Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, tilbud mm via telefon, SMS og email. I nyhedsbreve og mails fra Teknologiens Mediehus kan findes markedsføring fra samarbejdspartnere.
phloggen

Boeings "killer-app"

Når 737-max styrter fordi Boeing og kunderne blev enige om, at det var for dyrt hvis alle piloterne skulle efteruddannes.

Udkommet af den aftale var nogle software rutiner som skulle få -max versionen til at ligne den gamle version af 737 så godt, at efteruddannelse ikke var nødvendig.

Det lykkedes, som vi nu ser, kun næsten.

Root-cause i de to flystyrt er det man normalt omtaler som en "killer-app": Lidt billig kode der giver en stor økonomisk gevinst.

Nogle gange er "det fixer vi i software" den indiskutabelt optimale løsning, det meste af tiden er det bare noget på-den-ene-side-på-den-anden-side klamp og nogle gange, som her, er det en katastrofe uden lige.

For folk med forstand på software findes der tegn i sol og måne som med stor sikkerhed forudsiger hvor på den skala man vil lande og de er faktisk ikke svære at tyde.

Hvis den relevante programmør lyser om som en lille sol og siger "Vent nu lige lidt..." kaster sig over sin laptop i nogle minutter og derefter siger "fixet!" har man rigtig gode chancer for at være over nulpunktet.

Hvis de 9000 sider kravspecifikation eller de "17000 detaljerede tekniske krav" derimod får medarbejderne til at hive sig selv i håret, så alle til sidst ligner middelaldermunke, er det bedre jo hurtigere man stopper projektet[1].

Problemet er bare, at software er en totalt uigennemsigtig teknologi som det tager 20-25 år at opnå en dyb og intuitiv forståelse af.

Det betyder at de talende slips der slår ud med armene og "Trykker Enter", eller tror de kan feje alle de fundamentalt uløselige problemer i en ejendomsværdiskat ind under et "expertsystem" eller noget "kunstig intelligens", ikke aner hvad de taler om.

Nogle af dem lider af den overtro at software er en slags tryllestøv man kan drysse ud over budgetter for at gøre dem 2% mindre per år.

Andre tror at man kan vifte med IT-tryllestokken og undgå en "hard border" mellem Irland og Nordirland med "noget smart software"

Andre igen tror at man kan forhindre efterretningstjenester og reklamevirksomheder I at overvåge alverdens befolkning ved at tegne en grøn hængelås.

Det er altsammen totalt afkoblet fra virkeligheden, men "mostly harmless" i den forstand at det slår ikke folk ihjel.

Men når man begynder få flyet til at lyve for de to med den gode udsigt oppe foran, for at undgå at efteruddanne dem, bliver en "killer-app" meget konkret.

Konkret som i "346 confirmed kills".

Det tal burde få beslutningstageren hos Boeing på Wikipedias liste over massemordere og dømt og straffet som sådan.

Men det er der naturligvis ingen fare for[2], for religion og software og kun de to, kan sælges helt uden produktansvar.

Og nej, det problem har heller ikke nogen smart computer-løsning, for det gør ikke en dum ide bedre, at softwaren 100% matematisk bevisligt implementerer hvad der blev bedt om.

Personligt forventede jeg at det ville blive det ny "signalsystem" til jernbanerne, eller måske selvkørende lastvogne der ville blive den første rigtige killer-app, men Boeing kom altså først.

Nu er spørgsmålet alene hvor mange lig der skal på bordet, før software bliver reguleret, autoriseret og certificeret, som den dødsensfarlige teknologi det er i hænderne på ukyndige ?

phk

[1] Skats EFI system havde 9000 sider krav og specifikationer, hertil lovmaterialet. Rejsekortet havde opstillet 17000 tekniske krav, men overså at man skulle kunne skifte Dankort.

[2] I tidens fylde vil han modtage en bonus for at redde firmaets aktiekurs fra konsekvenserne af sin egne handlinger - han er trods alt 1%'er.

Poul-Henning Kamp er selvstændig open source-softwareudvikler. Han skriver blandt andet om politik, hysteri, spin, monopoler, frihedskampe gør-det-selv-teknologi og humor.
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Ikke så hurtig!
Det er mindre end 48 timer siden flight recorders fra Ethiopian styrtet blev fundet. Det vil vare mindst en uges tid før der kommer hårde data på bordet og de bliver kun released hvis det passer det Ethiopiske styre. Indtil der foreligge i det mindste en preliminær rapport er sammenligninger med Lion Air rent gætteværk.

  • 29
  • 1

Ikke så hurtig!

Jo, jeg mener faktisk at der skal handles hurtigt.

Alene Lion Air rapporten som er udkommet burde have været nok til at sende alle piloter på flytypen tilbage på skolebænken inden de fløj videre og til at trække de ansvarlige beslutningstagere i retten for at stå til ansvar for deres beslutninger.

Det er ikke OK at bortforklare 150 drab per halvår med "computerfejl".

  • 27
  • 7

Det der undrer mig er, at der ikke er en "override" knap, så flyet kan styres manuelt. Man tror åbenbart så meget på softwaren, at piloterne ikke får lov at styre flyet selv.

  • 7
  • 1

Det er simpelthen skræmmende læsning den der artikel fra Nytimes.

Et er man for at få plads til større motorer, som flytter mere vægt længere frem på flyet, er nødt til at skrive noget nyt software til flyets control stystem for at kunne flyve det sikkert.
En anden ting er sakset fra den artikel i NyTimes:
In designing the 737 Max, Boeing decided to feed M.C.A.S. with data from only one of the two angle of attack sensors at a time, depending on which of two, redundant flight control computers — one on the captain’s side, one on the first officer’s side — happened to be active on that flight.

That decision kept the system simpler, but also left it vulnerable to a single malfunctioning sensor, or data improperly transferred from it — as appeared to occur on the day of the crash

Man ændre flyet så det bliver anderledes at flyve ved bestemte omstændigheder, så laver man et nyt stykke software som skal håndtere de uhensigtmæssigheder, man lader softwaren bruge Kun en AOA sensor af gangen for at gøre det simpelt?, og undlader at uddanne piloterne i nye rutiner for at håndtere flyet når problemerne opstår...

Det er godt nok skræmmende..

  • 30
  • 0

Dér, hvor jeg bliver skræmt, er, at FAA ikke har fanget det, endsige udfordret det.

Det er ret åbentlyst, at sikkerhed er blevet ofret for besparelse på efteruddannelse. Hvad er FAA's gevinst ved at acceptere dette?

Samtidigt er det påfaldende at den europæiske pendant heller ikke har reageret?!? - man burde vel kunne se, at motererne er rykket, så det er ikke en opdatering der er til at overse (for behørigt kompetente personer)...

  • 8
  • 0

Det der undrer mig er, at der ikke er en "override" knap, så flyet kan styres manuelt. Man tror åbenbart så meget på softwaren, at piloterne ikke får lov at styre flyet selv.

Der er en måde at slå det fra. Fra den NyTimes artikel:

Boeing has asserted the pilots on the next-to-last flight of the same Lion Air aircraft that crashed encountered a similar, if less severe, nose-down problem. They addressed it by flipping off the stabilizer cutout switches, in keeping with the emergency checklist. Still, Indonesian investigators found, the pilots broke from the checklist by flipping the switches back on again before turning them off for the rest of the flight. That flight, with different pilots from the flight that crashed, landed safely.

Older 737s had another way of addressing certain problems with the stabilizers: Pulling back on the yoke, or control column, one of which sits immediately in front of both the captain and the first officer, would cut off electronic control of the stabilizers, allowing the pilots to control them manually.

That feature was disabled on the Max when M.C.A.S. was activated — another change that pilots were unlikely to have been aware of. After the crash, Boeing told airlines that when M.C.A.S. is activated, as it appeared to have been on the Lion Air flight, pulling back on the control column will not stop so-called stabilizer runaway.

  • 16
  • 0

Også håber jeg Faa og andre trafikstyrelser rundt om i verden tvinger samtlige flyselskaber til omfattende ekstra uddannelse til alle 737 max piloter, som var det et nyt fly..
Så kan det godt være Boing mister et par tusind ordre, også kan de lærer hvad det koster at sætte folks sikkerhed på spil for at sælge flere fly...

  • 13
  • 0

Det her kommer til at ramme Boeing rigtig hårdt. Om det hjælper at dømme ledelsen for massemord ved jeg ikke. Mon ikke der kommer til at rulle hoveder under alle omstændigheder.

Men branchen som sådan har jo ikke et dårligt image – endnu. Det er længe siden en stor flyproducent for alvor har været i kikkerten for at lave farlige fly.

Det er ikke som i finansbranchen, hvor kritiske karakterbrister mere og mere ses som et generelt træk. Hvilket formentlig årligt medvirker til langt flere selvmord hos økonomisk ramte individer verden over, end der omkommer i flytrafikken. Bare for at sige, at det er ikke alle slags uskyldige tabte menneskeliv, der fylder lige meget i medierne.

Det er overhovedet ikke fordi jeg vil tale problemet ned. Både FAA, de amerikanske luftfartsmyndigheder, og Boeing, har sandsynligvis fejlet alvorligt. Det handler ikke om de udløsende fejl ligger i software, i en mekanisk dims eller i en træningsprocedure, men om at en sikkerhedskultur har fejlet. Tests og anden kvalitetskontrol har ikke været god nok. Det er gået godt for Boeing meget længe, og så er det jo fristende at sænke paraderne lidt.

Der er tidligere sket markante flyulykker som har vækket branchen. Manglende kontrolprocedurer ved vedligehold førte til nogle få tragedier engang i 80’erne – det ændrede procedurer verden over. Dårlig kommunikation mellem piloterne førte til andre tragedier indenfor få år, og det førte direkte til den globale indførelse af træning i cockpitsamarbejde – CRM. Ledelsen i Boeing har selvfølgelig et stort ansvar nu, men årsagerne er nok bredere. Jeg er optimist og forestiller mig at de to ulykker vil føre til nye forskrifter og en ny sikkerhedskultur omkring kritisk software og tilhørende træning af piloter. En stor del af verdens mest moderne fly står lige nu rundt omkring med flyveforbud og minder alle om et stort problem. Det er en motivation.

  • 15
  • 0

Det er ret åbentlyst, at sikkerhed er blevet ofret for besparelse på efteruddannelse. Hvad er FAA's gevinst ved at acceptere dette?

FAA's gevinst er politisk overlevelse. Boeing er i princippet blot en enkelt kunde i butikken blandt mange, men i realiteten står de for størsteparten af lobbyaktiviteten, og de er en samfundsmæssig økonomisk kæmpe og en af nationens store stoltheder, som man ikke modarbejder ustraffet. Desuden kæmper FAA med at holde sig på niveau rent fagligt, så de kan matche Boeings superteknikere og selv tage kavalificeret stilling til, hvad det er, de skal kontrollere.

  • 8
  • 0

Det er stadig forkert at snakke om en "killer app". NY times artiklen pointerer jo netop at den nok burde have krævet mere træning.
Man kan sagtens diskutere om der burde have været difference træning for piloterne, men at klandre softwaren uden reelt at vide hvad der er sket virker ret dumt.

Airbus har længe haft samme sw funktionalitet mht stall prevention og har adskillige loss of control hændelser (også alvorlige) på kontoen når der har været bøvl med en angle of attack sensor. Dette har dog ikke grounded nogle fly.
Systemerne har dog til dato stadig redet flere fly end det har crashet og der er eksempler på at hvis piloterne havde slået skidtet fra så havde de ikke overlevet.

  • 3
  • 1

Systemerne har dog til dato stadig redet flere fly end det har crashet og der er eksempler på at hvis piloterne havde slået skidtet fra så havde de ikke overlevet.

I 2017 omkom ikke et eneste menneske i hele verden som passajerer i svile fly av normale størrelse (ca femti og mer seter). Dette er fantastisk resultat (året før omkom 250 personer).

Boeing og FAA takler kanskje denne saken feil, men en behøver ikke trekke inn konspirasonsteorier og kyniske vurderinger. Både FAA og Boeing ønsker uten forbehold å fortsette den fantastiske sikkerhetsutviklingen for sivile fly.

  • 17
  • 0

Systemerne har dog til dato stadig redet flere fly end det har crashet og der er eksempler på at hvis piloterne havde slået skidtet fra så havde de ikke overlevet.

Sullenberg er et godt eksempel. Det havde været tæt på umuligt at lande hans Airbus på Hudson uden aktivt at gøre brug af disse automatiske systemer, hvad han også selv gjorde opmærksom på. I modsætning til 737Max piloterne fra de forulykkede fly kendte han dog sit fly til bunds og kunne derfor udnytte systemerne til sin egen (og mange andres) fordel.

Netop derfor kan Boeings (og FAA’s) ageren med 737Max med rette kritiseres. Man har gjort ALT for at undgå, at 737Max blev betegnet som et nyt fly. Det ville have nødvendiggjort et par års ekstra arbejde med godkendelser og efterfølgende store omkostninger til efteruddannelse og fornyet typerating af piloter, hvilket man for alt i verden ville undgå.

PHK har fuldstændig ret i, at et halvhemmeligt og ikke gennemtænkt softwarefix ikke var den rette løsning.

Igen, læs den fremragende artikel fra NYT og bliv klogere på det uskønne spil bag kulisserne.

  • 26
  • 0

Du har ret, PHK, "det er ikke OK at bortforklare 150 drab per halvår med "computerfejl".

Men indtil FDR og CVR ( de sorte bokse ) er blevet analyseret er der INGEN der ved hvad der faktisk skete!

FDR fra Atlas Air / Amazon styrtet ved Huston d. 23 februar blev fundet d. 3 marts og først d. 12 marts - 9 dage efter - kom NTSB med en udtalelse om indholdet.

Bemærk, at FAA ikke har grounded typen. Den fejl som førte til Lion Air styrtet kan - som bevist af besætningen der fløj flyet dagen før - ordnes ved at følge den foreskrevne procedure. Så hvorfor grounde typen ? Det er lige netop kendskab til procedurene som besætningerne skal bevise de besidder 2 gange om året i simulatoren.

  • 7
  • 1

Det er lige netop kendskab til procedurene som besætningerne skal bevise de besidder 2 gange om året i simulatoren.

Præcis - det er faktisk hele pointen!

Netop derfor forarger det mig stærkt, at Boeing med FAA's velvillige hjælp og med stort held har forhindret netop denne ekstra uddannelse og træning i en en flytype, som opfører sig fundamentalt anderledes end tidligere versioner

Både de europæiske og brasilianske myndigheder var til en start imod , men kun de brasilianske havde tilstrækkelig indhold mellem ørerne (eller benene) til at stå fast. Her har piloterne fået den nødvendige efteruddannelse og træning. Mon ikke det kommer til at ske worldwide nu?

  • 21
  • 0

Ifølge NYT-artiklen er der to adskilte systemer, et for piloten og et for copiloten; hver med sin angle of attack sensor. Kun det der bruges af PIC er aktivt, men hvorfor er der ikke et overordnet system, der griber ind, hvis der er signifikant diskrepans mellem de to systemer? Da burde en knap lyse rødt og piloten kunne så annullere automatikken på knappen og styre selv!

Der er jo ikke flere minutter at løbe på, hvis fejlen optræder få hundrede meter oppe. Det tager tid at finde sin iPad frem og finde det rette svar, hvis det ikke ligger på rygraden - som det jo burde i den ideelle verden. I et lille blikfly er det lettere, da alle checks kan ligge på et par A5-ark...

  • 7
  • 0

Hvilken slags træning giver man til 737-Max besætninger som ikke har hørt om baggrunden for Lion Air 610 haveriet i oktober 2018 og envidere ikke har læst den Flight Crew Operations Manual Bulletin som Boeing udsendte d. 6 november 2018?

  • 1
  • 0

Du slår hovedet på sømmet Fridthiof. Mangelfuld træning er et stadig større problem. Jeg husker en Air France flyvning for nogle år siden, der endte i havet grundet en defekt kunstig horisont (og ringe kommunikation piloterne imellem).

  • 6
  • 0

Sullenberg er et godt eksempel. Det havde været tæt på umuligt at lande hans Airbus på Hudson uden aktivt at gøre brug af disse automatiske systemer, hvad han også selv gjorde opmærksom på

Jeg er ikke sikker på hvad du mener her men...
Ved dual engine failure går en airbus i direct law dvs piloten har stort set fuld kontrol over alle parametre uden nogen protection overhovedet
Med andre ord opfører den sig som om der slet ikke er en computer imellem pilot og kontrolflader.
Al respekt for Sully men han er altså meget Boeing venlig og knap så Airbus venlig

Pointen er stadig at det er træningen af piloter der muligvis er set stort på og ikke en sw fejl som er blevet fejet ind under gulvtæppet.

  • 1
  • 0

Systemerne har dog til dato stadig redet flere fly end det har crashet og der er eksempler på at hvis piloterne havde slået skidtet fra så havde de ikke overlevet.

Den her slags forsvarsargumenter får en til at tænke på hvor farligt det kan være, når sikkerhedstænkning bliver navlebeskuende og for tekniskt snæver!

Man burde på et overordnet plan i flybranchen for længst have draget fordel af sikkerhedstænkningen i fx lægemiddelsindustrien, hvor den menneskelige faktor, forskellige krav til lægers uddannelser verden over, er taklet ved maksimal åbenhed om et nyt lægemiddels bivirkninger eller hvad nye diagnostiske metoder eller terapier evt. 'springer over' af tidligere relevant viden.

Der var en gang hvor de piloter der styrede flyet man fløj med, havde erfaring fra både propellertræningsfly og mach2-jægerfly, men i dag får man indtrykket at uddannelsen mere minder om en sw-træning a la Counter-Strike! Jeg håber bare at at Danmark ikke (hvis der nu overhovedet skal sendes soldater ud til Afghanistan og andre underlige steder!) sender sine 'Jenser' ud med en simulatoruddannelse a la Counter-Strike!

John Larsson

  • 0
  • 13

Al respekt for Sully men han er altså meget Boeing venlig og knap så Airbus venlig

Sully var ganske rigtigt af den gamle skole og var stor tilhænger af selv at bevare kontrollen.
Han måtte dog senere medgive at have fået hjælp af automatikken:
"The automation was not flying the defined path for me. But it put guardrails out there. So it kept me from making a gross error. It kept me from stalling the airplane".

Min pointe var, at manden var godt uddannet og kendte sit fly ud og ind - både det grundlæggende og automatikken. Jeg tør godt vove et øje og påstå, at det ikke er tilfældet for mange af de nye 737Max piloter. Her har Boeing svigtet fælt af rent økonomiske og strategiske årsager.

  • 7
  • 0

Den her slags forsvarsargumenter får en til at tænke på hvor farligt det kan være, når sikkerhedstænkning bliver navlebeskuende og for tekniskt snæver!

Det var bestemt ikke et forsvars argument. Det var en saglig konstatering af tingenes tilstand i flybranchen.

Min pointe var, at manden var godt uddannet og kendte sit fly ud og ind - både det grundlæggende og automatikken.

Det kan vi kun være enige om!
Men jeg vil nu mene at de fleste piloter kender deres fly ret godt. Selvfølgelig vil en garvet kaptajn kende det bedre end den grønne styrmand, men det er også grunden til at man ikke sætter 2 grønne sammen (i ordentlige selskaber....)

Man burde på et overordnet plan i flybranchen for længst have draget fordel af sikkerhedstænkningen i fx lægemiddelsindustrien

Ord som "bonelock", "PIP implants" og "Thalidomide" popper frem her. For ikke at tale om lægevagter på +24 timer...

Jeg vil vove den påstand at for EASA og FAA lande er der pænt meget styr på sikkerhed, uddannelse og crew management..

  • 6
  • 0

Det er interessant at kun én sensor anvendes af hvert system. Men til gengæld er der to komplette systemer, man kan skifte imellem. Nogen foreslår et 3. system. Hvad så hvis det ikke kan vælge korrekt imellem de to andre?
Redundans er utroligt svært at lave helt fejlfrit, og uden single-point of failure. Hvilket leder mig frem til: Piloterne. De skal være dygtige. Og de kan ikke undværes.
En moderne flyvemaskine er vitterligt det ypperste vi kan præstere teknologisk. Men vi skal åbentbart igen og igen mindes om, at teknologi blot er værktøjer, som vi skal bruge. Fornuftigt.

  • 0
  • 1

Root cause for Lion Air crashet er efterhånden rimelig afklaret, omend mange detaljer stadig er ukendte. Root cause for Ethiopian Airlines crash er endnu absolut ukendt. At påstå andet er at opfinde egne fakta, og at konkludere nogetsomhelst andet end at "det ser overhovedet ikke godt ud" på nuværende tidspunkt er simpelt hen useriøst.

Er lighederne mellem de to nok til at grounde 737 Max? Det mener de fleste myndigheder og flyselskaber uden for US og Canada. Og jeg er enig. Flåden burde være grounded allerede efter Lion Air chrashet gjort det lysende klart at Boeings implementering af MCAS er en gang klamp, og at efteruddannelsen af piloter for 73M er himmelråbende mangelfuld (idet den, per design, er ikke eksisterende).

Men det ændrer ikke på faktum at root cause for Ethiopian crashet stadig er ukendt.

  • 12
  • 0

to adskilte systemer, et for piloten og et for copiloten; hver med sin angle of attack sensor

Det er første gang jeg har set at man i et system med dubblerede følere, Angle-of-Attack prober, ikke sørger for at udnytte dette rent sikkerhedsmæssigt. Ja, det er "klamp af klasse". Det lugter iden grad af at man overholder bogstavet men ikke ånden i en eller anden bestemmelse.
Som jeg husker det, så havde der, dagen i forvejen været fejlmelding af AOA probe / MCAS system på det forulykkede fly i Indonesien.

  • 3
  • 0

i 1991 styrtede et SAS fly pga. ny "smart" sw. Automatisk styring af motorkraft der medførte til at begge motorer slukkede og flyet måtte nødlande. Har den slag auto funktioner ikke taget overhånd i fly?

  • 0
  • 0

Det omvendte kan man så sige med Stefan Rasmussen
Her var det netop automatikken der modarbejdede hans forsøg på at komme ud af en kompressor stall.
En funktion, han ikke var blevet informeret om, og også den direkte årsag til at han ikke ville flyve mere, - han stolede ikke længere på flyet.

  • 5
  • 2

B737 Max er certificeret baseret på amendments til det oprindelige typecertificat fra 1967. Årsagen til dette er som beskrevet længere oppe: kost, samt muligheden for at piloter kan flyve gamle og nye fly.
Det største problem her er at flyet har arvet en arkitektur/koncept hvor auto piloterne er noget man afbryder når der er tegn på problemer. (Autopiloter var ikke så pålidelige dengang)
Styrmandens AP er forbundet til styrmandens sensorer, og kaptajnens AP er forbundet kaptajnens sensorer. De to AP’er arbejder ikke sammen om at validere sensor indput.
Filosofien er at der er piloternes opgave at foretage fejlisolation.
F.eks er det piloternes opgave at undlade bruge den AP der indikere en radar højde på -8 fod (åbenlyst forkert værdi):
https://aviation-safety.net/database/recor...
Det næste problem er at der er implementeret automatiske AP funktioner der er aktive når autopilot er deaktiveret, hvilket er et problem når den AP der har vagten modtager data fra en defekt sensor.
Det burde ikke være blevet godkendt uden en robust ’Triple Modular Redundancy’, og Byzantine fault tolerance.
https://en.wikipedia.org/wiki/Byzantine_fa...

  • 3
  • 1

Det omvendte kan man så sige med Stefan Rasmussen
Her var det netop automatikken der modarbejdede hans forsøg på at komme ud af en kompressor stall.
En funktion, han ikke var blevet informeret om, og også den direkte årsag til at han ikke ville flyve mere, - han stolede ikke længere på flyet.

Det er netop sådan en 'bivirkning' som flyfabrikanten havde indført, som jeg hentyder til i et tidligere indlæg. Funktionen var der kun op til 5000 fod, svjh. Den var indført fordi flyet ved start i Los Angeles ikke måtte larme med maksimal motorkraft ved normal stigning, når det havde nået en vis højde (1000 fod?). For at kunne klare at én af motorerne satte ud, fx ved en birdstrike, fik den anden motor automatisk motorkraft.

Stefan har selv fortalt mig hvorfor han holdt op med at flyve. Han var selvfølgelig ikke tilfreds med at fabrikanten havde indført en meget skjult softwareopdatering, men hans beslutning om at stoppe med at flyve, var lidt mere kompleks. Dels var han ked af at der både fra kollegaer og SAS blev antydet at det var forkert af ham ikke at vende om og lande på Arlanda, men også at han faktisk var 'mæt' og at han havde opfyldt sin 'heldkvote'! Han fortalte i den forbindelse at det er noget der rammer alle piloter, men at det er få der vil indrømme det. Han fortalte videre at flere af hans tidligere kammerater fra forsvaret, som havde valgt at fortsætte som helikopterpiloter i Grønland, fik opfyldt deres 'heldkvote' meget hurtigere der end dem som fx var fortsat i SAS!

John Larsson

  • 5
  • 3

Boeing og FAA takler kanskje denne saken feil, men en behøver ikke trekke inn konspirasonsteorier og kyniske vurderinger. Både FAA og Boeing ønsker uten forbehold å fortsette den fantastiske sikkerhetsutviklingen for sivile fly.

P-HK har interessante informasjoner om bakgrunnen for Lion Air-ulykken. Det er utrolig bra at folk med bred innsikt kommer med ny informasjon og kritisk holdning og opplyser oss på en klar måte og av og til med både humor og ironi. Takk for din innsats Poul-Henning Kamp. Stå på videre!

  • 4
  • 2

Alene Lion Air rapporten som er udkommet burde have været nok til at sende alle piloter på flytypen tilbage på skolebænken inden de fløj videre og til at trække de ansvarlige beslutningstagere i retten for at stå til ansvar for deres beslutninger.

Piloterne fra Etiopian havde været på skolebænken i MCAS og lært om hvad de skulle gøre. Så måske var det alligevel ikke MCAS eller også er problemet mere komplekst end først forstået.

Det kan man svare på med 100% sikkerhed: For at spare penge.

Det er bare et for nemt svar. Hvorfor har vi ikke flyvende biler? Fordi ingen vil betale det det koster. Hvorfor har vi ikke sikre CO2 neutrale atomkraftværker over det hele? Fordi atomkraft er dyrt i dets nuværende format. Hvorfor lever de fleste danskere ikke til vi er 110? Fordi ingen i dag vil betale for det sundhedssystem der kan sikre det.

Alt er et spørgsmål om kompromisser. Spørgsmålene skulle nærmere være: Hvad ville det have kostet at smide en ekstra AOA sensor på flyet og lade MCAS systemet se på input fra 3 AOA sensorer. Hvilke fejlscenarier ville det give? Hvorfor valgte Boeing at lade MCAS systemet skifte mellem de to AOA sensorer hver gang en cycle starter, i stedet for altid at lade den venstre styre og så lave en højre override? Verden er kompleks.

Der var en gang hvor de piloter der styrede flyet man fløj med, havde erfaring fra både propellertræningsfly og mach2-jægerfly, men i dag får man indtrykket at uddannelsen mere minder om en sw-træning a la Counter-Strike!

Det kunne jo tænkes at der kræves andre færdigheder for at flyve et moderne passagerfly end for at flyve et Mach 2 jagerfly. Jeg er heller ikke sikker på det ville være godt for buspassagererne hvis chaufførene blev rekruteret blandt formel 1 kørere.

Hvis man læser den seneste artikel der er linket til hos New York Times, så er det efterhånden ikke FAA der nikker. Det er længe siden det var FAA's egne folk. Indtil for nyligt var det (FAA) konsulenter/designees der gjorde det. Nu er det Boeing ansatte der godkender.

NYT er en klog avis, men ikke altid et sandhedsvidne når det handler teknik. Pas på med at stole for meget på hvad de siger.

Det er interessant at kun én sensor anvendes af hvert system. Men til gengæld er der to komplette systemer, man kan skifte imellem. Nogen foreslår et 3. system. Hvad så hvis det ikke kan vælge korrekt imellem de to andre?

I Airbus fly og nogen Boing fly bruges 3 input til at vurdere om der er noget galt og hvilken sensor der er gal. Der er dog sket det at to sensorer er frosset til på samme tidspunkt og dermed i princippet fået systemet til at vælge den gode sensor fra. Det er ikke helt simpelt. I stedet burde man nok finde en mindre sårbar måde til at måle AOA og airspeed.

-og de vil have ualmindelig god plads i kabinen...

Jeg gætter på at man vil starte med autonome fragtfly. Når de har fløjet i 10 år og har bedre sikkerhed end menneskestyrede fly, så hopper jeg gerne på. Der er i forvejen computere mellem mennesket og flyet i de fleste fly, så det vil bare være at gå det sidste stykke.

  • 11
  • 1

Her er flere confirmed software kills: https://en.wikipedia.org/wiki/List_of_soft...

Nu er spørgsmålet alene hvor mange lig der skal på bordet, før software bliver reguleret, autoriseret og certificeret, som den dødsensfarlige teknologi det er i hænderne på ukyndige ?

Den slags findes allerede. Spørgsmålet er bare hvor meget det hjælper, hvis det i sidste ende er ledelsesbeslutninger som slår folk ihjel.

  • 4
  • 1

Så er de sorte bokse fra Etiopien, til stor frustration for Boeing, FAA og NTSB, landet i Paris til nærmere undersøgelse - nøje overvåget af etiopiske undersøgere. Det er vel meget sigende omkring deres tillid til Boeing og de amerikanske myndigheders uvildighed i denne sag.

Til gengæld kan Trump og hans besynderlige administration jo nu råbe op om en fransk konspiration med Airbus osv. Europa er nok allerede i bad standing, efter at vi medvirkede til at vride armen om på amerikanerne.

Fårhåbentlig vil de franske teknikere lave et gedigent stykke arbejde, som desværre nemt kan drukne i politisk mudderkastning over atlanten. Det bliver spændende at følge.

  • 9
  • 1

Glem ikke at den her sag skal og bør ses i lyset af Diesel-skandalen...

Det mener jeg ikke er korrekt, PHK; reaktionerne på denne ulykke nr. 2 begyndte ikke i Europa og ikke i de europæiske luftfartsmydigheder!

Hvis nogen kan få den tanke, er det nok amerikanerne selv. Der er mange af dem der forstår at amerikansk 'bullying' af alt fra andre landes handelssamkvæm til internationale banktransaktioner ikke er specielt velkomment andre steder, og det er fx for mig temmelig uforståeligt at amerikanske myndigheder har et retsgrundlag for at udskrive bøder for at europæiske banker ikke synes at have forstået den amerikanske definition af 'money laundering'!

John Larsson

  • 0
  • 3

Et land står fritt til å bruke den ekspertise de vil med hensyn til å ta ut informasjon fra ferdskrivere. Det er helt vanlig og ikke noe gjøre en sak ut av at ikke NTSB brukes. Sikker på at både Boeing, FAA og NTSB synes det er helt greit at lufthavarikommisjonen i Paris gjør jobben i dette tilfellet (denne gangen enkelt uttak av data). At NTSB ikke er eneste instans som gransker havarier, tror jeg alle parter er glad for. NTSB med all deres ekspertise trekkes svært ofte inn, selv om det formelt ikke er krav om det.

  • 1
  • 0

Der er naturligvis en pointe i “killer SW” uanset hvor det anvendes.
Men hvis NYT oplysningerne om “single sensor” er korrekt, så er det vel den mulige fejlårsag ?

Som jeg forstår det, så kan en pilot ikke flyve uden sine sensorer - han kan ikke mærke hastigheden, og lokale g-påvirkninger kan forvanske fornemmelsen af op-ned-vandret.
(Var det ikke derfor helikopterflyvning uden horison, i mørke, var vanskelig / umulig?).

Min pointe er, at nok har PHK fat i noget omkring SW, men uden fungerende sensorer, så kan hverken pilot eller SW fungerer ?

Og det er vel en almen teknisk / økonomisk sandhed: uden korrekt input kan ingen regulering fungerer korrekt.

Så husk sensorerne !

  • 2
  • 1

Det mener jeg ikke er korrekt, PHK; reaktionerne på denne ulykke nr. 2 begyndte ikke i Europa og ikke i de europæiske luftfartsmydigheder!

Det er ikke ulykken der er problemet, men derimod beslutningen om hvorledes teknologien blev anvendt, herunder hvor få sensorer man skulle nøjes med.

I Dieselgate "vekslede" man luftforurening, der videnskabeligt dokumenterbart har slået mennesker ihjel, for et større salg af biler.

I Denne sag "vekslede" man et softwarefix som indtil videre har slået 350 mennesker ihjel til et større salg.

FaceBook & Googles salg af metadata og annoncer er en meget stor faktor i hvorfor UK er på vej ud i Brexit-sumpen.

Den slags "afvejninger" kan være valide, men de skal i så fald altid vedtages af lovligt valgte politikere for almenvældets skyld, ikke af overbetalte jakkesæt med øjnene stift rettet imod deres egen bonus og stock-options.

  • 12
  • 4

Den slags "afvejninger" kan være valide, men de skal i så fald altid vedtages af lovligt valgte politikere for almenvældets skyld, ikke af overbetalte jakkesæt med øjnene stift rettet imod deres egen bonus og stock-options.

I dette tilfælde ville jeg nok foretrække, at folk med tilstrækkelig forstand på fremstilling af fly og deres software havde haft det sidste ord. Jeg er ikke i tvivl om, at Boeing har utroligt mange dygtige ingeniører, softwareudviklere, adfærdsforskere m.m., men desværre tyder meget på, at jakkesættene (og tidspres) her har haft den afgørende indflydelse.

Og bland for guds skyld politikerne langt udenom - de er sjældent eksperter i noget som helst.

  • 3
  • 0

Men politikere kan også være kyniske i deres pleje af egne interesser.
Men hvis amerikanerne tror at de kan gå på vandet samtidigt med at de anklager ......VW for bevidst snyd, så er de vist ilde farende.

  • 5
  • 2

Først troede vi, det var atombomben, som ville dræbe os.
Så var det den kemien, der truede.
Men det bliver dårlig IT, som kommer til at gøre det af med os en dag.

  • 6
  • 0

Men hvis vi skal tage beslutninger af formen "Det her kompromis kommer til at slå X-hundrede mennesker ihjel" skal de tages af demokratisk valgte politikere, det må aldrig blive en beslutning vi overlader til profit-motiver.


Man kommer til at tænke på filmen Class Action baseret på Ford Pinto and its fuel tank design. A 1977 article in Mother Jones alleged Ford was aware of the design flaw, refused to pay for a redesign, and decided it would be cheaper to pay off possible lawsuits. The magazine obtained a cost-benefit analysis that it said Ford had used to compare the cost of repairs (Ford estimated the cost to be $11 per car) against the cost of settlements for deaths, injuries, and vehicle burnouts.

  • 7
  • 0

Men hvis vi skal tage beslutninger af formen "Det her kompromis kommer til at slå X-hundrede mennesker ihjel" skal de tages af demokratisk valgte politikere, det må aldrig blive en beslutning vi overlader til profit-motiver.

For det første så er der ingen politikere som vil tage sådan en beslutning.
Så dit standpunkt består ikke IKKE testen.

Og for det andet, så ved man jo som udgangspunkt ikke hvad konsekvensen bliver.
Det er altid lettest at se den slags beslutninger i bagklogskabens lys.

  • 4
  • 0

Som jeg forstår det, så kan en pilot ikke flyve uden sine sensorer - han kan ikke mærke hastigheden, og lokale g-påvirkninger kan forvanske fornemmelsen af op-ned-vandret.
(Var det ikke derfor helikopterflyvning uden horison, i mørke, var vanskelig / umulig?).

Der er mange sensorer og nogle af dem er duplikeret eller tripliceret (???). Specielt AOA sensoren kan piloter fint klare sig uden i de fleste tilfælde (737 MAX har som jeg forstår det 2 AOA sensorer).

Flyet kan flyve ligeud fint når bare piloten har en kunstig horizont, et altimeter og en indikation af motorkraft. Med et kompas bliver retningen også rigtig. Men hvis man skal navigere seriøst kræves der en airspeed indicator som i dag kommer fra et (helst flere) pitot-rør.

Hvis computeren skal flyve flyet (eller tage dele af styringen) så kræves der naturligvis sensorer. Uden sensorer er computeren ubrugelig. Pitot-rør og AOA sensorer har der været mange problemer med gennem årene.

Det er i øvrigt ikke nødvendigvis et problem at data kommer fra blot en sensor hvis piloterne er i stand til at indentificere at der er noget galt med sensor input, forstår implikationerne heraf og er i stand til at skifte sensor input og/eller disable udstyr der er afhægig af sensoren. Og at piloterne i øvrigt har tid til alt dette. Derfor lærer piloter fx. hvad de skal gøre hvis deres airspeed indicator går itu. Det er noget med at flyve ligeud med motorkraft på en skemalagt setting mens man diagnostiserer problemet.

  • 5
  • 0

Der er naturligvis en pointe i “killer SW” uanset hvor det anvendes.
Men hvis NYT oplysningerne om “single sensor” er korrekt, så er det vel den mulige fejlårsag ?


Hvis man går ind og læser den foreløbige havari rapport fra Indonesien "2018 - 035 - PK-LQP Preliminary Report",
https://reports.aviation-safety.net/2018/2...
så er der flere intressante observationer :
1) Den aktuelle sensor (AOA) var blevt skiftet tidliger ( systemet afprøvet OK ?!) MEN det betyder desværre ikke at det løser problemet. . hvis det var en 'periodisk' fejl, så er den stadig tilbage ( i resten af AOA systemet!!) og det bliver der ved med at være uanset hvor mange gange man skifter AOA-sensoren.
2) Selv efter denne 'fejlretning' havde flyet AOA-problemer på den følgende tur. . og det medførte flere afprøvninger og aktioner på jorden . . . alle OK. (Men ifølge FDR så er der fejl på AOA lige fra starten, selv når det ruller på jorden!!).
3) Under den næst sidste flyvning meldte piloterne to gange "PAN PAN" (skal normalt medføre at man lander på nærmeste flyveplads) uden at man afbrød turen ( det står i "Non-normal-checklist. . hvor Boeing har IKKE skrevet "Plan to land at nearest suitable airport").
4) Under hele turen var der "Stick-shaker" på kaptajnens side.
5) Fejlen med Aircraft Nose Down (AND) kom først markant efter at Flaps var sat i "0" stilling, og den reduceredes når flaps blev sat tilbage i 5 grader ( eller når systemer blev slået fra). Der er tilsyneladende en ret kompleks logik i MCAS systemet!)
6) MCAS systemet er et elektronisk system der (tilsyneladende) har til opgave at gøre flyet mere 'normalt' (d.v.s. det agerer på samme måde som standard 737). Det 'går ind bag ryggen' på piloten og påvirker "Flight Control" systemet direkte. Det er kun 2 kanaler, så det er ikke muligt at afgøre hvilken kanal der er OK i tilfælde af en fejl; det er op til piloten af afgøre dette !!! d.v.s. det system der skulle gøre det nemmere at flyve flyet, gør det meget mere komplekst i en fejl situation !
7) De 'korrigrende handlinger' der blev gjort efter havariet har været masser af 'instruktioner' ( læs papirer!!, som piloter og teknikkere skulle læse; ingen tekniske ændringer!)
8) Efter alle de fejl der er rapporteret på flyet, så skulle det aldrig være startet på den sidste flyvetur. Det at fejlen er væk når systemerne afprøves på jorden betyder IKKE at fejlen vil være væk når flyet kommer i luften.

Som jeg ser det, så er MCAS systemet blevet indført for at gøre flyet så 'ens' at flyve som alle andre 737, d.v.s. at man kan 'spare' en masse omskoling. Desværre har det fået en så stor 'autoritet' og så lille sikkerhed, at det kan lave rigtigt mange ulykker. Man kan godt lave sikre redundante elektroniske Fligh Control systemer, det ses bl.a. i en lille grå flyvemaskine som har fløjet i mere end 40 år (med et tripple/quad redundant analogt system). Men det skal designes ind fra begyndelsen, og så skal det valideres ud i alle hjørnerne. Som det fremgår af MSNBC gennemgangen, så er Boeing vist gået igang med de overvejelser.
Det at man har lavet et system der 'går bag ryggen på piloten' , og så er opbygget af 2 systemer hvor piloterne skal afgøre hvilken del der er OK, det holder ikke. Sådanne systemer skal designes til at være 'fail-operative'.
Når man ser på "Figure 5" i den foreløbige havari rapport, så tager MCAS tilsyneladende magten fra piloterne til sidst, så at flyet dykker i jorden:: det må ikke kunne ske. Så hvis Boeing ikke har taget disse oplysninger til sig så er der noget rablende galt, og der bør gøres noget.
Jeg er helt enig med P.H.K. at den slags overvejelser ikke kan overlades til "overbetalte jakkesæt" . At man desuden har valgt 'den politiske metode' med at sende en masse instruktioner ud gør jo ikke problemet mindre.

  • 11
  • 1

FaceBook & Googles salg af metadata og annoncer er en meget stor faktor i hvorfor UK er på vej ud i Brexit-sumpen.

PHK, dét synspunkt er jo i hvert fald ikke til at misforstå. Facebook og Google kan måske bebrejdes meget, men slet ikke Brexit! Så er det engelske sprog en 'langt' større årsag til Brexit! Selv om UK ikke er med i Schengen, så er man jo (endnu) medlem af EU og den frie arbejdskraftbevægelse. Navnlig for folk i det tidligere Østeuropa er UK et langt mere attraktivt mål end de fleste andre EU-lande. Så kan de straks bruge deres sølle skoleengelsk i stedet for at lære sig 800 ord på fransk, flamsk, dansk, svensk eller finsk!

John Larsson

  • 1
  • 5

på at et forsøg på at have samme interface i de to næsten identiske fly får det stil at styrte. Hvad baserer du reelt det på PHK.

Hvis et fly går 45 grader nedad så er det noget piloten opdager ligegyldigt hvor meget flyet forsøger at sige noget andet. Jeg har kun hørt lidt om det men det lyder som om flyet har fejl på software der gør at det gennemtvinger en fatal beslutning uden piloterne kunne gribe ind.
Problemet er måske nærmere at hvis man lave autonomt software der insisterer og ikke kan stoppes så skal det dælme være i orden.

  • 0
  • 7

"a week after the crash, Boeing distributed a warning to airlines worldwide that a new anti-stall system on the 737 MAX 8 and 737 MAX 9 could cause the aircraft’s nose to suddenly drop, resulting in a steep dive. This can occur even when the aircraft is under manual control and when pilots don’t expect the flight computer to override their actions."

  • 1
  • 5

Tvivler
på at et forsøg på at have samme interface i de to næsten identiske fly får det stil at styrte. Hvad baserer du reelt det på PHK.

I øvrigt har Airbus i årevis søgt at give alle deres fly nogenlunde samme handling gennem software. Det fungerer rigtigt godt og luftfartsselskaberne er glade for at det er nemmere at transitionere piloter fra en Airbus flytype til en anden.

Hvis det viser sig at det er MCAS systemet der er problemet, så er fejlen nok delvist at Boeing har forsøgt at lave en discount fly-by-wire løsning hvor man udnytter trim systemet til at fikse et problem med pilotens styreinput. Det er i mine øjne en kæmpe fejl. Men derfor kan softwaren selvfølgeligt godt være fejlbehæftet.

  • 5
  • 0

på at et forsøg på at have samme interface i de to næsten identiske fly får det stil at styrte.

De forskellige generationer af B737 gennem de sidste 50 år (jurassic,classic,NG, max) er forsøgt opbygget på samme måde aht. Type certifikat, og opskoling af piloter.
Det betyder at flyet på mange måder har haft et umoderne design de sidste 25 år.
F.eks. er landings stellet kort, hvorved der ikke er plads til en high bypass fan under vingen.
De første 737 havde motorer formet som en cigar, og hver ny mere økonomiske generation af turbo fans får mere bypass, hvilket kræver en større fan diameter.
Det betyder at motoren er ført længere frem, hvilket gør at flyet får nogle ubehagelige flyve egenskaber. Det betød at FAA ikke vil godkende flyet.
Derfor blev flyets egenskaber lappet med et software plaster, på samme måde som Mercedes A klasse fik stabilitets software for at kunne klare ’elg testen’.
Problemet er at flyets software/hardware arkitektur ikke er på et niveau således at man kan betro det opgaven.
Se ’Triple Modular Redundancy’, og Byzantine fault tolerance.

  • 17
  • 0

Jo det kan han sagtens når det er dagslys og godt vejr og man kan se horisonten. Det der er problemet her er at der formodentligt sidder "en lille nisse" inde i instrumentbrædtet og rent bogstaveligt flår i "pinden" med en kraft på måske 10 - 20 kg! Den skal der kompenseres for samtidigt med at der skal fejlsøges.

Nej det er værre. "Nissen" piller ved trim af haleplanet. Trim af haleplanet virker langsommere og styres ikke fra pinden. Det betyder at piloten ikke bare kan hive tilbage i pinden meget hård og så få flyet op (som man fx.kan med en stick-pusher).

De fleste store fly har mulighed for at trimme haleplanet så meget at man ikke kan modvirke det med højderoret. Piloten skal have fat i trim-systemet som er sekundært.

Problemet er, at det ikke længere er næsten to identiske fly. De ser meget ens ud udefra, men deres flyveegenskaber kan være endda meget forskellige. Det er heller ikke noget problem. Men når du så så med "noget hellig IT-sovs" forsøger at få dem til at opføre sig ens så opstår problemet under mere eller mindre specielle forhold.

Og alligevel har Airbus formået at gøre dette gennem årene med god success. Der er således ikke noget galt med ideen. Det er måske udførelsen.

  • 11
  • 0

FAA har over de sidste år ”simplifyed rulemaking” og ”Delegated Authority”, hvorved at flyfabrikanterne overtager en større rolle mht. at certificere nye fly, komponenter, og systemer.
Boeing er ’organization designation authority’ (ODA) hvor de langt hen af vejen kan blåstemple deres eget design.
https://www.faa.gov/other_visit/aviation_i...

Generelt er det således at FAA og EASA siger god for hinanden godkendelser.
Der foregår nok også noget politisk mellem USA og Europa, på den måde at hvis EASA er kritisk over for Boeing, så vil FAA også være mere kritisk over for Airbus.

  • 8
  • 0

En tråd fyldt med konspirations teorier og andet snik snak. Sandheden er at der ikke er nogen der aner, om der er nogen forbindelse mellem de to styrt eller det er en ren tilfældighed. Eller har PHK allerede analyseret de sorte bokse?
Vent med at skrive noget EB lignende vrøvl, før du faktisk har nogen ide om hvad der er sket! Det er meget muligt det er en software fejl eller en kombination af software fejl og dårlig pilotuddannelse. Men det kan ligeså godt være alt muligt andet.

  • 3
  • 11

Og alligevel har Airbus formået at gøre dette gennem årene med god success. Der er således ikke noget galt med ideen. Det er måske udførelsen.

Jeg har fået at vide i min høresnegl at bl.a. det at man har flyttet motorene endnu længere frem giver flyet nogle grundlæggende "uhensigtsmæssige" egenskaber som man så forsøger at få styr på med software. Det er så ikke helt lykkedes ;-(. Havarirapporten fra Indonesien indikrer at der til tider er noget helt galt med styringen.
Airbus har hele tiden haft ret store fan jets. Derfor har de ikke behøvet at ændre så meget på deres geometri. Deruover så har Airbus siden A300 haft funktioner der er ren computerstyring.

  • 6
  • 0

Jeg har fået at vide i min høresnegl at bl.a. det at man har flyttet motorene endnu længere frem giver flyet nogle grundlæggende "uhensigtsmæssige" egenskaber som man så forsøger at få styr på med software. Det er så ikke helt lykkedes ;-(. Havarirapporten fra Indonesien indikrer at der til tider er noget helt galt med styringen.

Det er rigtigt at motorerne er flyttet frem. Hvorvidt det er en del af problemet ved vi ikke (selvom der er kraftige indikationer på det). Der er ikke kommet konklusioner på Lion Air crashet endnu.

Airbus har hele tiden haft ret store fan jets. Derfor har de ikke behøvet at ændre så meget på deres geometri. Deruover så har Airbus siden A300 haft funktioner der er ren computerstyring.

Airbus havde mindre fan-motorer på den gamle version af flyet. Den store forskel er at 737 er designet på et tidspunkt hvor man ikke kunne forvente jetways i lufthavne. Derfor har den et meget kort landingsstel sådan at flyet nemt kunne have en indbygget trappe til indgang. Desværre for Boeing gav det store problemer da moderne jet-motorer blev endnu større. Man ser det allerede på forgængeren hvor "engine naceller'ne" er underligt flade forneden.

Men Airbus har altid forsøgt at sikre at deres fly har nogenlunde samme karakteristika; i princippet fra den mindste A318 til A380. Ydermere deler flere modeller "type ratings" - i gamle dage mener jeg A330 (med to motorer) delte type-rating med A340 (med fire).

I dag deler A300 og A310 type rating. Det samme med A318, A319, A320 og A321. A330 og A350 har et "common type rating" system hvor piloter i praksis kan flyve begge fly med en ganske lille træning ved skift. Det på trods af at flyene er vidt forskellige.

  • 11
  • 0

I Flight Crew Operations Manual omtales MCAS ikke iflg. ovenstående omtalte artikel. Det er et skriv fra 17. november, der blandt andet beskriver hvordan systemet kan omgås. På yoken der får MCAS til at vente 5 s med næste korrektion, eller betjening af trimhjulene efter annullerering af den automatiske trimkontrol.

At MCAS ikke nævnes i FCOM forklarer en højtstående ansat hos Boeing med bekymring om "overbelastning" af den gennemsnitlige pilot med for megen information...

  • 4
  • 0

Der var en gang hvor de piloter der styrede flyet man fløj med, havde erfaring fra både propellertræningsfly og mach2-jægerfly, men i dag får man indtrykket at uddannelsen mere minder om en sw-træning a la Counter-Strike!

Jeg læser så nu:

At MCAS ikke nævnes i FCOM forklarer en højtstående ansat hos Boeing med bekymring om "overbelastning" af den gennemsnitlige pilot med for megen information...
<<

Så de der 11 negative tommelfingre (og nul positive!) siger vel alt om det 'kvalificerede' debatniveau her på kanalen! Men, det er måske mest ledelsen for ing.dk der skulle spekulæere på hvad det betyder for fremtiden for mediet?

John Larsson

  • 0
  • 10

Så de der 11 negative tommelfingre (og nul positive!) siger vel alt om det 'kvalificerede' debatniveau her på kanalen!

Tør dine øjne. Jeg gav en af de tommelfingre og det er ellers sjældent jeg giver negative tommelfingre. Når du fortjener negative tommelfingre, så er det fordi du åbenbart mener at piloter i passagerfly skal have samme færdigheder som en jagerpilot. Det er nonsens, på samme måde som vi heller ikke forventer at F1-kørere er gode buschauffører.

Men selve diskussionen er interessant. For piloter i passagerfly er i stigende grad blevet "system overvågere" efterhånden som flyene er blev mere automatiserede. Dvs. piloterne i mange tilfælde primært monitorerer at flyet gør som forventet og lynhurtigt forstår implikationerne hvis noget går galt.

Denne automatisering (sammen med andre tiltag) har hævet sikkerheden meget kraftigt (se fx. her). Den hjælper piloterne til at gøre det rigtige og frigiver mental kapasitet til at se bredere end blot at holde flyet i luften lige nu uden at flyve ind i noget. For piloter (og alle andre mennesker) har kun en begrænset båndbredde. Derfor er det vigtigt at piloter bruger deres tid på rigtige ting.

Når Boeing (og Airbus) ikke skriver alt i FCOM så er det fordi piloter kun har en begrænset båndbredde og at man gerne vil sikre at den bruges rigtigt. Der står fx. heller ikke noget om hvordan air conditioning systemet i et fly fungerer i detaljer i FCOM (på trods af at air conditioning systemet også er livsvigtigt).

Diskussionen omkring FCOM bør således handle om hvorvidt MCAS burde være beskrevet deri. Kan problemer omkring MCAS blot opfattes som et "runaway stabilizer" problem (som er velbeskrevet) eller har piloterne brug for at vide mere om det?

Hvad er din kilde til den påstand? en typisk privat propelhakker har motoren helt i snuden. Det funger ganske ok fordi vingen er placeret i forhold til massecentrum.

Forskellen er at motorene på et jetfly hænger under vingerne. Men netop dette punkt er velbeskrevet mange steder på nettet. Fx: https://theaircurrent.com/aviation-safety/... (selvom problemet primært synes at man har flyttet center of thrust og center of mass).

  • 7
  • 1

Hvad er din kilde til den påstand? en typisk privat propelhakker har motoren helt i snuden. Det funger ganske ok fordi vingen er placeret i forhold til massecentrum.


Jeg kan ikke finde noget om det på en Boeing side, men det er bla. beskrevet her:
https://theaircurrent.com/aviation-safety/...

That changed, ever so slightly, how the jet handled in certain situations. The relocated engines and their refined nacelle shape engine nacelle generates its own lift.
...
Boeing quietly added a new system to compensate for some unique aircraft handling characteristics during it's (sic) Part 25 certification and help pilots bring the nose down
in the event the jet's angle of attack drifted too high when flying manually..

Det at motor nacellen generere lift, betyder at hvis næsen løftes, så har den en tendens til at bebeholde den høje næsestilling.
Alle fly har et certificerings krav om at vende tilbage til trimmet hastighed efter at piloten har fjernet påvirkningen af yoken/pinden.
F.eks. CS 22.173 Static longitudinal stability
https://www.easa.europa.eu/sites/default/f...

CS 25.177 Static directional and lateral stability
https://www.easa.europa.eu/sites/default/f...

  • 4
  • 0

Når du fortjener negative tommelfingre, så er det fordi du åbenbart mener at piloter i passagerfly skal have samme færdigheder som en jagerpilot. Det er nonsens, på samme måde som vi heller ikke forventer at F1-kørere er gode buschauffører.

Dét synspunkt er helt dit eget! Jeg har kun gjort opmærksom på at erhverspiloterne i de store luftselskaber tidligere havde en meget bred erfaring, og at den brede erfaring i enkelte situationer er noget som er blevet brugt! Det var efter Gottröra-landingen også et synspunkt fra mange sider, at Stefan Rasmussens lange og brede erfaring gjorde det muligt for ham at bevare roen og koncentrere sig om den løsning på problemet som han havde valgt!

John Larsson

  • 0
  • 3

@Niels Danielsen
Tak for reference.
"Boeing quietly added a new system to compensate for some unique aircraft handling characteristics"
Jeg ville næppe kunne finde en mere "diplomatisk" måde at sige det på ;-)

  • 1
  • 1

Michael, Niels, Chris, den kilde I holder jer til siger specifikt "That changed, ever so slightly, how the jet handled in certain situations."
Der er på ingen måder tale om en dramatisk ændring i hvordan flyet naturligt flyver pga motorstyrke, vægt eller placering i den konfiguration.
De store kraftige motorer kan få flyet til at løfte snuden ganske blidt og det har man så tiltænkt et automatisk system skulle blidt kompensere for. De store fly har så vidt jeg ved altid haft automatiske systemer af forskellig art og det er på ingen måde et forsøg på at skjule en kritisk egenskab ved flyet som PHK så dramatisk påstår og I ukritisk løber med trods simpel logik.
Der er kun en måde det fly kan gå skarpt ned i jorden på i god sigtbarhed og med vågne piloter andet end klassisk mekanisk fejl og det er hvis flyets autonome systemer har insisteret på noget rigtigt dumt. Det har intet med motorens placering at gøre, ej heller en 'app' der har til formål at skjule et problematisk design. PHK fik en selvretfærdig ikke gennemtænkt ide, skrev det i en artikel og er for stolt til at indrømme fejlen.

Jeres smålige downvotes kan ikke røre sandheden. Kun cementere jeres smålighed.

Jeg siger igen at Boeing udsendte en advarsel om at flyets autonome system kan få flyets næse til at dykke pludseligt. Det lyder lidt som om at manuel trim indstilling slår den ud af dens idioti men det er selvfølgelig et yderst uhensigtmæssigt design.
Hvis der er tale om en reaktion på en fejlagtig sensor så vil jeg anbefale generelt (udover at kunne slå det autonome helt fra) hvad man kunne kalde cogent rich sensoring. Dvs istedet for at stole blindt på et enkelt tal fra en tryksensor så skal et sammensurium af sensordata give samlet mening. Ligesom vi ikke fører en bil blindt stolende på speedometertallet men beskræfter situationen udfra flere andre informationsrige inputs. Lyden, g-påvirkning, vibration og synet.
Rutefly er faktisk yderst ynkelige på sensorsiden trods rituel højtidelighed indenfor sikkerhed. De burde alle have flere lysforstærkere og termiske kameraer samt synthetic aperture radar så jorden kan ses i alle forhold. Et moderne fly til 3 mia kr flyver til stadighed helt i blinde om natten eller i lav sigtbarhed selvom et termisk kamera koster 2kkr.
De større fly har radar i næsen og de kunne nok faktisk vise jorden (og konkludere når den kommer tættere på) men det tror jeg ikke de gør.

  • 1
  • 6

Michael, Niels, Chris, den kilde I holder jer til siger specifikt "That changed, ever so slightly, how the jet handled in certain situations."


Korrekt.. Men når ændringen bevirkede at FAA ikke vil godkende flyet, så var de nød til at gøre noget..

De store kraftige motorer kan få flyet til at løfte snuden ganske blidt og det har man så tiltænkt et automatisk system skulle blidt kompensere for. De store fly har så vidt jeg ved altid haft automatiske systemer af forskellig art og det er på ingen måde et forsøg på at skjule en kritisk egenskab ved flyet som PHK så dramatisk påstår

Du blander to ting sammen..
1) Pitch up som følge af øget motor ydelse ved lav fart.
2) Pitch up som følge af pitch up. (uændret motor ydelse) (negativ statisk pitch stabilitet pga. engine covling generere lift.)
Det er punkt to der gør at FAA ikke vil godkende flyet.
STS findes også på ældre B737, og er dokumenteret i piloternes håndbøger.
MCAS er en tilføjelse på B737 MAX, som ikke er (var) beskrevet i dokumentation udleveret til piloterne.

https://www.pprune.org/tech-log/614997-b-7...

The 737’s Speed Trim System operates with the autopilot off to enhance flight characteristics in pitch at low-gross weights, high-thrust settings and aft centre of gravity. The STS will command stabiliser movement without pilot input.

The Maneuvering Characteristics Augmentation System was added to the Max to enhance pitch characteristics while the aircraft is being manually flown at a high angle of attack with the flaps up. MCAS is unique to the Max family.

  • 1
  • 0

Dét synspunkt er helt dit eget! Jeg har kun gjort opmærksom på at erhverspiloterne i de store luftselskaber tidligere havde en meget bred erfaring, og at den brede erfaring i enkelte situationer er noget som er blevet brugt!

Tidligere havde fly også behov for en navigatør som kunne navigere efter stjernerne, vejret, og andre ting. Blot fordi det var en god ting tidligere så er det ikke det samme som at det er behovet nu.

Det var efter Gottröra-landingen også et synspunkt fra mange sider, at Stefan Rasmussens lange og brede erfaring gjorde det muligt for ham at bevare roen og koncentrere sig om den løsning på problemet som han havde valgt!

Der er mange udlægninger af Gottröra. Jeg har læst rapporten. Fx. er det interessant at selvom begge piloter havde erfaring fra det militærfly, så identificerede ingen af dem de compressor stalls flyet oplevede. Selvom compressor stalls er velkendte på militærfly. Der har også været kritiske røster fremme omkring piloterne. Jeg har ingen basis for at hænge nogen ud, men jeg bryder mig ikke om mediernes heltedyrkelse i den situation.

Tilbage til de to crashes. Der er INGEN indikationer på at piloterne ikke bevarede roen i de to ulykker. Faktisk er det sådan at der ingen indikationer er på at det gør en forskel om der sidder en pilot med militær baggrund i cockpittet. I USA er det stadigvæk normalt at piloter kommer fra militæret. I Europa er det mindre hyppigt. Alligevel er der ingen forskel på ulykkesfrekvensen ...

Michael, Niels, Chris, den kilde I holder jer til siger specifikt "That changed, ever so slightly, how the jet handled in certain situations."
Der er på ingen måder tale om en dramatisk ændring i hvordan flyet naturligt flyver pga motorstyrke, vægt eller placering i den konfiguration.

Jeg forstår ikke hvorfor jeg skulle rodes ind i det indlæg. Jeg har ingen viden om hvor meget flyets handling er ændret. Jeg har sagt at jeg mener at det er en stor fejl at MCAS systemet påvirker flyet gennem trim systemet. Den holdning står jeg ved.

  • 2
  • 0

Tilbage til de to crashes. Der er INGEN indikationer på at piloterne ikke bevarede roen i de to ulykker. Faktisk er det sådan at der ingen indikationer er på at det gør en forskel om der sidder en pilot med militær baggrund i cockpittet. I USA er det stadigvæk normalt at piloter kommer fra militæret. I Europa er det mindre hyppigt. Alligevel er der ingen forskel på ulykkesfrekvensen ...

Jeg ved ikke om du kan henvise til pålidelige statistikker omkring det her, men jeg tror at vi alle sammen ved at antallet uddannede militære piloter i USA er temmelig stort, og at også de europæiske militære piloter i stor udstrækning har fået en uddannelse i USA, eller er præget af at deres luftvåben har købt amerikanske fly og helikoptere.

Ulukkesfrekvensen kan jo i en overgribende statistik synes at være den samme, men en nærmere statistisk analyse, hvor man sammenligner piloterne efter alderskategorier i USA og/eller USA-fabrikerede fly med piloter i Europa og/eller i Europa-fremstillede fly, kan jo udmærket give et andet billede! Du må undskylde, men jeg er lidt præget af min statistikuddannelse på universitetet!

Vi skal vel også her huske at vi diskuterer denne sag med baggrund i ulykker som er sket for operatører som hverken er amerikanske eller europæiske!

John Larsson

  • 1
  • 2

Der er mange udlægninger af Gottröra. Jeg har læst rapporten. Fx. er det interessant at selvom begge piloter havde erfaring fra det militærfly, så identificerede ingen af dem de compressor stalls flyet oplevede.

Jeg har ikke udskriften fra boksene mere (de findes måske på nettet?), men det kritisable var jo iflg. min hukommelse at motorkraften på den tilbageværende motor automatisk blev sat op på max. selv om Stefan Rasmussen lige have sat den ned for at skåne den og have noget at flyve med!

John Larsson

  • 0
  • 2

Chokerende læsning. Man indfører et system der kan styre flyet lige i jorden, men nævner det end ikke i manualen og fortæller det ikke til piloterne på nogen måde. Man monterer to sensorer på flyet, men bruger kun den ene sensor til systemet. Man lover at systemet maksimalt kan lave trim på 0,6 grader men ændrer det til 2,5 grader. Og så tillader man at systemet kan "resette" og lave arbitrære mange 2,5 graders trims i træk, så det effektivt kan gå helt til stop.

Og det værste? Man siger pænt undskyld og laver et hurtigt software fix, så at den fremover ser på begge sensorer og har en eller anden form for timeout, så den ikke kan lave flere trims i træk.

Hvem tror at de giver sig, og indkalder piloterne til ekstra simulator træning? Husk at formålet med systemet var at undgå at piloterne skulle til ekstra træning...

Og FAA? Neutrale undtagen når det amerikanske firma er bagud i tidsplanen i forhold til det europæiske. Så kommer gummistemplet frem.

  • 9
  • 0

Jeg er helt enig med Baldur, og de har fået alle detaillerne med i Seattle Times. Hvis det her skal leve op til de almindelige USA-forhold, så må advokaterne nu stå i kø for at føre sag mod Boeing.
Den holdning at man skal 'udlicitere' og at man tillader 'større firmaer' at godkende sig selv, ser ud til at koste mange menneskeliv.
( at lade ræven vogte får ?)
Det er ikke fordi den enkelte ingeniør ikke har ville lave et ordentlig arbejde, men "ledelsen" har tilsyneladende taget en 'politisk' beslutning. Hvis ikke FAA selv tager nogle 'drastiske skridt' så kan det være at man skal prøve at få EASA, til at forholde sig mere kritisk til 'gummistemplede' dokumenter fra USA.
Dette kan ikke kun henføres til en enkelt fejl i et "fix" fra en programmør, men er jo en bevidst tilsidesættelse af godkendelses kriterierne på 'allerhøjeste niveau'. Som jeg ser det, så bør Boeing miste deres ret til "selv-certificering" i et antal år.
Og. . læg lige mærke til. . der er nu gået adskillige måneder siden havariet med Lion-Air i Indonesien, og man har endnu ikke fået lavet en bare foreløbig løsning på problemet; det er tilsyneladende IKKE noget man 'bare-lige' kan løse der ovre i Seattle ( men det kan være at der ligger rigtig meget når man begynder at løfte gulvtæppe ?); og at montere et 3'e uafhængigt AOA system; det vil koste pennge. Dette er ikke kun et simpelt SW-problem, det er heller ikke kun et System design problem, eller System specifikations problem, dette er et grundlæggende holdnings problem, at nogen tror at på "to big to fail". Det er på en måde 'Challenger-syndromet' om igen.

  • 1
  • 0

De kommer ikke til at installere en tredje aoa sensor.
Alle andre Boeings har også kun 2 aoa vanes og de drysser ikke ud af himlen hver og hver anden dag.

Det kan løses ved at der skal 2 ens aoa værdier der siger stall, og så begrænse MCAS til at kunne køre en enkelt gang på hver flyvning.

  • 2
  • 0

Lighederne med årsagerne til Challengers forlis hober sig op. Nej, ikke o-ringe, men sikkerhedskulturen. Feynman er stadig aktuel.

Apropos PHK's boganmeldelse i Version2 (Exploding the phone): "I virkeligheden er det mest overraskende ... hvor lidt vi har lært af historien".

  • 0
  • 0

Ja, men de andre fly har ikke et "pusher" system , der i fejltilfælde kan totalt overmande pilotens input. Så så længe den har et MCAS system uden redundans, så kan den (desværre) tvinge flyet til at peget næsen ned mod jorden ved en enkelt fejl. . .
Denne forskel er den væsentligste 'ulempe' ved MCAS systemet (som jo ifølge salgsbrochuren skulle være "gøre B737 Max fuldstændigt magen til B737-neo??!"). Så længe systemet tillader at aktivere MCAS på baggrund af en enkelt fejlende AOA sensor, så vil der være et problem.
Og i øvrigt så er advokaterne allerede ved at stå i kø ifølge Seattle Times.

  • 4
  • 0

....til at overveje deres forargelser over VW fejlene.
Det er ikke teknologiske svigt men ledelsesmæssige.
Bob bob siger ledelsen lad os først se om det bliver et problem :-(

Men igen, Jan du skriver nogle gode indlæg

  • 0
  • 4

Jan, bare lige for at andre herinde ikke skal begynde at tro der er tale om en stick pusher. MCAS er ikke en stick pusher.
En stickpusher påvirker elevatorsystemet direkte, og man kan se effekten direkte ved at control collumn skubbes fremad, og dermed skubber elevators ned på et øjeblik.

MCAS kan ikke ses eller føles af piloterne andet end at trimhjulene høvler rundt, men det gør de i forvejen på 737 serierne som har et ret aktivt galleri af funktioner der trimmer å stabilizeren.

Stick pusher er/var i øvrigt mest set på fly med T-tail på grund af faren for deep stall.

  • 0
  • 0

Se denne grundige og fine forklaring på hvad “run away trim” er og hvordan den korrekte reaktion bør være. Der er ingen tvivl om at piloterne ved de 2 ulykker kunne have forhindret ulykken, hvis de havde været ordentligt trænet og vidste hvad de havde gang i. Dermed ikke sagt at Boeing er skyldfri, for de har lavet et skod system.
Som kuriosum, dagen før var den samme hændelse sket på samme fly, men med en anden besætning, plus en pilot der skulle færge flyves, men som sad i cockpittet. Han kendte den korrekte procedure, og reddede dermed flyet fra at forulykke! Utroligt.
PS kaptajen var kun 29 år og 2. Piloten havde kun 200 timers flyvetid (ialt som jeg læser det)

  • 0
  • 0

Se denne grundige og fine forklaring på hvad “run away trim” er og hvordan den korrekte reaktion bør være. Der er ingen tvivl om at piloterne ved de 2 ulykker kunne have forhindret ulykken, hvis de havde været ordentligt trænet og vidste hvad de havde gang i. Dermed ikke sagt at Boeing er skyldfri, for de har lavet et skod system.

Der er lille tvivl om at hvis piloterne i Lion Air flyet havde brugt runaway stabilizer proceduren, så havde de overlevet. Det samme sandsynligvis med piloterne i Etiopian flyet.

Men der kræves at de kan identificere situationen som runaway stabilizer. MCAS fejlen manifesterede sig anderledes end runaway stabilizer. Ved runaway stabilizer kører trimhjulene konstant uden stop. Under normale omstændigheder kan auto trim også stoppes ved at trække i styrepinden (selvom der selvfølgeligt kan være fejl på den føler).

MCAS fejlen manifesterede sig ved at systemet begyndte at trimme. Det gjorde ingen forskel om piloten lavde control column input. MCAS stoppede trim når piloterne trimmede manuelt. Men startede igen 10 sekunder efter.

Læg oveni at Lion Air flyet havde stickshaker og sensor problemer. Vi ved ikke endnu hvad piloterne i Etiopian flyet oplevede. Det er sgu for nemt at sidde i sin varme stue og skyde på nogle piloter der er døde. Vi bliver forhåbenligt så kloge de kommende måneder at vi kan snakke skyld og hvem der lavede fejl.

  • 2
  • 0