“
Vôo Controlado no Terreno ” é um termo de aviação para um acidente em uma aeronave em funcionamento normal devido ao fato de os pilotos serem distraídos ou desorientados por algo. Um verdadeiro pesadelo. De acordo com minhas estimativas, uma
colisão com o solo em um voo automatizado é ainda pior, quando o sistema de controle da aeronave mergulha no solo, apesar das tentativas desesperadas da tripulação de salvar a situação. Esta é a causa alegada de dois acidentes recentes do novo Boeing 737 MAX 8. Tentei descobrir como esses incidentes poderiam ter acontecido.
Nota: o estudo dos desastres do MAX 8 está em estágio inicial, grande parte do artigo é baseada em dados de fontes indiretas, ou seja, em vazamentos e rumores, bem como no raciocínio das pessoas que sabem ou não sabem do que estão falando. Portanto, considere isso se você decidir continuar lendo.
Crashes
Na manhã de 29 de outubro de 2018, o voo 610 da Lion Air partiu de Jacarta, na Indonésia, com 189 pessoas a bordo. Foi o novo 737 MAX 8, que durou apenas quatro meses, o mais recente modelo da linha de aeronaves Boeing criada na década de 1960. A decolagem e a subida a uma altura de aproximadamente 1.600 pés (480 metros) eram normais, após o que os pilotos removeram as abas (elementos de asa que aumentam a sustentação em baixas velocidades). Nesse ponto, a aeronave caiu repentinamente para 270 metros. Nas conversas de rádio com os controladores de tráfego aéreo, os pilotos relataram um “problema com o sistema de controle” e solicitaram dados sobre altitude e velocidade exibidos nas telas dos radares dos controladores.
O equipamento no cockpit dava leituras voláteis. Os pilotos puxaram as abas e subiram a 5.000 pés (1.500 metros), mas depois de recolhê-las, o nariz do avião afundou e novamente começou a perder altitude. Nos seis a sete minutos seguintes, os pilotos lutaram com suas próprias aeronaves, tentaram manter o nível do nariz, mas o sistema de controle de vôo o abaixava constantemente. No final, o carro venceu. O avião caiu na água em alta velocidade e todos os que estavam a bordo morreram.
O segundo acidente ocorreu em 8 de março, quando o voo 302 da Ethiopian Airlines caiu seis minutos depois de decolar de Adis Abeba, matando 157 pessoas. A aeronave era outro MAX 8, que foi operado apenas dois meses. Os pilotos relataram problemas com o controle e os dados de observação por satélite mostraram flutuações acentuadas na altitude. Devido à sua semelhança com o acidente da Lion Air, um alarme foi disparado: se o mesmo mau funcionamento ou defeito de design foi a causa dos dois incidentes, pode haver outros acidentes. Em alguns dias, a frota 737 MAX em todo o mundo foi suspensa de voar. Os dados recuperados do acidente no voo 302 reforçaram a suspeita de que os dois casos estavam intimamente relacionados.
O triste destino do voo 610 Lion Air pode ser atribuído aos dados extraídos da caixa preta. (O gráfico foi publicado em novembro como parte do
relatório preliminar do Comitê Nacional de Segurança nos Transportes da Indonésia.)
Uma idéia geral do histórico é fornecida pela curva de rastreamento de altura na parte inferior do gráfico. A subida inicial é interrompida por uma descida acentuada; outra subida é seguida por uma longa e errática montanha-russa. No final, há um mergulho, em pouco mais de 10 segundos, a aeronave desce 5.000 pés (1.500 metros). (Por que existem duas curvas de altura no gráfico, separadas por várias centenas de pés? Voltarei a esta pergunta no final do meu longo artigo.)
Todos esses altos e baixos foram causados pelos movimentos do estabilizador horizontal - uma pequena superfície em forma de asa na parte traseira da fuselagem. O estabilizador controla o ângulo de inclinação da aeronave, ou seja, para onde o nariz é direcionado. No 737, ele faz isso de duas maneiras. O mecanismo do aparador de elevador inclina todo o estabilizador, enquanto o movimento do volante de controle do piloto (o volante em sua direção e para longe de você) move o elevador - um volante móvel na parte traseira do estabilizador. Nos dois casos, mover a parte de trás da superfície para cima faz com que o nariz da aeronave suba e vice-versa. Aqui estamos interessados principalmente em alterações no aparador, não no movimento do elevador.
Os comandos dados ao sistema de aparador de elevador e seus efeitos na aeronave são mostrados por três curvas dos dados do voo, que repetirei aqui por conveniência:
A linha marcada "trim manual"
(azul) reflete as ações dos pilotos, "trim automatic"
(laranja) mostra comandos dos sistemas eletrônicos da aeronave e "pitch trim position"
(azul) mostra a inclinação do estabilizador; uma posição mais alta no gráfico indica um comando para elevar o nariz. É aqui que a luta entre homem e máquina é evidente. Na segunda metade do voo, o sistema de balanceamento automático enviou repetidamente comandos para baixar o nariz em intervalos de cerca de 10 segundos. Entre essas equipes automatizadas, os pilotos, usando os botões do volante, ergueram o nariz com um aparador. Em resposta a esses comandos conflitantes, a posição do estabilizador horizontal flutuou por um período de 15 a 20 segundos. O movimento dente de serra durou cerca de 20 ciclos, mas no final, os implacáveis comandos automáticos de abaixar o nariz tiveram precedência sobre os comandos mais curtos de abaixar o nariz dos pilotos. No final, o estabilizador desceu ao seu desvio máximo de mergulho e permaneceu nele até o avião colidir com a água.
Ângulo de ataque
O que deve ser responsabilizado pelo mau comportamento do sistema de balanceamento automático de afinação? As alegações são direcionadas ao MCAS - o novo sistema da série de modelos 737 MAX. MCAS significa Maneuvering Characteristics Augmentation System, um nome surpreendentemente polissilábico que não nos dá nenhuma idéia do que esse sistema faz. Pelo que entendi, o MCAS não é um dispositivo de hardware; nos compartimentos dos equipamentos eletrônicos da aeronave, não encontre o estojo identificado como MCAS. O MCAS é completamente baseado em software. Este é um programa que roda em um computador.
O MCAS possui apenas um recurso. Ele foi projetado para impedir a parada aerodinâmica - uma situação em que o nariz de um avião é elevado em relação ao fluxo de ar circundante tão alto que as asas não conseguem mantê-lo no ar. Parar é um pouco como uma situação em que um ciclista sobe uma colina, que se torna cada vez mais íngreme: mais cedo ou mais tarde uma pessoa fica sem energia, a bicicleta fica instável e depois desce. Os pilotos são treinados para sair da cabine, mas não praticam essa habilidade em aviões cheios de passageiros. Na aviação comercial, a ênfase está em
evitar barracas, por assim dizer, em sua prevenção. Os aviões têm mecanismos para reconhecer barracas iminentes e informam o piloto sobre isso com indicadores de luz e som, bem como com um alarme de vibração do agitador de pau. No vôo 610, o leme do capitão vibrou quase do começo ao fim.
Algumas aeronaves com a ameaça de estol não se limitam a simples avisos. Se a proa da embarcação continuar subindo, o sistema automatizado intervém e abaixa, interceptando o controle manual do piloto, se necessário. O MCAS foi projetado exatamente para isso. Está armado e pronto para a batalha, sujeito a dois critérios: os flaps são removidos (e são estendidos apenas durante a decolagem e o pouso) e a aeronave está em controle manual (não no piloto automático). Sob essas condições, o sistema é acionado quando um valor aerodinâmico chamado ângulo de ataque (AoA) sobe para uma faixa de valores perigosos.
O ângulo de ataque é um conceito bastante obscuro, então vou desenhar um diagrama:
Adaptado da Revisão de Pesquisa sobre a Eficácia do Indicador de Ângulo de Ataque Lisa R. Le Vie.Os ângulos mostrados na figura são as curvas do corpo da aeronave em relação ao eixo do arremesso - uma linha paralela às asas, perpendicular à fuselagem e passando pelo centro de gravidade da aeronave. Se você estiver sentado em uma fileira com a saída, é possível que o eixo do passo passe embaixo do seu assento. A rotação ao longo do eixo angular eleva e abaixa o nariz.
O ângulo de inclinação (atitude de inclinação) é definido como o ângulo da fuselagem em relação ao plano horizontal.
O ângulo da trajetória de vôo (ângulo da trajetória de vôo) é medido entre o plano horizontal e o vetor de velocidade da aeronave, ou seja, mostra quão suavemente sobe ou desce.
Ângulo de ataque é a diferença entre o ângulo de inclinação e o ângulo de inclinação da trajetória de vôo. Este é o ângulo no qual a aeronave se move através do ar que a cerca (assumindo que o próprio ar esteja parado, ou seja, não há vento).
AoA afeta tanto a elevação (gravidade ascendente e inversa) quanto o arrasto (força dissipativa, oposta à tração dianteira e ao motor). À medida que o AoA aumenta acima de zero, o elevador aumenta porque o ar colide com o fundo das asas e na fuselagem. Mas pela mesma razão, a resistência está aumentando. Com um aumento adicional no ângulo de ataque, o fluxo de ar pelas asas se torna turbulento; após esse momento, a força de elevação diminui, mas a resistência continua a aumentar. E aqui a barraca começa. O ângulo crítico para parar depende da velocidade, peso e outros fatores, mas geralmente não ultrapassa 15 graus.
Os voos da Lion Air e da Etiópia não corriam risco de estol; portanto, se o MCAS foi ativado, isso deveria ter acontecido por engano. De acordo com a hipótese de trabalho mencionada em muitos press releases, o sistema recebeu dados incorretos do sensor AoA com falha e agiu de acordo com suas leituras.
Conceitualmente, um sensor para medir o ângulo de ataque é simples. Na verdade, é apenas um cata-vento projetando-se no fluxo de ar. Na foto abaixo, o sensor de ângulo de ataque é uma pequena saliência preta localizada diretamente em frente ao 737 MAX. Montada na frente, a palheta gira, alinhando-se com o fluxo de ar local e gera um sinal elétrico que descreve o ângulo da palheta em relação ao eixo da fuselagem. O 737 MAX possui dois sensores de ângulo de ataque, um de cada lado do nariz. (Os dispositivos acima do sensor AoA são tubos pitot usados para medir a velocidade do ar. Outro dispositivo com a palavra MAX provavelmente é um sensor de temperatura.)
O ângulo de ataque não foi exibido nos instrumentos dos pilotos do Lion Air 737, mas o gravador de vôo registrou os sinais recebidos de dois sensores AoA:
E aqui algo terrivelmente errado acontece. O sensor esquerdo indica que o ângulo de ataque é cerca de 20 graus mais íngreme do que o sensor direito. Esta é uma enorme discrepância. Esses dois indicadores separados, de maneira realista, não podem refletir o verdadeiro estado do movimento da aeronave no ar: o lado esquerdo do nariz mostra que ele foi direcionado para o céu e o lado direito - que é aproximadamente horizontal. Algumas medidas devem ser errôneas e outras são suspeitas. Se o verdadeiro ângulo de ataque atingisse 20 graus, o avião já estaria em um estado de estol. Infelizmente, o MCAS do voo 610 apenas lê dados do sensor AoA esquerdo. Ela interpretou essas medidas sem sentido como um indicador seguro da posição da aeronave e tentou incansavelmente corrigi-las até o momento em que o vôo colidiu com a água.
Automação de cockpit
As tragédias em Jacarta e Adis Abeba se transformaram em uma história de alerta sobre os perigos da automação excessiva, na qual os computadores usurpam o poder dos pilotos.
O Washington Post declarou :
O segundo acidente fatal de avião envolvendo o Boeing 737 MAX 8 pode ser o resultado de uma luta entre homem e máquina. Essa falha indica que os reguladores devem examinar cuidadosamente os sistemas que tiram o controle das pessoas quando a segurança está em risco.
O jornalista belga Tom Dyuzaer, muitas vezes escrevendo artigos sobre aviação e computação, oferece a seguinte
opinião :
Não há como negar que o Boeing do JT610 teve sérios problemas no computador. E no mundo informatizado de alta tecnologia dos fabricantes de aeronaves, no qual o papel do piloto é frequentemente reduzido a pressionar botões e monitoramento passivo, esses incidentes podem se tornar mais frequentes no futuro.
Em particular raiva, os pilotos apertando os botões. O piloto e desenvolvedor de software
Gregory Travis resumiu seus sentimentos com um breve comentário:
"Levante o nariz, HAL."
"Desculpe Dave, eu tenho medo de não poder fazer isso."
Até Donald Trump twittou sobre este tópico:
As aeronaves estão se tornando muito complexas para voar. Agora eles não precisam de pilotos, mas de cientistas da computação do MIT. Eu observo essa imagem com muitos produtos. Sempre existe o desejo de dar outro passo opcional, embora muitas vezes as soluções mais antigas e mais simples sejam muito melhores. As decisões devem ser tomadas em frações de segundo e a complexidade representa uma ameaça. Tudo isso requer um preço enorme, mas dá muito pouco. Não sei você, mas não gostaria que Albert Einstein fosse meu piloto. Preciso de excelentes profissionais que possam rápida e facilmente assumir o controle de um avião!
As queixas de automação excessiva 737 têm considerável ironia; em muitos aspectos, esse avião é surpreendentemente antiquado. A base do design foi criada há mais de 50 anos e, mesmo nos modelos MAX mais recentes, muita tecnologia da década de 1960 é preservada. Os principais controles são hidráulicos, uma teia de tubos sob alta pressão passa diretamente das rodas de controle no cockpit para os ailerons, elevador e volante. Se os sistemas hidráulicos falharem, resta um sistema de backup completamente mecânico de cabos e blocos para controlar vários planos de controle. O principal motor do cortador estabilizador é o motor elétrico, mas ele tem uma substituição mecânica por um volante manual, puxando os cabos que passam pela cauda.
Outra aeronave é muito mais dependente de computadores e eletrônicos. O principal concorrente do 737, o Airbus A320, é um veículo no qual o princípio do controle eletrônico é implementado de forma abrangente. O piloto controla o computador, e o computador controla a aeronave. O piloto escolhe para onde se mover - para cima, para baixo, para a direita ou para a esquerda - mas o computador decide como conseguir isso, quais planos de controle devem ser rejeitados e quanto. Os modelos mais modernos da Boeing - 777 e 787 - também usam controle digital. De fato, os modelos mais recentes de ambas as empresas deram outro passo, de “gerenciamento de fios” para “gerenciamento de rede”. A parte principal da transmissão de dados dos sensores para os computadores e depois para controlar os planos consiste em pacotes digitais enviados por
uma das versões da rede Ethernet . Um avião é a periferia de um computador.
Portanto, se você deseja lamentar os perigos e insultos dos pilotos causados pela automação de aeronaves, o 737 não é o objetivo mais óbvio. Uma campanha ludita para destruir todos os aviônicos e recuperar o poder dos pilotos será uma reação perigosamente errônea à situação atual. Não há dúvida de que o 737 MAX tem um problema crítico. É uma questão de vida ou morte para quem voa sobre eles, e possivelmente para a Boeing. Mas o problema não começou com o MCAS. Tudo começou com decisões anteriores que tornavam o MCAS necessário. Além disso, o problema pode não ser resolvido pelo método proposto pela Boeing - uma atualização de software que limita os recursos do MCAS e deixa os pilotos com mais autoridade.
Aperte o máximo de 737
Os primeiros passageiros do 737 começaram a transportar em 1968. Ele era (e ainda é) o menor avião a jato da família Boeing, e também o mais popular. Mais de 10 mil cópias foram vendidas e a Boeing encomendou outras 4.600. É claro que, ao longo dos anos, foram feitas alterações na aeronave, em particular no tocante a motores e dispositivos. O modelo atualizado da década de 1980 ficou conhecido como o 737 Classic, e o modelo de 1997 é chamado de 737 NG (próxima geração). (Agora, após o lançamento do MAX, o modelo NG se transformou na geração
anterior .) Mas, apesar de todas essas modificações, a estrutura básica da estrutura da aeronave não mudou muito.
Dez anos atrás, parecia que o 737 finalmente chegara ao fim de sua vida. A Boeing anunciou que começará a desenvolver um projeto completamente novo para substituí-lo, cujo corpo não será feito de alumínio, mas de materiais compósitos leves. É claro que a concorrência fez ajustes. A Airbus teve a vantagem do A320neo, um modelo atualizado que, quando lançado no mesmo segmento de mercado, terá motores mais eficientes. O Airbus modificado deveria sair por volta de 2015, enquanto o desenvolvimento do projeto Boeing do zero levaria dez anos. Havia um risco de rotatividade de clientes. Em particular, o parceiro dedicado de longa data da American Airlines, American Airlines, negocia um grande pedido para o A320neo.
Em 2011, a Boeing abandonou o plano de criar um design completamente novo e decidiu fazer o mesmo que a Airbus: conectar novos motores ao antigo planador. , . FAA ( ) , - , Airbus.
737-800 ( MAX) 800 (3 . ). 2 000 2,50 . 10 , 7,3 . — 1 .
, 737 14 , . . , Boeing , « », . , 737 NG, MAX .
737 1960- , ,
( ) . . , , . 737 ; , . MAX
( ) — , 69 (175 ). NG, MAX .
New York Times , , , . , .
Airbus , Boeing . , The New York Times , 737 Max … , .
Times : « , , , ».
- MAX Boeing . . Lion Air,
Aviation Week and Space Technology (Nov. 26–Dec. 9, 2018, pp. 56–57):
, , 737 , .
, , . , . MAX , .
Aviation Week , 2017 , MAX 8.
. 58 000 , , , , . Boeing , , . , .
« », « » , ,
MCAS. ,
speed-trim . MCAS, « » , . ,
mach-trim , , , 0,6 . MAX; 1997 NG. MCAS , speed-trim mach-trim, , . , , , .
. , — , — . , , , , . . , , . , , . (
!) , , .
— , . , , , (). , , . , . , , .
737 MAX ? ,
Boeing 737 MCAS — -, 737 - . :
MCAS — . , MAX , NG; , LEAP-1B AoA. LEAP , NG CFM56-7, . AoA ; , (.. ), , . / FAR §25.173 «Static longitudinal stability» . (FAR — (Federal Air Regulations). 25 ). MCAS, ( AoA) , .
, , Boeing .
Aviation Week , , , (
20 ) , :
MAX CFM Leap 1 AOA , NG CFM56-7. MCAS - , MAX NG.
Supondo que o ponto de vista de Brady esteja correto, surge uma pergunta interessante: quando a Boeing percebeu a instabilidade? Os designers estão cientes desse perigo desde o início do projeto? Foi manifestado durante simulações em computador ou durante testes em testes aerodinâmicos em modelos à escala? A história de Dominic Gates no
Seattle Times nos dá uma dica de que a Boeing pode não ter percebido a seriedade do problema antes dos testes de vôo da primeira instância da aeronave, que começou em 2015.
De acordo com Gates, o protocolo de análise de segurança da FAA passado à administração da Boeing indicou que o MCAS poderá mover o estabilizador horizontal em não mais que 0,6 graus. Em uma aeronave lançada no mercado, o MCAS pode desviá-lo em até 2,5 graus e é capaz de agir repetidamente até atingir um limite mecânico de movimento de cerca de 5 graus.
Gates escreve :
Esse limite foi aumentado ainda mais porque os testes de voo mostraram que, para evitar paradas em altas velocidades, é necessário mais deslocamento da cauda quando a aeronave corre o risco de perder a sustentação e diminuir em espiral.
O comportamento da aeronave no caso de uma parada em alto ângulo de ataque é difícil de modelar analiticamente, portanto, quando os pilotos de teste executam procedimentos para sair da parada em uma nova aeronave, o software de controle é frequentemente ajustado para melhorar as características de um veículo a jato.
Parece que a instabilidade do MAX em AoA alto é uma propriedade da forma aerodinâmica de toda a aeronave, e uma maneira direta de suprimi-la seria mudar essa forma. Por exemplo, para restaurar a estabilidade estática, você pode aumentar a superfície da cauda. Mas tais modificações na estrutura reduziriam a velocidade da liberação da aeronave, principalmente levando em conta o fato de que suas necessidades foram descobertas após os vôos dos primeiros protótipos. Além disso, as alterações no projeto podem comprometer a possibilidade de pilotar um novo modelo com direitos de voo do tipo antigo. Deve ter sido que mudar o software em vez de modificar a estrutura de alumínio parecia uma alternativa atraente. Talvez um dia possamos descobrir como essa decisão foi tomada.
A propósito, de acordo com Gates, o documento da FAA com uma análise de segurança, que especifica um limite de 0,6 graus, deve ser revisado para refletir a verdadeira gama de possíveis comandos do MCAS.
Instabilidade
Instabilidade não é necessariamente uma marca negra para um avião. Houve pelo menos alguns projetos instáveis de sucesso na história desde o Wright Flyer de 1903. Os irmãos Wright intencionalmente colocaram um estabilizador horizontal na frente da asa, e não atrás dela, porque seus experimentos anteriores com pipas e planadores mostraram: o que chamamos de estabilidade também pode ser chamado de lentidão. Os planos de controle dianteiro do passageiro (chamados de controles horizontais dianteiros) reforçavam qualquer leve movimento para cima e para baixo do nariz. Manter um tom estável exigia uma alta concentração do piloto, mas ao mesmo tempo permitia que a aeronave reagisse mais rapidamente quando o piloto
desejasse aumentar ou diminuir o tom. (Os prós e contras desse design são discutidos em
um artigo de 1984 de Fred E.S. Kulik e Henry R. Jacks.)
Regras de Orville, Wilbur corre nas proximidades, Kitty Hawk, 17 de dezembro de 1903. Nesta foto, vemos o avião do lado da cauda. O controle horizontal frontal - superfícies horizontais ajustáveis duplas na frente - parece desencadear uma elevação do nariz. (Foto de WikiMedia .Outra aeronave seriamente instável foi o Grumman X-29, uma plataforma de pesquisa projetada na década de 1980. As asas do X-29 estavam localizadas atrás; além disso, os principais planos de controle de pitch são montados na frente das asas, como no Wright Flyer.
O objetivo deste projeto bizarro era investigar projetos extremos de chaves de fenda, sacrificando a estabilidade estática para manobras mais rápidas. Nem um único piloto poderia lidar com um veículo tão espasmódico sem apoio. Exigia um sistema de controle eletrônico digital, que amostrava o estado e regulava o plano de controle com uma frequência de até 80 vezes por segundo. O controlador foi bem-sucedido, talvez até demais. Ele permitiu que o avião voasse com segurança, mas domando a instabilidade, ele deixou a aeronave com características de controle bastante limitadas.
Pessoalmente, tive alguma conexão com o projeto X-29. Nos anos 80, trabalhei como editor por um curto período de tempo com membros de um grupo da Honeywell que projetou e construiu o sistema de controle X-29. Ajudei a preparar as publicações de acordo com as regras de gerenciamento e também contribuí para sua implementação em hardware e software. Essa experiência me deu informações suficientes para entender que o MCAS tem algo estranho: é muito lento para suprimir a instabilidade aerodinâmica de um avião a jato. Enquanto o X-29 teve um tempo de resposta de 25 milissegundos, o MCAS levou 10 segundos para mover o estabilizador 737 2,5 graus. Nesse ritmo, o sistema provavelmente não conseguiria lidar com as forças que levantam o nariz no ciclo de feedback positivo.
Há uma explicação simples para isso. O MCAS não deveria pilotar uma aeronave instável. Ela deveria impedi-lo de entrar em um regime em que ele se torna instável. A mesma estratégia é usada por outros mecanismos para impedir a estagnação - eles intervêm mesmo antes do ângulo de ataque atingir um ponto crítico. No entanto, se Brady estiver certo sobre a instabilidade do 737 MAX, essa tarefa se tornará mais urgente para o MCAS. Instabilidade significa descida abrupta e perigosa. O MCAS é uma cerca que o leva de volta à estrada quando você está pronto para arrancar um penhasco de carro.
O que nos leva à questão do anunciado plano de correção do Boeing MCAS.
Segundo relatos , o sistema modificado não será ativado de forma tão constante e será desligado automaticamente se detectar uma grande diferença entre as leituras dos dois sensores AoA. Essas mudanças devem impedir a recorrência de acidentes recentes. Mas eles fornecem proteção adequada contra a falha que o MCAS deveria ter tratado em primeiro lugar? Quando você desativa o MCAS, manual ou automático, nada impede o piloto imprudente ou enganoso de passar para a parte da área do modo de voo na qual o MAX se torna instável.
Sem informações adicionais da Boeing, não se pode dizer o quão grave a instabilidade pode ser, se ela realmente existir. O artigo de Brady no site técnico do Boeing 737 afirma que o problema é parcialmente causado pelos pilotos. No estado normal, para um longo nariz levantar, é necessário puxar a roda de controle cada vez mais. No entanto, no campo da instabilidade, a resistência à tração cai repentinamente, de modo que o piloto pode inadvertidamente puxar o leme para uma posição mais extrema.
A exposição humana é uma parte
necessária da instabilidade ou é apenas um fator de reforço? Em outras palavras, se você remover o piloto do loop de feedback, o feedback positivo ainda causará uma elevação incontrolável do nariz? Ainda não encontrei uma resposta.
Mais uma pergunta: se a raiz do problema é uma mudança enganosa na força que resiste aos movimentos do volante que elevam o nariz para cima, por que não resolver diretamente esse problema?
O mecanismo de inicialização do elevador transfere forças "falsas" para o volante de controle do piloto. Imagem retirada da apresentação dos controles de vôo do B737 NG por teoria . A apresentação foi criada para a série 737 NG, não para MAX; talvez a arquitetura tenha mudado.
No 737 (e na maioria das outras aeronaves de grande porte), a força "sentida" pelo piloto através do volante de controle não é um reflexo simples das forças aerodinâmicas que atuam no elevador e em outros planos de controle. As forças de retroalimentação são sintetizadas principalmente, são geradas pela unidade central e de toque - um dispositivo que monitora o estado da aeronave e gera a pressão hidráulica apropriada, empurrando o leme em uma direção ou outra. Esses sistemas podem receber a tarefa adicional de manter ou aumentar a força de tração no leme, quando o ângulo de ataque se aproxima dos valores da instabilidade. A resistência artificialmente aprimorada já faz parte do sistema de prevenção de estol. Por que não expandi-lo para o MCAS? (Talvez haja uma resposta razoável para isso, mas eu não o conheço.)
Onde está o botão liga / desliga?
Mesmo depois que o MCAS foi acidentalmente ligado no Lion Air 610, acidentes e baixas poderiam ter sido evitados se os pilotos tivessem simplesmente desligado essa coisa. Mas por que não? Parece que eles nunca ouviram falar do MCAS, não sabiam que ele estava instalado na aeronave que controlavam e não receberam instruções sobre como desativá-lo. Não há interruptores ou botões marcados com “MCAS ON / OFF” no cockpit O sistema não é mencionado no manual de voo (
com exceção da lista de abreviações ) e nenhum programa de treinamento de transição foi realizado para os pilotos que mudam de 737 NG para MAX. O treinamento consistiu em uma ou duas horas (as informações variam) de trabalho com o aplicativo para o iPad.
A Boeing explica essas omissões na
história do Wall Street Journal :
Um alto funcionário da Boeing disse que a empresa decidiu não divulgar detalhes às tripulações por causa do medo de sobrecarregar os pilotos comuns com muita informação, além de dados significativamente mais técnicos do que eles poderiam aprender.
Chamar essa afirmação de "hipócrita" significa não dizer nada. É simplesmente absurdo. A Boeing não apenas reteve os “detalhes”, como basicamente não mencionou a própria existência do MCAS. E a discussão sobre "volume demais" é simplesmente estúpida. Não tenho um manual de voo MAX, mas a
edição NG contém mais de 1300 páginas, além de outras 800 páginas do manual de referência rápida. Alguns parágrafos sobre o MCAS não sobrecarregariam um piloto que já dominou o manual de operação. Além disso, o manual descreve em detalhes os sistemas de compensação de velocidade e compensação de máquina, que provavelmente pertencem à mesma categoria do MCAS: eles operam de forma autônoma e não fornecem ao piloto uma interface direta para monitoramento e regulação.
Como resultado do incidente da Lion Air, a Boeing declarou que o procedimento de desligamento do MCAS foi descrito no manual, embora o próprio MCAS não seja mencionado lá. Este procedimento é indicado no mapa para eliminar o problema de "ficar fora de controle do aparador estabilizador". Não é muito complicado: você precisa segurar o leme, desligar o piloto automático e o controle de tração, se estiverem ligados; depois, se o problema persistir, gire os dois interruptores marcados com “STAB TRIM” para a posição “CUTOUT”. No caso de um mau funcionamento, o MCAS era realmente apenas o último passo.
Este cartão de controle é uma "ação de memória"; os pilotos devem poder concluir essas etapas sem consultar o manual. A tripulação da Lion Air certamente deveria tê-la conhecido. Mas ele poderia entender que esta carta precisa ser aplicada em um avião cujo comportamento não se assemelha ao que eles viram ao treinar e voar no 737 anterior? De acordo com o manual, a condição em que era necessário usar um cartão para eliminar o problema do aparador estabilizador era “movimento espontâneo constante do aparador estabilizador”. Os comandos do MCAS não eram constantes, mas repetidos, portanto, para diagnosticar o problema, foi necessário dar um salto no raciocínio.
Na época do acidente na Etiópia, 737 pilotos em todo o mundo sabiam sobre o MCAS e seu procedimento de desligamento. Um
relatório preliminar divulgado no início deste mês pela Ethiopian Airlines mostrou que, após alguns minutos de combate ao volante, os pilotos do voo 302, no entanto, aproveitaram o procedimento do cartão de controle e colocaram os interruptores STAB TRIM em CUTOUT. Depois disso, o estabilizador parou de responder aos comandos do MCAS sobre abaixar o nariz, mas os pilotos não conseguiram recuperar o controle da aeronave.
Ainda não está completamente claro por que eles falharam e o que aconteceu no cockpit nos últimos minutos. Um dos possíveis fatores é que a chave Recortar desabilita não apenas o movimento automático do aparador de pino, mas também os manuais, que são controlados pelos botões no volante de controle. O interruptor desliga toda a energia do motor elétrico que move o estabilizador. Em tal situação, a única maneira de mover o aparador é girar os volantes localizados ao lado dos joelhos dos pilotos. Durante a crise do voo 302, esse mecanismo poderia ser muito lento para ajustar o ângulo no tempo, ou os pilotos estavam muito concentrados em puxar o leme para trás com força máxima, para que não tentassem usar os volantes. Também é possível que eles voltem a NORMAL, restaurando a energia do motor estabilizador. Essa possibilidade não é mencionada no relatório, mas o gráfico do gravador de vôo o indica
(veja abaixo) .
Componente causando falha do sistema
Pode-se discutir se o MCAS é uma boa idéia quando funciona corretamente, mas quando ele liga
erroneamente e direciona o avião para o mar, ninguém ousa defendê-lo. Aparentemente, o comportamento descontrolado nos desastres da Lion Air e da Etiópia foi causado por um único mau funcionamento do sensor. Isso não deve acontecer na aviação. É impossível explicar por que algum dos fabricantes de aeronaves criaria intencionalmente um avião em que a falha de uma única peça levaria a um acidente fatal.
A proteção contra falhas únicas é fornecida por redundância, e esse princípio é tão plenamente incorporado no projeto 737 que a máquina pode quase ser considerada duas aeronaves em um edifício.
Nas aeronaves, que usam automação em um volume maior, todos os elementos (sensores, computadores, unidades) são geralmente duplicados três vezes .
No cockpit, há espaço para dois pilotos que olham para dois conjuntos de instrumentos diferentes e usam conjuntos de controles separados. Os painéis esquerdo e direito recebem sinais de diferentes conjuntos de sensores, cujos sinais são processados por computadores diferentes. Cada lado do cockpit tem seu próprio sistema de controle inercial, seu próprio computador de navegação e seu próprio piloto automático. A aeronave possui duas fontes de alimentação e dois sistemas hidráulicos, além de sistemas de backup mecânico em caso de falha hidráulica dupla. Duas rodas de controle no estado normal movem-se em uníssono - elas estão conectadas sob o piso - mas, se uma roda ficar presa, essa conexão poderá ser interrompida, o que permitirá ao segundo piloto continuar controlando a aeronave.
Há uma exceção a esta lista de sistemas duplicados: parece que um dispositivo chamado computador de controle de vôo (FCC) recebeu tratamento especial. Existem duas FCCs a bordo, mas, de
acordo com o site técnico do Boeing 737, apenas uma delas opera em cada voo. Todos os outros componentes duplicados trabalham em paralelo, recebem comandos de entrada independentes, executam cálculos independentes e transmitem ações de comando independentes. Mas em cada voo, apenas uma FCC realiza todo o trabalho, e a segunda está no modo ocioso. O esquema para escolher um computador ativo parece estranhamente arbitrário. Todos os dias, quando você liga a energia da aeronave, a FCC no lado esquerdo recebe o controle no primeiro voo, o dispositivo no lado direito assume o controle no segundo vôo do dia e, portanto, os dois lados mudam alternadamente até que a energia seja desligada. Após reconectar a energia, o uso alternado inicia novamente com a FCC esquerda.
Estou surpreso com muitos aspectos desse esquema. Não entendo por que a relação com dispositivos duplicados da FCC é diferente de outros componentes. Se uma FCC falhar, a segunda assumirá automaticamente o controle da segunda? Os pilotos podem alternar entre eles em voo? Em caso afirmativo, essa será uma maneira eficaz de lidar com a falha do MCAS? Tentei encontrar as respostas nos manuais, mas não posso confiar nas minhas interpretações do que li.
Além disso, tive muita dificuldade em encontrar informações sobre a própria FCC. Não sei quem produz, como fica e como está programado.
No site
Closet Wonderfuls , um item chamado “737 flight control computer” é vendido por $ 43,82 com frete grátis. O site da
Airframer possui listas de muitos fornecedores de peças e materiais para o 737, mas não há informações sobre o computador de controle de vôo. O dispositivo possui uma placa de identificação da Honeywell. Fiquei tentado a comprar o dispositivo no site Closet Wonderfuls, mas tenho certeza de que os modelos MAX mais recentes não têm esse dispositivo instalado. Aprendi que a FCC anterior era chamada de FCE (eletrônica de controle de vôo) e, a partir disso, podemos entender que o dispositivo era analógico, executava integração e diferenciação com a ajuda de capacitores e resistores. , FCC , , . Intel , , Linux Windows. .
MAX . -, MCAS; , MCAS. -, FCC , AoA MCAS. FCC.
FCC , , Indonesia. ( , ). .
(Manado → Denpasar) , , .
FCC? , MCAS, , FCC. , , , .
, MCAS AoA. ? : , 5,5 , MCAS . 4 5 ?
: AoA.
MCAS , ? ( ) , . «», .
MCAS 50- , AoA . MCAS 100- . ?
, , AoA.
, AoA . , : , 500 –40 .
, ( ). , , 610 . . , , , . , , ; , , 20 .
- , ? : 20 . , . : , 20 . -
Professional Pilots Rumour Network , , . , , , .
. , , . ? , .
,
FAA , AoA. , , , 737 MAX (
Rosemount 0861 ). , 20 .
- , , , , - . , , . AoA (Air Data and Inertial Reference Unit, ADIRU), , . ADIRU , , , , . , , . ( ADIRU .) , — , .
. , AoA, Lion Air 27 , .
, « », . , , , (Stall Management and Yaw Damper, SMYD) , , ADIRU. SMYD . Lion Air, Ethiopian , . , ADIRU.
- Lion Air, . 302 Ethiopian , AoA , . :
AoA , — , — . , , , , . — 75 . , , . .
, , 302. STAB TRIM, , . , , Cutout .
, - .
1. Lion Air Ethiopian AoA, , ( , Lion Air 27 ). , ,
XTRA Aerospace . , , Boeing, , XTRA.
400 MAX, 800 AoA. 3/800 ? , ?
2. (pitch trim) Lion Air 610. , , .
( ) . , , , . , . , « » , , , . , , MCAS . - . , AoA . FCC , .
3. AoA — Lion Air. :
( ) . , , , , 10 . , , . 610; . ( , .)
, — . ? , ? , AoA ? , . , . , AoA. , .
Seis meses atrás,
escrevi sobre outro desastre causado por um sistema de controle fora de controle. Nesse caso, a rede de distribuição de gás natural de Massachusetts era um local problemático, com um sistema de controle de pressão configurado incorretamente que causou incêndios e explosões em mais de 100 edifícios, além da morte de uma pessoa e ferimentos graves em vinte. Então lamentava que o pathos especial das tragédias tecnológicas estivesse no fato de que as máquinas que construímos e criamos a nós mesmos são as forças motrizes de nossa destruição.
Em um mundo em que o controle automático defeituoso explode em casa e faz com que os aviões caiam, é difícil argumentar sobre a necessidade de
mais automação, adicionando novas camadas de complexidade ao sistema de controle e proporcionando maior autonomia às máquinas. A sociedade está inclinada na direção oposta. Como o presidente Trump, a maioria de nós confia mais nos pilotos do que nos cientistas. Não queremos o MCAS a bordo. Queremos ver Chesley Sullenberger, o herói do vôo USAir 1549, enviando seu A320 com defeito para pousar no rio Hudson e economizando 155 passageiros. Nenhum nível de automação no cockpit não permitirá esse truque.
No entanto, uma análise fria e analítica das estatísticas sugere uma reação diferente. A participação humana nem sempre salva a situação. Por outro lado, o erro do piloto é responsável pelo maior número de acidentes fatais. Em um
estudo , os erros do piloto foram relatados como a causa raiz de 40% dos desastres e a falha do equipamento foi de apenas 23%. Ninguém (até agora) defende um
cockpit não tripulado , mas, no estágio atual de desenvolvimento da tecnologia da aviação, essa é uma perspectiva muito mais próxima do que um cockpit sem computador.
O MCAS Modelo 737 MAX é um compromisso particularmente complicado entre controle totalmente manual e totalmente automático. Os programas recebem uma grande parcela de responsabilidade pela segurança de vôo e até a oportunidade de bloquear a decisão do piloto. No entanto, no caso de um mau funcionamento do sistema, a responsabilidade de descobrir as causas e sua correção cabe inteiramente ao piloto - e a situação precisa ser corrigida rapidamente, caso contrário, o MCAS enviará o avião ao solo.
Dois aviões destruídos e 346 mortes são evidências convincentes de que esse projeto é uma má idéia. Mas o que podemos fazer sobre isso?
A Boeing planeja se afastar do controle automático, devolvendo mais responsabilidade e poder aos pilotos:
- O sistema de controle de vôo agora compara os sinais recebidos dos dois sensores AOA. Se os sensores divergirem em 5,5 ou mais graus com as abas fechadas, o MCAS não será ativado. Um indicador no cockpit avisa os pilotos sobre isso.
- Se o MCAS for ativado em condições anormais, ele fornecerá apenas um sinal de entrada para cada evento transmitido de AOA aumentado. Não há condições de falha conhecidas ou suspeitas sob as quais o MCAS transmitirá vários comandos de entrada.
- O MCAS nunca poderá transferir comandos do estabilizador mais do que aqueles que podem suportar a tripulação do leme. Os pilotos ainda terão sempre a opção de desativar o MCAS e o controle manual da aeronave.
O CEO da Boeing, Dennis Muilenberg, disse em comunicado que a atualização do software "garante que os acidentes do voo 610 Lion Air e do vôo 302 da Ethiopian Airlines não possam ser repetidos". Espero que isso seja verdade, mas e os incidentes que o MCAS deve evitar? Eu também espero que não possamos ler sobre o estol e o acidente do 737 MAX devido ao fato de que os pilotos consideraram o MCAS com mau funcionamento e continuaram a puxar as rodas de controle.
Se a Boeing escolhesse a abordagem oposta - não restringir o MCAS, aprimorá-lo com novos algoritmos que funcionam com o sistema de controle, esse plano seria percebido com indignação e ridículo. Realmente parece uma péssima ideia. O MCAS foi instalado para impedir que os pilotos entrem em uma área perigosa. Um novo sistema de vigilância monitoraria o MCAS, intervindo com comportamento suspeito. Mas não precisaríamos de outro que cuidasse do observador e assim por diante ad infinitum? Além disso, quando cada nova camada de complexidade é adicionada, obtemos novos efeitos colaterais, consequências indesejadas e a possibilidade de falhas. O sistema se torna mais difícil de testar e é impossível provar sua correção.
Essas são objeções sérias, mas o problema em consideração também é sério.
Suponha que o 737 MAX não tenha MCAS, mas no cockpit havia um indicador do ângulo de ataque. Em um vôo da Lion Air, o capitão achava que o dispositivo de alerta de vibração do leme o alertava de uma iminência iminente e veria um ângulo de ataque perigoso no painel de instrumentos. Suas habilidades diziam para ele fazer o que o MCAS fazia: abaixar o nariz para fazer as asas trabalharem novamente. Ele continuaria a abaixá-lo até o avião colidir com a água? Claro que não. Ele olhava pela janela, verificava novamente as leituras do instrumento do outro lado da cabine e, depois de alguns momentos terríveis, percebia que era um alarme falso. (No escuro ou em baixa visibilidade, quando o piloto não vê o horizonte, o resultado pode ser pior.)
Eu vejo duas lições neste exemplo hipotético. Em primeiro lugar, dados errôneos do sensor são perigosos, não importa quem controla a aeronave: um computador ou Chesley Sullenberger. Um sistema de instrumentação e controle projetado de forma inteligente tomaria medidas para detectar (e idealmente corrigir) esses erros. No momento, a única proteção contra essas falhas é a redundância do sistema e, na versão não modificada do MCAS, até essa proteção foi comprometida. Isto não é suficiente. Um ponto importante que dá vantagem aos pilotos vivos é que eles são razoáveis e às vezes céticos em relação às leituras dos instrumentos. Essa discrição é bem possível para sistemas automatizados. Você pode usar muitas fontes de informação. Por exemplo, uma incompatibilidade entre os sensores AoA, os tubos Pitot, os receptores de pressão estática e as sondas de temperatura do ar não é apenas um sinal de erro, mas também uma oportunidade de entender
quais dos sensores apresentaram mau funcionamento. O sistema de referência inercial fornece controle independente da posição da aeronave; Você pode até usar sinais de GPS. É geralmente reconhecido que a principal dificuldade é a conscientização de todos esses dados e a extração das conclusões corretas deles.
Em segundo lugar, o controlador com feedback tem outra fonte de informação: um modelo indireto do sistema controlado. Se você alterar o ângulo do estabilizador horizontal, precisará esperar que o estado da aeronave mude de maneira conhecida - seu ângulo de ataque, ângulo de inclinação, velocidade do ar, altitude e taxa de alteração de todos esses parâmetros. Se o resultado da ação de controle não corresponder ao modelo, algo está errado. A transmissão persistente de comandos idênticos quando eles não produzem os resultados esperados é um comportamento irracional. Nos pilotos automáticos, existem regras de conduta em tais situações; verificações de saúde semelhantes também podem ser implementadas em regras de controle de baixo nível que são realizadas durante o vôo manual.
Não estou dizendo que tenho uma solução para o problema do MCAS. E eu não gostaria de voar em um avião que eu mesmo projetei. (Sim, e você não quer.) Mas há um princípio geral que, penso, deve ser tomado com todo o coração: se sistemas autônomos tomam decisões "entre a vida e a morte" com base nos dados do sensor, é necessário verificar a correção desses dados.
11 de abril de 2019 atualização
A Boeing continua insistindo que o MCAS “não é uma função de proteção de estol ou uma função de prevenção de estol. Esta é uma função das qualidades de vôo. Opiniões de que isso é outra coisa são equívocos. ” Essa declaração foi feita pelo vice-presidente de desenvolvimento de produtos e aeronaves da Boeing, Mike Sinnett; A declaração apareceu em um
artigo de Guy Norris na Aviation Week , publicado em 9 de abril.
Não entendo muito bem o que "qualidades de manuseio" significa neste contexto. Essa expressão me parece ser algo que pode ter mais impacto no conforto, estética ou conveniência do que na segurança. Um avião com outras qualidades de voo pode ser sentido diferentemente pelo piloto, mas ainda pode ser controlado sem o risco de acidentes graves. Sinnett faz alusão a esta afirmação? Se sim, isto é, se o MCAS não é crítico para a segurança de vôo, estou surpreso que a Boeing não queira desligá-lo temporariamente para retornar os aviões de volta ao céu enquanto a empresa está trabalhando em uma solução final.
O artigo de Norris também cita as palavras de Sinnett: "Estamos tentando evitar uma situação em que o piloto puxa o leme em sua direção, de repente fica mais fácil fazer isso e ele também levanta o nariz". Essa situação, na qual o nariz é mais alto do que o piloto queria, me lembra o estado que antecede o estol.
A
história , escrita por Jack Nikas, David Gells e James Glantz no
New York Times , tem uma perspectiva diferente: sugere que as "qualidades voadoras" foram a motivação para criar a primeira versão do MCAS, mas os riscos de estagnação levaram parcialmente a sua maior amplificação.
Inicialmente, o sistema foi concebido para operar apenas em circunstâncias raras, ou seja, durante manobras de alta velocidade, para fornecer um controle mais suave e previsível para os pilotos que estavam acostumados a voar no 737 anterior.
Em tais situações, as ações do MCAS eram limitadas pelo movimento do estabilizador - a parte da aeronave mudando a direção vertical da aeronave - em cerca de 0,6 graus em cerca de 10 segundos.
Isso foi em torno do estágio de design, quando a FAA considerou o design original do MCAS. A aeronave ainda não passou nos primeiros vôos de teste.
Depois que os vôos de teste começaram no início de 2016, os pilotos da Boeing descobriram que, pouco antes de parar em velocidades diferentes, o MAX era controlado com menos previsibilidade do que eles queriam. Portanto, de acordo com um ex-funcionário que estava a par das negociações, eles sugeriram o uso do MCAS para essas situações.
E, finalmente, outro artigo da
Semana da Aviação de Guy Norris apresenta uma versão atraente do que aconteceu com o sensor de ângulo de ataque do voo 302 da Ethiopian Airlines. Segundo fontes da Norris, o cata-vento AoA foi abatido segundos após a decolagem, possivelmente devido a um golpe no pássaro. Essa hipótese corresponde aos gráficos extraídos do gravador de vôo, incluindo vibrações de aparência estranha no final do voo. Gostaria de saber se há alguma esperança de encontrar um cata-vento perdido, que deveria cair não tão longe do fim da pista?