Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og du accepterer, at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, job og tilbud m.m. via telefon og e-mail. I nyhedsbreve, e-mails fra Teknologiens Mediehus kan der forefindes markedsføring fra samarbejdspartnere.
andre skriver

Boeing 737 Max fik lov til at flyve, selvom rapport viste høj risiko for ulykker

Illustration: Wikimedia Commons

De amerikanske luftfartsmyndigheder, FAA, tillod flyvninger med Boeings 737 Max, selvom en rapport, som de selv havde udarbejdet, viste, at flyene gennemsnitligt ville styrte hver anden eller tredje år, hvis der ikke blev gjort noget ved flyenes flystyringssoftware. Flystyringssoftwaren var involveret i de to styrt, der tilsammen har dræbt 346 personer. I oktober 2018 styrtede en af Lion Airs 737 Max, og 189 personer døde. På baggrund af ulykken udarbejdede FAA en rapport, der konkluderede, at der ville komme flere fatale ulykker, hvis der ikke blev gjort noget ved flyene. Et andet 737 Max fra Ethiopian Airlines forulykkede i marts 2019 og dræbte 157 personer. Kort efter blev flyene 'grounded' - holdt på jorden. Ifølge Wall Street Journal havde flere ansatte ved FAA store bekymringer om den software på flyene, der skal forhindre flyene i at 'stalle', men de godkendte alligevel flyene, i håb om at Boeing ville fikse softwaren. Den beslutning kom, kun få måneder før piloterne på flyet fra Ethiopian Airlines kæmpede med at få kontrol over flyet, hvor den selvsamme software pressede flyets næse nedad, indtil det i sidste ende styrtede fatalt.

OGSÅ VÆRD AT LÆSE
via Politiken 21. jan 2020 07:54 11
DSB udskyder opgradering af dobbeltdækkertog
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Når jeg læser sådan en sætning her:

men de godkendte alligevel flyene, i håb om at Boeing ville fikse softwaren

bliver jeg ramt af en sort og inderlig dystropi.

For hvorfor i alverden er vi allesammen blevet så kollektivt dumme inden for ganske få årtier at den nye gud hedder digitalisering, og hans svar på alle vores bønner er at hælde magisk IT-sovs ud over sårene, så heles de helt automatisk.

Nysgerrighed slog katten ihjel, dumhed er godt i gang med at gøre det med mennesket.

  • 16
  • 2

Det er min opfattelse, at flere selskabers piloter var klar over problematikken og derved hindrede ulykkerne - samt indrapporterede til Boeing - så det er vel som udgangspunkt ikke nødvendigt “bare” at undlade at flyve med 737 Max? Valg af flyselskab og deres pilotuddannelser / Track-record bør vel være et rimeligt og bedre udgangspunkt??

737 NG er vel ikke et problem?

  • 0
  • 0

I gamle 737 NG er der konstateret revner i den konstruktion som holder vingerne. Om det er værre end med andre fly ved jeg ikke. Fly skal jo vedligeholdes.

  • 1
  • 0

men de godkendte alligevel flyene, i håb om at Boeing ville fikse softwaren

Den rapport der henvises til er udarbejdet mellem de to haverier, på dette tilspunkt havde flyet jo allerede et godkendt typecertifikat.
Derfor er der vel ikke tale om at de 'godkendte flyet' , snare at de ikke udsendte et luftdygtigheds direktiv om at det ikke må flyve før problemerne er løst 'Grounding'.
De må (fejlagtigt) have vurderet at de kunne nå at rette systermerne inden det næste haveri .

  • 3
  • 0

De må (fejlagtigt) have vurderet at de kunne nå at rette systermerne inden det næste haveri .

... og altså have vidst, at flyene fløj med fejlagtig software som forårsagede styrt.

At foretage debugging på software, hvor fejl betyder tab af menneskeliv er - lad mag sige det mildt - uaccepabelt. Måske flyindustrien bør se på hvad man gør i medico industrien for at sikre at apparaterne ikke slår patienter ihjæl. Her laver man altså ikke debugging med patienter koblet til apparatet.

  • 8
  • 1

For hvorfor i alverden er vi allesammen blevet så kollektivt dumme inden for ganske få årtier at den nye gud hedder digitalisering, og hans svar på alle vores bønner er at hælde magisk IT-sovs ud over sårene, så heles de helt automatisk.

Som jeg ser det er problemerne med design af B737 som følgende:
1) Flyet har ikke et rigtigt fejltolerant fly-by-wiere system, det er ikke forsvarligt at så stort et fly (designet efter år 2000) er baseret på 'manually reversion'.

2) Flyet har ikke en fejltolerant auto pilot. (ingen voting mellem sensorere, og fejler ikke sikkert hvis der er uoverensstemmelser)

3) Forsøgt at løse et aerodynamisk stablitets problem via. kontrol algoritmer.

  • 2
  • 1

og altså have vidst, at flyene fløj med fejlagtig software som forårsagede styrt.

Det er ikke et software problem.. Men et product management og systems engineering problem. Softwaren virkede efter specificationen, men da hele HW/SW arkitekturen er forkert, så er software kravene også forkerte. Dvs. problemet kan ikke løses (ordentligt) ved software opdatering.
VW diesel skandalen blev også beskrevet som et software problem, der underlig nok har bevirket at mere end 350k køretøjer er parkeret i nogle amerikanske ørkner.
Men skulle tro at software var nemt at rette :-)
asd

  • 2
  • 1

Hvorfor ruller der ikke hoveder? Hvorfor er ingen fængslet?


Hvem vil du fængsle?
Dennis Muilenburg Boeing CEO, har helt klart haft fokus på kortsigtet share holder value. Og presset på for at der skulle fortsættes med at udvikle videre på det gamle design for at holde R&D omkostninger nede, og forkorte time to market. Det er i sig selv ikke ulovligt..
Dennis har været ude og kritisere sine forgængere for at have udviklet B787 fra bunden af hvilket har givet store omkostninger pga. design fejl som skulle rettes, han har istedet argumenteret for at løbende forbedre eksisterende designs.
Der har også været folk internt der gerne havde set et clean-sheet design som etstatning for B737, mens at der har været andre som har ment at 737 MAX var et godt design.
Det er ikke udsædvanligt at der internt i firmaer der diskution om tekniske løsninger.
Der er mig bekendt ikke gravet oplysninger frem om at ansatte i Boeing har råbt op om at designet var farligt. (Kun at det var et forældet design, med en god sikkerheds statistik)
Dog har der været noget fremme om en 'teknisk pilot' (En pilot som ikke er med i udviklings/certificerings processen af selve flyet, men kun arbejder med udarbejdelse /certificering af manualer FCOM) som undrede sig over at MCAS var blevet ændret til at operere ved lavere hastigheder, og benytte større trim bebægelser.
FAA var ikke med i implikationerne af design beslutninger pga. industriens og politikernes politik om deregulering, og et ønske om et minimalt antal offentlige ansatte.
Man kan klandre politikerne for at have dereguleret.
Man kan klandre Boeing for ikke at have været omhygelig nok med risiko vurderinger, og ikke at have informeret FAA om de sidste ændringer i MCAS.
Og man kan klandre FAA/NTSB for ikke at have grounded flåden efter den første ulykke.
Men jeg er ikke sikker på at nogle kan straffes for det.

  • 2
  • 3

Man kan klandre Boeing for ikke at have været omhygelig nok med risiko vurderinger


Nej, nej og atter nej. Boeing skulle blot spørge sig selv: hvad sker der når en AoA-sensor fejler? Når flyet kun benytter data fra en enkelt AoA-sensor på en given flyvning? Når vi samtidigt fortæller kunderne og piloterne, at alt er fuldstændigt som i de gamle 737'ere? Og når vi samtidigt laver væsentlige ændringer i måden hvorpå MCAS-systemet skal frakobles i forhold til tidligere 737'ere? Og når vi samtidigt, i de billigste versioner af 737-Max, deaktiverer lampen i cockpittet som skal advare piloterne om at AoA-sensorerne ikke er enige, hvilket var standardudstyr i tidligere 737'ere?
Dennis Mullenburg var både direktør og bestyrelsesformand i Boeing, og han er 100% ansvarlig for hele miseren.

  • 10
  • 0

737 NG er vel ikke et problem?


Der har været problem med kompressoren og dens afskærming på lidt ældre fly. Der har været to havarier, hvor dele af en havareret kompressorskovl er gået gennem afskærmningen, senest i april 2018. Første gang punkterede den trykkabinen. Anden gang smadrede den et vindue. Passageren der sad lige indenfor døde sidenhen af sine skader. Dette er dog ikke en fejl på selve flyet men på motoren. Boeing er blevet pålagt at lave en kraftigere afskærmning af kompressoren.

  • 1
  • 0

Jeg vil ikke forsvare Boeing… Men der er forskel på at firmaet har gjort noget ansvarspådragende (Civil retlig), og noget strafferetlig.

hvad sker der når en AoA-sensor fejler?

Her er Boings svar at det kan forårsage et trim runaway, hvortil der er en 50 år gammel veletableret procedure for, og det forventes at piloterne reagere inden for 3 sec. på uventet trim aktivering.
Problemet er at B737 NG og MAX har speed trim der foretager mange korte trim aktiveringer under start og landing, som umiddelbart ligner fejlende MCAS aktiveringer.

Når vi samtidigt fortæller kunderne og piloterne, at alt er fuldstændigt som i de gamle 737'ere?

Jeg mener at systemet var beskrevet i dokumentation til fly mekanikerne, men ikke til piloterne :-(

Og når vi samtidigt, i de billigste versioner af 737-Max, deaktiverer lampen i cockpittet som skal advare piloterne om at AoA-sensorerne ikke er enige, hvilket var standardudstyr i tidligere 737'ere?

Nej, Det er forkert..
De helt gamle gamle fly havde hverken AoA værdi indikering, eller status indikering om de var enige.
AoA visning er en option på NG, og MAX, og status indikering skulle have været standard på MAX, men blev ved en fejl kun vist hvis AoA visning var tilvalgt.
AoA visning og status indikering er kontroversiel af flere årsager: Giver mere rodet PFD, Viser AoA information som dele af branchen mener ikke er nødvendig, og forøger mængden af information som piloterne skal fordøje i tilfælde af fejl.
Traditionelt har B737 haft et system med at hver ’failure’ har en lampe..som tændes samtidig med at en ’caution’ lydgiver aktiveres. På Flight Control panelet findes advarsels lamperne til MCAS halvsøskende ’Speed trim fail’, og ’MACH trim fail’. http://www.b737.org.uk/images/flightcontro...
På B737 NG blev der indført ’Airspeed disagree’ som vises på PFD, hvilket jeg mener er en lappe løsning. http://www.b737.org.uk/images/pfd.jpg. På B737 MAX blev der yderligere tilføjet en ’AoA Disagree’ hvis AoA visning var tilvalgt.
Der var i forvejen 3-4 aktive failures på ulykkes flyene, med hver deres checkliste, det at tilføje en 5 er ikke løsningen.
På moderne Boeing og Airbus er der i stedet et ECAM/EACS system https://en.wikipedia.org/wiki/Electronic_c... som prioitere i de aktive failures, og fortæller hvad de betyder for den videre flyvning. F.eks. ’flaps virker ikke’, ’genberegn anflyvnings hastighed’, ’genberegn landings distance’.

  • 3
  • 1

Jeg mener at vide, at på de gamle fly blev MCAS-systemet deaktiveret ved at rykke styrepinden helt tilbage, hvorved der (måske) ville være tid nok til at dreje trimhjulet de påkrævede 50 omdrejninger. I 737-Max koblede MCAS-systemet sig selv til igen efter 5 sekunder. Desuden kunne det regulere 4x kraftigere end specificeret.
737-Max er simpelthen fejlkonstrueret i en grad, som er helt uacceptabel. Og Dennis Mullenburg burde tilbringe resten af sine dage i fængsel, og Boeing burde gå konkurs, efter min mening.

  • 7
  • 2

Jeg mener at vide, at på de gamle fly blev MCAS-systemet deaktiveret ved at rykke styrepinden helt tilbage,

Det er korrekt, bortset fra at de ældre fly ikke havde MCAS. Pidestal switche kunne afbryde i tilfælde af fejl i manuelle trim switche, Speed og MACH trim (De to sidste er software funktioner som MCAS)
Problemet er at MCAS måske er en forklædt stick pusher, og en stick pusher må man ikke kunne overstyre ved at trække styre pinden tilbage. Det er muligvis derfor at denne software overide funktion er fjernet. Det er noget rod..

  • 3
  • 0

Der har også været folk internt der gerne havde set et clean-sheet design som etstatning for B737, mens at der har været andre som har ment at 737 MAX var et godt design.


Boeing var i gang med at se på en erstatning for 737NG da de blev "taget på sengen" af at Airbus præsenterede 32xneo. Her skar man så alle hjørner der kunne skæres for ikke at komme for sent ud. Hele tiden med tanke på at kunne påberåbe sig "grand fathering", d.v.s. at dette stadig væk var det samme fly som 737 "Jurassic". Hvis man ikke kunne det så måtte skulle man f.eks. gøre nødudgangen større da de ikke overholdt moderne minimumsmål. En ændting af "flight control" systemet så det blev redundant ville sandsynligvis også forhindre "grand fatrhering". Det gjorde så også at man ikke gjorde hovedlandingsstellet længere, da det ville kræve at man ændrede vingen. Desuden ville det så medføre at piloterne så skulle uddannes separat på de forskellige udgaver. Det koster ekstra.

  • 4
  • 0

Det er almindeligt kendt at det med stor sandsynlighed var fejl på Angle-of-Attack (AoA) proberne der startede de to ulykker. For det indonesiske fly er det bekræftet at der er leveret en defekt reservedel fra en af Boeings underleverandører. For havariet i Etiopien mener man at en "birdstrike" på AoA proben kan være årsagen da man fra log-filer kan se at proben fungerede korrekt da flyet startede men så pludseligt fejler.

  • 2
  • 1

Flyet har ikke en fejltolerant auto pilot. (ingen voting mellem sensorere, og fejler ikke sikkert hvis der er uoverensstemmelser)

Fejltolerance er besværligt. Så længe man har at gøre med "logiske" (fra/til) følere kan man normalt klare sig med to følere. Kravet vil så være, at hvis de ikke er enige så laver man en fejlhåndtering. Når man derimod har f.eks. to Angle-of-Attack følere der giver en analog værdi, hvad gør man så hvis de er uenige? Hvilken af følerne skal man stole på? Hvor uenige må de være? Her har man så brug for mindst tre følere så man kan lave en majority voting (fletalsbeslutning). Det ville medføre at der bl.a. skulle være en AoA føler mere på flyet og dette ville forhindre "grand fathering".

  • 1
  • 0

737-Max er simpelthen fejlkonstrueret i en grad, som er helt uacceptabel.

Enig, Mange af mine indvendinger gælder også NG, som dog har statistikken med sig..

Og Dennis Mullenburg burde tilbringe resten af sine dage i fængsel

Det tror jeg ikke kommer til at ske.. Med mindre man kan finde et stykke papir som han har læst, hvori der står at hans beslutninger vil medføre tab af meneskeliv. VW diesel skandalen var mere simpel, da det hurtigt blev klart at nogle langt oppe i herakiet havde beordet snyde funktionen indbygget.

og Boeing burde gå konkurs

Ja, nogle Europæerne ser måske gerne at Boeing går konkurs (Nok ikke Airbus), på samme måde som Amerikanerne gerne så VW gå konkurs.
Men det kommer ikke til at ske. Boeing er vigtig for den amerikanske forsvars industri, amerikaerne vil ikke købe vigtige våben systemer udenlands. Der er mange arbejds pladser involveret, og amerikanernes selvforståelse vil blive ramt hårdt hvis de ikke har en lendende flyproducent. Kort fortalt: too big too important to fail..

  • 3
  • 0

Når man derimod har f.eks. to Angle-of-Attack følere der giver en analog værdi, hvad gør man så hvis de er uenige? Hvilken af følerne skal man stole på?


Hvilken funktion har en pilot i et fly? Kunne man ikke have lavet systemet sådan at det blev permanent frakoblet når piloten har forsøgt at slå det fra 3 gange? Eller hvis AoA-sensoren viste en stigningsgrad som var fysisk umulig for et passagerfly, så blev der skiftet til den anden sensor? Der er jo også højde, hastighedsmålere og en kunstig horizont, som vel kunne komme med supplerende input til AoA-sensorens visning?
Nej, jeg er virkelig skuffet over Boeing.

  • 1
  • 1

Kunne man ikke have lavet systemet sådan at det blev permanent frakoblet når piloten har forsøgt at slå det fra 3 gange? Eller hvis AoA-sensoren viste en stigningsgrad som var fysisk umulig for et passagerfly, så blev der skiftet til den anden sensor?


Fejlen var at piloterne ikke var klar over hvordan man slog det fra, det det ikke var mandatory træning. De fleste vestlige selskaber havde taget træningen og var klar over hvordan man slog det fra. Der har næppe været nogen fare der uanset hvor dumt systemet var designet.
Problemet er at det burde have været mandatory træning!
Det er bestemt ikke en fejl at den "kun" tager data fra en AoA sensor. Det er et helt bevidst valg som følger den måde de altid har designet fly på, hvor kaptajn og styrmand har hver deres sensore. Det var heller ikke det som fik skidtet til af styrte ned.

  • 1
  • 1

Det er almindeligt kendt at det med stor sandsynlighed var fejl på Angle-of-Attack (AoA) proberne der startede de to ulykker. For det indonesiske fly er det bekræftet at der er leveret en defekt reservedel fra en af Boeings underleverandører.


Ja, det udstyr de brugte til at justere sensoerne havde en 'relativ' funktion på samme måde som et multimeter kan måle relativ spænding ved at trykke på en knap. Det betød at en fejl betjæning kunne give et forkert offset justering.

For havariet i Etiopien mener man at en "birdstrike" på AoA proben kan være årsagen da man fra log-filer kan se at proben fungerede korrekt da flyet startede men så pludseligt fejler.

Der er ikke fundet nogle rester af fugl.
Desvære er AoA designet ikke særlig robust, da det er baseret på at pinol skruer låser aksler og pinioner sammen via. friktion, istedet for f.eks. not og fjer. Fejlen kunne skyldes en skrue der ikke var strammet ordentligt.
https://twitter.com/Satcom_Guru/status/111...

Det er velkendt at alle de sensore der sider uden på flyet er udsatte for common course fejl ifm. overisning, birdstrike etc.

Det er også derfor det er nemme at lave flight controls robuste (som basere sig på sensore inde i flyet der ikke gerne skulle have common course fejl), end autopilot som basere sig på sensoere uden på flyet (Static, Dynamic, OAT, TAT, AoA, MACH etc)

  • 0
  • 0

Hvilken funktion har en pilot i et fly? Kunne man ikke have lavet systemet sådan at det blev permanent frakoblet når piloten har forsøgt at slå det fra 3 gange?

Flight controls (servoer) bør laves således at de har tilstrækkelige beskyttelse imod runaway, at piloterne ikke skal have procedure for fejlisolation/cut-off, hvilket er et certificerings krav hvis flyet ikke kan flyves sikkert med en flight control i fuld udstyret position.
Mht. auto pilot så bør den designed således at den afbryder ved disagreement, og hvis den ikke selv kan finde ud af det så skal det være nemt at afbryde den, inc. 'protections' ved manuel flyvning.

Eller hvis AoA-sensoren viste en stigningsgrad som var fysisk umulig for et passagerfly, så blev der skiftet til den anden sensor? Der er jo også højde, hastighedsmålere og en kunstig horizont, som vel kunne komme med supplerende input til AoA-sensorens visning?

Der er ingen tvivl om at systemet kunne være designet meget bedre, men det er svært at erstatte data fra udvendige sensore med data fra INS systemet.
Specielt ved isning kan luftmassen omkring flyet have ændret vertikale hastigheder, som gør at man ikke nødvendigvis kan basere sig på sidste minuts windspeed + Ground speed=TAS.
Og Fligth deck angle, AoA, og flight path er ikke det samme.
Istedet benytter man Pitch+Power.

  • 1
  • 0

Fejltolerance er besværligt. Så længe man har at gøre med "logiske" (fra/til) følere kan man normalt klare sig med to følere. Kravet vil så være, at hvis de ikke er enige så laver man en fejlhåndtering. Når man derimod har f.eks. to Angle-of-Attack følere der giver en analog værdi, hvad gør man så hvis de er uenige? Hvilken af følerne skal man stole på? Hvor uenige må de være? Her har man så brug for mindst tre følere så man kan lave en majority voting (fletalsbeslutning).


Enig..
Triple Module Redundency (TMR) kræver tre sensoere og tre controllere til at foretage afstemningen (Hvis de i sig sev ikke er fail silent i tilfælde af interne fejl.)
Hvis man gør hver sensor to kanals, feks. at AoA sensoren har to encodere på akslen, som bliver valideret imod hinanden før de bliver brugt, så kan man forhindre at fejlagtige værdier bliver brugt (Fail silent), og man kan i princippet nøjeds med to sensore. Problemet i dette tilfælde er common mode failures uden for sensoren (is, bird strike)
Det at fremføre de tre signaler analogt til tre forskellige controllere er ikke godt hvis elektrisk støj kan betyde at de ikke sampler samme måle værdi, hvilket kan betyde at de har hver sin ide om hvad der er rigtigt. https://en.wikipedia.org/wiki/Byzantine_fault
Det er meget bedre at sensoren foretager digitaliseringen fældes, og sender den på redundante busser med bus-guardian.

Det ville medføre at der bl.a. skulle være en AoA føler mere på flyet og dette ville forhindre "grand fathering".


Ja.. Med et øget antal sensorer, er der også øget risiko for at en flyvning ikke kan foretages, derfor er der brug for en fjerde sensor således at man kan dispatche med en defekt sensor (MEL).

  • 0
  • 0

Fejlen var at piloterne ikke var klar over hvordan man slog det fra, det det ikke var mandatory træning. De fleste vestlige selskaber havde taget træningen og var klar over hvordan man slog det fra. Der har næppe været nogen fare der uanset hvor dumt systemet var designet.


Her kommer den sædvanlige bashing af ikke-vestlige flyselskaber og piloter. Det er simpelthen noget vrøvl.

Piloterne på Ethiopian Air SLOG det fra. Det slog til igen efter 5 sekunder. Derefter tog de sikringerne på den elektriske trimregulering. Det stoppede MCAS. Desværre så havde MCAS kørt trim langt ud, og med mindre man er The Hulk så kan man ikke manuelt køre det ind igen. Udvekslingen på det manuelle trimhjul er simpelthen for høj.

Det viser sig senere at Boeing har en plan for hvad man så gør: Man skubber styrepinden frem så flyet får mindre belastning på haleplanet, hvilket så gør at man igen kan regulere trim manuelt (samtidigt med at man mister en masse højde). Når man har reguleret lidt hiver man tilbage igen og vinder højde, og så gør man det ellers en gang til osv. Det er ikke en oplagt god løsning i lav højde, og det er ikke beskrevet i nogen manual.

Efter at have fulgt manualen til punkt og prikke og stadig på vej mod jorden fraveg piloterne checklisten og satte sikringerne til trimreguleringen i igen. Derefter trimmede de elektronisk til en mere fornuftig værdi, men MCAS nåede at overtage, og så ramte de jorden.

Der var kun én korrekt løsning på deres problemer, og den stod ikke beskrevet i nogen manual. De skulle have sat flaps. Det ville have slået MCAS fra. Det var stort set kun udviklerne af softwaren som vidste det... Det er sådan lidt som at køre i en bil der ikke vil stoppe, og så er løsningen at åbne vinduet.

  • 6
  • 0

737-Max er simpelthen fejlkonstrueret i en grad, som er helt uacceptabel.

Enig, Mange af mine indvendinger gælder også NG, som dog har statistikken med sig..

Og det var sådan set også derfor jeg skrev:

"Helt enig - jeg vil aktivt undersøge hvilke maskiner et givent selskab benytter, før bestilling, og hvis det er 737Max/NG, så vælger jeg et andet selskab."

(Som svar til Nils-Peter Astrupgaard)

I begge tilfælde har man imo trukket grand-fathering alt, alt for langt, og skabt en flyvemaskine som i sig selv er ustabil - det burde simpelthen være ansvarspådragende for både myndigheder og Boeing.

  • 3
  • 0

Digitalisering i sig selv er ikke problemet, problemet er her grådighed.

Jeg vil faktisk mene at digitalisering også er et problem, men det er klart at når det så parres med grådighed, så går det helt galt.

Jeg lever selv at at lave "digitale løsninger" og lige præcis derfor er jeg meget, meget skeptisk, da jeg ved hvor lidt der skal til for det går galt.

Hvis der mangler et komma i et stykke prosa, så sker der sjældent noget for forståelsen, og hvis der mangler en skrue til en skabslåge, så går det nok også.

Men hvis der er sat et enkelt komma forkert i kildeteksten kan resultatet være fatalt - og den forståelse har især djØFFERne som elsker at digitalisere ikke!

  • 0
  • 0

For hvorfor i alverden er vi allesammen blevet så kollektivt dumme inden for ganske få årtier at den nye gud hedder digitalisering


Jeg tror ikke så meget at problemet er digitalisering. Vi ser mange problemer netop med digitalisering fordi IT services er en stor del af 'omsätningen' i 'samfundet', men det er de samme problemer overalt med 'de-regulation' (liberalisering) og 'regulatory capture'.

Ved 'regulatory capture' sker der det at folk fra 'myndighederne' roterer ud til positioner hos virksomheder som de før regulerede og så tilbage til myndighederne igen, når de har fået lidt mere input til hvordan virksomhederne sådan set helst vil reguleres og hvordan lovgivningen bedst 'tilpasses' til 'Markedet'.

Når man så har de-reguleret og liberaliseret så meget at der i praksis ingen regulering finder sted, så fölger 'Markedet' Greshams Law: De värste produkter vil udkonkurrere de dårlige indtil alt er reduceret til simpel svindel!

George Bush II var i övrigt präsident den sidste gang man i USA smed en CEO i spjäldet!

  • 0
  • 0

Piloterne på Ethiopian Air SLOG det fra. Det slog til igen efter 5 sekunder. Derefter tog de sikringerne på den elektriske trimregulering.


Hvor har du det fra ?? Det er ikke hvad der står i accident rapporten i hvert fald. Der ser man de trimmer modsat et par gange, og derefter ikke gør mere.
Og hvis du nu havde læst mit indlæg ville du se at jeg på ingen måder basher ikke-vestlige selskaber. Det må vist stå for din egen regning.

  • 0
  • 0

The Boeing Syndrome = Profit supersedes Safety

Det problem med sikkerheden på 737-MAX har 'lydhørhed' på "allerhøjeste niveau" d.v.s. den lovgivende forsamling på Capitol Hill ; og de er IKKE tilfredse med sitiuationen. Det er et nederlag til USA og den anseelse som FAA havde. Jeg har i næsten et år været 'abonnent' på The Seattle Times, som følger sagen meget tæt.
Som jeg ser det så var problemet at Airbus kom ud med 32xNeo, og Boeing skulle komme med noget modsvarende. Nogle af de potentielle kunder ønskede at det nye fly skulle flyve på samme typecertifikat som alle 737'ere, da man så kunne spare simulator træning m.m. dette kunne retfærdiggøre en merpris på 1 M$ (som jeg husker det). Det nye fly skulle derfor være så ens med 737-familjen at dette var tilfældet.
Problemet var den nye og større motor; der var ikke plads til den; så man måtte flytte den frem og op; og det gav aerodynamiske problemer. Indledningsvis kun ved høje hasigheder, så man "opfandt" MCAS til dette problem (og det var vist opridelig redundant og med ret ringe autoritet, d.v.s til en grad Fail-Safe). Dette blev FAA selvfølgelig informeret om.
Nu er der indenfor "Aerospace" som indenfor al anden industri 2 måder at tage beslutninger på ; Det teknisk faktuelle (bruges hyppigt af ingeniører), og den politiske som i højere grad baseres på økonomiske overvejelser.
Da det under prøveflyvninger pludseligt viste sig at den oprindelige MCAS skulle udviddes til at klare ærterne ved lave hastigheder, så fjernede man tilsyneladende kravet til redundans (det var for besværligt); en politisk beslutning; og den nåede vist aldrig helt frem til FAA.
Man fandt også ud af, at der var problemer med "enkeltfejl", men den kunne man "løse" ved at sige at piloten var sikkerheden (uden dog at oplyse piloten om at dette var tilfældet d.v.s. skrive det i håndbogen). På de tidligere modeller var "trim-systemet" lavet sådan at det ikke kunne køre 'modsat piloten' d.v.s. at hvis piloten trækker i styrehåndtaget, så kan det ikke trimme næsen ned; Dette vill dog forhindre MCAS i at virke (en s.k. pusher), så det system blev deaktivere (uden at oplyse det til piloterne).

Vi har altså en ny flytype som er baseret på det 'gamle typecertifikat', med en hel del 'skjulte' ændringer (d.v.s. de fremgår ikke af flyets håndbog):
- Der er indført et MCAS-system, som har meget høj autoritet, for at få flyet til at "føles" som en classic 737. (dette fremgår ikke af håndbogen).
- man har indført et indirekte "pusher-system" som IKKE kan blokkeres af at trække i styrehåndtaget (dette fremgår ikke af håndbogen). Dette medfører at den 'spontane' reaktion på at flyet dykker med næsen IKKE (som sædvanligt) kan håndteres ved at trække i styrehåndtaget. Dette har Niels Danielsen beskrevet.
- man har erkendt at der kan ske farlige "enkelt-fejl", men dette forklarer man at piloten skal håndtere dette (dette fremgår ikke af håndbogen).
- man bruger AOA-signalet til at 'fintune' Fart og Højde beregningen, så hvis der sker en fejl i AOA-systemet, så kommer der fejl-indikation på højde og fart visningen (og hvad har piloten så at forholde sig til ?!)

Alle disse "features" er "selvfølgelig" ikke dokumenteret, da det ville indikere af flytyperne var forskellige og det ville kræve at piloterne skulle omskoles via simulator.

Man har altså fået en flytype som indenfor visse (begrænsede) områder er et "Fly-By-Wire" fly, med "Singe Point Failure" condition, uden at dette fremgår at håndbogen.

I forbindelse med havariet i Indonesien blev der udsendt et rettelse til håndbogen men den oplyste IKKE om blokkeringen af trimsystemet var deaktiveret, eller at piloten var den eneste sikkerhed for Single-Point-Failure i MCAS-systemet. Man har altså stædigt holdt fast i at alle 737 er ens (for at undgår omkostningerne ved simulator træning ?!

Man henviser til at piloten bare skal agere som hvis der er en "Runaway-trim condition"; Når dette (normalt) sker er AOA systemet aktivt, og højdemåler og fartmåler virker korrekt; så der er nogenlunde ro i cockpittet, og man har kun en fejl at forholde sig til, nemlig at næsen dykker.

Ved begge havarier, hvor det var AOA som fejlede, så fik piloten bl.a. følgende fejlindikationer
- stick shaker (som er indikation på at flyet er ved at stalle), hvorfor man altså IKKE bare begynder at trække i styrehåndtaget, eller trækker gassen af).
- Altitude error (Højdemåler)
- Airsped error (fartmåler)
- og efter at der var valgt "Flaps-Up", så oven i købet MCAS-pusher.
At sammenligne dette, hvor det hele bimler og bamler med en normal "Runaway-trim" er vist en meget politisk 'godkendelse'. Allerede inden at MCAS systemet slår til, så er piloterne på vej op i det røde felt.

Som jeg ser det, så har man (selv efter det første havari) valgt at "fremture" med at alle flyene er ens, frem for at fremkomme med en procedure (Flap down T.O.) specifikt for 737-MAX, som ville sikre flyet og alle ombord, men selvfølgelig kræve omskoling mellem typerne.
Dette sammenholdt med de andre forhold ser jeg som om at "Profit" (1 M$/fly) er vigtigere for Boeing end Safety. Derfor min holdning ::The Boeing Syndrome = Profit supersedes safety::

I forbindelse ved "fejlretningen" af Boeing 737-MAX, så har Boeing flere gange skrevet til pressen at "Flyet bliver lige straks godkendt". Det er den ny direktør for FAA (som tilsyneladende har karse på køleren) blevet ret træt af, så han har skrevet til Boeing (og Capitol Hill!) at flyet bliver frigivet når det er fundet i orden, og at han har bedt sine specialister om at sikre dette, med den tid det måtte tage. Foreløbigt ser tidsplanen så ud til at være "midt Februar" ifølge The Seattle Times, og Boeing nu vil bremse samlebåndet i Renton. Hvis FAA mod forventning skulle frigive flyet før EASA, Canada, Japan og Kina, så vil det kun være en brøkdel af flåden der kan flyve; Mindre end 25% af 737-MAX er registreret i USA, så der kan de ligge og 'futte rundt', alle de andre bliver på jorden indtil den tilhørende myndighed godkender typen

Med hensyn til simulator træning, så kan det godt blive et problem, for der findes vist kun 4 stk. 737-MAX simulatorer i verden ; 1 hos Boeing, 2 i Canada, og 1 i Etiopien!. Men man kan selvfølgelig bruge en rigtig 737-MAX, Boeing har mere end 200 af dem stående ;-).

Så det er ikke et spørgsmål om 'digitalisering' men om mangel på respekt for "System Design", "System Engineering" og Safety, og alt for høj prioritering af indtjening. At Boeing nu, mere end 1 år efter det første havari (hvor de oplyste at det havde en løsning på trapperne) ikke har en fuldstændig færdig og testet løsning klar, indikerer at det enten er et aller.h. stort problem, eller også at Boeing hellere bruger penge på bortforklaringer og jurister end på forsvarligt ingeniør arbejde.
I øvrigt behøver man slet ikke at bruge digital teknik for at lave fungerende Fly-By-Wire. Vores egne F-16, som har fløjet uden (Flight-Control) problemer i mere end 40 år har et quad-redundant analogt system, og tripple redundant AOA (som er vitalt!). Det har ikke været årsag til nogen havarier (men det var selvfølgelig designet fra begyndelsen til at være Fail-safe).

  • 4
  • 0
Bidrag med din viden – log ind og deltag i debatten