编者按:空难问题的根源是什么?还有哪些潜在风险?航空专家说,像 Max 这样的复杂控制系统可能会以一种难以预测的方式进行相互作用。如今的自动化系统太复杂了,使得波音或任何一家公司都不清楚它们如何足以消除这种风险。本文译自 Medium 原标题为 “No One Knows How Dangerous Boeing’s 737 Max Actually Is” 的文章,希望对您有所启发。
去年 10 月,狮航(Lion Air)一架 737 Max 客机在印度尼西亚坠毁,机上 189 人全部遇难。一个传感器故障导致自动系统启动,将飞机的机头向下推,受惊的机组人员奋力反抗,最终还是失去了对飞机的控制。波音公司着手重新编写控制系统软件,以避免再次出现同样的事情发生,并发布了一项指令,告诉飞行员如何应对这种情况。
不到 5 个月后,埃塞俄比亚航空公司的一架 737 Max 客机在类似情况下坠毁,机上 137 人全部遇难,这在全世界引起了轩然大波,最终导致整个 737 Max 系列客机停飞。但是波音公司仍然支持自己的飞机安全性。当时的假设是,埃塞俄比亚航空公司的飞行员未听从波音给出的技能培训。“737 Max 是一架安全的飞机,由我们技术娴熟的员工设计、制造并提供支持,他们以最大的诚信对待自己的工作,”该公司在事故发生后第二天发表的一份事先准备好的声明中说道。
虽然这两起空难在短期内引起了公众的失望,但波音认为,只要对故障自动系统进行快速调整,就足以重新赢得公众对这架飞机的信任。然而,这些调整可能无法解释 737 Max 背后软件的复杂性。持续存在的问题可能会被监管机构忽视,将乘客置于风险之中。
过去这些天的事态发展已经证明,这次波音公司可能控制不住人们对问题的看法。埃塞俄比亚交通部发布了初步事故报告,报告显示,基于对黑匣子数据的分析,飞行员实际上已经按照波音的指示行事,但毫无效果。埃塞俄比亚航空公司发表了一份声明,宣布其飞行员“遵循波音公司建议、美国航空管理局批准的紧急程序,应对飞机上出现的最困难的紧急情况。尽管他们尽最大努力,完全遵守了紧急程序,但非常不幸的是,他们无法从持续的俯冲中恢复飞机正常状态。”
航空专家说,像 Max 这样的复杂控制系统可能会以一种难以预测的方式进行相互作用。
波音的建议没有奏效,这一事实引发了人们的疑问:波音是否真的很了解这个问题的关键所在。而且最近公司推迟了其软件补丁的预计交付日期,这也让我们不禁产生同样的疑问。当 737 Max 机群停飞时,波音表示将在 4 月第一周之前修好控制系统。而周一,美国联邦航空局宣布,该公司还需要多几周时间。
然而,即便是这样的,我们也假定波音最终了解 737 Max 的问题程度。航空专家说,像 Max 这样的复杂控制系统可能会以难以预测的方式相互作用。佛罗里达理工学院(Florida Institute of Technology)教授航空学的波音 777 机长 Shem Malmquist 说:“你需要建立模型去思考的情况有很多,很多情况下都会出现不好的结果。”
这个问题的根源在于,波音试图通过更新老 737 来打造一架最先进的客机。为了最大限度地提高飞机的燃油效率,波音公司需要给飞机配备更大的发动机,为了使发动机与 737 更配套,公司必须把发动机安装在机翼上。这导致飞机的动力不稳定,这意味着在某些条件下,比如起飞时,机头会强烈翘起。为了解决这个问题,波音公司增加了一个名为机动特性增强系统(MCAS)的自动化系统,如果传感器检测到机头过高,该系统就会启动。
该系统的工作原理是通过一个电机来转动尾部的螺旋钻,螺旋钻带动尾部可移动的水平部分,即稳定器。这种设置通常是为了让飞机的机头与地平线成一个理想的角度飞行,这个位置被称为“trim”。然后,飞行员可以通过移动飞机的控制轭来调整机头上下的角度。控制轭与稳定器后部一个较小的控制面相连,称为升降舵。在埃塞俄比亚航空公司的事故中,当 MCAS 意外地命令稳定器调整机头朝下时,飞行员关闭了系统,然后用轭架指挥相反的运动,试图让机头朝上。两个控制面本质上是不一致的,这种情况称为“mistrim”。
波音公司(Boeing)在狮航(Lion Air)坠机事件后建议的程序,也是埃塞俄比亚飞行员试图执行的程序,是手动转动手柄,让稳定器回到中性位置。但是,前波音公司飞行控制工程师 Peter Lemme 在他的博客中指出,在偏离配平位置的情况下,尾翼上空气动力非常强大,埃塞俄比亚航空公司的机组人员很难或不可能手动调整稳定器。在绝望中,他们重新启动了失灵的系统,但这只会让情况变得更糟,让飞机急剧下降。
波音公司对自身缺乏认识的无知的提出了一个不可避免的问题:他们还不知道什么?
波音目前正在进行的软件改造,将部分解决引发狮航(Lion Air)和埃塞俄比亚航空(Ethiopian Airlines)坠机事件的系统缺陷。首先,升级后的系统将降低水平稳定器的削减力度。而且,据推测,未来波音公司将利用这些新报告的发现,进一步完善他们的更新,将出现类似情况的可能性降到最低。
然而,波音永远无法抹去的事实是,它曾两次被此前未知的故障所震惊,而不是一次。它一直坚称自己的飞机从根本上来说是安全的。
波音公司对自身缺乏认识的无知的提出了一个不可避免的问题:他们还不知道什么?他们没有预料到的其他失效模式还有哪些?
除此之外,还应该指责美国联邦航空局(FAA)逐渐将认证责任从政府监管机构转移到制造商身上。但是马奎斯特(Malmquist)说,考虑到现代飞机的复杂性,确实没有其他更好的选择了。他说:“当你看到一个系统有三四千万行代码时,你不可能像开交通罚单的警察那样进行抽查。监管机构要想完全了解情况,唯一的办法就是让某个人一周五天全年都在项目办公室工作才行。”
马尔姆奎斯特(Malmquist)说,更令人担忧的是,飞机认证的程序是在“飞机系统本质上是机电系统”的几十年间制定的。这些方法无法处理计算机系统之间大量的交互方式。
而且系统的复杂性只会增加。飞机设计师们越来越多地把责任交给自动化系统,这些系统的复杂程度使它们能够稳健地执行任务,但同时也有各种可能的意外情况。在试图预测可能出现的问题时,工程师们不太能想象出所有的可能结果。例如,在设计 MCAS 时,波音公司似乎考虑过如果系统停止工作将会发生什么,但并没有想到它可能失灵的所有后果。
不能想象的,就不能做计划。工程师在设计飞机时没有考虑的故障模式,在飞行测试中或随后的机组人员培训中也都不会出现。马奎斯特说:“这是一个三重缺陷,没有什么好办法可以避免。”
这个问题不仅限于飞机。随着自动化继续高速发展,我们将会看到越来越多的事故发生,不是因为某些东西坏了,而是因为人类和复杂的机械以我们没有——也许也不能——预期的方式做出反应。从自动驾驶汽车到深水地平线(Deepwater Horizon)灾难,“我们看到类似的事故在不同领域发生,”马尔奎斯特说,“事故之间是有一些不同之处的,但最终,从系统理论的角度来看,这些事故几乎是相同的。”
在埃塞俄比亚周四公布初步事故报告后发表的一份声明中,波音首席执行官 Dennis Muilenburg 承认软件在这场灾难中发挥了一定作用。“正如飞行员告诉我们的,错误地激活 MCAS 功能可能会增加已经很高的工作负载环境,消除这种风险是我们的责任,我们控制飞机,我们知道如何去做。”
然而,这些自动化系统太复杂了,使得波音或任何一家公司都不清楚它们如何足以消除这种风险。安全专家已经开始开发更适合自动化世界的新方法。不幸的是,到目前为止,风险的吸收速度还没有达到这些系统渗透到人类生活各个角落的速度。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/124821.html