昨天,一个台籍哈佛物理学博士撰文,称:
"波音737MAX的缺陷是低级的,是内部组织文化腐败的结果"
文中列举了大量的航空专业的术语和描述,似乎真的就是波音有了内部组织文化腐败。那么到底是不是真的呢?飞行圈咨询了业内真正的航空专家,来看看这个博士说的这些靠不靠谱?
第一,MAX是不是匆匆上马?
博士说,因为空客10年12月上马320NEO,2014年320NEO交货,逼迫737不得不上马737MAX,但是只比NEO晚了3年!
点评:如果说MAX比NEO早了3年,你说MAX仓促上马还可以,同样的换新型发动机,一个晚了三年,一个早三年,这个似乎无法推断出MAX是仓促上马。如果320NEO出问题,要说NEO仓促应战MAX或者C919,似乎还有一点点说得过去。
空客320NEO用了4年,737MAX用了7年,那么MAX应该晚多少年才不是仓促?这个应该是简单的逻辑问题。
事实是什么呢?
事实是,波音是在2011年7月宣布将新发动机装到737NG上的,而5年后才开始首飞,7年后才开始商业运行,是波音历次升级换代最长的一次。
第一代全新设计的波音737OG,1964年5月11日开始正式设计,11月立项,到67年首飞,到68年2月第一次商业飞行只有不到4年的时间,而那时候是一个全新的机型,而737MAX只是改型。
737从OG(-100/-200)升级到737CL(-300/-400/-500),是1981年3月15日宣布,首飞84年2月24日,第一次商业飞行是84年11月28日。
737OG到737CL是发动机变化最大的一次,从立项到首飞3年不到,从立项到第一次商业飞行4年不到。
737从CL到NG(-600/-700/-800/-900),立项是1993年11月17日,首飞是97年2月9日,首次商业飞行在97年12月。
737CL到737NG发动机也有所变化,从立项到首飞3年3个月,从立项到第一次商业飞行只有4年。
而从737NG到737MAX,从立项到首飞是5年,从立项到首次商业飞行是7年,比之前的任何一次升级换代都要多2-3年,而从NG到MAX对发动机的改动远不如737OG到737CL的改动大,这个怎么也看不出来是仓促完工的项目。
博士说:原本波音还在重新开发新机型。
对于波音原本要开发一个新机型的说法也是有出入的:波音在2005年曾经开始了一个叫“黄石1”计划,该计划原本打算把787缩小成一个新的小飞机来替代737,但是由于787是远程、低频次起降,很多概念完全不同,所以该计划是2008年就终止了,这个和2010年320NEO上马完全风马牛不相及的事。
而波音的另一个计划是“NSA”新的小型飞机,该计划是在2014年宣布的,预计会在2025年之后替代737MAX,这个计划已经是在MAX开始设计之后3年的事了。
第二,波音让FAA认证的工作是不是“官商水乳交融的自我治理”?
就此问题,飞行圈适航专家余波(加拿大联邦交通部高级适航工程师)是这么说的:
由适航代表来审核飞行器设计是全球航空制造业普遍使用的政策,FAA(美国), TCCA(加拿大),EASA(欧洲)都是一样的,据我了解CAAC(中国)也委托商飞的适航代表审核部分919的设计。这和财团没有任何关系,纯粹是利用已有资源减轻适航当局的工作量,不然局方雇佣多少工程师都是不够用的。
适航代表进行适航审核的时候是代表局方的,不是企业的雇员。这种制度首先是建立在诚信和职业道德的基础上,同时局方也会根据对适航代表的能力,经验和以前的局方的监管历史来决定放权的程度。
局方也会定期对适航代表的工作进行审计,以确定适航代表的工作符合要求。适航代表审核批准的设计都是要签字确认,承担责任的。
适航代表只是审核某些非关键设计,并不是说局方把所有的东西都交给适航代表。
该作者所谓官商勾结,自我审核的论断是完全不了解这种全球通用的适航代表制度
第三,“原始设计的安全极限”是什么?
首先,波音737和空客320一直是竞争关系,每个厂家选取的标准不同(万时率、单机全毁绝对数量、全毁占比),得出的结论都不相同。
所以哪个机型更安全完全难分伯仲,所谓牺牲安全的说法不知道从何而来。737要解决的离地间隙问题不是MAX碰到的,最早在737OG升级到737CL的时候是离地间隙问题是最大的,也是最大的变化之一。
所谓的“原始设计的安全极限”确实不知所云,不知道“原始设计的安全极限”的极限是试飞数据?还是凭空捏造出来的假象。在航空业界也没有听说过这个“原始设计的安全极限”的说法。
第四,什么是静稳定性?
首先,737MAX遇到的不是失控性的静不稳定性,如果737MAX完全没有俯仰的稳定性,在使用襟翼时它也是需要MCAS进行补偿的,而MAX实际是只在襟翼收上的大迎角以及大载荷(大坡度)情况下才需要使用MCAS系统。要解释这个,我们先看看什么是静稳定性:
对于飞机来说:
简单来说,就是飞机受到扰动之后,是可以回到初始状态(静稳定性),继续发散偏离(静不稳定),还是保持受扰动的状态(中立稳定)。
737MAX遭遇的问题是试飞过程中的适航条款,具体说就是FAR25.203“失速特性”,FAR25.143“过载杆力梯度”的问题。
原因在于MAX发动机短舱会产生一定的升力,而这个升力是在大迎角状态时,会使杆力曲线满足不了以上两条适航的要求,也就是说静稳定性不足,并不是737MAX完全没有静稳定性。
举个通俗的例子:我们汽车转弯,应该是转动角度越大,方向盘上需要的力就越大,这才符合人的习惯和认证要求。但如果有的车转到一定角度后,转弯需要的力气随着角度变大而减小,驾驶员会不自觉地增大转弯力气,会使汽车转弯角度迅速变大。这时候方向盘可以引入液压助力或者弹簧改变这个减小的力,使得汽车转的角度越大,需要的力气越大。
这个液压和弹簧就大概就是MCAS的作用,它只是辅助改善杆力曲线,并不是为了防止飞机失速而设计,虽然它的副作用是可以防止失速。
第五,MCAS是设计在起飞阶段特别敏感阶段的吗?
按照波音介绍的MCAS工作原理,MCAS在襟翼放出时是不工作的,而飞机起飞是使用襟翼起飞的,在襟翼收完之后,通常可以认为飞机进入爬升阶段了,所以这个说法是对飞机飞行阶段和MCAS工作原理不熟悉。
第六,MCAS使用单一迎角探测器是“欺上瞒下的惯例”?
这有些牵强附会了,与其这样说,真不如说“MCAS是空客商业间谍设计的软件”,这个说法其实更吸睛些。
至于采信一个迎角探测器“出错几率只有一半”这种显然不会出自设计工程师之口,通常使用两个信号源的时候都会有纠错和对比机制,很少简简单单就采信两个信号源。
那么这个单一迎角探测器是怎么回事,波音工程师为什么会犯下这么一个大错,是否有所谓的“内部文化腐败到某种程度”之说?
我们继续请飞行圈适航专家余波解释:
从技术方面来说,MCAS这种级别的设计根本不可能需要波音高层来批准,连波音的总工程师这个级别估计都到不了。
据公开的信息MCAS失效归类为有害hazardous(严重的), 这个程度的设计在飞机设计上有无数个。FAA把这个系统的审核交给波音的适航代表在程序上没有任何问题。
但是MCAS的设计缺陷没有被识别出来,可能是分析人员没有充分分析一系列故障累积的后果,做安全评估的时候不够深入全面。与赶时间没有关系,纯粹是技术问题。
笔者来通俗的解释一下:
比如这张通常用于评估风险的图,如果是灾难性的事件,比如双发飞机双发都失效,肯定会有灾难性的后果,那么这种事件发生的可能性就要非常非常的低。
假设我们要求双发同时失效的不能概率不能高于10的负九次方(可以认为是“不可能”发生的概率),如果一台发动机失效的概率在10的负六次方,两台发动机同时失效的概率可以开始10的负12次方,是可以满足10的负9次方的要求,那么这个灾难性的事件的“可能性”就是属于“不可能”的事件,也就是这个风险评估矩阵最左下的绿色方框。
而对于MCAS的严重性,评估MCAS失效时,可能被定义为严重的,在评估时只需要达到“不大可能”的可能性就是安全的。
据飞行圈专家推测,可能波音对于错误的迎角探测信号发生的概率认为在10的负6次方左右,所以可能性是在“不大可能”这一列,这样对于“严重性”不在“灾难性的”的那一栏,在“严重的”那一栏,可能性在“不大可能”这一列也是合乎风险评估规定的。所以如果按照风险评估等级,单一迎角探测器的出错几率的是满足评估要求的,所以MCAS使用单一迎角探测器数据在其风险评估层面是没有问题的。
具体的工作原理是,MCAS采用的当前工作的FCC来作动安定面配平,而当前工作的FCC使用工作一侧的迎角探测器。
(以上仅仅用来示意,具体波音的风险评估有其专门的流程)
第七:737MAX是静不稳定性还是静稳定性不足?
余波说:
737max应该和其它737一样属于静稳定性设计,而不是该作者说的静不稳定,只不过max在大迎角时俯仰稳定性差些。
使用电传飞控的空客320系列也是放宽静稳定性的,而不是战斗机那种静不稳定设计。
每一个飞机设计工程师都不可能刻意隐瞒设计缺陷。没有任何一个设计是完美无缺的,很多设计问题都是发生事故后才暴露出来。
飞机设计和设计标准的改进都是建立在血的教训的基础上的,波音空客都一样,每年那么多适航指令发布,就是在实际运营中发现了设计中存在问题而改进设计,提高飞行安全。
第八,民航局有可能对737MAX进行独立认证吗?
笔者没有明白博士所谓的独立认证是指哪一方面?如果需要对波音737MAX重新进行“型号合格证”(TC)的认证,这个恐怕不是那么简单的事,这个过程也不是随便一个外行动动嘴皮子,飞机制造商就必须就要从头重新做一次的,这个过程确实需要几年的时间。
如果只是对新的MCAS软件,其实就是对更新的FCC软件进行审查和验证,这个估计用不了多久就可以完成。
下图就是波音CEO参加的新的更新后的MCAS试飞的照片和飞行数据:
小结
此次波音737MAX连续两架飞机坠毁,根源在于波音在设计MCAS的软件时出现BUG。无论是风险评估的问题还是软件设计的问题,都属于波音在风险控制和设计过程出现的问题所致,就此问题,对于逝去的生命,波音都负有有不可推卸的责任。
但是技术问题归技术问题,切莫将一个技术问题泛政治化,被害妄想化,将自己的人文恶劣环境迁移到其他公司和社会的情节。
技术归技术,才是真正推动飞行技术进步和航空安全该有的态度。
感谢飞行圈专家组提供的专业意见!