Boeing-гейт почти случился с Airbus. Как ошибка ПО чуть не убила 315 человек

06 июня 2020 в 8:00
Автор: Станислав Иванейко

Boeing-гейт почти случился с Airbus. Как ошибка ПО чуть не убила 315 человек

Автор: Станислав Иванейко

«Возвращаясь к тому моменту, я никогда не забуду взгляды родителей: „Посмотри, что ты сделал с моим ребенком!“» — говорил командир рейса Qantas 72 Кевин Салливан о моменте, когда он вышел из кабины Airbus A330 в разбитый салон к пассажирам. В потолке зияли огромные дыры от ударов головой, светлая обшивка была заляпана кровью, у многих пассажиров были глубокие порезы и переломы. Но на самом деле Салливан как раз предотвратил гибель всех 315 людей на борту. А реальным виновником инцидента 7 октября 2008 года стала ошибка программного обеспечения одного из самых передовых лайнеров мира. Задолго до событий с Boeing 737 MAX главный конкурент американского производителя чуть не попал в схожую историю, которая тоже могла обернуться кризисом для авиационной отрасли. Передовой лайнер Airbus A330 с обилием электронных систем, которые должны были работать на безопасность пассажиров и экипажа, взбесился и чуть не врезался в Индийский океан. А виной всему был сбой в программном обеспечении.

Без прямой связи с органами управления

Появившийся в начале девяностых Airbus A330 был ответом французов на Boeing 767, который к тому времени эксплуатировался уже более десяти лет. Новинка выделялась тогда еще редкой системой fly-by-wire. Она дебютировала на узкофюзеляжном A320 и стала основой идеологии всего концерна Airbus. Вплоть до девяностых годов ручки органов управления связывали непосредственно (через гидравлику, например) с хвостовым стабилизатором, рулями высоты и направления, закрылками, элеронами.

В Airbus подумали, что есть более удачное и современное решение: добавить посредника в виде компьютера, который получает сигналы от экипажа и передает их уже непосредственно на органы управления просто по проводам — отсюда и название концепции. Вернее, в Boeing частично тоже использовался такой подход, но целиком на подобную схему впервые перешел именно французский концерн.

Airbus A330-300. Рейс Qantas 72 выполнял такой же самолет. Изображение: theflight.info

Такая система дает несколько важных преимуществ. Во-первых, самолет становится легче, а значит, экономичнее — в современной авиации это чрезвычайно важный параметр. Во-вторых, повышается безопасность: электроника не позволяет самолету выйти за границы допустимых параметров, даже если пилот допустит ошибку. Но появляется проблема: у экипажа нет прямой связи с органами управления. Все действия команды проходят только через компьютер. Звучит жутковато? На самом деле нет: практически у всех современных автомобилей педаль газа электронная — это, по сути, то же самое, что и fly-by-wire, только в упрощенном виде.

Слишком быстрая и слишком медленная скорость

A330 с бортовым номером VH-QPA за пять лет эксплуатации налетал более 20 тыс. часов. 7 октября 2008 года лайнер авиакомпании Qantas вылетел из Сингапура в австралийский город Перт. Командир рейса 72 — Кевин Салливан, бывший летчик ВВС США. В молодости он попал по программе обмена в Королевские ВВС Австралии, где летал на истребителях Mirage. Страна кенгуру так понравилась Салливану, что он решил перебраться туда насовсем. Пилот пересел на гражданские лайнеры и вскоре стал работать в Qantas, крупнейшей авиакомпании Австралии. К октябрю 2008 года он налетал примерно 13,5 тыс. часов, в том числе почти 2,5 тыс. часов на A330. Вторым пилотом рейса был Питер Липсетт, также на время отдыха его мог сменить молодой пилот Росс Хейлз. Помимо 3 летчиков, в A330 было 9 бортпроводников и 303 пассажира — всего 315 человек.

Кевин Салливан. Изображение: 7news.com.au

Самолет занял эшелон в 37 тыс. футов и летел на автопилоте над Индийским океаном на юго-восток. Вдруг на дисплее появляются два предупреждения: одно сигнализирует о сваливании, другое — о слишком большой горизонтальной скорости. Это удивило экипаж, потому как предупреждения противоречат друг другу.

Сваливание происходит при недостаточной скорости, из-за чего самолету не хватает подъемной силы и он начинает падать от собственной тяжести. В такой ситуации обычно набирают скорость, перекладывая хвостовой стабилизатор на пикирование — нос самолета опускается, горизонтальная скорость растет, а с ней увеличивается и подъемная сила. Потом остается выровнять лайнер относительно горизонта. Но предупреждение о слишком большой скорости означало, что лететь еще быстрее нельзя, иначе A330 не выдержит перегрузок. Системы словно говорили: самолет летит слишком медленно и при этом слишком быстро.

Почти MCAS

Не дав экипажу оценить ситуацию и разобраться со взаимоисключающими сигналами, умная электроника A330 берет ситуацию в свои руки — и перекладывает хвостовой стабилизатор на пикирование. Примерно то же самое десять лет спустя произойдет с Boeing 737 MAX, да и в целом эти инциденты похожи: системы, призванные повышать безопасность, в одних случаях привели к трагедии, а в другом — остановились в шаге от большой беды.

Самолет резко отклонился от горизонта на 8,4 градуса: по воспоминаниям Салливана, он хоть и оставался пристегнут ремнями к креслу, но почти врезался в потолок. В пассажирском отсеке людей подбросило с такой силой, что они пробили головами пластиковую обшивку, острые края которой превратились в лезвия — вдобавок к переломам с ушибами у многих остались порезы.

Это фото лучше всего объясняет, почему ремни в самолете всегда должны быть застегнуты. Изображение: atsb.gov.au

Airbus не слушался управления, удержание сайдстика (в Airbus и, например, SSJ 100 вместо штурвалов используются джойстики) в положении «на себя» ни к чему не приводило, самолет не выравнивался. Салливан сравнивал это с эпизодом из «Космической одиссеи»: даешь системе команду, а она словно отвечает, мол, нет, извини, но так не получится.

С трудом, отпуская и отклоняя на себя сайдстик, экипаж вернул самолет в горизонтальное положение. Но через две минуты лайнер вновь нырнул, и A330 во второй раз удалось выровнять. Стало более-менее понятно, как бороться с опасным поведением Airbus, однако в любой момент это могло повториться вновь.

Салливан решил не тянуть до Перта: во-первых, примерно сотне пассажиров требовалась медпомощь, во-вторых, неизвестно, к каким последствиям приведет очередной самостоятельный маневр самолета, — значит, нужно поскорее оказаться на земле. Неподалеку была база ВВС в штате Западная Австралия. До нее оставалось лететь порядка 40 минут. К счастью, A330 больше не тянуло вниз; самолет посадили в ручном режиме, заходя на полосу по спирали. Обычно лайнеры так не сажают, но у рейса 72 была веская причина: в случае очередного пике большая скорость позволила бы выровнять самолет и уйти на второй круг. Самолет удалось приземлить с первого раза, медики уже ждали борт. 26 фиксаторов шеи, что врачи взяли из ближайшей больницы (больше там не было), на всех травмированных не хватило.

Изображение: atsb.gov.au
Командир вспоминал: когда он проходил по разбитому салону, все спрашивали, что случилось. Но у Салливана ответа не было: «Я честно сказал, что не знаю, но я попытался это остановить. Плохо, когда командир самолета не знает причин его неправильного поведения».

Электроника запуталась

Кевин Салливан не в первый раз оказался в опасной ситуации: он уже сталкивался с отказом двигателя, сильным градом при взлете, который повредил фюзеляж и двигатели, задымлениями, суровыми погодными условиями. Но ничто из этого, по словам командира, не шло в сравнение с происшествием на рейсе Qantas 72: бортовой компьютер не слушался команд экипажа, самолет практически стал неуправляемым.

Предстояло выяснить, что привело к подобному поведению Airbus: электроника пыталась спасти лайнер, потому как получила данные о сваливании из-за низкой скорости. Но почему система распознала опасность, когда ее не было, оставалось непонятным. Претензий к действиям экипажа у следователей не возникло, а вот анализ бортовых самописцев Airbus A330 вызвал вопросы.

В самолете установлены три блока ADIRU — инерциальной навигационной системы. Если упрощенно, она получает сведения от наружных датчиков (приемники воздушного давления, датчики угла атаки) и транслирует их на основной компьютер, который является без преувеличения мозгом всего A330. Один из этих блоков — под номером один — по непонятной причине выдал большой разброс по углу атаки, что заставило электронику принять решение об опасности. В случае сильного несоответствия данных от разных блоков головной компьютер берет значение, которое было зафиксировано на 1,2 секунды ранее. Однако ошибочный параметр возник не единожды, и это сбило систему с толку.

Блок ADIRU. Изображение: theregister.com

Защитный механизм сработал правильно, за исключением того, что причина его активации была ложной: в то время как нос лайнера относительно горизонта был поднят на 2 градуса, ошибочное значение с датчика угла атаки равнялось 50 градусам. Гражданские самолеты не могут безопасно лететь при таком угле тангажа, и система взялась исправлять ситуацию.

Салливан так описывал особенности управления Airbus: «Компьютер здесь — номер один, а пилот — номер два. Если он [компьютер] решает, что есть сваливание и превышение скорости, то включит защиту, и права вето у тебя нет».

Во время изучения инцидента выяснилось, что на этом же лайнере и том же самом блоке ADIRU 12 сентября 2006 года возникла похожая ситуация с рядом ошибок, однако в тот раз самолет не уходил в пикирование. Техники проверили блок по регламенту производителя — неполадок не было. И его вернули на A330, не найдя поводов для замены.

Пока шло расследование происшествия, в аналогичную ситуацию 27 декабря того же года угодил еще один Airbus A330 авиакомпании Qantas, близнец борта VH-QPA. Более того, он летел по такому же маршруту, только в обратном направлении — из Перта в Сингапур, и проблема возникла в той же области, где случились неполадки с рейсом 72. Второе происшествие с почти идентичными условиями породило разговоры о другом виновнике — станции связи «Гарольд Э. Холт» австралийских военно-морских сил: якобы сигналы с радиовышек могли вызвать сбой в работе электроники A330. В октябрьском инциденте лайнер был примерно в 170 километрах от станции, в декабрьском — в 700. Однако в ходе расследования не удалось установить факт влияния частот, которые использует «Гарольд Э. Холт», на блок ADIRU. А 7 октября 2008 года в то время, когда A330 устремился к океану, вышки вообще не работали.

Две катастрофы Boeing 737 MAX, случившиеся из-за некорректной работы системы безопасности, Салливан прокомментировал так: «Мы отрабатываем на тренажере отказ двигателя — теперь нам нужно отрабатывать отказы автоматики». Изображение: 7news.com.au

Кроме прочего, рассматривалось и гипотетическое влияние сигналов со спутников, но по ряду причин версию признали несостоятельной. В конце концов, по миру далеко не один год летают сотни A330 и A340 (у моделей одинаковые ADIRU), и, будь проблема в спутниках или радиоволнах, она уже давно проявила бы себя.

В результате корень неполадок засел в ADIRU: по неустановленной причине параметр высоты он обозначил как угол атаки и передал эту информацию главному компьютеру. Тот ужаснулся полученным цифрам, которые говорили о приближающейся катастрофе, и включил защитный механизм.


Причиной всех этих инцидентов назвали чрезвычайно редкое сочетание ошибок в ПО как головного компьютера, так и блока ADIRU. Происшествия оказались уникальными: три случая на десятки миллионов часов налета Airbus A330 и A340 с точно такими же электронными системами. Софт лайнеров доработали: полномочий у защитной системы стало чуть меньше, и даже при распознавании угрозы самолет теперь не должен сам уходить в пике.

Кевин Салливан ушел из Qantas в 2016 году, проработав в авиакомпании 30 лет. О событиях 7 октября 2008 года пилот написал книгу No Man’s Land, где он также рассказывает о своей карьере в авиации.

Покупайте с оплатой онлайн по карте Visa и выигрывайте iPhone каждую неделю

горный, материал рамы: сталь Hi-ten, колеса 29", вилка амортизационная, трансмиссия 21 скор., тормоза дисковый механический + дисковый механический
горный, подростковый, материал рамы: сталь Hi-ten, колеса 24", вилка амортизационная с ходом 80 мм, трансмиссия 6 скор., тормоза дисковый механический + дисковый механический
горный, трэйл, материал рамы: алюминий, колеса 29", вилка амортизационная с ходом 100 мм, трансмиссия 21 скор., тормоза дисковый механический + дисковый гидравлический, вес 14.32 кг

Читайте также:

Хроника коронавируса в Беларуси и мире. Все главные новости и статьи здесь

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Самые оперативные новости о пандемии и не только в новом сообществе Onliner в Viber. Подключайтесь

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by