FAA defiende posición frente al 737 MAX

20160712-152037.jpgAW | 2019 08 01 17:43 | AIR INVESTIGATION / AVIATION SAFETY

Boeing-Company-LogoFAA defiende decisiones después 1er accidente 737 MAX

Los reguladores de la Federal Aviation Administration (FAA) B737-8MAX.jpgreaccionaron a los informes de otras fuentes sobre el primer accidente aéreo del Boeing 737-8 MAX de Lion Air el 29 Octubre 2018 al enviar un recordatorio a los pilotos sobre los procedimientos de la cabina, porque, según dijo un funcionario al Congreso el miércoles, inicialmente creía que el error del piloto era el culpable.

20150215-logo-faa_1Sin embargo, los pilotos no habían sido informados antes de ese accidente de que Boeing había desarrollado y desplegado una nueva estabilización en el avión, conocida como MCAS. Mientras los pilotos luchaban contra él, el sistema empujó repetidamente la nariz del avión Lion Air hacia abajo, enviándolo a una inmersión empinada e irrecuperable. “En ese caso en particular, en base a los datos e información que recibimos, reconocimos que en el caso de Lion Air, la acción piloto jugó un papel importante”, dijo Ali Bahrami, el principal funcionario de seguridad de la FAA, a un subcomité de Asignaciones del Senado de Estados unidos el Miércoles 31 Julio 2019. “Sentimos que lo más importante y urgente que hacer hasta que tengamos las soluciones adecuadas (era) proporcionar a los pilotos los procedimientos adecuados para centrarse en el futuro”, dijo, mientras se desarrollaba una solución. Se le preguntó a Bahrami y no cuestionó informando que los funcionarios de la FAA concluyeron después del accidente de Lion Air que había una alta probabilidad de otro mal funcionamiento del Boeing 737 MAX. Solo unos meses después, un 737 MAX operado por Ethiopian Airlines se estrelló. Juntos, los accidentes mataron a 346 personas.

Bahrami también indicó que la agencia no era más directa sobre los problemas de MCAS en la directiva de aeronavegabilidad porque el procedimiento estándar en las investigaciones de aviación limita lo que los participantes, como la FAA, pueden decir. “Así que básicamente queríamos resolver el problema sin tener la información de divulgación que los investigadores no querían que divulgáramos”, dijo. Bahrami dijo que la decisión de no informar a los pilotos sobre el sistema MCAS fue un delicado equilibrio entre proporcionar “información suficiente para poder controlar el avión, pero no desea abrumarlos con todo tipo de información que puede no ser relevante”. MCAS tenía la intención de funcionar “en segundo plano y debería ser transparente para las tripulaciones de vuelo”.

1x-1.pngshare-card.png

El currículum de Bahrami incluye tanto el liderazgo de la oficina de la FAA en Seattle, que supervisa Boeing, como la Asociación de Industrias Aeroespaciales, el grupo industrial de fabricantes de aviones. Regresó del grupo de la industria a la FAA en 2017 como administrador asociado de seguridad.

El subdirector interino de la agencia, Carl Burleson, dijo que la agencia consideraría cualquier recomendación para cambiar su proceso de certificación de aeronaves, lo que requiere que la agencia delegue una cantidad sustancial de trabajo al fabricante. La agencia ha sido criticada por permitir a Boeing demasiado margen de maniobra para certificar el MAX. “Creo que el proceso fundamental de cómo certificamos el MAX fue sólido”, declaró Burleson.

El Senador Joe Manchin, Demócrata de Virginia Occidental, criticó los procesos de certificación de la FAA. “Hemos confiado en la industria más de lo que deberíamos confiar en la industria para hacer el trabajo que debemos hacer para asegurarnos de que el público estadounidense esté seguro. Diría que para que el 737 MAX vuelva al aire, todos los funcionarios de Boeing deberían volar ese avión durante un mes para asegurarse de que tengamos la confianza para volver a ese avión. No subiré al 737 MAX hasta que vea al presidente de Boeing y a todos sus asociados y a él en ese avión primero y lo pilotearemos por un tiempo considerable”, señaló el Senador.

AW-7001-Businessinsider.jpgRediseño del Software 737 MAX

Las pruebas de la FAA recientemente estrictas estimulan un rediseño fundamental del software de los controles de vuelo del Boeing 737 MAX. Después de los accidentes mortales que han involucrado a dos Boeing 737-8 MAX de Boeing y las fuertes críticas posteriores de la Administración Federal de Aviación (FAA) por su supervisión limitada de la certificación original del avión, la agencia realizó pruebas recientemente estrictas que en Junio 2019 descubrieron una falla potencial y han estimulado a Boeing a hacer un cambio fundamental en el diseño del software.

A medida que la FAA reevalúa y vuelve a certificar los sistemas de control de vuelo actualizados, ha rechazado específicamente la suposición de Boeing de que se puede confiar en los pilotos del avión como la protección de respaldo en escenarios como el movimiento no comandado de la cola horizontal involucrado tanto en Indonesia como en Accidentes etíopes. Los pilotos de la FAA descartaron esa noción en Junio 2019 cuando, durante la prueba del efecto de una falla en el hardware de la computadora, uno de cada tres pilotos en una simulación no pudo salvar el avión. La minuciosidad de la revisión en curso de los controles de vuelo MAX a la luz de los dos accidentes es evidente en cómo se descubrió una nueva falla potencial con un microprocesador en la computadora de control de vuelo durante las pruebas de junio. Los detalles de esa falla no reportados previamente fueron confirmados tanto por un funcionario de la FAA como por una persona de Boeing familiarizada con las pruebas. En respuesta a encontrar ese nuevo problema técnico, Boeing ha desarrollado un plan para cambiar fundamentalmente la arquitectura del software del sistema de control de vuelo del 737 MAX para que reciba información de ambas computadoras de Control de Vuelo a la vez en lugar de usar solo una en un vuelo. “Este es un gran problema”, dijo Peter Lemme, un ex ingeniero de control de vuelo en Boeing y experto en aviónica.

El 737 MAX tiene dos computadoras de control de vuelo, pero en la arquitectura que ha estado en vigencia durante décadas, solo se usa una computadora a la vez en un vuelo, con sistemas que cambian para usar la otra computadora en el próximo vuelo. Lemme dijo que la arquitectura de software propuesta cambia a un sistema de dos canales “a prueba de fallas”, con cada una de las computadoras operando desde un conjunto independiente de sensores, no solo abordará el nuevo problema del microprocesador, sino que también hará que el Sistema de Aumento de las Características de Maniobra (MCAS) sea defectuoso que se volvió loco en los dos vuelos. “Estoy muy contento de escuchar que Boeing está haciendo esto. Es absolutamente lo correcto”, dijo Lemme.

Según una tercera persona familiarizada con los detalles, Boeing espera tener esta nueva arquitectura de software lista para probar hacia fines de septiembre. Mientras tanto, continuará las actividades de certificación en paralelo para que pueda cumplir con su cronograma anunciado y esperar la aprobación de la FAA y otros reguladores en octubre.

Volteando bits

Cuando Boeing anunció el 26 Junio 2019 que se había descubierto una nueva falla potencial en el 737 MAX, esta vez en un microprocesador en la computadora de control de vuelo del avión, incluso sorprendió al CEO de Boeing, Dennis Muilenburg.

Al hablar en una conferencia en Aspen esa mañana, Muilenburg reiteró una proyección previa de que el 737 MAX podría llevar pasajeros nuevamente al final del 3Q2019. Más tarde ese día, Boeing anunció el problema en una presentación de la Comisión de Bolsa y Valores, y poco después proyectó que el problema podría agregar un retraso adicional de tres meses.

Lo que la FAA estaba probando cuando descubrió que esta nueva vulnerabilidad era esotérica y remota. Según la persona familiarizada con los detalles, que pidió el anonimato debido a la sensibilidad de las investigaciones en curso, la falla específica que apareció “nunca ocurrió en 200 millones de horas de vuelo en esta misma computadora de control de vuelo en el modelo anterior 737 Next Generation”.

Simulación vuelo

En sesiones en un simulador de vuelo de Boeing en Seattle, dos pilotos de pruebas de ingeniería de la FAA, típicamente ex pilotos de pruebas militares, y un piloto del Grupo de Evaluación de Aeronaves de Estándares de Vuelo (AEG) de la FAA, típicamente un ex piloto de línea aérea, organizaron una sesión para pruebe 33 escenarios diferentes que podrían ser provocados por una falla de microprocesador rara y aleatoria en la computadora de control de vuelo del avión. Esta fue una prueba estándar que generalmente se realiza para certificar un avión, pero esta vez se configuró deliberadamente para producir efectos específicos similares a lo que sucedió en los vuelos de Lion Air y Etiopía. La falla ocurre cuando los bits dentro del microprocesador se cambian aleatoriamente de 0 a 1 o viceversa. Este es un fenómeno conocido que puede ocurrir debido a los rayos cósmicos que golpean los circuitos. La electrónica dentro de los aviones es particularmente vulnerable a dicha radiación porque vuela a grandes altitudes y altas latitudes geográficas donde los rayos son más intensos.

Entregado durante la semana, este boletín informativo por correo electrónico le brinda un resumen rápido de las principales historias del día y las noticias que necesita saber, así como fotos y temas interesantes para despertar la conversación a medida que termina su día. Un neutrón que golpea una celda en un microprocesador puede cambiar la carga eléctrica de la celda, cambiando su estado binario de 0 a 1 o de 1 a 0. El resultado es que aunque el código de software es correcto y las entradas a la computadora son correctas, la salida está dañado por este bit equivocado. Entonces, por ejemplo, un valor de 1 en un solo bit podría indicar que las aletas del ala del avión están arriba, mientras que un 0 significaría que están abajo. Un valor de 1 en un bit diferente podría decirle a la computadora que el problemático sistema de control de vuelo del 737 MAX llamado MCAS está activado, mientras que un 0 indicaría que no lo está. Esto no es tan alarmante como puede parecer. Hay formas estándar de protección contra tales cambios de bits que tienen un impacto peligroso en el sistema de un avión, y las regulaciones de la FAA requieren que esta posibilidad se tenga en cuenta en el diseño de todos los dispositivos electrónicos críticos a bordo de los aviones. Las sesiones del simulador en junio fueron diseñadas para probar cualquier vulnerabilidad de este tipo.

Durante las pruebas en 33 escenarios diferentes fueron inducidos artificialmente al voltear deliberadamente cinco bits en el microprocesador, una tasa de error determinada apropiada por análisis previo. Para los cinco bits, cada 1 se convirtió en un 0 y cada 0 se convirtió en un 1. Esto se considera una sola falla, en el supuesto de que alguna causa, ya sean rayos cósmicos u otra cosa, puede hacer que los cinco bits se vuelvan todos a la vez. Para estas simulaciones, los cinco bits invertidos se eligieron a la luz de los dos accidentes mortales para crear las peores combinaciones posibles de fallas para probar si los pilotos podían hacer frente.

562.jpgEn un escenario, los bits elegidos primero le dijeron a la computadora que MCAS estaba activado cuando no lo estaba. Esto tuvo el efecto de deshabilitar los interruptores de corte dentro de la columna de control del piloto, que normalmente detienen cualquier movimiento no ordenado de la cola horizontal si el piloto tira en la dirección opuesta. MCAS no puede funcionar con esos interruptores de corte activos, por lo que la computadora, engañada al pensar que MCAS estaba funcionando, los deshabilitó.

Se eligió una segunda broca para hacer que la cola horizontal, también conocida como el estabilizador, gire hacia arriba sin la ayuda del piloto, lo que tiene el efecto de inclinar la nariz del avión hacia abajo. Se voltearon otras partes para agregar tres complicaciones más.

Aunque el sistema MCAS que empujó la nariz hacia abajo en los dos vuelos de choque no se había activado, estos cambios en esencia dieron a los pilotos de prueba de la FAA en el simulador una situación de emergencia similar a la que ocurrió en esos vuelos. Esto fue deliberado. La FAA exigió, con conocimiento sobre los choques, que este escenario sea reexaminado rigurosamente en un nuevo Análisis de Seguridad del Sistema de los controles de vuelo del MAX.

“Estábamos emulando deliberadamente algunos aspectos de MCAS en un modo de falla teórica. Si bien es un modo de falla teórico que nunca se sabe que ocurre, no podemos probar que no pueda suceder. Así que tenemos que tenerlo en cuenta en el diseño”, dijo la persona familiarizada con las pruebas. Esta persona enfatizó cuán extremadamente improbable es que cinco bits individuales en el microprocesador se vuelvan a la vez y que los bits aleatorios realicen estos cambios críticos específicos en los sistemas de la aeronave. Agregó que las primeras cuentas publicadas de la falla que sugieren que el microprocesador se había desbordado y su velocidad de procesamiento de datos disminuyó, lo que provocó que los interruptores de la columna de control piloto que mueven el estabilizador respondan lentamente, eran inexactos.

Lemme dijo que estaba feliz de aprender esto porque esas cuentas no tenían sentido técnicamente. Expresó que la descripción de la falla y la combinación elegida de cambios aleatorios de bits representan “una condición terriblemente peor que no puedo imaginar que suceda en la realidad”.

Dwight Schaeffer, ex Gerente Senior de Boeing Commercial Electronics, la división de aviónica interna de la compañía, estuvo de acuerdo: “Cinco cambios de bits independientes es realmente un evento extremadamente improbable”, expresó.AW-Icon-TXT-01

AW-70080787889.jpgFAA defends position against Boeing 737 MAX

FAA defends decisions after 1st accident 737 MAX

20150215-logo-faa_1Federal Aviation Administration (FAA) regulators reacted to reports from other sources about Lion Air’s first Boeing 737-8 MAX accident on October 29, 2018 by sending a reminder to the pilots about the cockpit procedures, because, an official told Congress on Wednesday, he initially believed that the pilot’s mistake was the culprit.

However, the pilots had not been informed before that accident that Boeing had developed and deployed a new stabilization on the plane, known as MCAS. While the pilots fought against him, the system repeatedly pushed the nose of the Lion Air plane down, sending it on a steep and unrecoverable dive. “In that particular case, based on the data and information we receive, we recognize that in the case of Lion Air, the pilot action played an important role”, said Ali Bahrami, the FAA’s chief security officer, to a United States Senate Assignments subcommittee on Wednesday, July 31, 2019. “We feel that the most important and urgent thing to do until we have the right solutions (was) to provide the pilots with the proper procedures to focus on the future”, he said, while A solution was developed. Bahrami was asked and did not question informing that FAA officials concluded after the Lion Air accident that there was a high probability of another malfunction of the Boeing 737 MAX. Only a few months later, a 737 MAX operated by Ethiopian Airlines crashed. Together, the accidents killed 346 people.

Bahrami also indicated that the agency was no more direct about MCAS problems in the airworthiness directive because the standard procedure in aviation investigations limits what participants, such as the FAA, can say. “So we basically wanted to solve the problem without having the disclosure information that the researchers did not want us to disclose”, he said. Bahrami said the decision not to inform the pilots about the MCAS system was a delicate balance between providing “enough information to be able to control the plane, but does not want to overwhelm them with all kinds of information that may not be relevant.” MCAS intended to operate “in the background and should be transparent to flight crews”.

190513-boeing-737-max-ew-454p_ae8acb8496d57192afd038946e987c19.jpg

The Bahrami curriculum includes both the leadership of the FAA office in Seattle, which oversees Boeing, and the Aerospace Industries Association, the industrial group of aircraft manufacturers. He returned from the industry group to the FAA in 2017 as an associate security administrator.

The agency’s acting deputy director, Carl Burleson, said the agency would consider any recommendation to change its aircraft certification process, which requires the agency to delegate a substantial amount of work to the manufacturer. The agency has been criticized for allowing Boeing too much room to maneuver to certify the MAX. “I think the fundamental process of how we certify MAX was solid”, Burleson said.

Senator Joe Manchin, Democrat of West Virginia, criticized the FAA certification processes. “We have relied on the industry more than we should rely on the industry to do the work we must do to ensure that the American public is safe. I would say that for the 737 MAX to air again, all Boeing officials should fly that plane for a month to make sure we have the confidence to return to that plane. I will not get on 737 MAX until I see the president of Boeing and all his associates and him on that plane first and we will pilot it for a considerable time”, he said. the senator.

737 MAX Software Redesign

The recently strict FAA tests stimulate a fundamental redesign of the Boeing 737 MAX’s flight controls software. After the fatal accidents that have involved two Boeing 737-8 MAX of Boeing and the subsequent strong criticisms of the Federal Aviation Administration (FAA) for its limited supervision of the original certification of the aircraft, the agency conducted recently strict tests that in June 2019 discovered a potential flaw and has encouraged Boeing to make a fundamental change in software design.

As the FAA reevaluates and re-certifies the updated flight control systems, it has specifically rejected Boeing’s assumption that aircraft pilots can be relied on as back-up protection in scenarios such as the non-commanded tail movement horizontal involved in both Indonesia and Ethiopian Accidents. FAA pilots discarded that notion in June 2019 when, during the test of the effect of a computer hardware failure, one in three pilots in a simulation could not save the plane. The thoroughness of the ongoing review of the MAX flight controls in the light of the two accidents is evident in how a potential new fault was discovered with a microprocessor in the flight control computer during the June tests. The details of that failure not previously reported were confirmed by both an FAA official and a Boeing person familiar with the tests. In response to finding that new technical problem, Boeing has developed a plan to fundamentally change the software architecture of the 737 MAX flight control system so that it receives information from both Flight Control computers at once instead of using only one On a flight. “This is a big problem”, said Peter Lemme, a former Boeing flight control engineer and avionics expert.

The 737 MAX has two flight control computers, but in the architecture that has been in effect for decades, only one computer is used at a time on one flight, with systems that change to use the other computer on the next flight. Lemme said the proposed software architecture changes to a “fail-safe” two-channel system, with each of the computers operating from an independent set of sensors, not only will it address the new microprocessor problem, but it will also cause the Maneuvering Character Enhancement System (MCAS) is defective that went crazy on both flights. “I am very happy to hear that Boeing is doing this. It is absolutely right”, Lemme said.

According to a third person familiar with the details, Boeing expects to have this new software architecture ready for testing by the end of September. Meanwhile, it will continue certification activities in parallel so that it can meet its announced schedule and await approval from the FAA and other regulators in October.

Flipping bits

When Boeing announced on June 26, 2019 that a potential new flaw had been discovered at 737 MAX, this time in a microprocessor on the plane’s flight control computer, it even surprised Boeing CEO Dennis Muilenburg.

images.jpgSpeaking at a conference in Aspen that morning, Muilenburg reiterated a previous projection that the 737 MAX could carry passengers again at the end of 3Q2019. Later that day, Boeing announced the problem in a presentation by the Securities and Exchange Commission, and shortly thereafter projected that the problem could add an additional delay of three months.

What the FAA was testing when it discovered that this new vulnerability was esoteric and remote. According to the person familiar with the details, who requested anonymity due to the sensitivity of the ongoing investigations, the specific failure that appeared “never occurred in 200 million flight hours on this same flight control computer in the previous model 737 Next Generation”.

Flight simulation

In sessions at a Boeing flight simulator in Seattle, two FAA engineering test pilots, typically former military test pilots, and a FAA Flight Standards Aircraft Evaluation Group (AEG) pilot, typically A former airline pilot, they organized a session to test 33 different scenarios that could be caused by a rare and random microprocessor failure in the aircraft’s flight control computer. This was a standard test that is generally performed to certify an aircraft, but this time it was deliberately configured to produce specific effects similar to what happened on Lion Air and Ethiopia flights. The fault occurs when the bits inside the microprocessor are randomly changed from 0 to 1 or vice versa. This is a known phenomenon that can occur due to the cosmic rays that hit the circuits. The electronics inside the aircraft are particularly vulnerable to such radiation because it flies at high altitudes and high geographical latitudes where the rays are more intense.

Delivered during the week, this email newsletter gives you a quick summary of the main stories of the day and the news you need to know, as well as photos and interesting topics to spark the conversation as your day ends. A neutron that hits a cell in a microprocessor can change the electrical charge of the cell, changing its binary state from 0 to 1 or from 1 to 0. The result is that although the software code is correct and the inputs to the computer are correct, the output is damaged by this wrong bit. So, for example, a value of 1 in a single bit could indicate that the wing fins of the plane are up, while a 0 would mean that they are down. A value of 1 in a different bit could tell the computer that the problematic flight control system of the 737 MAX called MCAS is activated, while a 0 would indicate that it is not. This is not as alarming as it may seem. There are standard forms of protection against such bit changes that have a dangerous impact on an aircraft system, and FAA regulations require that this possibility be taken into account in the design of all critical electronic devices on board aircraft. The simulator sessions in June were designed to test any vulnerability of this type.

During the tests in 33 different scenarios, they were artificially induced by deliberately turning five bits into the microprocessor, an appropriate error rate determined by prior analysis. For the five bits, every 1 became a 0 and every 0 became a 1. This is considered a single fault, assuming that some cause, be it cosmic rays or something else, can make the five bits become all at once. For these simulations, the five inverted bits were chosen in the light of the two fatal accidents to create the worst possible combinations of failures to test if the pilots could cope.

In one scenario, the bits chosen first told the computer that MCAS was activated when it was not. This had the effect of disabling the cut-off switches within the pilot’s control column, which normally stop any unordered movement of the horizontal tail if the pilot pulls in the opposite direction. MCAS cannot work with those active cut-off switches, so the computer, fooled into thinking that MCAS was working, disabled them.

A second drill was chosen to make the horizontal tail, also known as the stabilizer, rotate upwards without the help of the pilot, which has the effect of tilting the nose of the plane down. Other parts were turned to add three more complications.

Although the MCAS system that pushed the nose down on the two crash flights had not been activated, these changes essentially gave the FAA test pilots in the simulator an emergency situation similar to what happened on those flights. This was deliberate. The FAA demanded, with knowledge about the crashes, that this scenario be rigorously reexamined in a new System Safety Analysis of the MAX flight controls.

“We were deliberately emulating some aspects of MCAS in a theoretical failure mode. While it is a theoretical failure mode that is never known to occur, we cannot prove that it cannot happen. So we have to take it into account in the design”, said the person familiar with the tests. This person emphasized how extremely unlikely it is that five individual bits in the microprocessor will turn at the same time and that the random bits make these specific critical changes in aircraft systems. He added that the first published accounts of the failure suggesting that the microprocessor had overflowed and its data processing speed decreased, which caused the pilot control column switches that move the stabilizer to respond slowly, were inaccurate.

Lemme said he was happy to learn this because those accounts didn’t make sense technically. He said that the description of the fault and the chosen combination of random changes of bits represent “a terribly worse condition that I cannot imagine happening in reality.”

Dwight Schaeffer, former Senior Manager of Boeing Commercial Electronics, the company’s internal avionics division, agreed: “Five independent bit changes is really an extremely unlikely event”, he said. A \ W

 

 

 

Ξ A I R G W A Y S Ξ
SOURCE: Airgways.com
DBk: Faa.gov / Boeing.com / Seattletimes.com / Koamnewsnow.com / Airgways.com / Businessinsider.com
AW-POST: 201908011743AR

A\W   A I R G W A Y S ®

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s