編者按：空難問題的根源是什么？還有哪些潛在風(fēng)險(xiǎn)？航空專家說，像 Max 這樣的復(fù)雜控制系統(tǒng)可能會(huì)以一種難以預(yù)測的方式進(jìn)行相互作用。如今的自動(dòng)化系統(tǒng)太復(fù)雜了，使得波音或任何一家公司都不清楚它們?nèi)绾巫阋韵@種風(fēng)險(xiǎn)。本文譯自 Medium 原標(biāo)題為 "No One Knows How Dangerous Boeing’s 737 Max Actually Is" 的文章，希望對(duì)您有所啟發(fā)。

　　去年 10 月，獅航(Lion Air)一架 737 Max 客機(jī)在印度尼西亞墜毀，機(jī)上 189 人全部遇難。一個(gè)傳感器故障導(dǎo)致自動(dòng)系統(tǒng)啟動(dòng)，將飛機(jī)的機(jī)頭向下推，受驚的機(jī)組人員奮力反抗，最終還是失去了對(duì)飛機(jī)的控制。波音公司著手重新編寫控制系統(tǒng)軟件，以避免再次出現(xiàn)同樣的事情發(fā)生，并發(fā)布了一項(xiàng)指令，告訴飛行員如何應(yīng)對(duì)這種情況。

　　不到 5 個(gè)月后，埃塞俄比亞航空公司的一架 737 Max 客機(jī)在類似情況下墜毀，機(jī)上 137 人全部遇難，這在全世界引起了軒然大波，最終導(dǎo)致整個(gè) 737 Max 系列客機(jī)停飛。但是波音公司仍然支持自己的飛機(jī)安全性。當(dāng)時(shí)的假設(shè)是，埃塞俄比亞航空公司的飛行員未聽從波音給出的技能培訓(xùn)。“737 Max 是一架安全的飛機(jī)，由我們技術(shù)嫻熟的員工設(shè)計(jì)、制造并提供支持，他們以最大的誠信對(duì)待自己的工作，”該公司在事故發(fā)生后第二天發(fā)表的一份事先準(zhǔn)備好的聲明中說道。

　　雖然這兩起空難在短期內(nèi)引起了公眾的失望，但波音認(rèn)為，只要對(duì)故障自動(dòng)系統(tǒng)進(jìn)行快速調(diào)整，就足以重新贏得公眾對(duì)這架飛機(jī)的信任。然而，這些調(diào)整可能無法解釋 737 Max 背后軟件的復(fù)雜性。持續(xù)存在的問題可能會(huì)被監(jiān)管機(jī)構(gòu)忽視，將乘客置于風(fēng)險(xiǎn)之中。

　　過去這些天的事態(tài)發(fā)展已經(jīng)證明，這次波音公司可能控制不住人們對(duì)問題的看法。埃塞俄比亞交通部發(fā)布了初步事故報(bào)告，報(bào)告顯示，基于對(duì)黑匣子數(shù)據(jù)的分析，飛行員實(shí)際上已經(jīng)按照波音的指示行事，但毫無效果。埃塞俄比亞航空公司發(fā)表了一份聲明，宣布其飛行員“遵循波音公司建議、美國航空管理局批準(zhǔn)的緊急程序，應(yīng)對(duì)飛機(jī)上出現(xiàn)的最困難的緊急情況。盡管他們盡最大努力，完全遵守了緊急程序，但非常不幸的是，他們無法從持續(xù)的俯沖中恢復(fù)飛機(jī)正常狀態(tài)。”

航空專家說，像 Max 這樣的復(fù)雜控制系統(tǒng)可能會(huì)以一種難以預(yù)測的方式進(jìn)行相互作用。

　　波音的建議沒有奏效，這一事實(shí)引發(fā)了人們的疑問：波音是否真的很了解這個(gè)問題的關(guān)鍵所在。而且最近公司推遲了其軟件補(bǔ)丁的預(yù)計(jì)交付日期，這也讓我們不禁產(chǎn)生同樣的疑問。當(dāng) 737 Max 機(jī)群停飛時(shí)，波音表示將在 4 月第一周之前修好控制系統(tǒng)。而周一，美國聯(lián)邦航空局宣布，該公司還需要多幾周時(shí)間。

　　然而，即便是這樣的，我們也假定波音最終了解 737 Max 的問題程度。航空專家說，像 Max 這樣的復(fù)雜控制系統(tǒng)可能會(huì)以難以預(yù)測的方式相互作用。佛羅里達(dá)理工學(xué)院(Florida Institute of Technology)教授航空學(xué)的波音 777 機(jī)長 Shem Malmquist 說：“你需要建立模型去思考的情況有很多，很多情況下都會(huì)出現(xiàn)不好的結(jié)果。”

　　這個(gè)問題的根源在于，波音試圖通過更新老 737 來打造一架最先進(jìn)的客機(jī)。為了最大限度地提高飛機(jī)的燃油效率，波音公司需要給飛機(jī)配備更大的發(fā)動(dòng)機(jī)，為了使發(fā)動(dòng)機(jī)與 737 更配套，公司必須把發(fā)動(dòng)機(jī)安裝在機(jī)翼上。這導(dǎo)致飛機(jī)的動(dòng)力不穩(wěn)定，這意味著在某些條件下，比如起飛時(shí)，機(jī)頭會(huì)強(qiáng)烈翹起。為了解決這個(gè)問題，波音公司增加了一個(gè)名為機(jī)動(dòng)特性增強(qiáng)系統(tǒng)(MCAS)的自動(dòng)化系統(tǒng)，如果傳感器檢測到機(jī)頭過高，該系統(tǒng)就會(huì)啟動(dòng)。

　　該系統(tǒng)的工作原理是通過一個(gè)電機(jī)來轉(zhuǎn)動(dòng)尾部的螺旋鉆，螺旋鉆帶動(dòng)尾部可移動(dòng)的水平部分，即穩(wěn)定器。這種設(shè)置通常是為了讓飛機(jī)的機(jī)頭與地平線成一個(gè)理想的角度飛行，這個(gè)位置被稱為“trim”。然后，飛行員可以通過移動(dòng)飛機(jī)的控制軛來調(diào)整機(jī)頭上下的角度?？刂栖椗c穩(wěn)定器后部一個(gè)較小的控制面相連，稱為升降舵。在埃塞俄比亞航空公司的事故中，當(dāng) MCAS 意外地命令穩(wěn)定器調(diào)整機(jī)頭朝下時(shí)，飛行員關(guān)閉了系統(tǒng)，然后用軛架指揮相反的運(yùn)動(dòng)，試圖讓機(jī)頭朝上。兩個(gè)控制面本質(zhì)上是不一致的，這種情況稱為“mistrim”。

　　波音公司(Boeing)在獅航(Lion Air)墜機(jī)事件后建議的程序，也是埃塞俄比亞飛行員試圖執(zhí)行的程序，是手動(dòng)轉(zhuǎn)動(dòng)手柄，讓穩(wěn)定器回到中性位置。但是，前波音公司飛行控制工程師 Peter Lemme 在他的博客中指出，在偏離配平位置的情況下，尾翼上空氣動(dòng)力非常強(qiáng)大，埃塞俄比亞航空公司的機(jī)組人員很難或不可能手動(dòng)調(diào)整穩(wěn)定器。在絕望中，他們重新啟動(dòng)了失靈的系統(tǒng)，但這只會(huì)讓情況變得更糟，讓飛機(jī)急劇下降。

波音公司對(duì)自身缺乏認(rèn)識(shí)的無知的提出了一個(gè)不可避免的問題：他們還不知道什么?

　　波音目前正在進(jìn)行的軟件改造，將部分解決引發(fā)獅航(Lion Air)和埃塞俄比亞航空(Ethiopian Airlines)墜機(jī)事件的系統(tǒng)缺陷。首先，升級(jí)后的系統(tǒng)將降低水平穩(wěn)定器的削減力度。而且，據(jù)推測，未來波音公司將利用這些新報(bào)告的發(fā)現(xiàn)，進(jìn)一步完善他們的更新，將出現(xiàn)類似情況的可能性降到最低。

　　然而，波音永遠(yuǎn)無法抹去的事實(shí)是，它曾兩次被此前未知的故障所震驚，而不是一次。它一直堅(jiān)稱自己的飛機(jī)從根本上來說是安全的。

　　波音公司對(duì)自身缺乏認(rèn)識(shí)的無知的提出了一個(gè)不可避免的問題：他們還不知道什么?他們沒有預(yù)料到的其他失效模式還有哪些?

　　除此之外，還應(yīng)該指責(zé)美國聯(lián)邦航空局(FAA)逐漸將認(rèn)證責(zé)任從政府監(jiān)管機(jī)構(gòu)轉(zhuǎn)移到制造商身上。但是馬奎斯特（Malmquist）說，考慮到現(xiàn)代飛機(jī)的復(fù)雜性，確實(shí)沒有其他更好的選擇了。他說:“當(dāng)你看到一個(gè)系統(tǒng)有三四千萬行代碼時(shí)，你不可能像開交通罰單的警察那樣進(jìn)行抽查。監(jiān)管機(jī)構(gòu)要想完全了解情況，唯一的辦法就是讓某個(gè)人一周五天全年都在項(xiàng)目辦公室工作才行。”

　　馬爾姆奎斯特（Malmquist）說，更令人擔(dān)憂的是，飛機(jī)認(rèn)證的程序是在“飛機(jī)系統(tǒng)本質(zhì)上是機(jī)電系統(tǒng)”的幾十年間制定的。這些方法無法處理計(jì)算機(jī)系統(tǒng)之間大量的交互方式。

　　而且系統(tǒng)的復(fù)雜性只會(huì)增加。飛機(jī)設(shè)計(jì)師們?cè)絹碓蕉嗟匕沿?zé)任交給自動(dòng)化系統(tǒng)，這些系統(tǒng)的復(fù)雜程度使它們能夠穩(wěn)健地執(zhí)行任務(wù)，但同時(shí)也有各種可能的意外情況。在試圖預(yù)測可能出現(xiàn)的問題時(shí)，工程師們不太能想象出所有的可能結(jié)果。例如，在設(shè)計(jì) MCAS 時(shí)，波音公司似乎考慮過如果系統(tǒng)停止工作將會(huì)發(fā)生什么，但并沒有想到它可能失靈的所有后果。

　　不能想象的，就不能做計(jì)劃。工程師在設(shè)計(jì)飛機(jī)時(shí)沒有考慮的故障模式，在飛行測試中或隨后的機(jī)組人員培訓(xùn)中也都不會(huì)出現(xiàn)。馬奎斯特說:“這是一個(gè)三重缺陷，沒有什么好辦法可以避免。”

　　這個(gè)問題不僅限于飛機(jī)。隨著自動(dòng)化繼續(xù)高速發(fā)展，我們將會(huì)看到越來越多的事故發(fā)生，不是因?yàn)槟承〇|西壞了，而是因?yàn)槿祟惡蛷?fù)雜的機(jī)械以我們沒有——也許也不能——預(yù)期的方式做出反應(yīng)。從自動(dòng)駕駛汽車到深水地平線(Deepwater Horizon)災(zāi)難，“我們看到類似的事故在不同領(lǐng)域發(fā)生，”馬爾奎斯特說，“事故之間是有一些不同之處的，但最終，從系統(tǒng)理論的角度來看，這些事故幾乎是相同的。”

　　在埃塞俄比亞周四公布初步事故報(bào)告后發(fā)表的一份聲明中，波音首席執(zhí)行官 Dennis Muilenburg 承認(rèn)軟件在這場災(zāi)難中發(fā)揮了一定作用。“正如飛行員告訴我們的，錯(cuò)誤地激活 MCAS 功能可能會(huì)增加已經(jīng)很高的工作負(fù)載環(huán)境，消除這種風(fēng)險(xiǎn)是我們的責(zé)任，我們控制飛機(jī)，我們知道如何去做。”

　　然而，這些自動(dòng)化系統(tǒng)太復(fù)雜了，使得波音或任何一家公司都不清楚它們?nèi)绾巫阋韵@種風(fēng)險(xiǎn)。安全專家已經(jīng)開始開發(fā)更適合自動(dòng)化世界的新方法。不幸的是，到目前為止，風(fēng)險(xiǎn)的吸收速度還沒有達(dá)到這些系統(tǒng)滲透到人類生活各個(gè)角落的速度。

　　原文鏈接：https://onezero.medium.com/no-one-knows-how-dangerous-boeings-737-max-actually-is-d4256239af40

總結(jié)

以上是生活随笔為你收集整理的自动化的难题：没人知道波音737 Max到底有多危险的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。