На прошлой неделе стала известна история с выявленной проблемой в системах управления Airbus, вызванной воздействием солнечной радиации. После обновления ПО около 6000 самолетов оказались подвержены риску сбоев в подсистемах управления элеронами и рулями высоты. Это потребовало оперативного вмешательства европейских авиационных властей, выпустивших директиву от 29 ноября с требованием к эксплуатантам проверить исправность бортовых компьютеров.
К счастью, отечественный парк данная проблема не затронула. Однако сам кейс представляет значительный профессиональный интерес.
Во-первых, он вновь подтверждает, что обновления ПО, даже в авиации, не всегда бывают удачными. Аналогии с постоянными и не всегда успешными циклами обновлений в ИТ-индустрии здесь вполне уместны.
Во-вторых, закономерный вопрос: причём здесь радиация в контексте гражданской авиации? Оказывается, с ростом сложности и миниатюризации бортовой электроники, начиная с 1990-х годов, сбои, индуцированные атмосферным излучением (включая солнечные нейтроны), перестали быть исключительно военной проблемой. На высотах крейсерского полета атмосфера практически не защищает от частиц высоких энергий.
Возникает резонный вопрос по процедурам: как учитывать этот фактор? Действующие отечественные нормы (Р-4754А, КТ-254, КТ-178С, Р-4761) прямо не обязывают проводить анализ воздействия одиночных событий (SEE — Single Event Effect). В то же время EASA ещё в 2011 году в меморандуме CM-SWCEH-001 обозначила важность этой темы, а к 2018 году выпустила детализированные документы (CM–AS-004 и AIR 6219), описывающие пошаговый процесс качественного и количественного SEE-анализа.
Если упростить, процесс сводится к идентификации компонентов, чувствительных к радиации (риски варьируются от единичных битовых ошибок до латч-апов и разрушения элементов), и оценке последствий их сбоев для системы — методология, концептуально близкая к FMEA. Результаты такого анализа напрямую влияют на архитектурные решения (например, разнородное резервирование), выбор элементной базы (радиационно-стойкие компоненты) и, безусловно, на трудозатраты. Задача — масштабная, требующая скрупулезного анализа каждой платы.
Ситуация с A320 создает прецедент. Строго формально, в отсутствие прямых требований в отечественной нормативной базе (переводы актуальных версий ARP-4754B и ARP-4761A, где SEE упоминается, пока не введены), оснований для обязательного проведения SEE-анализа нет. Однако практика показывает, что игнорируемая проблема может привести к принудительной наземной стоянке тысяч воздушных судов.
Кейс A320 наглядно демонстрирует: проблема радиационно-индуцированных сбоев перешла из теоретической плоскости в практическую. Невидимая угроза оказалась способной поставить на землю целый флот. Вопрос теперь не в её существовании, а в выборе стратегии по управлению этим риском.