Системы управления безопасностью полетов ICАО и здравый смысл

катастрофа самолета SSJ 100 в Шереметьево
В катастрофе самолета SSJ 100 в Шереметьево погиб 41 человек :: Следственный комитет России
Подробно об авторе:
Александр Явкин, генеральный директор ООО "РЕК Аэроспейс", главный конструктор самолета-амфибии Бе-200 (с 1992 по 2016 г.), почетный авиастроитель

Государственная комиссия по расследованию катастрофы самолета SSJ 100 в Шереметьево еще не приступила к работе, а в прессе уже широко распространены мнения специалистов Следственного комитета, различных экспертов и журналистов об основной версии катастрофы, унесшей жизни 41 человека, как об ошибках пилотов.

Такая скороспелость выводов по результатам поверхностного рассмотрения тяжелого авиационного происшествия с обвинительным уклоном по отношению к действиям пилотов (не дожидаясь окончания работы технической комиссии, по факту авиакатастрофы возбуждено уголовное дело по части 3 статьи 263 Уголовного кодекса России "Нарушение правил безопасности движения и эксплуатации воздушного транспорта, повлекшее по неосторожности смерть двух или более лиц") противоречит целям расследования, сформулированным в Приложении 13 к Чикагской конвенции «Расследование авиационных происшествий и инцидентов», а также рекомендациям, содержащимся в документе ICАО "Руководство по расследованию авиационных происшествий и инцидентов" (Doc. 9756). Документы ICАО следует считать основой для организации расследования катастрофы SSJ с учетом положений статьи 24.1 Воздушного кодекса РФ:

"Статья 24 1 . Обеспечение безопасности полетов гражданских воздушных судов.
1. Реализация государственной системы управления безопасностью полетов гражданских воздушных судов обеспечивается в Российской Федерации в соответствии с международными стандартами Международной организации гражданской авиации".

Ниже, приводятся несколько характерных цитат из документов ICАО, касающихся принципиальных вопросов организации расследования катастрофы самолета SSJ:

«Единственной целью расследования авиационного происшествия или инцидента является предотвращение авиационных происшествий и инцидентов в будущем. Целью этой деятельности не является установление доли чьей-либо вины или ответственности».

«Любое расследование, выполняемое в соответствии с положениями настоящего Приложения, проводится отдельно от любого судебного или административного разбирательства, направленного на установление доли чьей-либо вины или ответственности».

Авиационное происшествие свидетельствует о наличии опасностей или недостатков в авиационной системе. Поэтому грамотно проведенное расследование должно выявить все основные и непосредственные системные причины происшествия и рекомендовать надлежащие меры по обеспечению безопасности полетов, направленные на то, чтобы избежать опасностей или устранить недостатки. В ходе расследования могут быть также обнаружены другие опасности или недостатки в рамках авиационной системы, которые не были непосредственно связаны с причинами этого происшествия. Поэтому надлежащим образом проведенное расследование авиационного происшествия является одним из важных средств предотвращения авиационных происшествий.

Исходя из статьи 24.1 ВК РФ, процесс выяснения причин катастрофы самолета SSJ 100, с тем чтобы предотвратить их повторение, должен базироваться на определении причинности происшествий, приведенных в Руководстве по управлению безопасностью полетов (РУБП) ICАО:

«2.3 ПРИЧИННОСТЬ ПРОИСШЕСТВИЙ

2.3.1 Модель «швейцарского сыра», разработанная профессором Джеймсом Ризоном, наглядно показывает, что авиационные происшествия предполагают последовательные нарушения многоуровневой системы защиты. Эти нарушения вызываются рядом содействующих факторов, таких как отказы оборудования или ошибки при эксплуатации. Поскольку модель «швейцарского сыра» исходит из того, что такие сложные системы, как авиация, имеют чрезвычайно хорошую защиту из нескольких уровней, внутренние единичные отказы редко имеют серьезные последствия в авиационной системе. Нарушение в системе защиты безопасности представляет собой замедленное последствие решений, принимаемых на высших уровнях системы, которые не проявляются до тех пор, пока их воздействие или разрушающий потенциал не будет инициирован конкретным стечением эксплуатационных обстоятельств. При таких конкретных обстоятельствах ошибки человека или активные отказы на эксплуатационном уровне действуют как пусковые механизмы скрытых условий, способствующих нарушению присущих системе средств обеспечения безопасности полетов. В модели Ризона все происшествия включают сочетание активных и скрытых условий».

Для того чтобы выдвигать обвинения пилотов в ошибках, следует, очевидно, использовать определения РУБП ICАО, что же является ошибкой:

«2.5 ОШИБКИ И НАРУШЕНИЯ
2.5.1 Эффективное внедрение СУБП поставщиками продукции или обслуживания и эффективный надзор за СУБП со стороны государства основываются на ясном, взаимном понимании того, что является ошибками и нарушениями и в чем состоит различие между этими двумя понятиями. 
Лицо, которое старается наилучшим образом выполнить задачу, следуя при этом правилам и процедурам, которым его научили в ходе подготовки, но которое не может выполнить поставленной перед ним задачи, совершает ошибку. Лицо, которое при выполнении задачи намеренно не следует правилам, процедурам или принципам полученной подготовки, совершает нарушение. Таким образом, основным различием между ошибкой и нарушением является намерение".

Базируясь на определении ошибки из РУБП ICАО и доступной информации, включая размещенное в Интернете интервью Дениса Евдокимова, я попытаюсь поставить под сомнение наличие ошибки в действиях пилота в качестве основной версии причины катастрофы.

Развитие ситуации, приведшей к катастрофе, началось после отказа электронного оборудования по неустановленной пока причине. Версия выхода из строя оборудования под воздействием попадания в самолет молнии подлежит тщательной проверке, так как типовая конструкция была сертифицирована на соответствие требованиям сертификационного базиса, включая п. 25.581.

"Защита от молнии
(a) Самолет должен быть защищен от аварийных и катастрофических воздействий молнии и статического электричества".

И тем не менее отказ оборудования, сыгравший критическую роль в дальнейших событиях, приведших к катастрофе, произошел. Такое могло произойти как по причине недостаточно глубокого уровня работ, проведенных в процессе сертификации типа, так из-за возможных отклонений от типовой конструкции при изготовлении данного экземпляра самолета в производстве.

Наиболее критичным отказами в отношении последовавшей катастрофы стали нарушения в работе системы управления самолетом. 
Из описания самолета SSJ следуют особенности системы управления:

"Система ручного управления представляет собой цифровую систему дистанционного управления (СДУ) без механического резерва. СДУ совместно с комплексом бортового оборудования самолёта (КБО) предназначена для управления рулями высоты, элеронами, интерцепторами (в режимах поперечного управления и воздушных тормозов) от пассивных боковых ручек и рулем направления от педалей, а также стабилизатором и тормозными щитками.

СДУ имеет три режима работы, определяемые состоянием (исправностью) собственных элементов СДУ и состоянием (исправностью) взаимодействующих систем:
− Режим "основной", реализуемый при полной исправности элементов СДУ и взаимодействующих систем;
− Режим "упрощенный", реализуемый при отказе взаимодействующих систем. В этом режиме реализуется только часть функций. Переход из режима "основной" в режим
"упрощенный" происходит автоматически безударно в случае появления отказов во взаимодействующих системах.
− Режим "минимальный", реализуемый при отказе элементов СДУ или взаимодействующих систем. В режиме "минимальный" обеспечивается прямое управление рулевыми поверхностями по простейшему алгоритму, позволяющему безопасно завершить полет. Переход в режим "минимальный" происходит также автоматически безударно".

При построении системы управления без механического резерва (боковые ручки управления не имеют механической связи с рулями, передача сигналов управления осуществляется только по проводам и через электронные блоки системы во всех режимах, включая аварийный "минимальный") выход из строя всех электронных блоков, входящих в состав СДУ, приводит к катастрофическим последствиям. 
По словам пилота, два режима, "основной" и "упрощенный", отключились и самолет мог управляться только в последнем из оставшихся режимов, в "минимальном", в котором управление позволяет безопасно завершить полет, используя законы управления, построенные по простейшим алгоритмам. Такое управление сопряжено с ограничениями на возможность маневров и, как правило, с ограничениями, накладываемыми на диапазоны весов и центровок. Это не штатный режим, в котором можно летать, как в остальных режимах, сколь угодно долго во всем диапазоне характеристик самолета, а аварийный режим, требующий завершения полета. 
К тому же зная, что блоки оборудования, обеспечивающие "основной" и "упрощенный" режимы полета, уже выведены из строя, пилоты не могли быть уверены, что блоки, обеспечивающие аварийный "минимальный" режим не подверглись воздействию внешних факторов и будут оставаться в работоспособном состоянии продолжительное время. 
Находясь в такой ситуации, пилоты приняли правильное решение о скорейшей посадке самолета в аэропорту вылета.

Условия посадки были также аварийными, с превышением максимального посадочного веса, что требовало выдерживания повышенных скоростей и усложнения управления самолетом в отличие от типовых условий посадки. По словам пилота, они выполняли посадку по процедурам, приведенным в Оперативном справочнике экипажа для случая посадки с повышенным весом. Остается неизвестным, располагали ли пилоты процедурами, выполняемыми при посадке самолета с повышенным весом и системой управления, функционирующей в аварийном "минимальном" режиме. Именно эта накладка одного аварийного режима на другой, похоже, и привела к катастрофической ситуации.

По словам пилота, они пилотировали в обычном режиме, стремясь плавно снизить вертикальную скорость до нуля к моменту касания полосы. 
Но вполне возможно, что поведение системы управления с простейшими алгоритмами законов управления на завершающей стадии захода на посадку привело к необычному и неожиданному для экипажа поведению самолета, буквально бросив его вниз на полосу, от ударов об которую разрушилась конструкция и возник пожар, погубивший воздушное судно и находившихся в нем людей.

Возникает как минимум ряд вопросов, которые должны быть тщательно изучены технической комиссией:

1. Как именно проводились сертификационные летные испытания SSJ 100 со всем набором имевшихся на момент посадки отказов?

2. Были ли включены рекомендации летчиков-испытателей, касающиеся особенностей управления самолетом при выполнении посадки в аварийных режимах, в эксплуатационную документацию?

3. Входили ли в программу обучения пилотов условия, в которых проходила реальная посадка, приведшая к катастрофе?

4. И т. д. и т. п.

В таком примерно порядке должно проводиться расследование летных происшествий в соответствии с требованиями Приложения 13 ICАО, главная цель которого —  предотвращение повторения подобных катастроф.

Принимая во внимание рассказ пилота о том, что после отказа электронного оборудования самолет смог возвратиться в аэропорт вылета только с помощью подсказок диспетчеров, задававших курсовые значения для вывода самолета на полосу, можно предположить, что обучение пилотов управлению самолетом с отказавшим электронным оборудованием проводилось в недостаточной степени, чтобы пилот мог справиться с возникнувшей на борту ситуацией.

При недостаточной степени обучения пилотов управлению самолетом данного типа при отказах электронного оборудования условия для произошедшей катастрофы были сформированы уже в момент отказа оборудования. Именно в этот момент в комбинации "человек — машина" пилот из опытного, обученного специалиста превратился в слабообученного человека, управляющего самолетом с пассажирами на борту. Пилот продолжал выполнять действия, которым его обучали, но они оказались неадекватными аварийному состоянию, в котором находился самолет в момент посадки. В принципе, в этой ситуации могли погибнуть все, находящиеся на борту, но часть людей все-таки были спасены.

Учитывая, что подобное развитие событий происходило ранее в случаях катастроф, произошедших на самолетах Boeing 737 в Перми и Казани, можно выдвинуть в качестве основной версии катастрофы самолета SSJ 100 наличие недостаточной степени подготовки пилотов, летающих на самолетах со сложным электронным оборудованием, а катастрофу рассматривать как авиационное происшествие по организационным причинам, по терминологии ICАО.

И, если действия пилота рассматривать как ошибку, то невыполнение требований статьи 24.1 ВК РФ, состоящее в том, что в России так и не принята Государственная программа по безопасности полетов (ГосПБП) и не начато внедрение СУБП в компаниях в формате, требуемом Приложением 19 ICАО "Система управления безопасностью полетов", следует считать, в соответствии с терминологией РУБП, нарушением.

А пока у нас главными специалистами по расследованию летных происшествий выступают следователи СК, целью которых может быть быстрое нахождение "виновного стрелочника", можно только вспоминать слова Гамлета:

"Из жалости я должен быть суровым,
Несчастья начались — готовьтесь к новым"

Дело в том, что наказание Дениса Евдокимова без устранения более общих недостатков системы обеспечения безопасности полетов в России не приведет к заметному повышению уровня безопасности полетов для всех летающих, включая членов Государственной комиссии. Напротив, такое ограниченное воздействие приведет к дальнейшему снижению международного имиджа авиационной отрасли России. Характерным показателем такого имиджа является тот факт, что среди представителей авиационных властей, приглашенных Федеральной авиационной администрацией (FAA) США для участия в процессе сертификации модифицированной системы управления самолетом Boeing 737MAX (приглашены представители Австралии, Бразилии, Индонезии, Канады, Китая, ЕС, Объединенных Арабских Эмиратов, Сингапура и Японии), представители России не числятся. Несмотря на то что ряд авиакомпаний ("Победа", S7, UTair и др.) планируют приобрести десятки самолетов Boeing 737MAX. 
Совместная работа в составе группы не только представляет собой отличную школу для представителей всех участвующих сторон и служит развитию взаимоотношений на будущее, но и способствует повышению уровня безопасности полетов при эксплуатации самолетов этого типа в России. 
Считаю необходимым поставить вопрос об участии представителей нашей страны в работе международной группы как условие закупки самолетов Boeing 737MAX российскими авиакомпаниями. Такое взаимодействие авиационных властей полностью соответствует принципам ICАО.

Александр Явкин, генеральный директор ООО "РЕК Аэроспейс", главный конструктор самолета-амфибии Бе-200 (с 1992 по 2016 г.), почетный авиастроитель