În desfășurarea crizei Boeing 737 MAX avem în media o foarte bună acoperire a opiniilor tuturor celor interesați de acest caz, cu excepția inginerilor de aviație, care de fapt poartă responsabilitatea pentru fiecare din factorii cauzali semnificativi pentru pierderea celor 346 de vieți în accidentele Lion Air 610 și Ethiopian 302:

• Proiectarea unui sistem de augmentare nesigur (single-point-of failure): MCAS-ul
• Auto-certificarea tipurilor de aeronavă prin politica de delegare a FAA, pe grabă
• Senzorii de Unghi de Atac (A-o-A) cu o mare probabilitate de a se defecta prea devreme în cursul duratei normale de exploatare, ca simptome ale unor probleme de control al lanțului de aprovizionare sau de întreținere
• Răspuns inadecvat în prima fază la accidentul Lion Air, ratând șansa de a ieși în față să explice riscurile de a continua zborurile cu MCAS-ul existent (și în ciuda unei avertizări date de FAA că în următoarele 10 luni de la accidentul Lion Air era de așteptat un caz similar, din calcule statistice)

Peste toate acestea, FAA a anunțat recent descoperirea unei alte slăbiciuni în software-ul AFCS, fără legătură cu MCAS. Aceasta de asemenea poate cauza un tangaj negativ excesiv în anumite circumstanțe excepționale, necesitând să fie corectată.

Ca inginer de aviație specializat în avionică, sunt foarte îngrijorat și aș dori să punctez câteva lucruri din punctul meu de vedere.

După oprirea la sol a avioanelor 737 MAX, Boeing a venit cu un plan plauzibil de a modifica software-ul:

• Limitarea autorității MCAS-ului de la un bracaj complet al stabilizatorului, să zicem la jumătate, care ar asigura posibilitatea controlului uman asupra aeronavei în cazul unei alte declanșări nejustificate a sistemului[1]
• Modulul de Dezacord privind Unghiul-de-Atac să fie inclus în standard, pentru toți operatorii
• MCAS să ia informația de Unghi-de-Atac de la ambii senzori și să fie inhibat dacă aceștia sunt în dezacord cu 5.5° sau peste
• Instruirea piloților asupra MCAS-ului

Primele două puncte implică doar actualizări de software și par simplu de implementat într-o perioadă comensurabilă de timp. Ar fi trebuit să fie gata acum mai multe luni de zile. A treia pare de asemenea să fie o banală actualizare de software. Pachetele de date de la ambii senzori A-o-A circulă prin magistralele de date ale aeronavei și pot fi rutate în așa fel încât MCAS să folosească indicațiile ambilor senzori A-o-A. Din motive surprinzătoare și neevidente, lucrurile nu stau așa. Surse din interior pretind că arhitectura 737 MAX nu permite utilizarea ambilor senzori într-o buclă de control, deci arhitectura însăși ar trebui refăcută. Nu-mi pot imagina o arhitectură care să împiedice un software să-și extragă pachetele de date necesare dintr-o magistrală de date, din moment ce există o magistrală de date comună atât pentru tribordul cât și pentru babordul aeronavei (de fapt sunt două magistrale pentru redundanță, dar ambele au acoperire generală). Această problemă tehnică depășește limitele imaginației mele și sper ca oameni din interior (Boeing sau Collins) să explice mai clar despre ce este vorba. Mai mult decât atât, dacă această schizofrenie arhitecturală este adevărată, cum poate funcționa modulul de Dezacord A-o-A?

Această a treia problemă singură este probabil cauza unei prelungiri atât de mari a opririi la sol a tipurilor 737 MAX. Dacă arhitectura trebuie regândită, aceasta este o bombă de timp, ar putea dura mult proiectarea, implementarea, testarea și certificarea.

În afară de aceste probleme legate de MCAS, se pare că mai există două chestiuni care adaugă incertitudine:

• Problema menționată anterior în software-ul pilotului automat, care de asemenea ar putea duce la tangaj negativ nedorit
• Obiecțiile inițiale ale FAA referitoare la traseele cablurilor de palonier, care ar putea cauza pierderea controlului dacă ar surveni o defecțiune explozivă a motorului

Această obiecție din urmă a FAA din 2017 a fost ignorată de Boeing la timpul respectiv, fiind cu 6 luni în întârziere față de rivalul Airbus A320Neo. Acum, obiecția a ieșit la suprafață și, conform noului Administrator al FAA, avem timp să punem totul la punct, deoarece nu există o limită impusă pentru oprirea la sol a tipurilor 737 MAX. Tehnic, problema cablurilor de palonier este mult mai greu de rezolvat decât celelalte probleme de software, chiar și de hardware. Este un risc real la 737 MAX cu cablurile de palonier? Sau este doar prudență excesivă din partea regulatorilor atunci în 2017, punându-se acum gaz peste foc? Dacă cineva m-ar fi întrebat acest lucru înainte de accidentul Southwest 3472 cu defecțiune explozivă de motor în 2016, probabil că aș fi răspuns altfel. Între timp însă s-a adăugat și Southwest 1380 în 2018, o defecțiune explozivă șocant de similară, afectând tot un 737 NG. De asemenea, să ținem cont că reducerea de consum de combustibil cu 14% la noul motor LEAP-1 737 MAX împinge anvelopa și mai tare. Chiar dacă este infim, riscul unei defecțiuni explozive de motor nu a fost redus la LEAP-1 în comparație cu CFM-56. Dacă acest risc infim ar putea afecta controlabilitatea laterală a avionului, măsurile de atenuare a riscurilor se impun.

Întorcându-ne la MCAS, să încercăm să soluționăm un mister. Din moment ce Boeing au anunțat că vor limita autoritatea MCAS-ului, cum se va mai descurca acesta într-o situație de veritabil unghi de atac mare? Ce a justificat o asemenea forță de reacție a MCAS-ului inițial? Un alt mister al proiectării MCAS-ului constă în logica de cuplare timp de 10 secunde – decuplare 5 secunde, folosind doar feedback aerodinamic, pe baza doar a senzorului A-o-A stâng. Dacă stabilizatorul orizontal al unui 737 este bracat complet în jos (și acest lucru este verificat prin bucla de reacție pe senzorul de poziție unghiulară de bracaj) și dacă în bucla de reacție aerodinamică (senzorul A-o-A) nu se înregistrează nicio schimbare, nici cea mai mică reducere de unghi, ce scenariu ar putea justifica algoritmul 10-5? De ce să repeți în buclă această operațiune, din moment ce unica explicație a unui astfel de comportament este un senzor A-o-A defect? De ce să treci cu vederea aducerea aeronavei la un unghi de tangaj de −40° în condițiile în care totul este despre evitarea unor situații cu unghi de atac neobișnuit de mare? De ce din feedback-ul aerodinamic nu face parte și unghiul de tangaj, așa cum se întâmplă la pilotul automat? Prea multe întrebări aici, ale căror răspunsuri aș fi vrut să le am, pentru studenții mei.

Referitor la autoritatea abuzivă a MCAS-ului în versiunea inițială, diagrama noastră ilustrează ce s-a întâmplat când 737 MAX a trebuit echipat cu motoare cu diametru mai mare sub aripă. Motoarele au fost mutate un pic în față în raport cu aripa și centrul lor geometric a fost coborât un pic. Unele surse pretind că dimpotrivă, au fost mutate mai sus. Această contradicție poate fi explicată: diametrul mai mare al motorului îl face să pară mai sus la partea de sus a nacelei, când aeronava este la sol (datorită extensiei cu 0,4 m a trenului de aterizare), dar față de centrul de greutate al aeronavei, centrul geometric al motorului este cu aproximativ 4% mai jos. Comparăm aici avioanele familiei 737 MAX cu familia precedentă 737 NG, care nu a avut nevoie de MCAS sau de ceva echivalent. MCAS-ul ar fi trebuit să compenseze efectul momentului de tangaj pozitiv al 737 MAX în atitudini cu unghi de atac excesiv. De ce apare acest efect de moment de tangaj pozitiv la 737 MAX?

În primul rând, dacă motoarele ar fi fost amplasate mai sus, momentul pozitiv al forței de tracțiune ar fi fost mai mic decât la 737 NG. Deci să uităm asta, amplasamentul este cu 4% mai jos, dar 4% nu este o schimbare chiar atât de terifiantă. Ce putem spune despre mutarea motoarelor mai în față? Ce efect are acest lucru asupra momentului de tangaj pozitiv? Ei bine, niciunul. Momentul unei forțe este forța înmulțită cu brațul, adică distanța de la centrul de rotație la direcția forței. Mutarea motoarelor în față sau în spate nu modifică momentul. Deci geomteria nu explică în realitate necesitatea MCAS-ului. Ce anume totuși?

Contrar mai multor surse (incluzând și propriul meu articol Siguranța legendară a familiei Boeing 737, unde am adoptat cu superficialitate curentul general de opinie), nu geometria motoarelor a justificat soluția MCAS. Mai există doi factori care împing botul în sus când sunt băgate motoarele în plin într-o situație cu unghi de atac mare:

• Tracțiunea mai mare a motoarelor de 737 MAX (cam cu 10%)
• Nacelele motoarelor mai mari, care produc portanță aerodinamică suplimentară la unghiuri mari de atac (și aici într-adevăr faptul că motoarele sunt montate mai în față contează, pentru că portanța L_e este perpendiculară de aripă)

Momentul de rotație de tangaj pozitiv M_theta este strict T×d și astfel nu este direct influențat de amplasarea motoarelor față-spate. De asemenea, trebuie să-i dezamăgesc pe experții din Internet care pretind că în situațiile cu mare unghi de atac, deoarece motoarele împing mult aer și gaze de ardere în jos, din aceasă cauză crește unghiul de tangaj mai mult. T×d la 737 MAX nu este mai mare decât de 1.1×1.04 = 1.14 ori momentul de la 737 NG. Chiar adăugând portanța suplimentară a motoarelor cu nacele mai mari, momentul de tangaj pozitiv nu pare să depășească 17% în comparație cu neprotejatul B737NG. Astfel, nu prea găsesc justificare pentru autoritatea disproporționată a versiunii inițiale de MCAS. Proiectarea cu toleranțe mari nu constituie o bună practică în ingineria aerospațială. Rezistența structurală excesivă sau forțele de acționare excesive nu sunt un semn de bună practică în ingineria aerospațială, în contrast cu alte domenii ale ingineriei. Aeronautica și astronautica sunt la frontiera posibilului, deci facerea de bine excesiv înseamnă un rău în altă parte.

Referitor la culpa atribuită piloților în ambele accidente, ar trebui să clarificăm odată pentru totdeauna că în niciunul din accidente piloții nu au avut nicio vină. Învinovățirea piloților a fost o eroare. Putem înțelege foarte simplu prin ce au trecut acești piloți dacă urmărim pe YouTube reconstituirea în simulator[2].

O altă problemă este că MCAS-ul semnifică sfârșitul erei în care avioanele Boeing erau avioanele piloților. Airbus are filosofia Fly-By-Wire (FBW) din anii 1980, deci esențialmente pilotajul aeronavei este treaba unor roboți care decid ce trebuie să facă. Piloții umani doar comunică roboților ce anume ar dori, dar nu au veto asupra roboților. Accidentul A320 de la Perpignan este povestea unei decizii nefericite a roboților, cu excelenții piloți umani rămânând doar martori neputincioși la dezastru, fără să poată prelua comanda de la roboții sinucigași. Ca să le facem dreptate și acestor roboți, ei au fost induși în eroare de doi senzori A-o-A simultan blocați (care nu erau în dezacord), din cauza spălării incorecte a avionului înainte de zbor cu apă sub presiune. Cauza accidentului de la Perpignan a fost o greșeală fatală comisă de personalul de sol, înainte de zbor.

Prin natura sa, Boeing 737 este diferit. Piloții au veto asupra oricărui sistem automat la toate familiile 737, cu excepția 737 MAX și cu excepția robotului denumit MCAS. Când acest robot preia conducerea, poate ucide pe toată lumea fără să mai poată interveni cineva. Aceasta este o altă supriză neplăcută pentru piloții Boeing 737 cu experiență. Un pilot Boeing 737 are controlul asupra aeronavei și dacă deleagă o funcție unui sistem automat, acesta poate fi dezactivat oricând dacă apare un pericol, spre deosebire de un pilot Airbus. Filosofia MCAS încalcă acest principiu. Desigur, dacă Airbus încalcă aceste principiu de 30 de ani și continuă să zboare în siguranță, de ce nu ar putea și Boeing, măcar un pic?

Acum când proiectarea MCAS este explicată public, piloții Boeing înțeleg că au în cockpit un coleg robot, care poate prelua controlul. Din păcate, acest robot nu poate fi oprit dacă își iese din minți. Robotul bagă avionul în picaj pentru 10 secunde, se calmează 5 secunde apoi repetă. Piloții Airbus știu că au aceste creaturi la bord, s-au obișnuit cu ele și 30 de ani de operațiuni în siguranță au elevat încrederea în fiabilitatea roboților respectivi. Chiar prea mult, pentru că atunci când piloții Airbus sunt privați de funcțiuni ale roboților lor, uneori total surprinzător eșuează în controlul manual (AFR 447, AirAsia 8501). Acest fenomen se numește overreliance on automation. Totuși, piloții Boeing sunt îndreptățiți la suveranitatea lor în cockpit, acest lucru este fundamental pentru cultura lor de zbor.

MCAS nu este doar un robot care a greșit de două ori din cauza unui senzor defect. MCAS este o răsturnare a unei filosofii de control al aeronavei. Apare o întrebare îngrijorătoare: cum a fost de acord FAA să extindă un certificat de navigabilitate de tip emis în 1967 pentru Boeing 737-100 și 737-200 până la 737 MAX, din moment ce 737 MAX include o filosofie de control al zborului revoluționară. Aceasta nu a fost explicată piloților (de fapt așa cum se pare, nici măcar FAA-ului), făcând din această chestiune a reparării MCAS-ului una și mai problematică.

În opinia noastră, un avion FWB necesită un proces de certificare separat, chiar dacă este identic aerodinamic cu un avion clasic. De asemenea, dacă un avion non-FBW include măcar un sistem de augmentare care preia controlul și nu poate fi decuplat, așa ca MCAS, devine de facto un avion FBW.  Această specie s-ar putea denumi Sometimes-Fly-By-Wire (SFBW). Totuși, prezența la bord a unui decident automat schimbă totalmente procesul și cultura în cockpit. Piloții Boeing 737 nu erau pregătiți pentru această schimbare.

În concluzie, situația Boeing-ului 737 MAX este mai puțin strălucită decât părea. Privit retrospectiv, articolul meu precedent pe subiect demonstrează optimism excesiv. Ca întotdeauna, lucrurile sunt mai complicate decât aparențele.

O lecție pe care eu o extrag de aici este că inginerii de avionică ar trebui să fie ingineri aerospațiali și nu ingineri electroniști sau de calculatoare, sau și mai rău, programatori. Acești oameni trebuie să înțeleagă pe deplin cum și de ce zboară o aeronavă și care sunt toate consecințele posibile ale proiectării software și hardware și ale funcționării incorecte a sistemelor. Ei trebuie educați în cultul responsabilității absolute și în spiritul ingineriei aerospațiale cu coeficienți mici de siguranță. Ei ar trebui să-i înțeleagă pe piloții umani, chiar mai mult decât atât, ei ar trebui să piloteze ei înșiși. Fără să fii pilot, măcar ocazional, nu poți deveni niciodată un bun inginer de avionică sau de aeronautică. (Din motive obiective, în ingineria astronautică nu putem cere același lucru).

De-a lungul anilor, ingineria aerospațială și-a mutat centrul de gravitație de la ingineria mecanică spre ingineria electrică (fiind împrăștiată totuși în ambele). Școlile de inginerie aerospațială trebuie să se adapteze acestei realități, în loc să lase școlilor de ingineria computerelor să umple golul. Rațiunea pentru aceasta este explicată într-un alt articol al meu (3DEXPERIENCE: Noua Revoluție Franceză).

Procesul de certificare a unui nou tip de aeronavă trebuie luat foarte în serios. FAA, EASA și alte autorități naționale au o responsabilitate majoră față de publicul care călătorește cu avionul, altfel încrederea în transportul aerian se subțiază, în ciuda eforturilor asimetrice pentru superba performanță de siguranță de care industria este capabilă. Părerea mea este că EASA ar fi trebuit să fie în mod special pro-activă cu cazul 737 MAX și scurtăturile pe care a apucat certificarea acestuia. EASA trebuie să supravegheze FAA și viceversa, ele trebuie să se verifice una pe alta. În afară de a opri la sol avioanele cu două zile mai devreme, EASA nu a muncit prea mult la 737 MAX. Dacă pot înțelege principiul delegării și motivația FAA de a promova tipurile de avion americane, EASA are o motivație diferită și astfel ar putea furniza un anumit echilibru. EASA au emis certificatul lor de navigabilitate pentru tipurile 737 MAX pe 27 martie 2017, la doar 19 zile după FAA. Era graba asta chiar necesară?

[1] „MCAS nu va mai putea comanda stabilizatorului mai mult bracaj decât cel care poate fi contracarat de piloți prin tragerea de manșă. Piloții vor continua în orice situație să aibă posibilitatea să depășească MCAS și să controleze manual avionul.” din Boeing 737 MAX Updates publicat de Boeing

[2] https://www.youtube.com/watch?v=OxPsxmU_ocI