重访737MAX和MCAS话题

作者:晨枫老苑

本文转载自:晨枫老苑(ID:ChenFengLaoYuan)

这是老话题了。本来没什么新意可侃,但看到Smithsonian上一段节目,解开了一个谜:为什么MCAS会只用一个迎角传感器。

MCAS的两次致命失事都是因为迎角传感器故障。要命的是,这是单信号源,没有交叉校验和备份,完全不符合关键控制系统的基本可靠性要求。这是大学毕业设计都不敢犯的初级错误,波音怎么会栽在这上面?

按照电视上的说法(没看到是否ACI的,没看到片头,后半段都在讲FAA失职的事情,没有新意,跳过去不看了),MCAS最初是为高空失速设计的,避免飞行员出于本能拉杆、加推力,这是法航443的失事情况。在这个时候,MCAS是迎角传感器和速度、加速度传感器交叉检验的。

但后来发现,起飞时也可能出现上扬问题。这可能是发动机增大直径而被迫前移的结果,在大迎角飞行时,迎面气动压力形成额外的上扬力矩。为了维持与NG相同的手感,MCAS也用于这个设定,自动压一点机头。问题起飞时速度、加速度都小,所以MCAS只能把速度、加速度传感器的交叉检验取消,就剩迎角传感器了。

这是scope creep的问题,也是设计改变时的工程管理问题。一般设计改变都是细节改变,但涉及设计基础的改变,就要特别小心,很多原先论证和验证过没问题的地方,都必须重新论证和检验,MCAS就是出大乱子的情况。这将成为全世界工程教育里风险管理的失败范例年年讲月月讲天天讲。

用软件模拟原有操作习惯没错,能安全做到的话,应该多多普及,降低重新培训的成本。错在技术风险管理上。

很多人指责没有飞行员的换型训练,这貌似有道理,但实际上没有触及问题的实质。MCAS的目的就是维持原来的操控感觉。迎角传感器失效导致的问题严重性是设计时没有考虑到的,训练中就不会有这样的“考题”。波音只要求2小时iPad培训就可以换型。如果MCAS设计达标,这2小时还真是足够了,再多就是給老司机上驾考课了。但MCAS设计出了问题,额外的培训并不解决问题。想不到的就考不到,再培训也白搭。

还有一个问题是手册里没有详细描述MCAS的功能。这也是似是而非的。现代软件的功能太多了,太具体的描述使得手册根本不可读,也没人能记得住。MCAS可不是唯一的改动。有谁把手机从iPhone11换到12时,去把手册全部重读一遍的?新买汽车的手册?估计手册里对一些“显而易见”的改动也不会详细描述,尽管MCAS的改变在这里远远不是显而易见的。

FAA把80%的认证“外包”給波音,这是另一个大错误。但随着系统功能和复杂性的爆炸性提高,FAA要全部包干认证,需要极大增加人手和认证时间,FAA根本管不过来。在理论上,这是唯一可靠的做法。在现实中,这极大地增加认证成本和时间,到了FAA不可能管过来的地步了。FAA可是从航电、结构、材料一直到座椅、机上娱乐、卫生间、厨房甚至外表油漆、内饰涂料都要认证的。

这个问题不好办。现在肯定是宁可错杀三千不可错过一个,但长远来说,还是要有一个办法,既满足安全,又降低认证成本,这个时间和金钱成本最后都是要转嫁到用户的。以后人工智能、高度自动化、数字化越来越多了,远的不说,近的就有机上wifi、5G手机的使用。问题更多,问题更大。

从FAA的角度来说,波音既有偷工减料的动机,更有确保不会真有安全隐患的动机,出事了最大的输家还是波音。MAX的灾难确实证明了这一点。但FAA以后还会“外包”部份低级、元件级认证吗?估计还是会的。在航空之外,化工厂排放是政府监管的,关键的项目政府直接监管,但一般监控(噪声、放空燃烧黑烟、NOx、水质PH等)政府管不过来,靠自觉申报,但抓住漏报、瞒报不仅重罚,特别针对你的额外政府监管都要企业出钱,中兴被罚后还要出钱请美国常驻合规官就是这样的情况。所以FAA vs波音认证,这个事情不那么黑白分明。

至于波音高层用修修补补冒充全新产品,这是全世界商家都做的事情,只要用户买单,安全上不可出问题,就不是罪过。至于这是不是好的商业战略,就是另外的问题了。

波音的安全文化肯定出了大问题,这没什么可说的,该罚罚,该杀杀,但MCAS的问题不是罚和杀就解决的。说起来,MCAS的问题和F-35一样,问题不简单,也因此没有简单的解决方案。


您的支持是我们坚持下去的动力!

1、本文只代表作者个人观点,不代表星火智库立场,仅供大家学习参考; 2、如若转载,请注明出处:https://www.xinghuozhiku.com/199638.html

(1)
上一篇 2022年6月12日 下午2:30
下一篇 2022年6月12日 下午2:58

相关推荐

发表回复

登录后才能评论