Sistem gagal pada satu sensor
Intinya dari Analisis Keselamatan Sistem Boeing sehubungan dengan MCAS bahwa, dalam penerbangan normal, aktivasi MCAS ke otoritas yang diasumsikan maksimum 0,6 derajat diklasifikasikan sebagai hanya "kegagalan besar," yang berarti bahwa hal itu dapat menyebabkan tekanan fisik kepada penumpang di pesawat, tetapi tidak mematikan.
Dalam kasus manuver ekstrem, khususnya ketika pesawat berada dalam menunkik spiral turun, aktivasi MCAS diklasifikasikan sebagai "kegagalan berbahaya," yang berarti bahwa hal itu dapat menyebabkan cedera serius atau fatal pada sejumlah kecil penumpang. Itu masih satu tingkat di bawah "kegagalan katastropik," yang mewakili hilangnya pesawat dengan banyak kematian.
Mantan insinyur kontrol penerbangan Boeing yang bekerja pada sertifikasi MAX atas nama FAA mengatakan bahwa apakah suatu sistem pada jet dapat mengandalkan satu input sensor, atau harus memiliki dua, didorong oleh klasifikasi kegagalan dalam analisis keamanan sistem.
Dia mengatakan hampir semua peralatan pada pesawat komersial, termasuk berbagai sensor, cukup andal untuk memenuhi persyaratan "kegagalan utama", yaitu kemungkinan kegagalan harus kurang dari satu dalam 100.000. Oleh karena itu sistem seperti itu biasanya diperbolehkan untuk mengandalkan sensor input tunggal.
Tetapi ketika konsekuensinya dinilai lebih parah, dengan persyaratan "kegagalan berbahaya" menuntut probabilitas yang lebih ketat dari satu dalam 10 juta, maka sistem biasanya harus memiliki setidaknya dua saluran input terpisah mencegah jika salah satunya terjadi kegagalan atau kesalahan.
Analisis Keamanan Sistem Boeing bahwa kegagalan MCAS akan menjadi "berbahaya" menyulitkan mantan insinyur pengendali penerbangan Lemme karena sistem dipicu oleh pembacaan dari sensor angle-of-attack tunggal.
"Mode kegagalan berbahaya tergantung pada satu sensor, saya tidak berpikir bisa lolos," kata Lemme.
Seperti semua 737, MAX sebenarnya memiliki dua sensor, satu di setiap sisi badan pesawat dekat kokpit. Tetapi MCAS dirancang untuk mengambil bacaan dari hanya satu dari mereka.
Lemme mengatakan, biar kata Boeing bisa merancang sistem untuk membandingkan pembacaan dari dua baling-baling, yang akan menunjukkan jika salah satu dari mereka putus.
Sebagai alternatif, sistem dapat dirancang untuk memeriksa bahwa pembacaan angle-of-attack akurat ketika pesawat meluncur di darat sebelum lepas landas, ketika angle-of-attack harus terbaca nol.
