Problémy chybové indikace úhlu náběhu, které byly spouštěcím momentem katastrofy Boeingů 737 MAX Lion Air a Ethiopian se 346 oběťmi, nejsou nijak nové a postihly v minulosti také letadla Airbus. Jejich následky však nebyly tak dramatické.
Obr. 1: Pilotní kabina A321 (zdroj: Lufthansa)
Zřejmě první známý případ nastal 18. listopadu 2012, kdy se krátce po vzletu u Airbusu A330 společnosti Eva Air zasekla čidla indikace úhlu náběhu (AoA) na hodnotě 5°. Přes relativně malou odchylku rostlo s tím, jak letadlo stoupalo, riziko ztráty rychlosti a přetažení. V okamžiku dosažení kritické hodnoty reagovala automatika a namířila nos letadla k zemi. Letoun byl vybaven systémem BUSS (Back Up Speed). Ten v případě vypnutí jednotek ADR nastaví obrazovku EFIS (obr. 1) na režim, kdy nahrazuje obvyklou stupnici rychlosti a výšky podle údajů z inerce a GPS (obr. 2). Pilot pak udržuje letoun změnou tahu motorů v zeleném pásmu („Fly the Green“). Situaci se díky tomu podařilo zvládnout, ale vyšetřovatelé incidentu konstatovali, že za určitých okolností nemusí být piloti schopni udržet horizontální let ani za plného přitažení sidesticku. Uvedli, že i dvě či tři čidla mohou dávat chybové údaje, např. v důsledku námrazy.
Obr. 2: EFIS (normální zobrazení) (zdroj: http://www.jumboroger.fr/sondes-dincidence-aoa-lavion-deva-air-sauve-par-le-buss/)
Obr. 3: Režim BUSS (zdroj: http://www.jumboroger.fr/sondes-dincidence-aoa-lavion-deva-air-sauve-par-le-buss/)
Piloti letadel A320 a A330 byli instruováni, aby v případě „nekontrolovatelné polohy s nosem dolů“ odpojili zdroj dat. V roce 2013 byla navíc původní kónická čidla AoA nahrazena novými, která měla zaručit lepší odolnost proti působení vnějších vlivů.
V listopadu 2014 však analogickou situaci řešili piloti A321 společnosti Lufthansa, když krátce po startu z Bilbaa dvě ze tří čidel AoA zamrzla v poloze okolo 4,5° (letoun ve stoupání prolétával hladinu FL195 při vnější teplotě -35 °C). V hladině FL310 piloti zjistili nesoulad údajů o rychlosti, vypojili autopilota a převedli let do manuálního režimu. Letoun však přešel do klesání pod úhlem 3,5°, neboť při dosažení rychlosti M 0,675 čidla AoA vykazovala mezní hodnotu 4,5°, při které se spustila ochrana proti přetažení. Protože byla dvě čidla zamrzlá na zhruba stejné hodnotě, automatika detekovala správně ukazující třetí čidlo jako defektní, odpojila jeho vstupy a pro řízení použila vstupy zamrzlých čidel. Letadlo dosáhlo rychlosti klesání 4000 stop/min. a kapitán (nálet 16 tisíc hodin) byl schopen odvrátit nebezpečí pouze plným přitažením sidesticku. Letoun v mezidobí proklesal až do hladiny FL270. Let pokračoval v manuálním módu a udržel se v letové hladině pouze díky občasným zásahům sidesticku s výchylkou až 50 %. Pokus resetovat počítače Flight Augmentation Computer 1 a 2 problém neodstranil. Pozemní údržba na základě informací od posádky správně identifikovala příčinu problému, poradila vypnout jednotku ADR2 (Air Data Reference Unit). Jednotka ADR3 již byla vypnuta dříve. Let se následně normalizoval. Letoun nebyl vybaven původními kónickými čidly, ale novými. EASA proto mj. nařídila zaměnit některé typy čidel u letadel řady A320 a A330 za jiné jednotky, které jsou méně náchylné k chybám v důsledku vnějších vlivů. Airbus také upravil systém řízení a později u letadel A320neo zapracoval další změnu.
Oba případy se však odlišují od Boeingu 737 MAX tím, že 737 MAX používá jako vstup pro jednotku MCAS zdroj z jediného čidla AoA. U Airbusu se pilotům podařilo situaci vyřešit odpojením automatiky. Takové štěstí piloti Lion Air a Ethiopian neměli.
V nové verzi softwaru pro Boeing, která bude předložena FAA k recertifikaci, bude jednotka MCAS využívat vstupů od obou čidel. Ale jak automatika dokáže rozlišit chybový údaj od správného?
Současné zamrznutí dvou čidel AoA a vyřazení třetího, správně ukazujícího čidla automatikou bylo v listopadu 2008 příčinou katastrofy Airbusu A320 společnosti Air New Zealand, který se vracel z pronájmu od XL Airlines. Nechráněná čidla AoA se při běžném mytí letadla zaplnila vodou, která při letu v letové hladině zamrzla v poloze 4,2° a 3,8° a zůstala v této poloze i při sestupu. To by samo o sobě nemuselo ještě vést ke katastrofě, pokud by posádka nezačala v rámci předepsaných akceptačních testů uvádět letadlo do pádové konfigurace. Normálně se tyto testy musí dělat ve výškách alespoň 10 000 stop, ale vzhledem k provozu v těchto hladinách a nedostatku paliva se posádka rozhodla udělat test ve výšce pouhých 3000 stop. Když letoun začal padat a posádka zvýšila výkon pro zabránění pádu, poloha stabilizátoru „nose up“ nedovolila letadlo z pádu vybrat. Vzhledem k tomu, že se vše odehrálo v malé výšce, piloti už neměli čas letoun z kritické situace vyvést. Na výšce letu tedy závisí – piloti společnosti Lufthansa potřebovali k vyřešení problému 4000 stop, které letoun ztratil na cestě z FL310 do vyřešení problému. V případě uvedeného předávacího letu se vše odehrálo příliš nízko. A příliš nízko se také objevily problémy letů Lion Air a Ethiopian.
Podobný případ, byť tentokráte nesouvisející přímo s čidly AoA, nastal pouhých 7 týdnů před touto katastrofou, 7. října 2008. Letounu Airbus A330-303 společnosti Qantas ve výšce 17 000 stop selhala jedna ze tří jednotek inerčních dat a začala generovat skokové změny úhlu náběhu. Systém nevyhodnotil tato data jako chybná a převedl letadlo do prudkého klesání. Z 315 cestujících na palubě utrpěla třetina různá zranění, když byli vymrštěni proti stropu letadla. Chybu se nikdy nepodařilo odhalit a letecký úřad Australian Transport Safety Bureau to vyhodnotil jako zcela výjimečnou situaci. Na jednotce Northrop Grumann se takové chybové špičky objeví jednou za 128 milionů letových hodin. Jev byl vyhodnocen vzhledem k mizivé pravděpodobnosti jako „rizikový“ a nikoliv „katastrofický“. Vyšetřovatelé konstatovali, že automatika fungovala „vcelku efektivně“ a zvládá „takřka všechny možné situace“. Vyšetřování konstatovalo, že složitost systému „nedovoluje vyčerpávajícím způsobem vyšetřit všechny možné vzorky vstupů“. Přesto Airbus přepracoval algoritmus zpracování údajů AoA, aby možnému opakování případu Qantas zabránil.
Letadla Airbus jsou vybavena třemi čidly AoA, z nichž každé vysílá naměřený údaj do řídícího počítače. Ten údaje porovná a v případě souladu předá hodnotu do systému Fly by Wire jako pravdivou. V případě nesouladu informuje piloty a vyřadí údaj, který neprojde „hlasováním“. O rozhodnutí zároveň informuje pomocí systému ACARS údržbu.
Pokud se liší všechny tři hodnoty, systém Fly by Wire se odpojí a informuje piloty. V takovém případě funguje pouze manuální trimování, letoun přejde na sníženou rychlost a autopilot se odpojí. Letoun by měl pokračovat v letu na nejbližší vhodné letiště s několika omezujícími limity.
Boeing 737 MAX má čidla pouze dvě, takže hlasování v případě odchylky údajů je vyloučeno. Údaj z jediného čidla přichází do jednotky ADIRS (Air Data/IRS computer system) a odtud do jednotky Maneuvering Characteristics Augmentation System (MCAS). Jednotka MCAS nemá žádný chybový mód, takže v případě chyby lze dělat jediné: zjistit, že elektrický „trim“ ujíždí, srovnat letadlo a vypnout elektrický trim. Zajistit, aby letoun neletěl příliš rychle, mechanicky přetočit trim zpět (až desítky otoček) a pokračovat v ručním řízení letu bez pomoci autopilota či automatického vyvažování. Evropská agentura pro bezpečnost letectví EASA přitom upozornila, že manipulace s ručním trimem vyžaduje vynaložení velké síly a může být za hranicemi fyzické schopnosti pilotů.
O nesouladu údajů čidel mají být piloti 737 MAX informování indikátorem „AoA disagree“. Pokud by ovšem fungoval. Jak se ukázalo, tyto indikátory systematicky nefungovaly a společnosti ani piloti přitom o této skutečnosti nebyli informováni. Indikátory fungovaly pouze v případě, kdy letoun byl vybaven dalšími volitelnými doplňky. Ty však ani Lion Air ani Ethiopian neměly. Boeing o defektu věděl a chystal se jej vyřešit teprve v rámci nástupu 737 MAX 10 v roce 2020. Nefunkčnost indikátoru přiznal teprve po katastrofě letadla Lion Air.
Obr.4: Indikátor čidla měření úhlu náběhu Boeing 737 MAX (N87040)
Stávající řešení u Airbusů A320 a A330 shledává EASA jako„dostatečně robustní“, neboť se opírá o údaje ze tří čidel AoA. Naopak 737 MAX se dvěma čidly AoA vylučuje použití „hlasovací logiky“. Tři čidla dávají větší šanci vybrat správný údaj a eliminovat důsledky selhání jediného čidla. Vzniká tedy logicky otázka – je řešení se dvěma čidly rovněž „dostatečně robustní“? Ale na tuto otázku si bude muset odpovědět sama EASA, jakmile bude 737 MAX někdy koncem tohoto roku (nebo později) recertifikovat.
Uvedené případy ilustrují, jak dlouho trvá odhalení možných problémů v systému řízení soudobých letadel. Přitom nikdy nebudeme vědět, zda již byly odhaleny všechny. Ostatně právě na to upozorňuje závěr australských vyšetřovatelů. Ani 35letá zkušenost Airbusů a trojí zabezpečení nevylučuje rizika.
Ve srovnání s A320, který byl od počátku vyvíjen se systémem „Fly by Wire“, je znalostní základna okolo automatického řízení 737 MAX logicky omezená. MAX byl uveden do komerčního provozu teprve v roce 2017 a v dřívějších generacích 737 se problematická jednotka MCAS nevyskytovala. Řízení MAXe je hybridem klasického řízení, které má kořeny v 60. letech, s prvky Fly-by-Wire a navíc se systémem MCAS. MCAS přitom stále zůstává nejpravděpodobnější příčinou obou katastrof.
Je nepochopitelné, jak mohl nejzkušenější světový výrobce letadla pověsit životy cestujících na jediné čidlo AoA a toto riziko dále zvýšit nefunkční indikací „AoA disagree“. To se prokázalo zejména během vyšetřování komisí Kongresu Spojených států, kdy někteří zaměstnanci Boeingu uvedli, že byli šokováni, když se po katastrofě Lion Air dozvěděli, že jsou vyhodnocovány údaje z jediného čidla. Přitom je známo, že čidla mohou být také poškozena na zemi nebo během letu působením vnějších sil nebo vlivem prostředí.
Míra zanedbání společností Boeing a selhání FAA je natolik vážná, že vyšetřováním katastrof se zabývají nejen francouzský vyšetřovatel BEA, ale rovněž vyšetřovací komise Kongresu, americké Ministerstvo spravedlnosti a FBI.
Obr.5: Kpt. „Sully“ Sullenberger vypovídá před vyšetřovací komisí Kongresu (zdroj: CBS)
BUSS je Back Up Speed Scale to Scale nějak z článku vypadlo
Úhel náběhu jde zjistit i jinak,než křidélkem. Existují tzv "Smart probes" , což je pitotka se dvěma statickými otvory (a dvěma nezávislými tlakovými čidly).S měnícím se úhlem náběhu se mění poměr tlaků v těch dvou portech. Další výhoda té smart próby je,že od ní nevedou žádné trubky k převodníkům,ty jsou součástí proby. Ven jdou pouze kabely k systémům letadla. Na letadle je zpravidla pitotek víc - tři,čtyři,takže zálohování a porovnávání několika vstupů je velmi snadné.
Nehoda letu Qantas 72 ale jednoznačně ukázala na to, že že programátor jednoznačně nerespektoval pravidlo FMEA. Protože pokud systém připustí dvě sousední hodnoty , které se liší o 50° jako pravdivé, tak je to jednoznačně špatně. Do této polohy se letadlo prostě za tu dobu není schopno dostat, aniž by se rozlámalo. Jsem zvědav, zda již byla do autopilota zadána detekce chyb. Obecně ve mne Airbus budí podstatně méně důvěry než Boeing, právě proto, že u Boeingu má téměř vždy přednost pilot před počítačem. U Airbusu je to naopak. Neznám přesně tyto letouny, ale z rozborů nehod vyplývá víceméně toto.
Tom: Ano, ta stíhačka prostě visí na motoru. Takže ona má záměrně úhel náběhu úplně šílený.
Na takovou situaci by právě ten MCAS měl reagovat. A stejně by na ni ní zareagoval i systém s akcelerometrem a měřením výškového profilu letu - letadlo je natočeno šikmo vzhůru (říká akcelerometr) a nestoupá (říká výškový profil), z toho plyne, že je letadlo přetažené.
V jaderné energetice se od ochranných systémů požaduje odolnost proti jednoduché poruše (redundance) a poruše se společnou příčinou (diverzifikace). Proto jsou vždy dva druhy ochran na různých fyzikálních principech a každá má minimálně tři nezávislé okruhy (divize), kde probíhá "hlasování" dva ze tří.
Katastrofa AF 447 s tematem nesouvisi. Tam automatizace zareagovala presne tak, jak mela. Tam nebyl problem s letovou zpusobilosti letadla ale chyba v lidskem faktoru casti posadky. Reakci na nehodu byla dalekosahla zmena vycviku novych i soucasnych pilotu. A nehoda Airbusu 300 AA 587? Tak to byla jednoznacne prokazana chyba pilota. Uplne stejne by za soucasnych certifikacnich pravidel sundal ze vzuchu i jakykoliv Boeing, Embraer, atd...
Jinak clanek se mi libi. Je to celkem dobre shrnuto.
Já měl za to, že umělý horizont drží "vodorovnou" rovinu a když se mi zvedne čumák, vidím to na něm. Takže b mělo stačit držet se toho, ale asi to tak snadné není, prosím o vysvětlení.
Rollfree: Akcelerometr imho supluje inerce (viz clanek).
Dobrý den,bohužel uhel náběhu ,nemusi vzdy znamenat zmenu vysky,podivejte se na nějaký letecky den kdy tam leti treba stíhačka na minimalni rychlosti a uvidite ze leti rovne a obrovsky uhel nabehu
Celkem 13 záznamů
Copyright © 1999-2024 planes.cz | Redakční systém
[quote]Pokud se liší všechny tři hodnoty, systém Fly by Wire se odpojí a informuje piloty. V takovém případě funguje pouze manuální trimování, letoun přejde na sníženou rychlost a autopilot se odpojí. Letoun by měl pokračovat v letu na nejbližší vhodné letiště s několika omezujícími limity.
[/quote]
FBW nelze "odpojit" - v zavislosti na mnozstvi a kvalite sensoru system muze pouze degradovat do modu s nizsi autoritou a mensi moznosti ochrany obalky, mimochodem take se zvetsenou ucinnosti ridicich ploch. A to treba uz v pripade dvou vadnych AOA, ADR...