0:00
0:00
Společnost20. 3. 20197 minut

Zápas v kokpitu: Za chybou „autopilota“ Boeingu je hlubší selhání

Pád etiopského Boeingu naznačuje, že letecký průmysl mohl fatálně podcenit bezpečnost

Autor: Wikipedia/Felix Riehle

„Když hrajete ruskou ruletu, skutečnost, že vám první výstřel neustřelí hlavu, dává jen malou jistotu pro další stisknutí spouště,“ poznamenal si do diáře slavný americký fyzik Richard Feynman po havárii raketoplánu Challenger, při níž v roce 1986 zahynulo všech sedm členů posádky. Feynman se účastnil vyšetřování a uvědomil si, že katastrofu nezpůsobily jen vadné těsnící kroužky pomocné rakety, které při startu selhaly a přivodily výbuch hlavní palivové nádrže, ale především laxní přístup k problémům; specialisté z firmy, jež pomocné rakety vyráběla, dobře věděli, že kroužky nemusejí vydržet chladné počasí - selhaly kvůli tomu už několikrát, jen nikdy nedošlo ke katastrofě. Když teplota na kosmodromu v noci před startem klesla pod nulu, snažili se startu zabránit. Jejich šéf, v obavách z reakce NASA, to však nedovolil.

Podobný vzorec lze najít i u zkázy raketoplánu Columbia. Již při prvním startu v roce 1981 z něj odpadly kusy izolační pěny a poškodily tepelnou ochranu křídla. Velitel mise John Young, veterán letů k Měsíci, byl po návratu z kosmu očividně udiven, že je ještě naživu. Problém se pak vyskytl během většiny startů, a tak si na něj lidé z NASA zvykli. Vymstilo se to až v roce 2003, kdy žár při přistání poškozené křídlo zničil a vzápětí se rozpadl celý raketoplán.

↓ INZERCE

Paradoxně i kvůli snaze o větší bezpečnost se technika stává stále komplikovanější. Ve složitém systému pak přestává být patrné, jaká rizika v sobě skrývá nedodržování předpisů nebo jejich postupné uvolňování a ignorování známek nebezpečí. Od Černobylu po Fukušimu, od Titaniku po mnoho leteckých neštěstí jsme opakovaně svědky přílišné víry ve spolehlivost techniky a v to, že pokud se nic nestalo dosud, nehrozí nebezpečí ani v budoucnu.

Říci, že do tohoto vzorce zapadá i pád Boeingu etiopských aerolinií, k němuž došlo 10 března nedaleko Addis Abeby, zatím s jistotou nelze. Podle leteckých odborníků mohla neštěstí, při němž zahynulo všech 157 lidí na palubě, způsobit i chyba posádky nebo zatím neznámá technická závada. Leccos však nasvědčuje jiné verzi: Zdá se, že katastrofu zavinilo selhání automatického systému MCAS navrženého tak, aby jednal samostatně, „na pozadí“ činnosti pilota. Jeho úkolem je vyrovnat let v situaci, kdy příliš stoupne takzvaný úhel náběhu, tedy úhel mezi směrem pohybu stroje a jeho podélnou osou. Zjednodušeně si to lze představit tak, že nos letadla míří příliš vzhůru, takže nabíhající vzduch neobtéká křídla pod bezpečným úhlem a hrozí ztráta vztlaku. Systém pak zasáhne, nastaví stabilizátor, plochu před výškovým kormidlem, tak, aby předek stroje klesl a úhel se snížil.

Dostává-li ovšem tento dílčí „autopilot“ vadné informace, může to špatně dopadnout: sklání nos letadla k zemi v nevhodném okamžiku a možná tak razantně, že způsobí střemhlavý pád. Existuje vážné podezření, že letoun Boeing 737 Max 8 kvůli tomu havaroval již v říjnu minulého roku - stroj indonéské společnosti Lion Air tehdy spadl do moře a stejně jako u etiopského letu došlo k neštěstí krátce po startu.

Zkontrolujte to sami

Opět se přitom zdá, že za touto možnou chybou techniky lze hledat hlubší selhání. Jak informoval v sérii článků list The Seattle Times, americký Úřad pro letectví FAA, který má ve Spojených státech na starosti bezpečnost letového provozu včetně certifikace letadel, delegoval v minulosti velkou část svých pravomocí přímo na výrobce včetně firmy Boeing. Firma tak do velké míry kontroluje sama sebe - prověřuje bezpečnost systémů, které vyrábí, včetně inkriminovaného „autopilota“ MCAS.

Praxe sahá do 80. let minulého století, kdy výrobci letadel sami začali navrhovat FAA své zaměstnance, kteří budou bezpečností testy provádět. Podle jednoho z nich, citovaného The Seattle Times, tehdy toto zvláštní uspořádání ještě fungovalo. V roce 2005, po finančních škrtech vládních výdajů na FAA, ale věci pokročily dál. Administrativa George W. Bushe změnila pravidla a certifikace začala v ještě větší míře probíhat přímo na půdě výrobců. Specializované firmy, které ji provádějí, mají fungovat nezávisle na výrobcích, podle kritiků ale fungují spíš nezávisle na FAA.

I dnes má toto nastavení pravidel své obhájce: Podle Stevea Wallace, bývalého šéfa oddělení vyšetřování nehod v FAA, nemá úřad dost peněz na to, aby sám prováděl každý test. „Systém kontrol většinou funguje velmi dobře, je v něm velký stupeň vnitřní integrity,“ řekl Wallace zmíněnému listu.

Pohled na tuto integritu se ale po havárii Boeingu etiopských aerolinií může změnit. Podle anonymních zdrojů z FAA totiž analýza bezpečnosti inkriminovaného letového systému, kterou Boeing při certifikaci nového stroje úřadu dodal, obsahovala závažné chyby: Podcenila razanci, s jakou může „dílčí autopilot“ zakročit – MCAS dokáže přenastavit stabilizátor mnohem výrazněji, než analýza předpokládá. Nedocenila také, nakolik je schopen zasahovat opakovaně, přes snahu skutečného živého pilota řídit stroj podle lidského úsudku. A ačkoliv riziko spojené s možným selháním systému analýza odhadla na pouhý jeden stupeň pod úrovní, která už může přivodit katastrofu, nechala firma „autopilota“ MCAS krmit informacemi z jediného čidla, které se pochopitelně může porouchat.

Na čí straně je vina za selhání, pokud k němu skutečně došlo, zatím nevíme. Koktejl možných chyb a bohorovného klidu nicméně nabývá obrysy známé z mnoha minulých katastrof. Přidejme skutečnost, že Boeing finišoval s certifikací letounu  737 Max 8 v roce 2015, kdy nový stroj dokončoval i konkurenční Airubus. Spěch tak mohl být další složkou, která nakonec vedla k opakovaným neštěstím.

Zápas s automatem

Nasvědčuje tomu i předběžná zpráva z vyšetřování indonéské tragédie, kterou loni zveřejnily tamní úřady. Jak s odvoláním na ni uvedla společnost CNN, posádka před pádem stroje skutečně zápasila s automatickým systémem, který opakovaně, více než třicetkrát, sklonil nos letadla k zemi. Pilot musel pokaždé manévr vyrovnávat, „přetáhnout“ jej kniplem. „Bitva v kokpitu mezi lidskými operátory a autopilotem,“ charakterizoval to reportér CNN již koncem loňského listopadu. Přes varovné informace ale stroj létal dál.

To nás vrací na začátek, k vyšetřování havárie raketoplánu Columbia. Ignorování zneklidňujících indicií tehdy pokračovalo až do poslední chvíle. Paradoxně právě experti Boeingu varovali během letu kolegy z NASA, že odpadnutí části tepelné izolace raketoplánu a její náraz do náběžné hrany křídla, který kamery zachytily při startu, může způsobit katastrofu. Vyšetřovací zpráva pak popsala schůzku mezi kosmickou agenturou a specialisty letecké firmy, probíhající v době, kdy poškozená Columbia kroužila kolem Země, takto: „Cosi o rozměrech velké klimatizační jednotky narazilo při startu do raketoplánu rychlostí 800 kilometrů za hodinu,“ připomněli experti. Když to kolegům z NASA nestačilo, uvedli, že pokud se při přistání „něco hrozného stane, budou přinejmenším oni vědět proč."

Tehdy jim kosmická agentura nevěřila, poukazovala na nedostatky počítačového modelu, s nímž pracovali, a nepodnikla pro záchranu kosmonautů vůbec nic. Teď jsme možná v situaci, kdy naopak Boeing krutě podcenil varování, jichž se mu dostalo.


Pokud jste v článku našli chybu, napište nám prosím na [email protected].