4.3 Dlaczego samoloty są bezpieczne? Redundancja systemów i procedury awaryjne

• Czy latanie jest naprawdę bezpieczne?
  
• Czym jest redundancja systemów w lotnictwie?
  
• Jakie systemy w samolocie mają kopie zapasowe?
  
• Silniki – czy jeden wystarczy?
  
• Komputery pokładowe
  
• Jak działają procedury awaryjne?
  
• Co robią piloci w sytuacji kryzysowej?
  
• Jak wygląda szkolenie załóg?
  
• Często zadawane pytania
  

Tak. Latanie samolotem to statystycznie najbezpieczniejszy środek transportu na świecie.

Według danych Międzynarodowego Zrzeszenia Przewoźników Lotniczych (IATA), w 2023 roku wskaźnik wszystkich wypadków (all accident rate) wynosił 0,80 na milion sektorów, co w przybliżeniu odpowiada jednemu wypadkowi na 1,25 mln lotów. Oznacza to, że  przy obecnym poziomie bezpieczeństwa musielibyśmy lecieć codziennie przez około 3 425 lat, żeby statystycznie doświadczyć jednego wypadku lotniczego.

Ryzyko śmierci w wypadku samochodowym jest wielokrotnie wyższe niż w locie samolotem – w przeliczeniu na pasażerokilometr nawet kilkadziesiąt razy (według danych IATA i Eurostat).

Skąd taki poziom bezpieczeństwa? Dwa filary:

• Redundancja systemów – kluczowe elementy mają systemy rezerwowe
• Procedury awaryjne – załogi są przeszkolone na każdy scenariusz

Redundancja to powielenie krytycznych elementów, tak by awaria jednego nie wpływała na działanie całości.

W praktyce oznacza to, że najważniejsze systemy w samolocie istnieją w dwóch, trzech, a nawet czterech kopiach. Jeśli jeden zawiedzie, drugi przejmuje jego funkcję. Automatycznie. Bez ingerencji pilota.

Ta zasada redundancji wywodzi się z lotnictwa wojskowego z lat 40. i 50. XX wieku. NASA rozwinęła i sformalizowała ją w programie kosmicznym od lat 60. Dziś jest standardem w każdym samolocie pasażerskim.

Przykład:
Boeing 777 ma trzy niezależne systemy hydrauliczne. Każdy może samodzielnie sterować samolotem. Dwa układy hydrauliczne mogą całkowicie zawieść, a samolot nadal zachowuje sterowność i jest w stanie bezpiecznie wylądować – choć z istotnymi ograniczeniami operacyjnymi (wyższa prędkość, dłuższa droga lądowania, ograniczone wychylenie klap i spoilerów).

Praktycznie wszystkie, które są niezbędne do lotu i lądowania.

Lista systemów z redundancją:

Układ hydrauliczny Boeinga 737 różni się od układu w Airbusie A320, szczególnie pod względem zarządzania redundancją. Zamiast układów Green, Blue i Yellow, stosowanych w A320, w 737 zastosowano:

🔹 System A
🔹 System B
🔹 System rezerwowy

Każdy układ został zaprojektowany z myślą o niezawodności, redundancji i bezpieczeństwie operacyjnym w różnych warunkach lotu.

✈️ Układ hydrauliczny systemu A
🔧 Napędzany przez:

Pompa napędzana silnikiem (EDP) na silniku 1
Elektryczna pompa zapasowa
📌 Funkcje:
✅ Podstawowe sterowanie lotem (lotki, stery wysokości, ster kierunku, spoilery)
✅ Chowanie podwozia
✅ Sterowanie kołem przednim
✅ Alternatywny układ hamulcowy

⚙️ Układ hydrauliczny systemu B
🔧 Napędzany przez:

Pompa napędzana silnikiem (EDP) na silniku 2
Elektryczna pompa zapasowa
📌 Funkcje:
✅ Sterowanie lotem
✅ Klapy krawędzi spływu (trailing edge flaps) oraz urządzenia krawędzi natarcia (leading edge devices – slaty i klapy Krueger’a)
✅ Alternatywny układ hamulcowy
✅ Inne krytyczne układy samolotu

🚨 Zapasowy układ hydrauliczny
🔧 Aktywowany w sytuacjach awaryjnych, w tym w przypadku awarii dwóch układów
📌 Funkcje:
✅ Napędza układy sterowania lotem
✅ Obsługuje odwracacze ciągu w celu zapewnienia bezpieczeństwa lądowania

🔄 Jednostka przenoszenia mocy (PTU) – kluczowa różnica w porównaniu z Airbusem
W przeciwieństwie do jednostki PTU w Airbusie, która równoważy ciśnienie między dwoma systemami, jednostka PTU w 737 służy głównie do zasilania slatów krawędzi natarcia (LE devices), gdy ciśnienie w systemie B jest niskie.

🛡️ Nadmiarowość i bezpieczeństwo w Boeingu 737
🚀 System został zaprojektowany z myślą o wysokiej niezawodności — nawet w przypadku awarii jednego lub dwóch systemów, kluczowe funkcje pozostają sprawne, zapewniając bezpieczne warunki lotu.

Tak. Każdy dwusilnikowy samolot jest certyfikowany do lotu na jednym silniku.

Airbus A320 może lecieć ponad dwie godziny na jednym silniku i bezpiecznie wylądować. Piloci ćwiczą to na symulatorach co kilka miesięcy.

Procedury awaryjne to szczegółowe instrukcje postępowania w każdej możliwej sytuacji kryzysowej.

Są spisane w dokumentach: QRH (Quick Reference Handbook) – służącym do obsługi sytuacji awaryjnych, oraz Flight Crew Operating Manual (FCOM), zawierających opisy systemów i procedur operacyjnych; nadrzędnym dokumentem certyfikacyjnym dla statku powietrznego jest Aircraft Flight Manual (AFM). Piloci uczą się ich na pamięć. I regularnie powtarzają.

Struktura procedury awaryjnej:

1. Identyfikacja problemu – co się stało?
2. Działania natychmiastowe – bez sięgania do instrukcji
3. Działania z listy kontrolnej – krok po kroku
4. Decyzja operacyjna – kontynuować lot czy lądować?

Przykład: Pożar silnika (ENG 1(2) FIRE) – procedura w locie (Airbus A320)

W przypadku wykrycia pożaru silnika ECAM natychmiast wyświetla czerwone ostrzeżenie ENG 1(2) FIRE na górnym wyświetlaczu (E/WD), a na pedale zapala się czerwony annunciator FIRE.

Działania natychmiastowe (tzw. memory items) zajmują zwykle ok. 25–35 sekund. Pełna procedura awaryjna, łącznie z analizą strony STATUS, komunikacją z ATC, oceną sytuacji i przygotowaniem do lądowania na jednym silniku (One Engine Inoperative), trwa znacznie dłużej.

Kolejność działań według ECAM:

1. THR LVR (uszkodzony silnik) → IDLE
2. ENG MASTER (uszkodzony silnik) → OFF
3. ENG FIRE pb (uszkodzony silnik) → wcisnąć (i przytrzymać do potwierdzenia)
   → Automatycznie: wycisza alarm dźwiękowy, zamyka zawór paliwa HP, zawór odcięcia hydrauliki, zawór bleed silnika oraz zawór regulacji przepływu paku, odcina zasilanie FADEC, dezaktywuje IDG oraz uzbraja zapalniki środka gaśniczego.
4. Po odczekaniu 10 sekund (ECAM automatycznie odlicza czas – pozwala na spadek N1 i zmniejszenie wentylacji gondoli):
   AGENT 1 → DISCH
5. Jeśli czerwona lampka FIRE nadal świeci po upływie czasu:
   AGENT 2 → DISCH

Po zabezpieczeniu silnika (engine secured) kontynuuje się pozostałe działania ECAM, sprawdza stronę STATUS i przechodzi do procedur One Engine Inoperative + przygotowania do lądowania.

Piloci ćwiczą tę sekwencję dziesiątki razy w symulatorze, dzięki czemu w rzeczywistej sytuacji wykonują ją niemal automatycznie, z zachowaniem ścisłej koordynacji PF/PM.

Stosują zasadę Aviate, Navigate, Communicate – Leć, Nawiguj, Komunikuj.

Kapitan Sully Sullenberger, pilot słynnego lądowania na rzece Hudson w 2009 roku, powiedział:

Jego załoga miała 208 sekund od zderzenia z ptakami do lądowania. Nikt nie zginął.

Załogi lotnicze przechodzą jedne z najbardziej rygorystycznych szkoleń zawodowych na świecie.

Szkolenie początkowe pilota liniowego:

• W Stanach Zjednoczonych (FAA) standardowym wymogiem dla pilotów liniowych jest posiadanie minimum 1500 godzin nalotu (tzw. 1500-hour rule), co jest potrzebne już do uzyskania licencji ATP umożliwiającej pracę jako First Officer w operacjach Part 121. W Europie (EASA) pilot może rozpocząć pracę jako First Officer w linii lotniczej posiadając CPL(A) z IR/MEP, zdane egzaminy teoretyczne ATPL oraz MCC (tzw. Frozen ATPL). Minimalny nalot wymagany regulacyjnie do CPL wynosi 200 godzin, ale w praktyce linie lotnicze zazwyczaj oczekują 250–500 godzin (w zależności od programu rekrutacyjnego). Pełna, ‘odmrożona’ licencja ATPL wymaga osiągnięcia 1500 godzin nalotu (w tym odpowiedniej liczby godzin w operacjach wieloosobowych).
• Licencja ATPL (Airline Transport Pilot License)
• Szkolenie na konkretny typ samolotu (type rating)
• Egzaminy teoretyczne i praktyczne

Szkolenie okresowe:
Zgodnie z przepisami EASA, piloci przechodzą sprawdziany na symulatorze w cyklach mieszanych: LPC (Licence Proficiency Check) wymagany jest co 12 miesięcy w celu utrzymania uprawnień na typ, natomiast OPC (Operator Proficiency Check) odbywa się zazwyczaj co 6 miesięcy; częstotliwość ta może być modyfikowana w ramach zatwierdzonych programów szkoleniowych, takich jak ATQP. Tam ćwiczy:

• Awarie silników
• Pożary
• Dekompresję kabiny
• Awaryjne lądowania
• Ekstremalne warunki pogodowe

Symulatory – jak wyglądają?
Współczesne symulatory lotu klasy FFS Level D (Full Flight Simulator) są certyfikowane zgodnie ze standardami EASA CS-FSTD(A), co gwarantuje najwyższą wierność odwzorowania dynamiki lotu, systemów pokładowych oraz środowiska zewnętrznego; parametry te pozwalają na realizację pełnego szkolenia na typ bez konieczności użycia realnego samolotu (Zero Flight Time Training). Poruszają się, reagują na sterowanie, wyświetlają realistyczną scenografię. Piloci mówią, że różnica między symulatorem a prawdziwym lotem jest minimalna. Stres – ten sam.

Szkolenie personelu pokładowego
Stewardesy i stewardzi też przechodzą szkolenie awaryjne:

• Pierwsza pomoc i RKO (resuscytacja krążeniowo-oddechowa)
• Obsługa sprzętu ratunkowego
• Gaszenie pożarów

Czy samolot może spaść przez turbulencje?
Nie. Turbulencje są niekomfortowe, ale nie stanowią zagrożenia dla konstrukcji. Skrzydła nowoczesnych samolotów są zaprojektowane tak, aby bezpiecznie znosić duże ugięcia; podczas ekstremalnych testów statycznych (Ultimate Load) końcówki skrzydeł maszyn kompozytowych mogą unieść się o ponad 7 metrów (np. w B787) bez uszkodzenia struktury, choć w normalnych warunkach eksploatacyjnych ugięcie to jest znacznie mniejsze i służy głównie amortyzacji turbulencji.

Co się stanie, gdy wysiądą oba silniki?
Samolot nie spada. Szybuje. Piloci mają czas na restart silników lub wybór miejsca do lądowania awaryjnego. W przypadku całkowitej utraty ciągu, Airbus A320 lecący na wysokości przelotowej (np. FL350) jest w stanie przelecieć lotem ślizgowym około 180 km (97 NM), wykorzystując swoją doskonałość aerodynamiczną wynoszącą ok. 17:1; realny dystans szybowania zależy jednak ściśle od wysokości początkowej, masy samolotu oraz aktualnych warunków wietrznych

Czy piorun może zniszczyć samolot?
Nie. Samoloty pasażerskie są trafiane przez pioruny średnio około raz na 1000 godzin lotu (czyli mniej więcej raz w roku na samolot, w zależności od intensywności eksploatacji i regionu). Ochrona samolotu przed skutkami uderzenia pioruna bywa porównywana do działania klatki Faradaya. Jest to jednak uproszczenie – kadłub nie stanowi idealnie zamkniętej osłony przewodzącej, lecz system zaprojektowanych ścieżek przewodzenia prądu oraz elementów takich jak wyładowywacze statyczne, które bezpiecznie odprowadzają ładunek.