Фото с места аварии из Бюро архивов авиационных инцидентов
Катастрофа
Вечер 16 августа 1987 года в Детройте не радовал погодой. Приближалась гроза, и экипаж рейса 255 компании Northwest Airlines спешил продолжить полет - Детройт был третьим из пяти аэропортов маршрута, а отставание от расписания составляло уже полчаса. По закону подлости, изменилось направление ветра, и диспетчеры перенаправили самолет на другую полосу. Она была самой короткой во всем аэропорту, поэтому второму пилоту пришлось пересчитывать массу самолета и его пробег при взлете, чтобы убедиться, что с нее можно взлетать. Беда не приходит одна - вечером, в дождь, экипаж потерялся на рулежных дорожках, и когда самолет наконец выехал на взлетно-посадочную полосу, отставание от расписания составляло уже 45 минут.
Взлет произошел в 20:44, и сразу стало понятно, что что-то пошло совсем не так, как надо - в кабине звучало предупреждение об опасности сваливания, самолет не хотел набирать высоту и кренился из стороны в сторону. Спустя несколько секунд он врезался в осветительный столб на парковке, потерял часть крыла и, уже неуправляемый, упал на автомобильную дорогу, проскользил по ней до путепровода, врезавшись в который полностью разрушился. В катастрофе погибли оба пилота, четыре стюардессы, 149 пассажиров и два человека в раздавленном автомобиле. Еще пять человек на земле были ранены. Единственной выжившей оказалась четырехлетняя Сесилия Шин, потерявшая в катастрофе отца, мать и старшего брата.
Схема полета, источник
Расследование
Вещественные доказательства и данные "черных ящиков" показали удивительную вещь - опытный и профессиональный экипаж совершил абсолютно "детскую" ошибку - забыл выпустить закрылки!
Взлетающий самолет семейства MD-80, аналогичный разбившемуся, фото Wikimedia Commons
Увеличенное фото, хорошо видна механизация крыла
Небольшой ликбез. Предкрылки и закрылки - специальные поверхности, которые отклоняются и/или выдвигаются в передней и задней частях крыла для создания дополнительной подъемной силы на малой скорости. Используются при взлете и посадке.
Расследование показало, что забыты были не просто закрылки, а целая полетная карта (чеклист) из нескольких пунктов, которые надо было выполнить на рулении. У экипажа в процессе взлета даже возникла было подсказка, что они что-то пропустили - бортовой компьютер оказался не в полетном режиме, и не включился автомат тяги. Но человек, особенно в условиях стресса и спешки, способен не заметить или забыть что угодно - подсказку экипаж проигнорировал и взлет не прервал.
Вопросов меньше не стало, наоборот. Как раз на случай того, что экипаж забудет подготовить самолет к взлету, была создана специальная система, которая должна была подать сигнал, что закрылки и предкрылки не находятся во взлетном положении. Но она почему-то молчала. Далее, сигнал об опасности сваливания должен был для надежности идти из двух динамиков, а шел только из одного. Официальное расследование установило, что по неизвестной причине был разомкнут переключатель P-40, который находится позади левого кресла - этот переключатель одновременно запитывал и предупреждение о невзлетной конфигурации, и один из динамиков системы предупреждения о сваливании. Панель с этим переключателем была сильно повреждена в катастрофе, и установить, сломался ли переключатель или же был выключен вручную, не получилось. Но одна история является очень важным косвенным доказательством.
Панель переключателей в левой части кабины MD-80, источник
Следователь Национального совета по безопасности на транспорте (NTSB) Джон Кларк в рамках расследования попросил пилота однотипного с разбившимся MD-80 показать различные предупреждения. Пилот воспроизвел и правильное предупреждение о сваливании из двух динамиков, и индикацию невыпущенных закрылков. Для демонстрации прозвучавшего в роковом полете монофонического сигнала пришлось отключить один из каналов. И пилот сказал "Я этого, конечно же, никогда не делал, но, говорят, некоторые специально отключают предупреждение о невыпущенных закрылках, потому что оно часто ложно срабатывает на рулении и очень раздражает", после чего, не глядя, потянулся к тому самому переключателю P-40 у себя за спиной и явно привычным движением выключил его. А на панели переключателей вокруг P-40 было больше грязи, как будто бы его постоянно включали и выключали...
Так что казалось бы очевидный вывод "ошибка пилотов" по сути маскировал две большие проблемы:
- С контрольными картами что-то не то, раз их забывают выполнить.
- Если убрать ложные срабатывания системы предупреждения о невыпущенных закрылках, то у пилотов пропадет искушение ее выключать.
Специально еще раз повторю - опытные профессионалы тоже совершают ошибки. Попытки исправить ситуацию репрессивными мерами боролись бы со следствием, а не причиной - экипаж рейса 255 не был безответственным, и, конечно же, не хотел умирать и уносить с собой в могилу ни в чем не повинных людей. Командир корабля проработал в этой авиакомпании 31 год, второй пилот имел налет несколько тысяч часов, они оба, по отзывам коллег, были хорошими летчиками, но это ничуть не помогло.
Увы, решения не сумели найти быстро - в следующем году по той же причине (забыли выпустить закрылки) разбился самолет другой модели, Boeing 727, в Далласе. Из 108 человек на борту погибли 14. Там, правда, вина экипажа была больше - пилоты явно нарушили правило "стерильной" кабины и беседовали перед взлетом с зашедшей стюардессой. Но на записи речевого самописца второй пилот произносит, что закрылки выпущены на правильный угол, несмотря на то, что это не так.
Проблемой контрольных карт занялись в NASA. В результате появились рекомендации по улучшениям, начиная от длины чеклистов и заканчивая шрифтом которым они печатались. К тому же в конце 80-х в авиацию активно внедрялись компьютеры, и чеклисты начали делать электронными - компьютер не только помнит, на каком пункте ты остановился, если тебя отвлекли, но и проверит, сделал ли ты то, что отметил как выполненное. Но, увы, еще есть что улучшать - катастрофа Ан-148 в феврале этого года произошла из-за того, что пилоты отложили один из пунктов чеклиста и забыли его потом выполнить (для справедливости надо отметить, что конструкторы самолета тоже недоработали - этот пункт нельзя было выполнить заранее в спокойной обстановке).
Ложные срабатывания убрали не только на MD-80, но и на других машинах - изменили требования к системе в целом, так что полеты стали безопасней.
Причем тут ИТ?
История рейса 255, на мой взгляд, несет выводы, которые мы можем применить у себя, в ИТ.
- Организация должна быть открыта для изменений - если кто-то видит, что что-то не так, лучше всего, если он будет иметь возможность рассказать об этом и будет услышан, а не наказан.
- Разбирая случившийся факап надо стремиться найти истинные причины, а не заниматься поиском виновных. Исправление проблем важнее наказаний.
Одна из методологий для реализации этих принципов называется autopsy without blame ("вскрытие без обвинений"). Вариант, использующийся в компании, где я работаю, называется solution without blame, SWOB ("решение без обвинений"). Позволю себе кратко процитировать его принципы:
Цели:
- Происшествие расследуют имеющие к нему отношение сотрудники, с единственной целью установить, что можно улучшить и/или научиться на своих ошибках (не ошибается тот, кто ничего не делает).
- Зафиксировать выводы для других команд, чтобы они могли узнать новое и/или предложить свои идеи.
Важно:
- Улучшение процессов - дело каждого.
- Каждый будет услышан.
- Начальство открыто новому.
Обещания:
- Не бойтесь копать глубоко и озвучивать даже неприятные причины. Никто никогда не будет наказан за участие в SWOB или что угодно, обнаруженное на SWOB.
- Нетерпимо только неуважение друг к другу.
Организационные моменты:
- Выберите независимого фасилитатора, который будет вести заметки и модерировать дискуссию. В фасилитаторы выбирают человека, пользующегося уважением, поэтому быть им почетно. Но руководство нельзя выбирать в качестве фасилитатора.
- Лучше всего провести SWOB с не совсем сразу после факапа, чтобы успокоиться, но и не слишком поздно, чтобы люди не забыли, что случилось. Идеальный срок в течение недели после проблемы.
- Формат документирования: сначала описание события, затем идеи по улучшению процессов.
Заключение
Если бы пилоты могли донести до проектировщиков то, что ложные срабатывания системы предупреждения о невыпущенных закрылках очень мешают, то катастрофы рейса 255 могло бы не быть. По "Союзу МС-10" пока не появилось новостей, как именно погнули датчик, но в случае внедрения аналогов SWOB вполне возможны следующие сценарии:
- Сборщики случайно погнули датчик, но, зная, что их не накажут за явку с повинной, сообщили, датчик заменили, аварии нет.
- Сборщики не поняли какую-то операцию, зная, что их не накажут, доложили об этом, их научили, аварии нет.
- Сборщики обнаружили, что работать неудобно, зная, что их не накажут, рассказали об этом, процессы поменяли, аварии нет.
Серебряной пули не существует, но кому-нибудь из вас идеи SWOB могут помочь. Удачи в улучшении процессов!
В качестве эксперимента запущены пуш-уведомления. Нажмите эту кнопку, и вам будет приходить сообщение, когда выйдет мой новый пост.
Я в социальных сетях:
Вконтакте, Facebook, Twitter, Instagram, YouTube
Неправда, она существует -- убрать человеческий фактор из системы. Ни один лифт в мире не упал в шахту из-за того что лифтёр что-то там забыл или подумал, потому что ни в одном лифте в мире нет лифтёра -- он не нужен. Это основа безопасности лифтов -- наиболее безопасного на сегодня транспорта в истории.
Ну и вот вам голос народа, который я сохранил когда корейский пилот после отказа одного из двух моторов выключил единственный работавший, и грохнул самолёт.
Поделитесь, пожалуйста, ссылкой на источник. Крайне интересно ознакомиться с упомянутыми вами рекомендациями.
Edited at 2018-11-16 10:54 (UTC)
И в армии нельзя тупо драть командира, если у него в подразделении залёт, который он отчасти и вскрыл.
Во всех случаях итог один - всеми силами сокрытие произошедшего в следующий раз. И повторение произошедшего.
Успеха добиваются не просто те компании, где прекрасные сотрудники, а те, где отличные процессы. Хотя одного взгляда на документацию по СМК достаточно для ненависти ко всему человечеству.
Но это тяжело, нужно думать, разбираться, переступать через себя. А так легко - выпорол сборщика и все счастливы, и аварий какое-то время нет, да и его может, и правда надо было выпороть. Но нужно ещё что-то.
В условиях когда нет саботажа и диверсий - т.е. намеренного причинения вреда и последующего сокрытия улик этого. Это инструмент для нормальной работы когда все участники события и расследования нацелены на качество и положительный результат.
Звучит интригующе и многозначительно.
Сборщиков на нашем Союзе, я бы еще переименовал в статье в ассемблеров. Тогда текст будет полностью соответствовать духу статьи. :)
Ваша запись попала в топ-25 популярных записей LiveJournal. Подробнее о рейтинге читайте в Справке.
Остался невыясненным лишь один вопрос - что делать, когда исполнители сознательно нарушают, облегчая себе работу?
Если же по сути - принятие решения в любом аспекте (что оперативное решение в процессе выполнения операции, что решение о выборе алгоритма при создании системы) сложное многофакторное явление.
А человек - как операционная система - оптимизирован для существенно иных условий функционирования, чем те, в которые он себя загоняет.
Что касается рекламируемых в посте систем контроля за качеством - то это, простите, совсем не откровение и существует в инженерной практике ой, как давненько.
Но... Раз за разом конструктора и эксплуатанты настурают на одни и те же грабли. ;-(
ХИНТ: я рассказывал, как в 80-м году исследовал на стенде дефект топливоизмерения МиГ-31, приводивший на исправном технически борту к ускоренному в 10 раз падению показаний расходомера - и нашёл схемотехнический дефект. И предлагал вариант переделки. Но... Питерцы упёрлись и обошлись формальной доработкой, а наши не стали нажимать - ибо скандализировать отношения, это палка о двух концах: отношения главного разработчика и субподрядчика - это очень тонкая материя.
А вот то, что под ударом окажется сам Федот - это мне и в кошмаре не мерещилось ;-((((
ХИНТ: и ещё одна фишка...
Вообще-то пилотам - по крайней мере, на ступени подготовки лётчиков-испытателей - следовало б преподавать НЛП!
У Гарнаева в Аэроузле я нашёл эпизод - как он мучительно нарабатывал психомоторику действий в условиях дефицита времени.
К тому моменту я уже знал НЛП (не владел НЛП, в смысле всех этих попсовых тренингов, а именно знал теорию - которая вырастает из объективной нейрофизиологии, включая павловскую рефлективную дугу). Так вот - мне стал смешно (да простится мне такая реакция) - ибо дилетанские по сути усилия, затраченные курсантом под угрозой вылета из профессии, на самом деле (ТМ) решаются за пару часов тренинга с использованием НЛП-техник и стратегий.
Но так уж устроен мир - кружным путём и с кровавой платой за ошибки он будет переть мимо открытых ворот...
Для кого это пишется
В качестве анекдота: Вот вы говорите "слайды", когда есть прекрасное русское слово.. "ДИАПОЗИТИВ".
Ну и цитата из педивикии
Бра́мсель (нидерл. bramzeil) — прямой парус, ставящийся на брам-рее над марселем[1]. В зависимости от принадлежности к той или иной мачте брамсель соответственно получает название: на фок-мачте — фор-брамсель, на грот-мачте — грот-брамсель и на бизань-мачте — крюйс-брамсель.
Парус, поднимаемый над брамселем, называется бом-брамселем (соответственно грот-бом-брамсель, фор-бом-брамсель, или крюйс-бом-брамсель).
Брамсель называется летучим, если его рей не вооружён топенантами и брасами.