elemes Creative Commons License 2019.06.05 0 4 97782

A menedzsment, a szoftveresek, az aerodinamikáért felelős tervezők, a berepülő pilóták, a főmérnök, az szövetségi légügyi hatóság különböző részlegei és a repülőgépet vezető pilóták a maguk részfeladatait az elvárható gondossággal teljesítették.  A főpilóta, aki a szoftver utólagos módosítását javasolta, nem tudta, hogyan érinti ez a gép biztonságát. A biztonságért felelős szakértők nem tudták, hogy a szoftver egyetlen szenzor jelei alapján hoz döntést. A hatóság a szoftver korábbi verziójának viselkedését elemezte. A pilóták átképzésének ellenőrzéséért felelős részleg nem is tudott a szoftver változtatásáról.  Utólag aztán minden érintett megrökönyödött.
- Ez k*rvára gáz. (egy programozó)
- Megdöbbentő. (biztonsági szakértő)
- Talán senki nem értette teljes egészében (szenzorokért felelős mérnök)

 

2012-ben a 737 MAX fejlesztésének korai szakaszában a Boeing akkori főpilótája, Ray Craig egy szimulátoros tesztet követően jelezte, hogy nagysebességű kitérő manővereknél a gép instabillá válik. (A szimulátor nem csupán a gép pilótafülkéjének látványos másolata, hanem a részletes tervek alapján készített fizikai és aerodinamikai modell, amely jókora számítási kapacitást használva nagy pontossággal követi a modellezett repülőgép viselkedését a különböző helyzetekben.) Az adatok elemzése kimutatta, hogy az aerodinamikai instabilitás oka a korábbinál szélesebb – ráadásul előrébb elhelyezett – hajtóműgondolákon ébredő extra felhajtóerő.

A főpilóta azt javasolta, hogy a szárnyakra épített terelőlemezekkel előzzék meg az instabillá válást, de a fejlesztők egy szoftveres workaround mellett döntöttek, amely a gép manőverezési jellemzőit alakította a korábbi (737NG) típushoz a pilóták szemszögéből hasonlóvá. Hogy ne legyen annyira kínos, nevet is adtak az új kódrészletnek: manőverezési jellemzőket leképező rendszer (Maneuvering Characteristics Augmentation System). A régivágású főpilóta idegenkedett attól, hogy számítógép avatkozzon be a repülőgép vezetésébe, de az ilyen nagy sebességű kitérő manőverek normál utasforgalomban rendkívül ritkák, végül elfogadta a szoftveres megoldást.

Az ekkor megvalósított MCAS a kitérő manőverre jellemző erőteljes gyorsulást észlelve, az állásszög érzékelők jelei alapján avatkozott be: a vízszintes vezérsíkot 0.6 fokkal elbillentve a stabilitás határain belül tartotta a gépet. A típusvizsgálatot végző hatóság, az FAA ezekkel a feltételekkel jóvá is hagyta a repülési tulajdonságok szoftveres korrekcióját.

 

Ray Craig 2015-ben nyugdíjba vonult. Egy évvel ez után került sor a 737MAX első éles repüléseire. Amikor az új főpilóta tapasztalatait beszélték meg a tervezők, az MCAS létezése már elfogadott tény volt, így mindenki természetesnek tartotta, hogy a kis magasságú, kis sebességű repülésnél észlelt kellemetlen (legalábbis a 737NG változattól eltérő) viselkedést az MCAS szoftverének módosításával fogják megoldani.

A kis sebességű manőverezésnél nincs jelentős centrifugális erő, az MCAS-ból a gyorsulásmérő szenzorra vonatkozó korábbi feltételeket simán kikommentezték. Emellett – mivel azonos hatás eléréséhez kis sebességnél nagyobb kormánykitérés kell – a vezérsíkba történő beavatkozás határait a korábbinak négyszeresére növelték. Az MCAS nevű kódrészlet tehát egyetlen mechanikus érzékelő jelei alapján dönthetett arról, hogy a gép orrát erőteljesen lefelé nyomja.

Az FAA-nál mindeközben folytatódott a típusvizsgálat. A 737MAX műszaki jellemzőit vizsgáló részleg az MCAS korábbi változatát már jóváhagyta. A módosított változatnál azt még ellenőrizték, hogy a szoftver hogyan viselkedik alacsony sebességnél, de már nem kezdték újra az MCAS átfogó vizsgálatát. A pilóták átképzési tananyagáért felelős FAA részleg pedig még ebből is kimaradt: nekik senki nem szólt az MCAS változtatásáról.

 

A módosított MCAS a berepülések során jól vizsgázott, még néhány hibalehetőséget is élesben teszteltek. Egyet azonban nem: magának az állásszög érzékelőnek a meghibásodását.  A biztonsági vizsgálat során előzetesen elemezték, hogy mi történne szenzorhiba esetén, és úgy értékelték, hogy az "súlyos" következményekkel járna (ez a "katasztrofálisnál" eggyel enyhébb), de az érzékelők gyártója szerint a szenzor igen ritkán romlik el (ritkábban, mint 10 milló üzemóra).

A Boeing elemzői azonban nem gondoltak arra, hogy az MTBF csupán a gyártó megbízhatósági adata: az érzékelő gyártási hibáját vagy elöregedését értékeli.  Valójában meglehetősen gyakori, hogy az állásszög érzékelő (a pilótafülke oldalánál látható kicsi szárnyacska, amely a légáramlás irányába fordul) madárral ütközik. Ha csupán a közlekedésbiztonsági hivatalnak bejelentett eseményeknek utánanéztek volna, akkor is évente 5-10 alkalmat találhattak volna – a karbantartás során észlelt szenzorhibák száma pedig ennek többszöröse.

 

A versenytárs Airbus modernizált gépe, a 321Neo ekkor már a piacon volt és kezdett veszélyessé válni a Boeing korábbi pozícióira. A Boeing vezetése vonzóbbá akarta tenni a 737MAX-ot legalább azon légitársaságok számára, amelyek már rendelkeznek 737NG flottával, ezért az új típusra történő átképzés költségeit a minimálisra akarták szorítani. Így történt, hogy a 737MAX típusfőmérnöke ártatlan kéréssel fordult az FAA-hoz: mi lenne, ha az MCAS-t egy szóval sem említenék a pilóták átképzési tananyagában, illetve a légiüzemeltetési utasításban? Hiszen pont az a célja, hogy a gép viselkedése a lehető legjobban hasonlítson a 737NG-re. A főmérnök kérésében nem volt rosszindulat: a cég ésszerűsítési intézkedései nyomán a 737MAX-ot szinte csak szimulátorban vezette, az MCAS gyakorlati működéséről nem voltak tapasztalatai.

Az FAA-nál az átképzési tananyaggal foglalkozó részlegnél az MCAS funkciónak csak korábbi (nagy sebességnél és éles manőverezés közben aktivizálódó) verzióját ismerték, ráadásul a Boeing főmérnöke korábbi kollégájuk volt, így engedtek ennek a kérésnek: a 737NG-ől 737MAX-ra történő átképzés egyetlen órányi, otthon, egy tableten végigpörgethető tanfolyamra egyszerűsödött.

 

A Lion Air katasztrófáját követően nagyon hamar az állásszög érzékelő meghibásodására és az MCAS-ra terelődött a gyanú. A Boeing alelnöke 2018 novemberében az American Airlines pilóták szakszervezetének még úgy érvelt, hogy a repülőgép az érzékelő hibája és az MCAS téves működése esetén is biztonságos: "Nincs szükség redundáns érzékelőre, az MCAS hibája esetén a redundancia a két jól képzett pilóta, akik megoldják a helyzetet."

 

A második katasztrófát követően után a teljes 737MAX flottára repülési tilalmat rendeltek el.