필자는 일을 끝내기 위해 신중하게 설계된 여러 가지 시스템 예제를 실행했지만 시스템이 작동해야하는 환경과 컨텍스트는 고려하지 않았습니다. 나는 가능한 모든 상황을 고려할 수 없기 때문에 신중한 분석을하지 않은 것에 대해 디자이너에게 잘못을 말하고있는 것은 아닙니다. 그러나 나는 디자이너들이 모서리를 잘라서 물건을 더 간단하게 만들 수 있다고 결정한 것에 대해 잘못하고있다. 결과적으로 설계자는 시스템을 운영하는 사람들에게 제약 조건을 부여하고 진행 상황에 대한 이해를 왜곡했습니다.
첫 번째 예는 2009 년 에어 프랑스 447 사고입니다. 비행기는 228 명의 승객과 승무원을 태우고 파리로 향한 브라질의 리오 데 자네이로에서 이륙했습니다. 우리는 무엇이 잘못되었는지 결코 확신하지 못할 것입니다. 그러나 여기에서 내가 발견 한 가장 합당한 설명이 있습니다. 비행기가 구름을 타고 오르면서 피톰 튜브에 얼음 결정이 형성되어 비행기의 속도가 결정되지 않았습니다. 그 결과 자동 조종 장치가 꺼졌습니다.
항공기는 최신 지능형 기술을 사용하는 Airbus 330이었습니다. 제작자들은 승무원에게 비행기를 실을 수 없다고 믿게했습니다. 비행기가 너무 똑똑해서 조종사가 실속을 초래할 수있는 안전하지 않은 행동을하도록 허용하지 않았습니다. 센서가 작동하는 한 그것은 사실이었습니다.
그러나 자동 조종 장치가 해제되면 모든 배팅이 해제됩니다. 이제 비행기가 실속에 들어갈 수 있습니다. 불행히도, 비행 조종사는 분명히 이것을 알지 못했다 (또는 결코 말하지 않았다). 그래서 그는 가파른 상승을 계속해 불의의 거짓된 느낌을 느끼게했습니다. 비행기는 실제로 너무 가파르게 상승하고 있었고, 속도가 너무 느려져서 뱃노하게 궤도에 올랐습니다.
어떤 시점에서 자동 조종 장치가 다시 작동하지 않더라도 피봇 튜브는 고정되지 않은 것처럼 보입니다. 이제 비행기는 속도를 감지하고 거의 실속 상태를 확인했습니다. 그 결과 실속 경고가 나왔습니다. 이 청각 적 경고는 비행기가 움직일 수 없다고 생각한 비행사를 혼란스럽게 만들었습니다. 그는 등산을 계속했다.
, 그리고, 실속 경고는 나갔다!! 왜 그만 갔어? 한가지 추측은 대기 속도가 너무 느리다는 것입니다. 아무도 제트 여객기가 너무 천천히 날아갈 것으로 예상하지 못했습니다. 속도가 매우 느린 유일한 시간은 비행기가 지상에 택시를 타고있을 때뿐입니다. 비행기가 땅에있을 때 실속 경고가 울리는 것을 원하지 않습니다. 그래서 한 가지 추측은 설계자가 최소값을 부과 한 것입니다. 속도가이 최소값보다 낮 으면 실속 경고가 금지됩니다. 에어 프랑스 (Air France) 447에서 그런 일이 일어났습니다. 느린 속도 때문에 실속 경고가 중단되었습니다. 조종사 비행은 실속 경고가 울리며 매우 불길한 표시 대신에 좋은 신호로 찍은 것이 안심해야합니다.
그런 다음보다 숙련 된 조종사가 기내에 입장하여 비행 형상이 매우 위험하다는 것을 알게되었습니다. 그는 컨트롤을 점령 한 것으로 보이며 속도를 높이기 위해 코를 내려 놓습니다. 결과적으로 실속 경고가 다시 발생했습니다! 이것은 대기 속도가 최소 이상으로 증가했기 때문에 발생했습니다. 이제 조종사들은 완전히 헷갈 렸습니다. 코를 내려 놓으면 (스톨 상태를 벗어나기 위해) 시스템에 의해 소리를 지르지 만, 계속 올라가는 것은 터무니없는 것입니다. 그들이 무슨 일이 일어나고 있었는지 알기 위해 비행기가 실속 해 바다에 떨어졌습니다. 비행기가 발견되고 비행 데이터 레코더가 복구되기까지 몇 년이 걸렸습니다.
제트 여객기가 그렇게 천천히 비행 할 수 있다고 상상 한 사람은 없었습니다. 결과적으로, 조종사가 위험을 회피하도록 돕기위한 실속 경고는 실제로 그들을 죽이는 것을 도왔습니다.
두 번째 예는 9/11 테러 직후 아프가니스탄의 미 특수 부대에 관한 2009 년 북산 군인 병사 (Horse Soldiers)에서 나온 것입니다. 군인들은 우즈베키스탄에서 탈레반과 싸우고있는 아프간 부족 전사들과 연계되어야했다. 헬기 조종사는이 임무를 수행함에있어서 몇 가지 문제점에 직면했다. 하나는 지형이었으며 급상승하는 산은 20,000 피트에 이릅니다. 미국 조종사는 3000 피트로 비행하는 데 익숙해졌습니다. 최대 10,000 피트는 아프가니스탄에서 10,000 피트는 언덕 / 산에서 저지대였습니다. 두 번째 문제는 안전을 위해 밤에 비행을해야한다는 것이 었습니다. 조종사는 실제로 표적이되기보다는 검은 색으로 날아 다니는 것을 선호했다. 세 번째 문제는 날씨였습니다. 때로는 공중에서 떠오르는 일종의 모래와 눈이었던 구름 층의 바닥을 펀치하는 것처럼 보이지 않는 경우가있었습니다. 네 번째 문제는 헬리콥터 작전을 어렵게 만든 고도에서의 공기의 두께가 산소 부족이라는 저산소 상태라는 결과였다. 헬리콥터에는 온보드 호흡 시스템이 있었고 마스크에는 산소 병이 들어 있었지만 불행히도 그 시스템에는 휴식이있었습니다. 첫 비행 동안 수석 조종사는 부조종사와 다른 사람들이 비합리적으로 행동하는 것을 관찰하면서 문제를 발견했습니다. 그래서 그는 자신을 제외하고 기내의 모든 사람들에게 공기를 차단했다. 그는 안전하게 착륙 할 수 있었지만 헬리콥터의 복잡한 배치로 인해 정비 요원은 누출 문제를 해결하지 못해 도전의 일부가되었습니다.
이 에세이에서 가장 관련이있는 과제는 때로는 12,000 피트에 도달 한 고도에서 160mph를 움직이는 때로는 땅에서 20 피트 상공에있을 때 탐지를 피하기 위해 지구의 낮잠을 달리는 것이 었습니다. 밤에. 다행스럽게도 헬리콥터에는 MMR (multimode radar)이있어 항공기가 그 경로에있을 수있는 암석 돌출을 제거 할 수 있는지 여부를 보여주는 미리보기 기능을 제공합니다. MMR은 다음 언덕 위로 그것을 만들기에 충분한 힘, 상승 및 속도가 있다면 조종사에게 보여주었습니다. MMR에 대해 감사드립니다.
시스템을 제외하고는 5,000 피트 이상을 셧다운하도록 설계되었습니다! 이 이론은 5,000보다 높은 고도에서의 항해가 확실 할 것이라는 것이었다. 그렇다면 왜 계속 실행하고 전력을 소모시키지? 디자이너들은 아프가니스탄 북부에서 낮잠을 자고 있다고 생각하지 않았습니다.
조종사가 각 산등성이를지나 감에 따라 MMR은 불량 데이터에 관한 오류 메시지와 함께 켜고 꺼집니다. 설상가상으로 MMR이 꺼지면 다시 부팅하는 데 몇 분이 걸렸습니다. 블라인드 비행에 대해 이야기하십시오.
따라서 우리는 여기서 상상력의 실패에 대한 두 번째 예를 보게됩니다. MMR 시스템을 5,000 피트 이상으로 유지해야하는 이유는 무엇입니까? 이유는 없습니다. 조지아 주 (미국이 아닌, 국가)의 비행장에서 비행기를 탈 때는 아무 이유도 없습니다. 야간에 우즈베키스탄에서 북부 아프가니스탄으로 건너 가면 많은 이유가 있습니다.
세 번째 예는 훨씬 더 극적이지 않은데, 디스플레이 디자이너가 기상 예측 시스템에서 데이터를 “부드럽게”하고 다른 판독 값의 모든 잡음 대신 추세선을 표시하려는 노력입니다. 초보자 예측가들은 전반적인 경향을 파악할 수있는 이러한 평범한 디스플레이에 감사드립니다. 그러나 경험이 풍부한 기상 예보관은 매끄럽게하는 것을 싫어합니다. 그들은 모든 소음, 난기류, 불안정한 조건을보고 싶어합니다. 그것은 날씨가 일어나고있는 곳입니다. 경험이 풍부한 예측 자들은 기상 시스템이 형성되기 시작하는 방법을 선택하기 위해 불안정하고 시끄러운 지역을 주시하는 것을 알고 있습니다.
이 세 가지 예는 공식 사양 및 요구 사항을 충족함에있어 합리적으로 보였던 디자인 결정, 유감스러운 결정을 보여줍니다. 위에서 언급했듯이, 필자는 직면 할 수있는 모든 유형의 우연한 상황을 확인하려고 노력하지 않았다. 잠재적 인 합병증과 문맥상의 복잡성이 너무 많습니다. 대신 의사 결정자가 예기치 못한 상상도 할 수없는 문제에 적응할 수있는 역량을 줄이는 데 더 신중해야한다고 생각합니다. 즉, 속도가 느린 경우 경고 신호를 차단하지 않고 대신 비행기가 지상에있는 동안 성가신 경고를 차단하는 또 다른 방법을 찾습니다. 이는 우리가 명목상의 “안전한”고도 이상으로 필수 레이더 시스템을 폐쇄하지 않는다는 것을 의미합니다. 즉, 데이터가 너무 엉망으로 보이기 때문에 소음과 같은 중요한 단서를 제거하지 못한다는 의미입니다. 즉, 옵션을 포기하지 않고 시스템 운영자, 의사 결정권자, 더 많은 기능과 명확성을 부여하려고합니다. 정상적인 작업에서 작업을 쉽게하면 비정상적인 조건에서 작업을 불가능하게 만들 수 있습니다.
