Являются ли ошибки пилотов причиной большего количества смертельных случаев в авиакатастрофах, чем автоматические функции?

Меня поразило это утверждение :

В целом, эти автоматизированные функции приносят пользу всем. Они предотвращают некоторые из наиболее классических авиационных катастроф, которые пилоты могут вызвать в этих самолетах.

Вопрос

Верно ли, что ошибка пилота приводит к большему количеству смертельных случаев в авиакатастрофах коммерческих авиалиний, чем ошибки, вызванные автоматическими функциями, такими как MCAS ?

Причины, по которым это меня поразило, двояки:

  1. В последние годы были очень заметные аварии с использованием автоматизированных функций.
  2. Я не знаю многих случаев, когда ошибка пилота приводила к авариям на коммерческих авиалиниях (хотя я не слежу за этим внимательно).

Что я знаю до сих пор

Я заказал список авиационных происшествий и инцидентов, в результате которых погибло не менее 50 человек по дате, и изучил авиакатастрофы за последние 6 лет . Легко определить два из них, вызванных автоматическими функциями: рейс 302 Ethiopian Airlines и рейс 610 Lion Air , но мне не хватает знаний, чтобы сказать, какие другие были вызваны автоматическими функциями, а какие — ошибкой пилота. Примечание. Я выбрал 6 лет только потому, что это то, что умещается на экране, большая выборка (возможно, 25 лет) была бы гораздо более точной.

Привет, Стив, добро пожаловать в ASE. На ваш вопрос сложно ответить, так как одна причина очень редко приводит к аварии. По совпадению, модель, часто используемая для исследования причин, приводящих к несчастным случаям, иногда называется «моделью разума» ее формальным сторонником Джеймсом Т. Ризоном (поймите...), более описательное название - «модель швейцарского сыра». Несчастные случаи обычно представляют собой случаи, когда опасность проскальзывает через ряд уровней защиты, которые по той или иной причине не функционируют должным образом. Типичными срезами в авиации являются пилот, резервирование самих систем, резервные системы и т. д.
На это может быть несколько неопровержимый ответ из-за парадокса предотвращения: если бы автоматизация была способна смягчить все ошибки пилота, это означало бы, что все оставшиеся аварии произошли из-за отказа автоматики.
Одна из проблем с этим вопросом заключается в том, что несчастные случаи (не только в авиации) обычно имеют несколько причин. Возьмем, к примеру, кажущуюся очевидной проблему автоматизации с MCAS. Да, конструкция MCAS и отсутствующая документация имели недостатки; но было также (1) Плохое обслуживание (запасные части ниже номинала); (2) Недостаточная подготовка пилотов (3) Растерянность пилотов и несвоевременная и неправильная реакция. Это, вероятно, будет иметь место с большинством отказов, за исключением бомб и ракет.
Как кто-то мог узнать об этом, если не запросить у юрисдикционных авиационных властей записи об авиационных происшествиях? Пожалуйста, будьте уверены, эти ребята ведут записи с таким количеством деталей, что Джо Средний не поверит…
Обратите внимание, что большинство «автоматических сбоев» на самом деле являются человеческими ошибками, потому что люди разработали и произвели автоматизированные системы. Конечно, в отличие от пилотов, эти люди обычно не находятся в самолете, когда он терпит крушение.
Если вам интересна эта тема, я бы порекомендовал посмотреть классическую лекцию о зависимости от автоматизации Children of the Magenta Line (больше об автопилотах, чем о новых системах, таких как MCAS) капитана Уоррена Вандербурга из American Airlines в 1997 году. на самом деле ни за, ни против автоматизации, а скорее действительно содержательное обсуждение важности возможности выбирать и использовать правильный режим и уровень автоматизации для ситуации, а также умения переходить на более низкие уровни автоматизации, когда это необходимо. .

Ответы (4)

В любой статистике «автоматический сбой» обычно объединяется со всеми другими «механическими сбоями». Эту статистику довольно легко найти , но она полностью подтверждает утверждение о том, что ошибка пилота вызывает гораздо больше аварий, чем механическая неисправность.

Если мы посмотрим на данные за 2010-е годы (которые являются самыми последними в этой ссылке выше, но остаются довольно постоянными на протяжении десятилетий)

Ошибка пилота механический Погода Саботаж Другой
57% 21% 10% 8% 4%

Таким образом, в 2010-х годах ошибки пилотов, повлекшие за собой человеческие жертвы, составили больше, чем все остальные, вместе взятые.

Возникает вопрос, почему люди должны нести ответственность, если все, что нужно делать, это делать ошибки! Что является логической ошибкой, то, что вы не можете увидеть из статистики, это все случаи, когда человек впереди принимал решение, которое предотвратило аварию. Все еще очень сложно (если не невозможно) запрограммировать компьютер для принятия решений в быстро меняющейся/динамичной среде.

Эти статистические данные интересны, но на них трудно положиться, поскольку база данных не показывает причину каждой аварии. Кроме того, у аварии часто бывает несколько причин. Возьмем, к примеру, AF477. Это отказ оборудования (трубки Пито замерзли и начали давать неверную информацию) или ошибка пилота (дезориентация в пространстве и неправильная реакция)? Также я считаю только несчастные случаи, а не смертельные случаи.
К этому последнему абзацу следует добавить, что многие несчастные случаи, причиной которых была человеческая ошибка, также могут быть связаны со сбоями в работе конкретной автоматизированной системы, вынуждающими людей выполнять действия вручную, но к которым они больше не привыкли. Это парадокс: больше автоматизации означает меньшее участие человека, поэтому меньше пилотов приобретают опыт управления самолетом вручную, поэтому, когда что-то идет не так, они менее готовы взять на себя задачу. IIRC Fuerza Aérea Uruguaya 571 является примером такой аварии.
@jcaron: AF447 определенно был ошибкой пилота. Пилоты существуют именно для того, чтобы иметь дело с ситуациями, в которых компьютер не знает, что делать, включая случаи, когда прибор выходит из строя. У них был прекрасно функционирующий самолет с неисправностью одного датчика; летящий пилот никогда не понимал, что происходит, а двое других никогда полностью не подавляли его, все трое игнорировали большую часть своих инструментов.
Вот почему, @Opifex, беспилотные автомобили такие страшные. Когда (не если) автоматика выйдет из строя, и без того бедный (по крайней мере американский) водитель будет настолько отвык от практики, что не будет знать, что делать.

Да, летный экипаж является ключевым фактором в большинстве авиакатастроф . Именно по этой причине два больших нововведения в значительной степени ответственны за резкое снижение количества несчастных случаев со смертельным исходом с 90-х годов (в США не было ни одной аварии тяжелого, по крайней мере, с пассажирами, в США за более чем 20 лет - подумайте о это... 20 лет, и это был отказ руля направления по вине пилота ).

Первая и самая большая — это теория Crew Resource Management , которая начала внедряться на Западе в 80-х годах. CRM был настолько успешным, что его концепции распространились далеко за пределы авиации, от полиции до хирургии. Другой - это системы управления полетом и двухмерное отображение навигации по карте, ставшее возможным благодаря «стеклянной кабине» (тоже в 80-х годах). Трудно преувеличить, насколько двухмерные движущиеся карты уменьшили рабочую нагрузку экипажа в терминальных зонах и на подходах, уменьшив зависимость от внутренних умственных способностей пилота «составлять карты» для поддержания ситуационной осведомленности.

Катастрофы со смертельным исходом, вызванные отказом системы, чрезвычайно редки, потому что на уровне сертификации проектирование системы требует математической вероятности лучше, чем один к миллиарду, отказа компонента, ведущего к потере планера. MCAS можно отбросить как событие «Черный лебедь», кульминацию набора очень уникальных обстоятельств и решений на уровне сертификации и разработки (имею в виду настолько уникальных, что главный летчик-испытатель проекта был привлечен к уголовной ответственности за сокрытие информации от FAA). MCAS можно рассматривать как «ошибку пилота», вызванную плохой конфигурацией, которая, можно сказать, проскользнула сквозь трещины, но с которой некоторые экипажи могли бы справиться.

Двойное и тройное резервирование систем требуется для поддержания этой вероятности катастрофы, составляющей менее одной на миллиард. Это не идеально, но это главная причина, по которой самолеты не падают регулярно с неба, когда выходят из строя компоненты (а на сложных самолетах все время что-то ломается, как вы можете видеть в коэффициенте задержек отправки авиалинии - эти регулярные задержки оставляют ворота, как правило, потому что самолет прибыл с чем-то сломанным, что нужно починить на месте).

"Автоматизация" сама по себе? Да, можно сказать, что автоматизация предотвратила некоторые катастрофы, но в более широком плане не так сильно, как что-то вроде CRM. FADEC делает эксплуатацию двигателя немного проще и удобнее для экипажа, но в основном снижает затраты. Fly-By-Wire и другие средства автоматизации системы? Они помогают снизить нагрузку на экипаж в целом и, возможно, время от времени прикрывают небрежные полеты, но они также в основном способствуют снижению затрат (FBW устраняет огромное количество оборудования). В C-Series/A220 уровень автоматизации систем почти находится на вершине текущих разработок, а главное преимущество (и аргумент в пользу продажи) — это огромное сокращение человеко-часов на техническое обслуживание, а не безопасность.

Разве не целью FADEC было устранение бортинженера, что уменьшило как эксплуатационные расходы, так и человеческие ошибки?
there hasn't been a crash of a heavy in the US in over 20 years. Ну, есть GTI 3591. Это был 767. Но, опять же, ошибка пилота.
FADEC появился спустя много времени после того, как FE уже были устранены новым поколением двух тяжелых экипажей, таких как 767. Но, к вашему сведению, да, до FADEC у вас было электронное управление двигателем, в основном компьютерная корректировка топливных графиков, а также контролируемый компьютером мониторинг и определение с синоптикой EICAS, представленной непосредственно передним пассажирам, и это позволило исключить FE. FADEC в основном связан с экономией веса - устранением прокладки кабелей, как с FBW, - и возможностью запуска двигателей намного ближе к их пределам с гораздо более жестким контролем над температурами, остановкой / помпажем, повышением эффективности и т. д.
@TomMcW не слышал об этом. Спасибо. Также в Арктике произошла авария тяжелого самолета, пилотируемого First Air в середине 2000-х, когда он врезался в холм, потому что капитан был одержим восстановлением LOC, а второй пилот был слишком робок, чтобы остановить происходящее, но это было в Канада. Были ли в этот период какие-либо другие тяжелые аварии в США?
Asiana 214 произошла в США, и это было менее 10 лет назад. Первая потеря Боинг-777, несколько погибших.
Ах да, это был тот случай, когда команда не могла справиться с подходами на глаз. Моя память отстой.
Одна вещь, на которую косвенно указывает этот ответ, заключается в том, что существуют формы автоматизации, в значительной степени находящиеся вне контроля экипажа, которые на самом деле больше связаны с проектированием систем управления полетом, таких как FADEC, режимы FBW и MCAS, а также другие формы автоматизации. это больше в форме контролируемых инструментов управления рабочей нагрузкой для экипажа, таких как автопилоты и руководство FMS. Это похоже на разницу в автомобиле между такими системами, как антиблокировочная система тормозов и контроль тяги, и круиз-контролем. Смешивание обоих вместе как «автоматизация» может сбить с толку, поскольку экипаж взаимодействует с ними по-разному.
Определенно. Во многих случаях автоматизация систем представляет собой просто замену механического оборудования электронным оборудованием с последующей заменой электронного оборудования программным обеспечением, хотя при этом происходит некоторое снижение рабочей нагрузки, как, например, в случае с FADEC, контролем стравливания/наддува и т. д. Я бы не сказал ни одного из эти вещи имели что-то вроде влияния CRM в целом. По движущимся картам я прошел курс типа CRJ со свежей приборной оценкой по паромерам, и хотя на них очень легко летать, если бы не навигационный дисплей и FMS, я бы безнадежно завис над головой.

Я хотел бы указать на трудности, связанные с предоставлением вам ответа:

Нам хорошо известны аварии, вызванные ошибкой пилота и автоматическими функциями. Однако мы не можем быть уверены в том, сколько случаев пошло бы наперекосяк, если бы не было автоматических функций, помогающих пилотам. Иногда пилоты могли понять это, но случаи не регистрировались, а в других случаях функции могли оказывать поддержку в фоновом режиме и незаметно «спасать положение». (Я постараюсь получить несколько примеров в будущем).

Сейчас я вряд ли смогу ответить на этот вопрос, так как мой единственный опыт - это просмотр ютуба и пара часов авиасимулятора. Но меня поражает зрелость авиационной промышленности в целом (ничего идеального не бывает, но лучше я действительно не видел). Каждая автоматизированная функция была создана, чтобы помогать, и во многих случаях ее причиной было предотвращение повторения условий какой-либо аварии. Так что, в целом, я бы сказал, что функции помогают.

Добавлю немного личного мнения: MCAS была одной из редких паршивых овец, когда несколько организаций работали плохо. Но это редко. Я предполагаю, что это небольшое отражение парадокса авиации: это самый безопасный вид транспорта, но если авария произойдет на другом конце света, вы узнаете об этом, и это вызовет страх, в то время как (тысячи?) людей погибнут. через например машину ничего интересного нет так что в новостях нет.

Кроме того, после stevecнаблюдения в комментариях верно и обратное: мы также не можем быть уверены в том, сколько случаев пилоты спасли положение, отключив автоматизированные функции . Чтобы продолжать поддерживать мою позицию в поддержку функций, я утверждаю, что функции, которые постоянно создают проблемы, будут отмечены как таковые пилотными проектами и рассмотрены... надеюсь.

Черная овца = черный лебедь?

Сравнивая летальность аварий, вызванных автоматикой, с авариями, вызванными пилотом, вы уделяете очень много внимания очень маленькому аспекту очень большой истории. В результате прямой ответ на ваш вопрос (простое «Да») не сделает вас намного мудрее.

Кроме того, аварии, вызванные автоматикой, не всегда происходят из-за неисправности автоматики. Довольно часто они случаются в результате неправильного применения устройств автоматики, которые сами по себе не дают сбоев, как в случае с MCAS. Точно так же ошибка пилота часто является дешевым и простым способом избавиться от необходимости объяснять, что вызвало аварию. Помните, как изначально утверждалось, что даже знаменитое «Чудо на Гудзоне» произошло из-за ошибки пилота?

В общем, большая разница между автоматическим принятием решений и пилотированием связана с тем, что пилоты уникальны. Категорически обновить все автоматические устройства определенного типа при выходе из строя хотя бы одного из них иногда бывает сложно, но все же возможно. Сделать то же самое с пилотами практически невозможно. Это убедительно говорит в пользу автоматизации, даже в мире, где в целом есть высококвалифицированные, хорошо обученные, современные и опытные пилоты.

Заявленное утверждение является обобщением и как таковое верно. Будут исключения, но любой аргумент против автоматизации в любом случае обречен скоро умереть, так как авиационные решения все больше и больше полностью полагаются на автоматизацию. Все большее число решений в полете принимается автоматически, просто потому, что ни один человек никогда не сможет их принять. Это освобождает место для способов полета, которые до сих пор были строго ограничены научной фантастикой. Если что-то и сможет заставить вас летать, как Тинкербелл, так это автоматизация.

Кстати, единственная самая смертоносная катастрофа в истории авиации, когда KLM Jumbo врезался в PANAM при взлете с Тенерифе, была вызвана ошибкой пилота. Вы, должно быть, следили с довольно большого расстояния, чтобы пропустить это.

«Чудо на Гудзоне» ни разу не было названо ошибкой пилота; вы бы только подумали, что если бы единственным вашим знанием об этом был фильм. Чесни Салленбергер вынудил студию придумать альтернативные имена для всех следователей в фильме, потому что он так ненавидел их таким образом. Конечно, были военные аварии, вызванные неисправными органами управления, которые (ложно) приписывались ошибке пилота, особенно с британскими ВВС Chinooks в 1990-х годах, но это гораздо менее вероятно в гражданской жизни.
... И MCAS определенно вышла из строя из-за одного неисправного датчика. Более того, конструкция изначально была ошибочной, потому что ничто, связанное с управлением полетом, не должно было зависеть от одного датчика. Как инженер, работавший в области систем безопасности для автомобилей, мы не допустили бы процессов в MCAS на дисплее приборной панели автомобиля, не говоря уже о контроллере двигателя автомобиля; поэтому мысль о том, что что-то настолько некомпетентно спроектированное может попасть в самолет, ужасна. Двух путей нет - единственная причина - MCAS, а "инженеры" должны сидеть в тюрьме за убийство.
@Graham Есть источники, отличные от фильма, которые ссылаются на вызов, аналогичный тому, что был представлен в фильме, но, честно говоря, я больше не знаю, чему верить. Я действительно считаю, что фильм дал в целом ложное представление о NTSB в отношении того, какую цель они преследуют, но это мое личное мнение. Забавно то, что здесь он до сих пор работает как иллюстрация.
@Graham Датчик, который передал данные в MCAS, вышел из строя. Обучение дало сбой. Конструкция вышла из строя. Процесс сертификации дал сбой. Но MCAS, как и в самом устройстве, никогда не делала того, чего не должна была делать. Я лично был в большой степени в истории 737 MCAS. Спросите кого-нибудь здесь :). Со временем я понял, что это намного больше, чем кажется на первый взгляд. Винить в этом кого-то одного или группу людей опаснее, чем не обвинять никого. Если бы мне нужно было указать пальцем в каком-то одном направлении, я бы указал на культуру.
Правда, культура была нарушена. Но с точки зрения инженера любое устройство в системе, связанной с безопасностью, которая не учитывает последствия отказа или дублирования датчика, является неисправным по определению, потому что отказ датчиков — это нормальная работа. Я полностью согласен с вами по поводу культуры, потому что компания, связанная с безопасностью, которая не думает таким образом, делает это более серьезной проблемой, чем просто один неисправный элемент. Я не думаю, что это снимает с инженеров ответственность, но, возможно, это только я.
@Graham: Если бы пилоты были должным образом обучены реагировать на неисправность MCAS, то MCAS не была бы критически важной для безопасности системой. С другой стороны, неспособность обучить пилотов распознавать, что естественные летные характеристики 737 Max отличаются от 737-го, могла легко вызвать аварию при некоторых обстоятельствах, когда MCAS работала так хорошо, как могла бы физически, но условия полета были за пределами допустимых. диапазон, в котором MCAS могла заставить самолет управляться как Боинг-737.
Были сотни, если не тысячи людей, которые знали, что MCAS на Max была бомбой замедленного действия по десяткам причин, задолго до того, как произошли аварии. Некоторых предупреждали, но их заставляли замолчать, часто в ущерб их средствам к существованию и репутации. Никто не предпринимал действий для предотвращения аварий, потому что ни у кого не было этой работы. В авиации нет ни одного независимого органа, способного и готового окончательно предотвратить такую ​​катастрофу. Этот факт является характеристикой культуры. Обществу в целом требуется время, чтобы преодолеть самодовольство.
Являются ли ошибки пилотов причиной большего количества смертельных случаев в авиакатастрофах, чем автоматические функции?
СпросиСетьПолитика конфиденциальности1y, 0v