EDICIóN GENERAL
248 meneos
4762 clics

El sistema de seguridad MCAS que puede haber provocado el accidente mortal del Boeing 737 MAX

El 29 de octubre de 2018 un Boeing 737 MAX 8 de Lion Air con 188 personas a bordo se estrellaba a los pocos minutos de despegar. A falta de los resultados oficiales de la investigación todo indica que la tripulación pasó el tiempo que estuvieron en vuelo luchando contra un avión que se empeñaba en bajar el morro durante una fase crítica del vuelo como es el despegue.

| etiquetas: boeing 737max , mcas , aviación , lion air , java , indonesia
#1 MUY relacionada: m.europapress.es/internacional/noticia-air-france-propone-pilotos-cale

Airbus implementó hace ya muchos años un sistema para evitar que el avión entrase en pérdida (stall). El problema fue que la protección de la pérdida junto a la protección de sobrevelocidad (overspeed), junto a un fallo puntual de la sonda de ángulo de ataque / velocidad, llevó a un A330 a acabar en el fondo del Atlántico. Tras este…   » ver todo el comentario
#31 No les duele ni en la cartera y no te olvides de los que murieron por los problemas con el sistema del timón de dirección de los 737 y continuaron durante años permitiendo que estos aviones volaran sin saber que estaba causando que cayeran como piedras, por dinero
#31 Gracias por la info, venía sabiendo que los pilotos de boeing no estaban instruidos, a preguntar si existía algún "workaround" (no me sale la palabra en español, disculpa) para desconectarlo de manera efectiva, y ya que eres piloto, si tuvieras un fallo similar en un A330, ¿crees que el tiempo es holgado para actuar en caso de fallo? a mi es que los sistemas que toman el control por encima del piloto no me parecen, hoy por hoy, demasiado seguros, sobretodo sin un aviso previo, aunque supongo que la entrada en perdida no es que tengas mucho margen de error.
#53 Los sistemas que actúan sobre el piloto sí dan aviso previo. En el caso del A330 tenían un aviso de Overspeed (sobre velocidad) que subía el morro y otro de Stall (pérdida) que les advertía que debían bajarlo. Estos avisos son antagónicos (salvo que nos encontremos en el Coffin Corner, harina de otro costal) , y en teoría la pérdida tiene prioridad sobre todo el resto de alarmas, pero también en teoría un Airbus no podía entrar en pérdida...

Los sistemas que toman el control sobre un…   » ver todo el comentario
#56 Muchas gracias, todo aclarado, una duda que me queda, si te das cuenta de que es una falsa alarma, y el sistema intenta corregirlo, puedes "luchar" contra el sistema? tirando de palanca, o tienes que desconectarlo primero? Me refiero al 777, y como piloto de airbus, no creo que tengas por que saberlo, pero me da curiosidad, hasta que punto puedes luchar tu contra la máquina, si mal no recuerdo, forzar controles desconecta, por ejemplo, el piloto automático no?
#57 Efectivamente, si fuerzo los controles el piloto automático se desconecta. No así las protecciones, que funcionan aunque el piloto automático esté desconectado. En ese caso hay que forzar que el avión pierda los sistemas de protección (en caso de Airbus, pasar de ley normal a ley alterna) para volver a ganar control positivo del avión por encima del software. Es un procedimiento complejo que depende del tipo de avión. No es fácil pero puede ser realizado de forma rápida con el debido entrenamiento.
#58 Gracias por todas las aclaraciones, un placer leer a gente como tú.
Todo lo que sube, tiene que bajar, me lo dijo un tal Newton.
#2 Ya, pero hay formas y formas de bajar.
#2 si sube lo suficientemente alto, no.
#4 No, si sube lo suficientemente alto también cae. Es la velocidad lateral lo que lo mantiene arriba...
#22 Creo que se refiere a tan alto que salga de la atracción de la gravedad terrestre.
#26 todo es relativo
#26 Es que en el espacio siempre hay gravedad. La gravedad es aditiva, nunca destructiva. :-P
Señores, esto es un bug. Un bug que mata gente.
#5 Y chuleria de Boeing por no documentar, ni formar, ni informar a pilotos.
#7 Ese es el verdadero bug.
#5 #8 #7. El 'Software Cerrado' y con DRM en un bug en si mismo.
www.bram.us/2017/01/24/why-a-software-patch-is-called-a-patch/  media
Edit #39. El 'Software Cerrado' y con DRM ES un bug en si mismo.
CC #5 #8 #7
#5 Pues ahora que lo dices no sería la primera vez que un simple bug/insecto, pero de los de verdad, "estrella" un avión.

es.m.wikipedia.org/wiki/Vuelo_301_de_Birgenair

En cuanto a la noticia en sí, pues un cúmulo de despropósitos. Imagino que tampoco se enciende ninguna alarma que al menos les haga saber que hay un sistema del avión involucrado...

Y aunque lo sepan, si se desconecta y no andan con tino puede entrar en pérdida subiendo el morro mucho antes de lo normal.…   » ver todo el comentario
#5 No es un bug, es una característica no documentada.
'...El sistema de seguridad «automático y secreto»...Boeing...decidió implementar el citado MCAS, que es una rutina en el software de control del vuelo que si detecta un ángulo de ataque excesivo'

La ausencia de Software Libre conduciendo al desastre.
#6 te confundes de software libre y abierto. Además, por mucho software libre podriam passar años antes de que alguien notara algo, en un sistema tan complejo y de nicho.
#12. Software de nicho, tu mismo lo has dicho. (CC #6)  media
#6 OpenSSL es de código abierto y llevan un montón de años ocultos bugs críticos que han comprometido la seguridad de Internet...
#23 OpenSSL es el típico proyecto muy especializado donde las multinacionales de turno llegaron, añadieron todo lo que quisieron y no lo mantuvieron, donde hay un montón de código obsoleto (soportaba muchas cosas por compatibildad que hace mucho tiempo que deberían haberse retirado), redundante (donde en lugar de usar cosas ya hechas, mejorarlas y adecantarlas cada uno ponía su versión), mal programado (o programado en modo código de "sólo escritura" donde se escribe una vez y ya no…   » ver todo el comentario
#6
No se que tiene que ver el software libre en una aplicación tan específica y más cuando no vale cualquier modificación de cualquiera. Debe ser verificada con mucha cautela por Boeing.
#36. '...Debe ser verificada con mucha cautela por Boeing...'

No es de recibo menospreciar el soporte muchas veces desinteresado que la comunidad de Software Libre aporta. Dudo mucho que corra peligro ningún avión porque un genio ajeno a Boeing encuentre y publique un error crítico en su código, más bien todo lo contrario.

Aquí puedes encontrar un buen ejemplo de la problemática en torno al Software Cerrado por parte de las empresas privadas sin demasiados escrúpulos :
'...Por qué los pacientes de apnea del sueño confían en un hacker de máquinas CPAP...'
www.meneame.net/story/pacientes-apnea-sueno-confian-hacker-maquinas-cp
(CC #6)
#36. Aquí tienes otro ejemplo de 'Software Cerrado' que implica espionaje de enfermos de cara a vender datos a aseguradoras. Rastrero y orweliano hasta el vómito :

'...Tony Schmidt descubrió algo inquietante sobre la máquina que lo ayuda a respirar por la noche. Sin su conocimiento, lo estaba espiando...el dispositivo estaba rastreando cuando lo estaba usando y enviando la información no solo a su médico, sino también al fabricante de la máquina, a la compañía de suministros médicos que la proporcionó y a su asegurador de salud...'
www.meneame.net/story/tu-duermes-tu-pierdes-aseguradoras-hacen-viejo-a
(CC #38 #6)
Parece que está usted intentando hacer despegar un avión ¿necesita ayuda?  media
#10 en realidad la pregunta fue:

parece que eres incapaz de estabilizar tu avión. Voy a hundirte el morro para que no entres en caída libre
#15 Te falta añadir que como es buen piloto, cuando acabe la prueba recibirá como regalo una tarta...

www.posterspoint.com/laminas/llevel/MEGE2208xl.jpg
#10 cabronazo xD
Una lección de que hay que incluir en los test de software parámetros de entrada fuera del happy path
Cualquier sistema puede fallar, lo que no tiene perdón es que los pilotos no supiesen que existía ese sistema y, por tanto, no se les ocurriera desconectarlo. Yo entiendo que cuando pasas de automático a manual no esperas que siga habiendo automatismos en el vuelo, sobre todo si no te lo han dicho.

Imperdonable error del fabricante y de todos los que aceptaron que no se informara de ello a los pilotos.
#13 Un sistema oculto que evita que se estrelle, se oculta a los pilotos?,... ummm ¿que mas cositas ocultas se han hecho despues del 11S? a ver si ya no se va a poder estrellar un avion donde a uno le de la gana, que fastidio.
#13 En efecto, cualquier sistema puede fallar, pero en aeronáutica, trenes, barcos, coches, etc...los fallos de un sistema suelen implicar la no acción y el aviso. Un sistema tan crítico nunca debería haber seguido actuando si detecta un fallo de los sensores. Debe desconectarse y avisar.
#17 Si, es totalmente erróneo su funcionamiento. Al margen de todo el tema del desconocimiento en si de los pilotos, el software estaba mal diseñado. Es un sistema de ayuda a la navegación. Tiene dos sensores y por lo que parece uno iba mal. Lo normal si recibes dos medidas distintas no es ponerse a hacer el loco, sino que el sistema se desconecte e informe del mal funcionamiento.
Claro que eso hubiera obligado a informar a los pilotos del sistema, de la señal de mal funcionamiento y sus consecuencias. Hay algo raro en este sistema y que estuviera tan oculto. Aunque puede ser simplemente ineptitud.
#13 Es que aunque supiesen que existia daba igual, porque el sistema no estaba pensado para poder desconectarse (siendo un sistema oculto no tenia botoncitos ni opciones para controlarlo), las instrucciones de desconexion que han tenido que discurrir despues del accidente en realidad consisten en hackear el sistema, nigun piloto, dada la emergencia y en los escasos segundos que tienes para resolver el problema habria podido descubrir como desconectar el sistema: entre otras cosas hay que quitarle la corriente a los alerones para que el ordenador aunque siga intentando controlar el avion no pueda.
#18 Pues si no es desconectable ni a mano entonces la cagada ya es épica. ¿Todos los 737-MAX que están en servicio corren el riesgo de estamparse por mucho que todo el mundo ya sepa que existe el MCAS?
#20 Si, es desconectable pero usando fuerza bruta, como no hay una forma "normal" de desconectar el sistema, hay que desconectar la corriente y controlar los alerones con el sistema manual, cosa que solo se hace cuando por algun problema electrico el avion se queda de verdad sin corriente, es decir de primeras no se te ocurre que hay que "bajar los plomos" del avion para poder controlarlo porque las maquinas electronicas se han vuelto locas, en la practica estan intentado matarte y te deniegan el control del avion.
#24 Pero ponte en situación, desconectar ese sistema implica desconectar la electricidad en los alerones, eso implica un panel que esta, si no me equivoco en el techo de la cabina, de hecho creo que no llegas sentado, con un avión que anda dando "bandazos" en el aire, confundido por sus datos. Quiero decir, que no solo es complicado el sistema, si no que en la práctica, es imposible, y lo único que se me ocurre a mi, es apagar generadores, batería y volar a ciegas, para estabilizarlo, quitar esos fusibles a ciegas y luego reiniciar todos los sistema, para mí, otra imposibilidad, con lo fácil que les hubiera sido poner un "botoncito"
#18 yo había leído que era desconectable pero si no lo era ya es de carcel directo.
#18 Con apagar el auto trim llegaba, y en ese modelo de avión se ve el disco del trim girando como un loco así que te das cuenta de que está compensando. Es un problema de centrarse por nervios en dos o tres problemas y no ser capaz de ver lo que tienes delante.

Vamos que no lo digo yo, pero este parece saber lo que se dice...
youtu.be/zfQW0upkVus
#32 A toro pasado el analisis siempre es muy facil, en una gran cantidad de accidentes la conclusion de los expertos es que si los pilotos hubiesen dejado hacer al avion y al piloto automatico no se hubiese producido el accidente, pero en este caso es justo lo contrario, es decir puesto en la situacion real (no a posteriori, sabiendo ya de antemano cual es la averia) no tienes forma de saber si es que por ejemplo se ha desprendido parte de un aleron y el avion esta intentado compensarlo como un loco, con lo que desactivar el sistema empeoraria las cosas o realmente la electronica lo esta haciendo mal y te esta intentando matar.
Ahora imaginar un camión autónomo de 40 toneladas con un ordenador al mando.
#19 Eso me parece que lo he visto en alguna película hace mil años...
#19 Imagínate uno con un conductor borracho...
#19 es muy diferente, un camión que detecta un mal funcionamiento se para. Un avión no tiene esa opción
Aún con todo lo que hemos avanzado, me sigo fiando mucho más de un humano que de un ordenador...
Desde mi profundo desconocimiento de estos temas... entiendo que un sistema vital como este no puede depender de un solo sensor porque se puede estropear. Bien, pusieron dos... pero es que es lo mismo. Si ambos dan distintas lecturas ¿cómo saber cuál de ellos es el correcto? Es lo mismo llevar uno que dos.
Conclusión: ¿no debería llevar 3 sensores como mínimo para poder identificar sin lugar a dudas el erróneo?
#30 No, el problema no es que un sensor fallase, si pones tres podrían fallar dos. El problema por lo que entiendo yo de la noticia es que ante un comportamiento inesperado, por la avería del sensor, el software aplica un control de forma incorrecta. Es raro estos programas suelen pasar muchos controles de precondiciones y postcondiciones esperadas, bancos de prueba etc.
#30 los aviones llevan por duplicado y triplicado la mayor parte de los sistemas. En este caso llevaba 3. El problema es (como pasó al A330 de Air France) que si dos fallan indicando lo mismo, descarta el tercero aunque su input sea el único correcto.
Porque el bug del auto Tesla tubo más prensa que este.?
Sabéis mucho de aviones por aquí y de software... En fin, todo puede fallar. Hay que preveerlo y procedimentar las acciones a realizar. Cuando no prevees eso... Se suele cagarla. Ejemplos hay miles, en trenes, aviones, barcos etc.
No es un bug. El software hizo lo que tenía que hacer en base a los datos de entrada que le proporcionaba un sensor que falló.
En todo caso se podría hablar de un fallo en el diseño del sistema. Si yo hubiese sido el responsable de un software tan crítico, habría exigido cumplir dos requisitos.
Primero, tener datos de entrada de al menos dos sensores completamente independientes entre si.
Y segundo, un mecanismo tanto para avisar al piloto de que el software está actuando como para poder…   » ver todo el comentario
Confiaron más en los automatismos que en la inteligencia de sus pilotos a los cuales les ahorraron información, pero las máquinas también fallan. Lo que me parece inaudito es que un sistema como ese no tenga circuitos y sensores de redundancia para evitar las consecuencias del fallo de un sensor. El factor humano llamado estupidez aparece con demasiada frecuencia en los accidentes catastróficos.

menéame