¿Por qué no más accidentes de Max 8?

Con un sensor de ángulo de ataque que funcionaba bien, el 737 MAX estaba a salvo. Solo un mal funcionamiento que permitiera que el sensor informara un ángulo más alto que el real daría como resultado el intento repetido del MCAS de recortar el morro del avión hacia abajo.

Tal mal funcionamiento es un evento raro ( 10 por año en todos los tipos que vuelan en los EE. UU.). Esto debería explicar los muchos vuelos 737 sin incidentes. Sin embargo, confiar en un solo sensor fue una negligencia criminal. Un diseño seguro tendría redundancia incorporada. Irónicamente, el 737 MAX tiene un segundo sensor (justo enfrente del que alimentaba el MCAS), pero el software no cotejó las lecturas.

Observaciones adicionales

Ahora ha habido tantos comentarios, y todos han sido causados ​​por mi descripción bastante superficial del problema, que mejor amplío esta respuesta para que las personas no sientan la necesidad de agregar más comentarios.

El MCAS ya se introdujo con el Boeing 707 y el KC-46 (versión cisterna del 767), pero solo agregaría un ajuste de morro hacia abajo una vez si se excede un ángulo de ataque prescrito.

Con los motores LEAP más potentes del 737 MAX, la estabilidad de cabeceo en alto ángulo de ataque y alto empuje se volvería negativa, algo que haría inmediatamente imposible certificar a cualquier avión bajo la normativa actual para aeronaves civiles . La posición más adelantada de las tomas y la alta succión en la toma con un alto ángulo de ataque habrían requerido una cola horizontal más grande si se hubieran aplicado las reglas de diseño adecuadas.

Pero Boeing está a cargo de la administración ex-McDonnell-Douglas, donde la reducción de costos es más importante que la aplicación de reglas de diseño adecuadas. Una cola horizontal más grande daría lugar a cambios estructurales en toda la parte trasera del avión, requeriría nuevas plantillas y pruebas y una certificación mucho más compleja. Las soluciones más simples tampoco funcionaron: se introdujeron varias soluciones aerodinámicas, como revisar la franja de pérdida del borde de ataque y modificar los vórtilones del borde de ataque, pero fueron insuficientes para aprobar la regulación. Por lo tanto, la inestabilidad tuvo que corregirse en el software.

El resultado fue un sistema que leía las entradas de un solo sensor y, en las condiciones adecuadas (flaps arriba y piloto automático desconectado), cambiaba el cabeceo hacia abajo en 2,5 grados de rotación del estabilizador cuando se excedía un ángulo de ataque específico y repetía esto sin pensar después de cinco segundos . si el ángulo de ataque seguía siendo demasiado alto. No se habían hecho provisiones para un sensor defectuoso. Las preocupaciones de los ingenieros y pilotos de prueba sobre los peligros resultantes de una falla del sensor finalmente se descartaron. Eventualmente, Boeing asumió oficialmente que los pilotos responderían a una activación inesperada del MCAS como si fuera un evento de ajuste del estabilizador fuera de control, y lo harían en cuatro segundos.

Todos los 737 tienen dos sensores AoA, pero el MAX MCAS se basó en un solo sensor a la vez, cambiando entre el izquierdo y el derecho en cada vuelo. Por cierto, el KC-46 MCAS, aunque menos potente, utiliza las entradas de dos sensores y recorta el estabilizador en solo 0,6°, y solo una vez por activación.

Luego, para limitar la cantidad de entrenamiento de pilotos para el nuevo tipo al nivel B (sin simulador), el piloto debería sentir que el MAX es un 737 de próxima generación. Esto hizo posible volar el MAX con la habilitación de tipo para un 737 regular, un gran argumento de venta para las aerolíneas que ya operaban el 737. MCAS ayudó a lograr esto, y la información sobre sus detalles no formaba parte de la capacitación obligatoria (que consistía en un tutorial de iPad de dos horas). Al repetir el cambio de ajuste de paso, el MCAS se había vuelto crítico para la seguridad donde las versiones anteriores no lo eran. Sin embargo, se ocultó información al respecto y la mayoría de los pilotos ni siquiera sabían de su existencia después de su transición al MAX.

Otro factor fue la financiación insuficiente y la captura regulatoriade la FAA en las últimas décadas, que tenía menos personal para verificar los nuevos diseños, por lo que gustosamente entregó gran parte de las pruebas para la certificación a los fabricantes: Los representantes autorizados de Boeing son empleados de Boeing a quienes se les otorga un permiso especial para representar los intereses de la FAA y para actuar en nombre de la FAA en la validación del cumplimiento de los sistemas y diseños de aeronaves con los requisitos de la FAA. La función central del proceso de certificación, permitir que un segundo par de ojos entrenados revisen las cosas nuevas, se subcontrató a las mismas personas que habían autorizado esos diseños. Además, la capacidad de MCAS se tergiversó ante la FAA como una adición al ajuste de velocidad para evitar más escrutinio y pruebas. Investigaciones posteriores encontraron una tendencia inquietante de que la administración de la FAA trata a los operadores favorablemente yanulando el trabajo de los expertos técnicos .

Como de costumbre, se perdieron varias oportunidades para evitar lo sucedido y varias causas conspiraron para hacer de MCAS la trampa en la que se convirtió.

La mayoría de los accidentes en la aviación no son el resultado de una sola falla o error, sino que son el resultado de muchos factores contribuyentes . Si se hubiera eliminado uno de ellos, el accidente no habría ocurrido (o habría sido menos grave). Esto a menudo se llama el modelo de queso suizo :

^{(fuente de la imagen: Wikipedia )}

Solo cuando todos los agujeros en el queso se alinean, la línea puede pasar. En la aviación, esto significa que solo cuando todos los factores contribuyentes ocurren al mismo tiempo, ocurre un accidente. La tarea de la investigación de accidentes es identificar todos los factores contribuyentes y publicarlos en un informe final de modo que se puedan llenar los agujeros en el queso (lo que significa que los problemas se pueden solucionar) para que se puedan prevenir futuros accidentes debido a estos factores.

Los accidentes del 737 MAX fueron en gran medida el resultado de lo siguiente (para ver la lista completa de factores que contribuyeron al accidente de Lion Air, consulte la parte inferior de esta respuesta):

• La decisión de Boeing de usar solo un sensor AoA para MCAS y no limitar su activación.
• Un sensor AoA roto en la aeronave accidentada que genera información incorrecta en el MCAS.
• Capacitación insuficiente de la tripulación de vuelo que da como resultado una respuesta incorrecta de los pilotos al ajuste del estabilizador fuera de control.

Es incorrecto culpar de los accidentes a un solo factor contribuyente (como solo culpar a Boeing o solo culpar a los pilotos). Todos los factores contribuyentes son importantes y los informes de accidentes no clasifican estos factores por gravedad.

Por ahora, MCAS se ha actualizado para usar ambos sensores AoA y solo se activa una vez:

Esta función de software requerida opera solo en condiciones de vuelo inusuales y ahora depende de dos sensores, se activa solo una vez y nunca anula la capacidad de los pilotos para controlar el avión.

^{( Boeing )}

La mayoría de los reguladores también requieren que los pilotos realicen un entrenamiento en simulador antes de que se les permita volar el 737 MAX nuevamente:

No se trata solo de cambios en el diseño de la aeronave: cada piloto individual del 737 MAX debe someterse a una capacitación especial única, incluida la capacitación en simulador, para garantizar que estén completamente familiarizados con el 737 MAX rediseñado y capacitados para manejar escenarios específicos. que pueden surgir en vuelo.

^{( AESA )}

De esa manera, ahora se llenan al menos dos agujeros e incluso si un sensor AoA se rompe nuevamente en un 737 MAX, esto no debería resultar en otro accidente.

Para completar, aquí está la lista completa de factores que contribuyeron al accidente de Lion Air. El informe final del accidente de Etiopía aún no se ha publicado y el informe provisional no enumera los factores contribuyentes.

1. Durante el diseño y la certificación del Boeing 737-8 (MAX), se hicieron suposiciones sobre la respuesta de la tripulación de vuelo a los fallos de funcionamiento que, aunque eran coherentes con las directrices actuales de la industria, resultaron ser incorrectas.

2. Con base en las suposiciones incorrectas sobre la respuesta de la tripulación de vuelo y una revisión incompleta de los múltiples efectos asociados de la cabina de vuelo, la dependencia de MCAS en un solo sensor se consideró apropiada y cumplió con todos los requisitos de certificación.

3. MCAS fue diseñado para depender de un solo sensor AOA, lo que lo hace vulnerable a entradas erróneas de ese sensor.

4. La ausencia de orientación sobre MCAS o un uso más detallado del ajuste en los manuales de vuelo y en el entrenamiento de las tripulaciones de vuelo dificultó que las tripulaciones de vuelo respondieran adecuadamente a MCAS no comandados.

5. La alerta AOA DISAGREE no se habilitó correctamente durante el desarrollo del Boeing 737-8 (MAX). Como resultado, no apareció durante el vuelo con el sensor AOA mal calibrado, no pudo ser documentado por la tripulación de vuelo y, por lo tanto, no estaba disponible para ayudar a mantenimiento a identificar el sensor AOA mal calibrado.

6. El sensor AOA de reemplazo que se instaló en la aeronave accidentada había sido mal calibrado durante una reparación anterior. Esta mala calibración no se detectó durante la reparación.

7. La investigación no pudo determinar que la prueba de instalación del sensor AOA se haya realizado correctamente. No se detectó la calibración incorrecta.

8. La falta de documentación en el registro de vuelo y mantenimiento de la aeronave sobre el sacudidor de palanca continuo y el uso del Runaway Stabilizer NNC significaba que la información no estaba disponible para la tripulación de mantenimiento en Yakarta ni para la tripulación del accidente, lo que dificultaba que cada uno tomar las acciones apropiadas.

9. Las múltiples alertas, las activaciones repetitivas de MCAS y las distracciones relacionadas con numerosas comunicaciones ATC no pudieron gestionarse de manera efectiva. Esto fue causado por la dificultad de la situación y el desempeño en el manejo manual, la ejecución de NNC y la comunicación de la tripulación de vuelo, lo que llevó a una aplicación de CRM y una gestión de la carga de trabajo ineficaces. Estas actuaciones se habían identificado previamente durante el entrenamiento y reaparecieron durante el vuelo del accidente.

^{( Informe final del vuelo 610 de Lion Air )}

Todas las respuestas aquí son buenas y abordan lo que probablemente tenía la intención de preguntar. Pero quiero abordar la pregunta que literalmente hiciste

¿Por qué no más accidentes de Max 8?

es decir, ¿por qué hubo exactamente dos accidentes de Max 8 y no, digamos, tres, cinco o diez?

Revisemos la línea de tiempo

29 de octubre de 2018: Accidente 1: Vuelo 610 de Lion Air 10 de marzo de 2019: Accidente 2: Vuelo 302 de Ethiopian Airlines 13 de marzo de 2019: Flota en tierra de la FAA 13 de marzo (muchos otros países en tierra pronto)

Imaginemos un universo paralelo hipotético con esta línea de tiempo:

29 de octubre de 2018: Accidente 1: Vuelo 610 de Lion Air 1 de diciembre de 2018: Accidente 2: Vuelo 123 de XYY Airlines

¿Qué hubiera pasado entonces? Bueno, lo más probable es que la FAA hubiera dejado en tierra la flota el 4 de diciembre de 2018. Y entonces, el vuelo 302 de Ethiopian Airlines nunca habría sucedido. Todavía solo tendrías dos accidentes.

Podrías imaginar muchas variaciones diferentes de esto. Tal vez el vuelo 610 de Lion Air tuvo suerte, de modo que Ethiopian Airlines fue en realidad Crash 1, y otro vuelo se estrelló en junio de 2019 y luego la puesta a tierra ocurrió unos días después de eso. Todavía solo tendrías dos accidentes.

Mi punto es que, si alguna vez hay dos accidentes fatales importantes dentro de un período corto de tiempo que parecen estar relacionados, las autoridades de aviación van a dejar en tierra la flota antes de que haya un tercero. Tal vez, si los dos choques no tienen las mismas causas, podría llegar a tres. En algunos casos, la flota quedaría en tierra después de un solo accidente. Pero no hay universo en el que vaya a haber diez o veinte accidentes fatales por la misma razón sin que la flota esté en tierra.

Para ser claros, las advertencias aquí son:

• Grandes accidentes mortales. Definitivamente ha habido incidentes repetidos que no llevaron a una conexión a tierra inmediata (por ejemplo, fallas en las aspas del ventilador como en el vuelo 1380 de Southwest), pero esos no involucraron una pérdida de casco y la muerte de todos a bordo.
• Breve lapso de tiempo. Si los dos eventos del 737 Max hubieran ocurrido con años de diferencia, el segundo podría no haber llevado a una puesta a tierra inmediata.
• Motivo relacionado.

Parte de esto tiene que ver con cómo se diseñó el 737-MAX. Expliqué esto con más detalle en esta respuesta , pero el TL; DR aquí es

1. El Max 8 fue diseñado para ser lo más idéntico posible a los 737 existentes, de modo que no fuera necesario volver a entrenar a los pilotos ni obtener la certificación completa de la FAA.
2. MCAS podría apagarse utilizando los mismos métodos que un estabilizador fuera de control (un problema que podrían encontrar todos los 737). La tripulación aérea anterior en la nave que era Lion Air 610 lo descubrió y evitó un accidente.

   La tripulación desconcertada de la cabina consultó un manual de referencia rápida, repasando otros pasos de emergencia antes de recuperar con éxito el control del avión ejecutando la lista de verificación para un estabilizador fuera de control. Eso apagó el MCAS y la tripulación voló manualmente durante el resto del viaje.

En otras palabras, en su mayoría se comportó como un avión conocido. Solo tenías que ser capaz de diagnosticar el problema correctamente antes de que el avión se estrellara. Parece que, en la mayoría de los casos, la tripulación aérea lo hizo. El problema es que el costo de no diagnosticarlo es inaceptablemente alto...