Počítače a řízení dopravních prostředků

K napsání tohoto článku mě inspiroval D-Fens svým skvělým článkem: Fail"safe" respektive tou částí, kde se autor věnuje motorové zkoušce A340-600 společnosti Etihad. Mnoho technologií kolem nás je řízeno počítači a ne vždy to klapne. Na vině ovšem není počítač, ale softvér nebo chceteli firmware.

Představte si třeba Titanic. Pluje si ledovým Atlantikem a narazí do ledovce. Co kdyby řídil Titanic moderní počítač? Jak by to asi dopadlo? Když se kapitán Titaniku o ledovci před lodí dozvěděl, dal příkaz: „Plný zpětný chod a kormidlo vlevo“. Zdálo se mu, že se tak ledovci vyhne. Rozborem událostí provedeným mnoho let po katastrofě, kdy byly nalezeny trosky lodi na dně oceánu se zjistilo, že kapitánův rozkaz byl snad to nejhorší co mohl vydat. Loď by možná zachránilo, kdyby narazila do ledovce přímo přídí. Kdyby kapitán vydal svůj rozkaz jen jako: „Plný chod zpět“ Titanic by narazil do ledovce rychlostí asi 8 uzlů. To by způsobilo sice mnoho zranění lidí na palubě, ale loď by to asi ustála, zatopily by se maximálně tři první sekce a loď by se udržela na hladině. Patrně by nebyla schopna vlastí silou odplout nebo alespoň ne hned, možná by vypukl na lodi požár, ale to jsou jen spekulace. Každopádně kapitán byl v situaci, kdy čelil problému, se kterým se nikdy předtím nesetkal. Kdyby napsal softvér k řízení lodi, tak by se děj asi odehrál úplně stejně. Jenže moderní softvéry, které prostřednictvím počítačů ovládají současnou techniku mnohdy píší lidé, kteří se v  problematice tak úplně neorientují. Mají sice poradce, když se jedná třeba o loď, tak poradcem bude nejspíše zkušený lodní kapitán. Ten ale neví zhola nic o tom, jak se píše softvér a tak nemůže konstruktéra softvéru nijak kontrolovat, jestli jeho zkušenosti s řízením lodi správně počítači interpretuje. Tady jsem trochu na vodě, nevím jak jsou řízené moderní lodě, za to vím, jak je řízený třeba Airbus A330.

Tohle éro má dva podřízené počítače, nad nimi bdí supervizor – počítač Master. Všechna důležitá čidla jsou zdvojená, supervizor sleduje, zda přijatá data v obou podřízených počítačích souhlasí. Na případný rozpor musí nějak zareagovat, jestli ale dokáže reagovat správně je otázka.

Při jedné havárii Al Itália došlo na důležitém přístroji – výškoměru, k poruše a tak měl kapitán letu jiný údaj o výšce než druhý pilot. Kapitán se rozhodl, že právě jeho výškoměr ukazuje správně a tím si podepsal rozsudek. Byl totiž o více než 200 metrů níže než si myslel. Správně ukazoval odpojený výškoměr druhého pilota. To byl ale stroj s ručním klasickým řízením, vraťme se zpátky k Airbusu.

14. srpna 2001 letěl A330, typ 243, registrace C-GITS, na lince z Toronta do Lisabonu. Let společnosti Air Transat TS236 probíhal klidně, až do půl šesté jednotného času (UTC). Chvíli po té v kokpitu zaznělo pípnutí s upozorněním na displeji: „Letadlo je nevyváženo“. Kapitán tohle hlášení nikdy neviděl a tak začal listovat v manuálu. A našel. Spustit čerpadlo a přečerpat palivo z těžkého křídla do lehkého. Tím považoval věc za vyřešenou, v manuálu se víc informací nenacházelo. Druhý pilot ale měl pochybnosti a začal počítat. Rychle došel k závěru, že v této fázi letu by měli mít mnohem více paliva, než ukazují přístroje. Situace se přečerpáváním ještě horšila, v pravé nádrži nějak paliva nepřibývalo, za to v levé ubývalo. Když kapitán pochopil, že musí palivo ztrácet, už bylo pozdě. Nejprve vysadil pravý motor a netrvalo to dlouho a levý motor spotřeboval poslední zbytky paliva a vysadil také.  Všechno nakonec skončilo šťastně, bez paliva se podařilo téhle posádce přistát na letecké základně Lajes na ostrově Terceira ze souostroví Azory. Sice uvalili podvozek ale všech 306 lidí na palubě bylo v pořádku. Závadu způsobili mechanici na torontském letišti, kteří při výměně pravého motoru připojili špatně palivové potrubí, to kolidovalo s jiným hydraulickým potrubím a nakonec za letu prasklo.

To posádka jiného Airbusu takové štěstí neměla. Kapitán letu Air Inter 148 z Lyonu do Strasbourgu si na krátkém letu připravil vše dopředu a to včetně přiblížení na dráhu 26, která se obvykle používala. Při prvním spojení s věží ve Strasbourgu byl zaskočen sdělením dispečera, že přiblížení kvůli počasí bude provádět na dráhu 05. Kapitán i jeho druhý pilot ještě nikdy takhle nepřistávali. Navíc měli na A320 nalétáno málo hodin, ač jinak tvořili zkušenou posádku. 20. ledna 1992 byl jejich A320-111, registrace F-GGED stále ještě novotou vonící, byl dán do provozu 1988. Systém řízení letadla počítačem hodně měnil návyky pilotů, zvyklých ovládat konvenční stroje. Kapitán letu IT148 měl nalétáno na  A320 asi 300 hodin. Později se doporučovalo leteckým společnostem, aby při nasazení na A320 měl jeden člen posádky nalétáno podstatně více hodin na tomto typu. 

Teď trochu odbočím. Prakticky vždy, když se podrobně vyšetřuje nějaká nehoda a v letecké dopravě je to pravidlem, zjistí se zřetězení různých drobných pochybení a nešťastných náhod. V popisovaném případu Air Inter to nebylo jinak.

Dispečer oznámil posádce letu IT148 změnu dráhy a to mimo jiné znamenalo jít  na finále z opačného konce letiště. Museli tedy letiště obletět. Dráha 05 navíc neměla plné technické vybavení na přístrojové přiblížení, posádka tedy měla s přiblížením mnohem více práce. Počasí bylo na draka, bylo to za tmy, prostě komplikace, kterou piloti nemají rádi. Kdo by se jim divil? Kapitán navedl stroj podél letiště a když začal levou zatáčku, aby se dostal do osy dráhy 05, nastavil na autopilotu klesání. A od této chvíle  se odvíjí sled náhod a drobných pochybení, které nakonec vedly k tomu, že let byl na zemi dříve, než si všichni přáli. Air Inter byla společnost známá svou přesností, s minimem zpoždění a posádky letadel byly podle toho odměňovány. Kapitán vycítil problém, musel se nějak vyrovnat se vzniklou situací a to bude znamenat zpoždění a tudíž méně peněz při výplatě. Nejprve se domluvil s řídícím letového provozu, že se přiblíží k dráze 26, jak to měl naprogramováno v autopilotovi, pak oblétne letiště a přistane na dráhu 05. To mu dispečer rozmluvil, bylo by to časově nevýhodné a mohli by se na přiblížení potkat s jinými stroji, které do oblasti přilétaly a tím by zase chytli nějaké to zpoždění navíc. Dispečer navedl kapitána na rádiomaják ANDLO a odtud mu dal kurz na přiblížení k dráze 05. Kapitán to provedl, jenže zatáčku dost utáhnul a proletěl kolem ANDLO z opačné strany, než bylo potřeba. Tím byl mimo osu dráhy 05, blíže k lesu a kopci Saint-Odile, který se mu stal osudný. Řešil horizontální navigační chybu, protože dispečer z věže ho upozornil, že není tam, kde by měl být a všiml si toho i druhý pilot. Upozornění z věže ale mělo špatnou terminologii a posádku ještě více zmátlo. Kapitán musel řešit problém a byl tedy dost vytížen. A pak se stala další drobná chybička tentokráte ve vertikální navigaci. Kapitán špatně nastavil autopilota, zaměnil rychlost klesání s úhlem klesání. Jak se při vyšetřování prokázalo, záměna byla poměrně snadná a společnost Airbus po této nehodě opravila zobrazování hodnot, aby k záměně nemohlo dojít. Záměna se stala i jiným posádkám, ale vždy v dostatečné výšce. Ovšem ani tato chyba by ještě nestačila ke katastrofě. Když se podařilo přečíst data z letového rekordéru, objevilo se něco, nad čím všichni kroutili hlavou, něco, co by zkušená posádka nikdy neudělala. V malé výšce a v neznámém terénu, těsně před havárií sklesali nezvykle strmě. Pak vylétli z mraků a uviděli před sebou kopec…. 

Při nastavování autopilota totiž letoun dostal poryv větru, který způsobil, že letoun na malý okamžik stoupal. Při vyšetřování si komise všimla prudkého sklesání letounu, mnohem většího než se používá v normálním letovém provozu. Právě toto prudké klesání způsobilo nehodu. Kapitán nastavil hodnotu, kterou autopilot zdvojnásobil. Autopilot totiž přešel do zvláštního režimu o kterém nevěděla nic posádka, nevěděli o něm zpočátku nic ani vyšetřovatelé! Ani slůvko o tomto režimu nebylo v manuálu a nikde se režim neindikoval. Autopilot totiž o své vůli začal klesat dvojnásobkem nastavené rychlosti klesání, protože v okamžiku, kdy dostal zadánu hodnotu klesání, tak letadlo na chvíli stouplo, to byl ten poryv větru. Autopilot si myslel, že se jedná o nouzový stav. Vyšetřováním se zjistilo, že informace o nouzovém režimu autopilota s dvojnásobnou hodnotou klesání, než jakou zvolila posádka, se prostě nedostala k uživateli. Nebyla podchycena v manuálu a posádky o této „vychytávce“ nebyly informovány. Kdyby se vše odehrálo v letové hladině např. 10000 feet (3000m), nic by se nestalo, posádka by nejspíše autopilota vypnula. Jenže letoun v té chvíli byl těsně před finále a ve výšce 1500 metrů.  Vedle cesty k dráze 05 byl navíc osmisetmetrový kopeček. Další nešťastnou náhodou byla absence zařízení, které hlídá blízkost terénu (GPWS). Tento radar, překvapivě nebyl v předepsaném vybavení avioniky a společnost Air Inter si při konfiguraci stroje tohle zařízení neobjednala. Piloti tedy nebyli varováni o blízkosti země.

Strasbourg leží ve velmi hustě osídlené aglomeraci a letoun havaruje do terénu 20km od letiště.  Když řídící letového provozu na letišti vyhlásil poplach, trvalo to několik hodin, než se k letadlu dostaly první záchranné složky. Nebyly informace, kde přesně se stroj nachází, nikdo havárii neviděl a stroj se dostal do zalesněné části a nebyl odnikud viditelný. Paradoxně první, kdo letoun našel, byl televizní štáb, který se potkal s jedním přeživším pasažérem. Ten den byl prostě smolný. Zvláště pro  lidi na palubě letu 148, většina  jich  bohužel nehodu nepřežila.