Boeing: Nu får piloterne magten over vores software
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og du accepterer, at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, job og tilbud m.m. via telefon og e-mail. I nyhedsbreve, e-mails fra Teknologiens Mediehus kan der forefindes markedsføring fra samarbejdspartnere.

Boeing: Nu får piloterne magten over vores software

Illustration: Boeing

Fremover bliver det umuligt for den software, som Boeing har lagt ind i den nye Max-udgave af verdens mest solgte passagerfly, 737, gentagne gange at justere næsen på flyet ned, mens piloterne forsøger at rette flyet op.

Det er en af konsekvenserne af de ændringer af softwaren, som Boeing præsenterede for pressen og omkring 200 piloter onsdag amerikansk tid.

Boeings Maneuvering Characteristics Augmentation System (MCAS) er kommet i søgelyset efter to styrt med næsten nye 737 Max-fly, som tilsammen kostede 346 livet.

Boeing havde i forvejen lovet, at ændringerne i softwaren ville være klar i april, men har altså valgt at præsentere hovedtrækkene nu.

Skal ikke styre sig selv mod jorden

Ved det første styrt ud for Indonesien i oktober forsøgte piloterne gentagne gange at rette flyet op, men hver gang greb MCAS ind og justerede vinklen på flyets horisontale haleparti for at bringe næsen ned igen.

Nu skriver Boeing i sin meddelelse om ændringerne, at MCAS fremover aldrig vil kunne justere halepartiet mere, end hvad piloterne kan modvirke ved at trække styrepinden, nøjagtigt som de indonesiske piloter forsøgte.

Desuden vil systemet kun korrigere flyet nedad én gang for hver registrering af, at flyets angrebsvinkel er for høj.

Illustration: Boeing

Samtidig vil Boeing sørge for, at MCAS ikke udelukkende benytter input fra den ene af flyets to sensorer, der måler angrebsvinklen. Fremover vil det benytte resultater fra begge sensorer for at afværge et single point of failure. Afviger målingerne fra de to sensorer med mere end 5,5 grader, så kobler MCAS-softwaren helt fra.

Boeing vurderer, at ændringerne er så små, at piloterne kan lære dem ved at tage et nyt computerkursus, som typisk vil være omkring en halv times tid. Der er, mener producenten, fortsat ingen grund til, at piloterne skal i en simulator, inden de får lov til at flyve 737 Max, hvis de blot har erfaring med tidligere generationer af flyet.

Myndigheder vil ikke stole på FAA

Boeing vil allerede i denne uge indsende softwaren til godkendelse hos de amerikanske luftfartsmyndigheder, FAA. Så snart ændringerne er godkendt, kan de rulles ud på alle de fly, som i dag er står grounded over hele verden.

Hvornår godkendelsen kommer i hus, er det endnu for tidligt at spå om. For det første har en række myndigheder rundt omkring i verden indikeret, at de selv kommer til at gennemgå ændringerne grundigt, hvor de tidligere lagde sig i halen af FAA's godkendelse.

For det andet har netop FAA fået sine egne problemer at slås med. Samtidig med, at Boeing præsenterede sine ændringer af softwaren, forsvarede den fungerende chef for luftfartsmyndigheden FAA, Daniel Elwell, sig nemlig under en høring i den amerikanske kongres.

Han er kommet under beskydning, efter at hovedsageligt Seattle Times har gravet frem, at FAA lagde store dele af godkendelsen af 737 Max ud til Boeing selv.

»Vi tillader ikke nogen form for selv-certificering,« sagde Daniel Elwell bl.a. ifølge samme avis.

Boeing godkendte egen software

Det ændrer dog ikke på, at FAA lagde ansvaret for godkendelsen af netop MCAS-softwaren ud til Boeing selv efter at have foretaget de indledende vurderinger.

Daniel Elwell forsøgte at berolige kongressen med, at Boeing selv har ekspertisen til at vurdere MCAS-systemet, og at ansvaret blev lagt ud til producenten efter en standardiseret procedure.

Problemet er imidlertid, at den analyse af systemet, som Boeing afleverede til FAA, ikke nævnte, at det kunne resette sig selv og dermed gentagne gange skubbe flyets næse ned. Det underdrev også, hvor meget MCAS rent faktisk justerer halepartiet, skriver Seattle Times.

Derfor mener det amerikanske transportministerium, at der er »svagheder« i proceduren. Ministeriet kommer derfor til at forlange omfattende ændringer i juli, sagde generalinspektør Calvin Scovel III under høringen.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Så altså nu skal piloterne selv flyve flyet - med anderledes aerodynamiske egenskaber end tidligere 737'ere, men "Boeing vurderer, at ændringerne er så små, at piloterne kan lære dem ved at tage et nyt computerkursus, som typisk vil være omkring en halv times tid."

Det er vist ikke sidste gang vi har hørt om 737Max

  • 19
  • 1

Og hvem skal kontrollere at den nye SW virker som den skal ? De samme ingeniører som skrev den tidligere SW ?
Desuden så var der det problem at AOA-proben på Lion-Air flyet var blevet skiftet få flyvninger tidligere (se havari rapporten), og der var alligevel en fejl på AOA-systemet. Hvem kontrollerer at dette problem også bliver løst ? Der er vist adskillige "ugler i mosen" som skal afklares inden at myndighederne slipper flytypen fri igen; hvis ikke FAA, så forhåbentligvis EASA.
Det ligner den tidligere AD, som FAA / Boeing sendte ud efter havarikommisionens rapport. . det må ikke koste "flyejerne" noget . Sidste gang kostede det 1 times arbejde ($85) pr. fly at skifte 2 sider i håndbogen, ? Så nemt går det vist ikke denne gang.

  • 5
  • 0

Det undrer mig, at de tydeligvis ikke tager sagen alvorligt. Damage control burde vel være noget med en undskyldning, ny software og sikkerhed, godkendelse af uvildig 3.part og betalt uddannelse af piloter i simulator (ikke iPad). Det andet her ender med afbestilt ordrer og myndighedpåbud i hvert fald uden for USA.

  • 4
  • 0

På Air France Flight 447 løftede den ene pilot flyets næse, mens flyet var i stall, hele vejen til det ramte jorden.
Der burde piloten ikke have haft det sidste ord.

  • 2
  • 2

På Air France Flight 447 løftede den ene pilot flyets næse, mens flyet var i stall, hele vejen til det ramte jorden.
Der burde piloten ikke have haft det sidste ord.

Forskellen er jo nok, at så kan man give skylden på en enkelt pilot og ikke et fly, der findes i flere hundrede eksemplarer.

Men de lægger jo heller ikke op til, at softwaren ikke skal gøre noget. Den skal bare ikke kunne vinde over en pilot, der bliver ved med at prøve noget andet. Hvis denne pilot så tager fejl, så må det jo være sådan.

  • 8
  • 0

Hvorfor i alverden var softwaren ikke lavet sådan fra start af?

Den var vel ikke specificeret anderledes. Måske skulle det lige gå lidt hurtigt eller være rigtig billigt. Måske havde man ikke overblik over det komplekse system da beslutningen blev taget om at løse et problem i virkeligheden inde i en computer. Det kan man jo nogle gange godt, hvis man tænker sig om. Det er bare ikke så magisk som det ser ud...

På Air France Flight 447 løftede den ene pilot flyets næse, mens flyet var i stall, hele vejen til det ramte jorden.
Der burde piloten ikke have haft det sidste ord.

Sådan er det jo. I de to 737MAX-styrt har piloterne godt kunne se hvad der foregik, og forsøgt at foretage sig det rigtige, or flyet er styr(t)et i jorden alligevel. Så længe der er piloter i flyene giver det vel mening at det er dem der styrter flyet og ikke flyet selv, ellers skulle vi vel bare helt undvære dem?

  • 3
  • 0

Der burde piloten ikke have haft det sidste ord.


Jamen det er PENGE, PENGE PENGE det drejer sig om
der skal spares på uddannelse, omskoling, kontrol af piloternes færdigheder osv.
I luffartsindustrien bliver der skåret ned til minimum på alle de steder man kan, det gælder også på uddannelse, - konkurrencen er stor, billetterne er meget billige, alle flyselskaber vil naturligvis overleve, så der skal skæres.
Kunderne vil helst vælge de billigste billetter, helt forståeligt, men der skal altså være økonomi til fortsat drift.
Økonomien er forrest, så økonomerne er de faktiske vindere, - mens dem der sidder i flyene risikerer at blive taberne.

  • 1
  • 0

Hele historien om selfcertificering er en and. Det bruges mange steder. At forestille sig at FAA i princippet skal ind og inspicere MCAS koden nonsens. FAA kan foreholde sig til de generelle principper men detaljerne er der for mange af til at de kan gøre det. Det er i øvrigt også derfor at EASA i høj grad stoler på FAA og omvendt.

I øvrigt er det interessant at se parallellerne til søfartbranchen. Ifbm. Viking Sky har de norske myndigheder netop været ude og sige at de ikke har kapacitet til at vurdere detaljerne i de mange forskellige skibe der findes. De kan undersøge når noget går galt men det er leverandørens opgave at lave noget der virker. Selvom der er færre flytyper og mere regulering, så fungerer flybranchen også sådan i praksis. Der er simpelthen for meget kompleksitet i moderne fly.

  • 0
  • 0

Hele historien om selfcertificering er en and. Det bruges mange steder. At forestille sig at FAA i princippet skal ind og inspicere MCAS koden nonsens. FAA kan foreholde sig til de generelle principper men detaljerne er der for mange af til at de kan gøre det. Det er i øvrigt også derfor at EASA i høj grad stoler på FAA og omvendt.


Mjahh, I princippet har du ret, og det er ikke anderledes fra min branche. Men ifølge artiklen i Seattle Times skulle man slet ikke ned i koden for at se, at reglerne ikke var overholdt. Det er nogle uger siden, jeg læste artiklen, så det her er fra hukommelsen:

I den risikoanalyse, der var fremsendt til FAA, havde Boeing klassificeret alvorligheden af en eventuel fejl på MCAS. Denne klassificering var i den næst-alvorligste kategori, og den medfører, at systemet ifølge reglerne skal udformes, så fejl på 1 sensor ikke er tilstrækkeligt til at få systemet til at fejle.

Alligevel havde Boeing netop udformet systemet, så fejl på 1 sensor er tilstrækkeligt til at få systemet til at fejle - og dette er også dokumenteret i den samme risikoanalyse.

Så blot ved at læse risikoanalysen, kunne FAA se, at systemet ikke overholdt reglerne.

(Og så kan man i øvrigt undre sig over, at man skal til en almindelig avis for at finde en så detaljeret analyse af de tekniske og administrative forhold omkring designet og godkendelsen af MCAS. Det er vel sådan noget, vi har faglige tidsskrifter til...)

  • 3
  • 0

Mjahh, I princippet har du ret, og det er ikke anderledes fra min branche. Men ifølge artiklen i Seattle Times skulle man slet ikke ned i koden for at se, at reglerne ikke var overholdt. Det er nogle uger siden, jeg læste artiklen, så det her er fra hukommelsen:

Jeg siger ikke at Boing eller FAA har fulgt reglerne eller opført sig fornuftigt. Det er åbenlyst at de har dummet sig. Men princippet er fornuftigt.

Hvis man laver en feature, så skal det dokumenteres og testes. Det kan være meget omfattende. De var under tidspres i konkurrencen med Airbus. En eller anden scorede en bonus på at kunne levere hurtigt.

Det simple ikke redundante system er meget enkelt.

Det er faktisk ikke specielt unormalt med systemer uden redundans i 737. Fx. har 737 ikke redundans på radar altimeterets input til auto throttle. Det var medvirkende til Turkish Airlines ulykken i Amsterdam. Ideen er at piloten skal forstå systemet nok til at forstå effekten af et givent instrument - i Turkish Airlines ulykken fik piloterne skylden fordi de ikke forstod problemt og ikke holdt øje med farten. Det virkede naturligvis helelr ikke for MCAS fordi piloterne ikke forstod dets virkemåde.

  • 0
  • 0