Slechts een paar dagen na Kerstmis vorig jaar vluchten AirAsia 8051 naar Singapore tagetisch kelderde in de zee. Indonesië voltooide het onderzoek van de crash en heeft net het eindrapport uitgebracht. Media-dekking, vooral in Azië is groot. De verhalen zijn verkregen door pilootfout, maar als technologen zijn er lessen om dieper in het rapport te leren.
De AIRBUS A320 is een fly-by-wire systeem impliceren dat er geen mechanische koppelingen tussen de piloten en de bedieningsoppervlakken zijn. Alles is elektronisch en veel van een vlucht bevindt zich onder automatische controle. Helaas impliceert dit ook piloten die niet veel tijd doorbrengen met het vliegen van een vliegtuig, mogelijk minder dan een minuut, volgens één rapport.
Hier is het scenario aangelegd door het Indonesische rapport: een roer Travel Limit Computersysteem gealarmeerd vier keer. De piloten maakten de alarmen op na normale procedures. Na het vijfde alarm rolde het vliegtuig voorbij 45 graden, klom snel, vastgelopen en viel.
Pilotfout?
De media-koppen richten zich op de laatste stappen in de faalketen, gedeeltelijk omdat de piloten nooit werden getraind om met het type van streek dat gebeurde. Het was niet alleen AirAsia die deze training op de A320 heeft weggelaten. Alle luchtvaartmaatschappijen deden omdat Airbus, de fabrikant van het vliegtuig, niet verwachtte dat het vliegtuig ooit zo’n extreme overstuur had. Merk op dat Frankrijk, zoals het gastland voor Airbus, deelnam aan het onderzoek.
Als technologen moeten we verder kijken. De technische root-oorzaak was gebarsten soldeerverbindingen op printplaten voor het roergrenscontrolesysteem. Dit systeem beperkt de hoeveelheid roerbeweging bij hoge snelheden. Een essentieel punt is ditzelfde systeem 23 keer in 2014 mislukt. Dit werd beschouwd als kleine schade en nooit gefixeerd.
Net als in talrijke situaties is de storingsketen een cascade van menselijke mislukkingen om correct te reageren op een technische fout. Weinig besproken in veel rapporten is hoe de piloten probeerden de vijfde roerbesturingsfout te herstellen. Ze volgden normale procedures voor de eerste fouten, maar de laatste keer dat ze openden en resetten een stroomonderbreker tijdens de vlucht. Op de een of andere manier werden die impliciet van de autothrust en de autopiloot losgekoppeld en nooit gerestaureerd. Dit legde de piloten uitsluitend in de controle van het vliegtuig door het vliegsysteem.
Tragische sequentie van gebeurtenissen
Samenvattend, hier zijn de drie essentiële mislukkingen:
Slechte soldeergewricht,
De stroomonderbreker fietsen,
Ontoereikend hersteltraining.
We negeren de fout van het niet goed oplossen van het bord. Dat is een menselijke mislukking, maar ook een groter beleidsprobleem voor AirAsia en niet direct technisch.
Bad Solder-gewrichten komen voor ondanks de beste inspanningen om ze in de productie te vermijden. Het diagnosticeren van een intermitterend gewrichtsfalen kan een nachtmerrie zijn, zodat we sympathiseren met de vliegtuigonderhouders. Hoe moeten we omgaan met intermitterende mislukkingen in vitale of essentiële systemen? Het is duidelijk dat het systeem de integriteit controleerde omdat het gedurende 2014 de waarschuwingen heeft gehouden. Is het mogelijk om een systeem te laten functioneren als een bepaald aantal mislukkingen optreden? Ik zou voorstellen dat het na 6 fouten een verhoogde waarschuwing zou kunnen hebben, zoals weigeren om op te starten wanneer het wordt ingeschakeld in een veilige omgeving (d.w.z. geparkeerd op de grond). In wezen zegt het systeem: “Ik weet dat ik slecht ben, repareer me nu.”
Vliegtuigcircuitbreker
Waarom zaten de piloten met de stroomonderbreker? Eén rapport zegt dat de piloot een onderhoudswerker zag cyclus een stroomonderbreker om een fout te wissen. Dat is prima op de grond, maar niet in de lucht. Waarom zou een piloot dit proberen, vooral omdat er adviseurs aan piloten zijn om stroomonderbrekers niet opnieuw in te stellen, tenzij het systeem kritiek is? Het besturingssysteem hier is een veiligheidsfunctie, maar niet van vitaal belang, waarom laat het dan niet alleen af?
Mensen in het algemeen worden overdreven comfortabel met technologie omdat het in overvloed aanwezig is. Er zijn allerlei grappen over niet-technische familieleden die iets gek zijn op een computer omdat dezelfde actie iets anders opgelost.
Helaas impliceert dit meestal mensen die niet weten wat ze niet weten. In dit geval leken de piloten niet te weten dat fietsen die breker andere systemen zou verstoren. Ja, het klinkt ongebruikelijk dat zou gebeuren en ik kan het niet bespreken omdat ik niet weet waarom dat zou gebeuren. Als het waar is, lijkt het een systemisch probleem te zijn dat zou moeten worden aangepakt. In ons werk moeten we ervoor zorgen dat mislukkingen in een deel van een systeem geen kritieke onderdelen elders steken.
De piloten werden niet getraind om de vlucht van overstuur om te gaan, omdat zelfs airbus, de fabrikant van het vliegtuig, niet verwachtte dat het vliegtuig ooit zo’n extreme overstuur had ervaren. Ik denk dat sinds Murphy geen Frans is, ze verwachten niet dat zijn effecten daar optreden. Deze aanname is waarschijnlijk afgeleid van het vliegtuig dat fly-by-wire is. De verwachting die het vliegtuig is, zou zich niet in deze mate van streek raken. Maar de automatische vluchtsystemen werden verstoord door het fietsen van de stroomonderbreker.
Afronden
Mislukkingen in complexe systemen nemenveel moeite om op te sporen. In deze situatie zien we hoe drie afzonderlijke acties de mislukking veroorzaken met een vierde, de onderhoudstoring, en bijdraagt sterk. Dit wijst erop dat de totale mislukking op meerdere keren mogelijk is vermeden: als de soldeerverbindingen niet waren mislukt. Als de piloten de stroomonderbreker niet hebben gefietst. Als de piloten de automatische vluchtcomputers hadden gerestaureerd. Als de piloten naar behoren hadden gereageerd na de overstuur.
Zelfs als hackers moeten we in gedachten houden wanneer en hoe mislukkingen kunnen optreden. We hebben artikelen geschreven over elektronische deursloten die door hackers zijn gemaakt. Hoe kom je binnen als de stroom uitkomt of een slechte soldeergewricht mislukt na een paar honderd deuropeningen en sluitingen? Hopelijk zal een essentieel de elektronica negeren. Gelukkig zijn veel van de hacks die we zien niet kritisch zijn. Gelukkig zouden storingen geen levensbedreigend zijn. Laten we het op die manier houden.