Airbus A350. Wadliwe oprogramowanie wymusza twardy restart co 149 godzin

Dokładniej rzecz ujmując, problem dotyczy modelu A350-941. Europejska Agencja Bezpieczeństwa Lotniczego (EASA) w zmodyfikowanej dyrektywie zdatności do lotu, obowiązującej od 26 lipca, wzywa przewoźników do regularnego resetowania komputerów w objętych usterką maszynach. Niedostosowanie się do nakazu, jak wskazuje EASA, grozi "całkowitą lub częściową awarią wybranych systemów i awioniki". Mówiąc wprost, może dojść do katastrofy.

Nadzór lotnictwa wiedział o problemach A350 już w 2017 roku, opisując "zdarzenia w trakcie pracy, podczas których nastąpiła utrata komunikacji między niektórymi systemami awioniki i siecią awioniki". Konsekwencje awarii wahały się między "utratą redundancji" a "całkowitą utratą określonej funkcji obsługiwanej przez zdalny koncentrator danych i moduły wejścia-wyjścia podstawowego przetwarzania". Innymi słowy: komputery szwankowały wcześniej.

W nowych egzemplarzach schodzących z taśmy, oznaczonych jako A350-941s, błędy usunięto. Do starszych wydano natomiast aktualizację oprogramowania, lecz – jak się okazuje – nie wszyscy przewoźnicy ją wgrali (nie wiadomo jeszcze, czy z własnej winy czy z powodu zaniedbań serwisowych Airbusa). Stąd eksperci z EASA muszą dmuchać na zimne.

Przyczynę problemów wyjaśnia częściowo publikacja marketingowa Airbusa z 2013 roku. Każdy A350 ma 29 tzw. jednostek CRDC (Common Remote Data Concentrator), które pełnią rolę koncentratorów danych dla 21 modułów CPIOM (Core Processing Input Output Module), będących w istocie rzeczy minikomputerami podłączonymi pośrednio do innych systemów i sieci sensorów.

CRDC pobiera dane wejściowe, na przykład te o pozycji sterów, i przekształca je w sygnał cyfrowy w standardzie ARINC 429. Przy czym cała sieć działa na autorskim protokole ADFX (Avionics Full-Duplex Switched Ethernet). CPIOM to właściwe komputery, uruchamiające kod niezbędny do sterowania i zarządzania samolotem. Tymczasem wskutek błędu dochodzi do przepełnienia bufora danych, przez co część obliczeniowa nie może otrzymać kolejnych operandów.

Jak wynika z podręcznika szkoleniowego linii Delta Airlines dla A350, aplikacje CPIOM obejmują m.in.: monitoring ilości i aktualnego zużycia paliwa, kontrolę ciśnienia w kabinie, system odladzający, układ dostarczający tlen do kabiny pasażerskiej, sterowanie podwoziem i odwracacze ciągu.

Łatwo wydedukować, że utrata dowolnego z tych systemów grozi poważnymi konsekwencjami, stanowiącymi bezpośrednie zagrożenie dla życia i zdrowia pasażerów. Przykładowo, awaria odwracaczy ciągu oznacza bardzo ograniczone możliwości hamowania po przyziemieniu – o ile na przykład odwracacz nie włączy się samoistnie podczas lotu. Właśnie wskutek samoistnego włączenia odwracacza w jednym z silników w 1991 roku życie straciły 223 osoby na pokładzie Boeinga 767 linii Lauda Air. To powinno dobitnie uświadomić, że z samolotami nie ma żartów.