2018年航展上的737max。圖片來源:https://www.flickr.com/photos/71965027@N02/43507196912
撰文 | 焦 健(北京航空航天大學可靠性與系統工程學院)
● ● ●
2019年3月10日的墜機事故可能會改變整個航空工業。
3月10日,埃塞俄比亞航空一架波音737 MAX 8飛機在起飛後不久墜毀,機上乘客及機組人員共157人全部罹難,這是繼去年10月29日印尼獅航空難事故造成189人罹難後,波音737 MAX 8飛機發生的第二起空難。相隔不久的兩起空難具有很多相似之處:都是全新的波音737 MAX 8飛機,都是在起飛後不久,墜毀前都疑似發生了控制異常。這不免讓人懷疑是飛機可能存在安全問題。
根據目前披露的信息,波音公司最新推出的737 MAX系列飛機很可能存在設計缺陷。
波音737 MAX的賣點之一是節能環保,為此它更換了最新的LEAP-1B型發動機,但由於737飛機前起落架高度不夠,無法容納更大型的LEAP-1B發動機。或許是在市場競爭的壓力之下,波音公司採取了改動量最小的設計方案:737 MAX提高了發動機的安裝位置,這樣就可以在保持機身、機翼和起落架不變的情況下,確保發動機有足夠的離地高度,但是這種設計方案會影響飛機的俯仰配平從而使得飛機出現大迎角失速(飛機仰角大於臨界值時,升力急速消失)的可能性增大。為確保飛行安全,波音公司又進一步改進飛行控制系統,利用機動特性增強系統(MCAS)自動調節飛機姿態,在仰角過大的時候操控尾翼舵機,使得機頭適當向下以避免出現大迎角失速。
大迎角失速圖解:上面是正常情況,中間是臨界情況,下面飛機已經失速。圖片來源:https://en.wikipedia.org/wiki/Stall_(fluid_dynamics)#/media/File:StallFormation.svg
但從目前公開的資料來看,波音公司並未就這一新功能對飛行員進行相應的培訓,很多飛行員很可能並不知道飛機增加了這一新功能。單獨看飛控系統這一新功能或許並沒有問題,但是從整個飛機的角度來說,這又造成了新的隱患:當由於傳感器錯誤等原因造成輸入數據有誤時,飛控系統會做出錯誤的判斷,在原本正常的情況下壓低機頭,也就變成了向下俯衝;而飛行員又不瞭解這一新功能,無法做出正確判斷從而會進一步惡化局面。一旦在起飛、著陸這種安全關鍵階段出現上述情況,其後果不堪設想。
基於上述分析,我們可以看到三個幾乎是老生常談的安全問題。
首先,安全不僅僅是一個技術問題,也是一個管理問題、社會問題,需要站在整個社會技術系統(socio-technical system)的層面上進行考慮。
在市場競爭、財務成本、生產週期的壓力下,一個企業或組織很可能會以犧牲產品安全性為代價來爭取更大的市場份額或利潤。2000年的阿拉斯加航空261號航班空難即是如此,阿拉斯加航空公司在競爭壓力下,私自延長了規定的維修間隔期,導致261號航班客機的水平尾翼驅動機構由於磨損過大而卡死,最終墜毀。面對空客公司同級別A320 neo 機型的競爭壓力,波音公司確實需要儘快推出新型飛機來確保市場份額,研製週期就成了決策者和設計師優先考慮的問題。
從目前的結果來看,很多用戶對波音公司是否像宣傳的那樣真正做到“安全第一”存疑,波音是否為了縮短研製週期而採用了改動量最小但未必是最安全的設計方案也需要進一步的調查。
第二,即使在技術層面,安全也仍是一個系統性問題。根據已有的報道,波音公司引入MCAS 新功能就是為了降低新方案的安全風險。但安全是一個系統性問題,需要站在整個飛機的角度來優化安全問題,局部的改進未必能夠真正解決安全問題,甚至會引入新的隱患。
MCAS 新功能在試圖解決俯仰配平問題的同時,很可能忽略了與傳感器的接口問題(新功能帶來的另一個新問題),當傳感器發生異常時也就無法正確處理。或許有人會覺得這是傳感器的問題,並不是飛控系統的錯,但適航原則之一就是“故障安全”——飛機不能因為單點故障而影響安全,即使發生了故障,飛機仍然是安全的。
最後,自動化甚至智能化裝置對安全的影響也需要我們認真思考。
為了避免人為失誤,民航飛機不斷引入自動化裝備,目前在氣象條件允許的情況下,巡航和著陸階段基本都已可以自動駕駛。但是,在自動化程度不斷提高甚至開始引入人工智能的當下,安全問題有必要重新審視。波音公司引入MCAS新功能所造成的隱患,似乎說明我們目前陷入一個怪圈:為了提高安全水平的自動化/智能化裝置在某些時候卻成了致命的缺陷。
自動化/智能化裝置究竟能否真正提高飛機的安全水平,目前在學術界也還沒有完全達成共識。從長遠來看,發展人工智能是大勢所趨,逐漸應用人工智能不是問題,問題在於如何應用。人的行為大致可以分為三類,對於技能型(skill-based)和規則型(rule-based)行為,人工智能的優勢不言而喻,但是人工智能能否替代知識型行為(knowledge-based,指利用自己的經驗和知識來從無到有,隨機應變)目前仍存在很大爭議,而後者又恰恰是最關鍵的和最危險的行為。在自動化裝置面前,飛行員的角色從操縱者轉變為觀察/決策者,飛行控制過程在很大程度上對於飛行員是不透明的,一旦出現問題,飛行員無法瞭解問題所在,也就是無法憑自己的經驗和能力來解決問題。此外,自動化、智能化裝置往往與強調簡化的可靠性原則相背離,這個矛盾也不容忽視。
在市場、經費、進度壓力下犧牲安全,產品的設計未能遵循基本安全原則,如何真正避免或消除人為失誤,這是安全性工作經常面臨的問題,它們會直接影響產品自身的安全性,從根本上決定產品的安全水平。
在相當長的時期內,人們普遍認為飛機本身已相當安全,主要是環境和人為因素在影響民航安全水平,但連續兩次波音737 MAX 空難事故為航空工業敲響了警鐘。航空及民航業的高速發展掩蓋了存在的問題,人們突然發現,即使如波音這樣經驗豐富的航空巨頭也可能存在低級問題。面對災難,社會需要反思現有的企業文化和工作模式。
或許,這會改變整個航空工業。
1. Rasmussen J. Risk management in a dynamic society: A modelling problem [J]. Safety Science, 1997, 27(2–3):183-213.
2. Leveson N. Engineering a Safer World: Systems Thinking Applied to Safety [M]. The MIT Press, 2011.
3. 阿拉斯加航空261號班機空難報告https://www.ntsb.gov/investigations/AccidentReports/Reports/AAR0201.pdf
4. 何旭洪,黃祥瑞. 工業系統中人的可靠性分析:原理方法與應用 [M]. 北京:清華大學出版社, 2007.
閱讀更多 知識分子 的文章
