A repülésbiz­tonság fejlődése II.

A repülés történetét vérrel írják, de szerencsére az utasszállítókkal történő katasztrófák csupán kis százalékát okozza műszaki hiba.

Korábbi, a repülésbiztonság kezdeteit bemutató cikkünk után most a műszaki szempontokat vesszük sorra, mely már a gép megtervezésekor kezdődik. Ökölszabály, hogy minden rendszert legalább megduplázva kell alkalmazni, tehát egyetlen rendszer hibája még nem vezethet (elvileg) katasztrófához. Így kezdve ott, hogy a repülési paramétereket több eszköz is méri (pl. légnyomáson alapuló magasságmérő, légsebesség-mérő stb.). A kormányparancsokat több, akár eltérő elven (elektronikus, hidraulikus, mechanikus) működő rendszer juttatja el a vezérsíkokig, egészen addig, hogy a fedélzeti elektronikus rendszerekből is legalább kettő van a gépen.

Ez utóbbira egy példa az Airbus 320 kettős fedélzeti számítógépe, melyek eltérő elemekből épülnek fel, és két, egymástól független programozócsapat készítette a rajta futó szoftvert. Így kiküszöbölhető, hogy ugyanaz a hiba (legyen szoftveres vagy hardveres jellegű) egyszerre jelentkezzen mindkét számítógépnél. A megkettőzés valódisága persze relatív: a Boeing legnépszerűbb típusánál, a 737-es család oldalkormány-mozgató szervójának vezérlőszelepe került a figyelem középpontjába az 1990-es évek közepén. Ez az alkatrész felel azért, hogy a gép oldalkormánya abba az irányba térjen ki, amerre a pilóta utasítja.


Az Airbus A380 pilótafülkéjének makettje. El kell ismerni nem hátrány, ha a pilótáknak van némi affinitásuk az informatikához
A 737-esek oldalkormányát több kritika is érte, mivel repülés közben több esetben is látszólag ok nélkül kitért, és elképzelhető, hogy ez felelős több 737-es katasztrófáért is. A probléma kivizsgálásakor az NTSB (National Transportation Safety Board, a személyszállítás biztonságáért felelős amerikai hatóság) arra a következtetésre jutott, hogy a 737-es gépek oldalkormányát mozgató szervorendszer valójában nem redundáns, vagyis egyes alkatrészeinek hibája esetén előfordulhat, hogy az oldalkormány pont ellentétes irányba tér ki, mint amerre a pilóta utasítja. A Boeing ugyan áttervezte időközben az oldalkormány szervóját, de csak 2002 után döntött úgy, hogy egy teljesen új, valóban megkettőzött rendszert épít bele a legújabb 737-esekbe.

A számítógépek egy új hibajelenséget is behoztak a repülésbiztonságba: a felhasználói hibát. A konzervatívabb nézetű pilóták általában igencsak lenézik az újabb, digitálisan irányított Airbus gépeket, mivel ott a pilóta a kezelőszervekkel gyakorlatilag csak közli a számítógéppel, hogy mit akar csinálni, és a számítógép (az előre meghatározott tartományon belül) ezek alapján mozgatja a vezérsíkokat és határozza meg a hajtóművek tolóerejét. Magyarán: ha például a gép sebessége a kritikus, ún. átesési sebesség közelébe csökken, ahol a szárnyakon már nem keletkezik a gép levegőben tartásához elég felhajtóerő, akkor automatikusan növeli a tolóerőt, még akkor is, ha a pilóta a tolóerő-szabályzó karját alapjárati helyzetbe állítja.

Ennek a megoldásnak az előnye, hogy a pilóta akarva-akaratlan elkövetett hibáit a számítógép egész egyszerűen figyelmen kívül hagyja. Hátránya, hogy a pilótának tökéletesen tisztában kell lennie azzal, hogy a gép a különféle parancsokra hogyan is reagál, és ha nem azt akarja csinálni, amit ő szeretne, akkor tudnia kell, hogy miért nem.


Egy Airbus A320-as pilótafülkéje - klikk képre a nagyobb változathoz
1994-ben a China Air Lines légitársaság Airbus 300-600R utasszállítója Nagojában leszálláshoz készülődött. Az időjárási és látási viszonyok tökéletesek voltak. A kerekek már csak pár méterre voltak a kifutótól, amikor a gép egyszer csak felkapta az orrát és emelkedni kezdett. A pilóták döbbenten konstatálták a gép viselkedését, és megújult erővel akarták a földre kényszeríteni a látszólag megbokrosodott gépet. A második kísérlet eredménye is ugyanez a manőver lett, a gép újból emelkedni kezdett, a pilóták pedig továbbra is keményen küzdöttek, hogy leszálljanak vele. A harmadik orrfelkapás után azonban a gép sebessége elfogyott, és mintegy 300 méteres magasságban szinte megállt, majd lezuhant. A fedélzeten tartózkodó 231 ember szörnyethalt.

Az ok: az amúgy tapasztalt legénység, az első tiszt véletlenül aktiválta az automata "go around" rendszert, amelynél a leszállást megszakítva újra felemelkedik a gép. Ahogy a magasság csökkent, a gép a számítógép programjának megfelelően viselkedett - a levegőbe emelte a gépet. A pilóták nem értették, hogy miért emelkednek, így a botkormányt ütközésig előrenyomva szálltak szembe a számítógéppel, és az utolsó pillanatig a kormányszervekkel viaskodtak. Nem tudatosult bennük, hogy a fedélzeti számítógép ellen küzdenek, és a csatát nem nyerhetik meg.

Noha ez elvileg emberi hiba, a kiváltó ok a pilóták számítógépekkel szembeni bizalmatlansága, illetve működésének nem megfelelő ismerete. Ugyanakkor felvetődhet, hogy nem lett volna bölcsebb a számítógép programjába megszakítást beiktatni, miszerint az első átstartolás után a repülő kilép ebből a módból, vagy legalább valamilyen módon tudatja a legénységgel, hogy a leszállást megszakította.


Az ICIS panel (jobb oldalt) beépítve egy Boeing 777-es utasszállítóba
Fontos kiemelni, hogy a két nagy repülőgépgyártó-óriás megközelítése e téren jelentősen eltér. A Boeing azt vallja, hogy az utolsó szó joga a pilótáé, így a számítógépek ugyan beavatkozhatnak vészhelyzet esetén, de csak korlátozottan. Az Airbus inkább egyfajta felhasználóként tekint a pilótákra, és folyamatosan fejleszti a repülőgépek irányító szoftverét, amely teljesjogúan felülbírálhatja a pilóta parancsait. Ez elsőre igen riasztóan hangzik, de ha a pilóta tisztában van a rendszer működésével, akkor tudni fogja, hogy miért reagál a gép a parancsaira úgy, ahogy.

A közismert, lexikon vastagságú, utasításokra vonatkozó kézikönyvek is a múltba vésznek lassan. Digitális korunkban vagy laptopokon, vagy bedig egy beépített információs rendszeren, az ICIS-en (Integrated Crew Information System, integrált legénységi információs rendszer) néz utána a pilóta a számára szükséges információknak vagy szabályoknak.

Az utasszállító repülőgépekre vonatkozó szabályozást az FAA és a JAA határozza meg, lefektetve, hogy az utasszállításra használandó repülőgépeknek milyen elvárásoknak kell megfelelniük. Ebbe beletartoznak a fedélzeti rendszerek, hogy milyen sűrűn kell lennie a vészkijáratoknak a gép oldalán, és hogy milyen karbantartási eljárásoknak kell megtörténniük. Ez utóbbi alapvetően a gyár meghatározása, amit aztán az üzemeltető bizonyos keretek között akár tovább is szigoríthat.


A Jetblue légitársaság Airbus A320-asának futóművét műszaki hiba miatt 90°-kal elfordulva, rögzített állapotban engedték ki - klikk a képre a nagyobb változathoz
A karbantartás legelemibb szintje a felszállás előtti ellenőrzés, amelyet a pilóták végeznek el. Ebbe beletartozik a gép körüljárása és annak szemmel való felmérése, hogy nincs-e komolyabb műszaki hibára, például olajfolyásra utaló jel. Ebbe tartozik bele a felszállás előtti ellenőrző lista, amelyet a pilóta és az első tiszt végigfuttat. Ha e közben bármi olyat találnak, amely a biztonságot veszélyeztetheti, akkor a gép nem fog felszállni. (Ez persze csak elviekben van így, gyakorlatban nagy nyomás nehezedik a légitársaságokra, hogy gépeik minél nagyobb hatékonysággal működjenek, és a légiforgalom mai gazdasági helyzetében - üzemanyagárak emelkedése, fapados versenytársak stb. - egy indokolatlan földön maradás könnyen a pilóta állásába kerülhet.)

A következő lépés az általában naponta elvégezendő átellenőrzés, ami az alapvetőbb rendszerek működőképességét vizsgálja. Ilyen a pilótafülke műszereinek és visszajelző lámpáinak, a gumik állapotának, a kormányszervek működésének ellenőrzése. Az ez utáni vizsgálatok általában repült órákhoz vagy naptári időhöz vannak kötve. Ezek angol elnevezése A, B, C illetve D-check.

Az A ellenőrzés 100-250 repült óra után következik: a fontosabb fedélzeti rendszerek és az utastér alapvető átvizsgálása mellett a különféle kenő- és hűtőfolyadék-szintek ellenőrzését, a fedélzeti oxigénellátó, valamint vészhelyzeti berendezések átvizsgálását tartalmazza. A B-check 1-2 ezer repült óránként jellemző, ekkor egyes fedélzeti rendszereket már meg is bontanak, és alaposabban vizsgálják át a gépet. A C-check 3-6 ezer repült óránként elvégezendő nagyon alapos ellenőrzés, amely már több napig is eltart. A D-check a teljes átvizsgálást jelenti, melynél 15-30 ezer repült óra után a gépet gyakorlatilag darabokra szedik, minden porcikáját átvizsgálják, majd újra összeszerelik - ez akár több hónapba is beletelhet.


Egy KLM Boeing 747-es D-check elvégzése alatt
A karbantartások ugyanakkor csak annyira hatékonyak, amennyiben betartják a rájuk vonatkozó ésszerű szabályokat. Az Alaska Airlines 261-es járata 2000. január 31-én a Csendes-óceánba zuhant, miután a vízszintes vezérsík gyakorlatilag elszabadult, irányíthatatlanná téve a gépet. Az MD-83-as típus esetén az egész vízszintes vezérsík egy bizonyos tartományon belül mozgatható, hogy kiegyensúlyozható legyen a gép tömegközéppontjának vándorlása - szaknyelven ezt magassági trimnek hívják. A vezérsík mozgatását egy orsó és egy mereven beépített menetes persely teszi lehetővé. Az első hiba itt ismét a kettőzött rendszer hiánya volt. Ha az orsó valahogy elszabadul, a vezérsík gyakorlatilag szabadon kitérhetett, a biztonsági tartalék csupán az orsó végein lévő biztosító elemek nyújtották.

A másik hiba viszont még ennél is sokkolóbb. Az Alaska Airlines gazdasági okokból úgy döntött, hogy a gyár által megadott karbantartási időtartamot meghosszabbítja, így az orsó zsírozását az eredetileg megadott 650 repült óráról kitolták. A lezuhant gép orsója már több mint 4000 (!) repült órát teljesített zsírozás nélkül. A dolog szomorú érdekessége, hogy a karbantartási intervallum megnövelése éppen a repülésbiztonsági hatóság, az FAA engedélyével történt. A 261-es járat 83 utasa és ötfős személyzete az életével fizetett ezért a nagyvonalúságért.