عندما تم كتابته - فرض بحق شرط البساطة على تصميم هيكل الطائرة نفسه. الآن ، بين الرجل والآلة ، ظهرت طبقة من البرامج ، ولا أحد يعرف على وجه اليقين ما يحدث بالفعل هناك. أصبحت الأمور معقدة للغاية لفهمها.
لا يمكنني الخروج من رأسي أوجه الشبه بين كوارث 737 ماكس
ومكوك الفضاء تشالنجر . وقع حادث تشالنجر لأن الناس اتبعوا التعليمات ، وليس العكس - مثال آخر على الكوارث "الطبيعية". وقالت القواعد إنه قبل إطلاق المكوك ، كان هناك حاجة لعقد مؤتمر لضمان الاستعداد التام للطيران. لم يقل أحد أنه عند اتخاذ قرار ، لا ينبغي لأحد أن يعطي وزناً كبيراً للتبعات السياسية المحتملة التي قد تنشأ بسبب تأجيل الإطلاق. تم وزن جميع بيانات المدخلات بعناية وفقًا للعملية المعمول بها ، وافق معظمهم على الإطلاق وهلك سبعة أشخاص.
في حالة جهاز 737 Max ، تم إجراء كل شيء أيضًا وفقًا لجميع القواعد. تنص القواعد على أنه يجب ألا يتغير مستوى الطائرة كثيرًا عندما تتغير قوة المحرك ، وأن المهندس المعين (DER) له الحق في توقيع أي تغييرات تهدف إلى حل هذه المشكلة. لا يوجد شيء في القواعد التي لا ينبغي أن تسترشد DER باعتبارات العمل عند اتخاذ قرار. والآن 346 شخص ماتوا.
من المحتمل جدًا أن MCAS ، المصممة لتحسين سلامة الطيران ، قتلت عددًا أكبر من الأشخاص مما كان يمكن أن تنقذهم. لا حاجة لمحاولة إصلاحه مع زيادة إضافية في التعقيد ، والبرمجيات الإضافية. تحتاج فقط إلى إزالتها.
عن المؤلف
جريج ترافيس - كاتب ، مدير تطوير البرمجيات ، طيار ، مالك طائرة. في عام 1977 ، في سن ال 13 ، أنشأ Note ، واحدة من منصات التواصل الاجتماعي الأولى ؛ تبلغ مدة الرحلة أكثر من 2000 ساعة ، حيث تتحكم في كل شيء بدءًا من الطائرات الشراعية وحتى طائرة بوينج 757 (في جهاز محاكاة مع محاكاة كاملة للحركة).