天堂島精品??_超碰亞洲歐美_.手.動.輸.入.網(wǎng).址.聯(lián).系.客.服.人.員.lanan_shell
編者按:空難問題的根源是什么?還有哪些潛在風險?航空專家說,像 Max 這樣的復(fù)雜控制系統(tǒng)可能會以一種難以預(yù)測的方式進行相互作用。如今的自動化系統(tǒng)太復(fù)雜了,使得波音或任何一家公司都不清楚它們?nèi)绾巫阋韵@種風險。本文譯自 Medium 原標題為 "No One Knows How Dangerous Boeing’s 737 Max Actually Is" 的文章,希望對您有所啟發(fā)。
去年 10 月,獅航(Lion Air)一架 737 Max 客機在印度尼西亞墜毀,機上 189 人全部遇難。一個傳感器故障導(dǎo)致自動系統(tǒng)啟動,將飛機的機頭向下推,受驚的機組人員奮力反抗,最終還是失去了對飛機的控制。波音公司著手重新編寫控制系統(tǒng)軟件,以避免再次出現(xiàn)同樣的事情發(fā)生,并發(fā)布了一項指令,告訴飛行員如何應(yīng)對這種情況。
不到 5 個月后,埃塞俄比亞航空公司的一架 737 Max 客機在類似情況下墜毀,機上 137 人全部遇難,這在全世界引起了軒然大波,最終導(dǎo)致整個 737 Max 系列客機停飛。但是波音公司仍然支持自己的飛機安全性。當時的假設(shè)是,埃塞俄比亞航空公司的飛行員未聽從波音給出的技能培訓(xùn)。“737 Max 是一架安全的飛機,由我們技術(shù)嫻熟的員工設(shè)計、制造并提供支持,他們以最大的誠信對待自己的工作,”該公司在事故發(fā)生后第二天發(fā)表的一份事先準備好的聲明中說道。
雖然這兩起空難在短期內(nèi)引起了公眾的失望,但波音認為,只要對故障自動系統(tǒng)進行快速調(diào)整,就足以重新贏得公眾對這架飛機的信任。然而,這些調(diào)整可能無法解釋 737 Max 背后軟件的復(fù)雜性。持續(xù)存在的問題可能會被監(jiān)管機構(gòu)忽視,將乘客置于風險之中。
過去這些天的事態(tài)發(fā)展已經(jīng)證明,這次波音公司可能控制不住人們對問題的看法。埃塞俄比亞交通部發(fā)布了初步事故報告,報告顯示,基于對黑匣子數(shù)據(jù)的分析,飛行員實際上已經(jīng)按照波音的指示行事,但毫無效果。埃塞俄比亞航空公司發(fā)表了一份聲明,宣布其飛行員“遵循波音公司建議、美國航空管理局批準的緊急程序,應(yīng)對飛機上出現(xiàn)的最困難的緊急情況。盡管他們盡最大努力,完全遵守了緊急程序,但非常不幸的是,他們無法從持續(xù)的俯沖中恢復(fù)飛機正常狀態(tài)。”
航空專家說,像 Max 這樣的復(fù)雜控制系統(tǒng)可能會以一種難以預(yù)測的方式進行相互作用。
波音的建議沒有奏效,這一事實引發(fā)了人們的疑問:波音是否真的很了解這個問題的關(guān)鍵所在。而且最近公司推遲了其軟件補丁的預(yù)計交付日期,這也讓我們不禁產(chǎn)生同樣的疑問。當 737 Max 機群停飛時,波音表示將在 4 月第一周之前修好控制系統(tǒng)。而周一,美國聯(lián)邦航空局宣布,該公司還需要多幾周時間。
然而,即便是這樣的,我們也假定波音最終了解 737 Max 的問題程度。航空專家說,像 Max 這樣的復(fù)雜控制系統(tǒng)可能會以難以預(yù)測的方式相互作用。佛羅里達理工學(xué)院(Florida Institute of Technology)教授航空學(xué)的波音 777 機長 Shem Malmquist 說:“你需要建立模型去思考的情況有很多,很多情況下都會出現(xiàn)不好的結(jié)果。”
這個問題的根源在于,波音試圖通過更新老 737 來打造一架最先進的客機。為了最大限度地提高飛機的燃油效率,波音公司需要給飛機配備更大的發(fā)動機,為了使發(fā)動機與 737 更配套,公司必須把發(fā)動機安裝在機翼上。這導(dǎo)致飛機的動力不穩(wěn)定,這意味著在某些條件下,比如起飛時,機頭會強烈翹起。為了解決這個問題,波音公司增加了一個名為機動特性增強系統(tǒng)(MCAS)的自動化系統(tǒng),如果傳感器檢測到機頭過高,該系統(tǒng)就會啟動。
該系統(tǒng)的工作原理是通過一個電機來轉(zhuǎn)動尾部的螺旋鉆,螺旋鉆帶動尾部可移動的水平部分,即穩(wěn)定器。這種設(shè)置通常是為了讓飛機的機頭與地平線成一個理想的角度飛行,這個位置被稱為“trim”。然后,飛行員可以通過移動飛機的控制軛來調(diào)整機頭上下的角度。控制軛與穩(wěn)定器后部一個較小的控制面相連,稱為升降舵。在埃塞俄比亞航空公司的事故中,當 MCAS 意外地命令穩(wěn)定器調(diào)整機頭朝下時,飛行員關(guān)閉了系統(tǒng),然后用軛架指揮相反的運動,試圖讓機頭朝上。兩個控制面本質(zhì)上是不一致的,這種情況稱為“mistrim”。
波音公司(Boeing)在獅航(Lion Air)墜機事件后建議的程序,也是埃塞俄比亞飛行員試圖執(zhí)行的程序,是手動轉(zhuǎn)動手柄,讓穩(wěn)定器回到中性位置。但是,前波音公司飛行控制工程師 Peter Lemme 在他的博客中指出,在偏離配平位置的情況下,尾翼上空氣動力非常強大,埃塞俄比亞航空公司的機組人員很難或不可能手動調(diào)整穩(wěn)定器。在絕望中,他們重新啟動了失靈的系統(tǒng),但這只會讓情況變得更糟,讓飛機急劇下降。
波音公司對自身缺乏認識的無知的提出了一個不可避免的問題:他們還不知道什么?
波音目前正在進行的軟件改造,將部分解決引發(fā)獅航(Lion Air)和埃塞俄比亞航空(Ethiopian Airlines)墜機事件的系統(tǒng)缺陷。首先,升級后的系統(tǒng)將降低水平穩(wěn)定器的削減力度。而且,據(jù)推測,未來波音公司將利用這些新報告的發(fā)現(xiàn),進一步完善他們的更新,將出現(xiàn)類似情況的可能性降到最低。
然而,波音永遠無法抹去的事實是,它曾兩次被此前未知的故障所震驚,而不是一次。它一直堅稱自己的飛機從根本上來說是安全的。
波音公司對自身缺乏認識的無知的提出了一個不可避免的問題:他們還不知道什么?他們沒有預(yù)料到的其他失效模式還有哪些?
除此之外,還應(yīng)該指責美國聯(lián)邦航空局(FAA)逐漸將認證責任從政府監(jiān)管機構(gòu)轉(zhuǎn)移到制造商身上。但是馬奎斯特(Malmquist)說,考慮到現(xiàn)代飛機的復(fù)雜性,確實沒有其他更好的選擇了。他說:“當你看到一個系統(tǒng)有三四千萬行代碼時,你不可能像開交通罰單的警察那樣進行抽查。監(jiān)管機構(gòu)要想完全了解情況,唯一的辦法就是讓某個人一周五天全年都在項目辦公室工作才行。”
馬爾姆奎斯特(Malmquist)說,更令人擔憂的是,飛機認證的程序是在“飛機系統(tǒng)本質(zhì)上是機電系統(tǒng)”的幾十年間制定的。這些方法無法處理計算機系統(tǒng)之間大量的交互方式。
而且系統(tǒng)的復(fù)雜性只會增加。飛機設(shè)計師們越來越多地把責任交給自動化系統(tǒng),這些系統(tǒng)的復(fù)雜程度使它們能夠穩(wěn)健地執(zhí)行任務(wù),但同時也有各種可能的意外情況。在試圖預(yù)測可能出現(xiàn)的問題時,工程師們不太能想象出所有的可能結(jié)果。例如,在設(shè)計 MCAS 時,波音公司似乎考慮過如果系統(tǒng)停止工作將會發(fā)生什么,但并沒有想到它可能失靈的所有后果。
不能想象的,就不能做計劃。工程師在設(shè)計飛機時沒有考慮的故障模式,在飛行測試中或隨后的機組人員培訓(xùn)中也都不會出現(xiàn)。馬奎斯特說:“這是一個三重缺陷,沒有什么好辦法可以避免。”
這個問題不僅限于飛機。隨著自動化繼續(xù)高速發(fā)展,我們將會看到越來越多的事故發(fā)生,不是因為某些東西壞了,而是因為人類和復(fù)雜的機械以我們沒有——也許也不能——預(yù)期的方式做出反應(yīng)。從自動駕駛汽車到深水地平線(Deepwater Horizon)災(zāi)難,“我們看到類似的事故在不同領(lǐng)域發(fā)生,”馬爾奎斯特說,“事故之間是有一些不同之處的,但最終,從系統(tǒng)理論的角度來看,這些事故幾乎是相同的。”
在埃塞俄比亞周四公布初步事故報告后發(fā)表的一份聲明中,波音首席執(zhí)行官 Dennis Muilenburg 承認軟件在這場災(zāi)難中發(fā)揮了一定作用。“正如飛行員告訴我們的,錯誤地激活 MCAS 功能可能會增加已經(jīng)很高的工作負載環(huán)境,消除這種風險是我們的責任,我們控制飛機,我們知道如何去做。”
然而,這些自動化系統(tǒng)太復(fù)雜了,使得波音或任何一家公司都不清楚它們?nèi)绾巫阋韵@種風險。安全專家已經(jīng)開始開發(fā)更適合自動化世界的新方法。不幸的是,到目前為止,風險的吸收速度還沒有達到這些系統(tǒng)滲透到人類生活各個角落的速度。
