《纽约时报》北京时间今天凌晨刊登了一篇关于波音737MAX的致命问题的MCAS是如何设计出来的文章,这里选登一下,供大家参考和借鉴,该文观点仅代表原作者,不代表“资深机长陈建国”公众号观点。
西雅图 - 波音公司737 Max的致命缺陷可以追溯到飞机开发后期的故障,当试飞员,工程师和监管机构对于自动化系统的基本改造处于被蒙蔽状态时,该系统最终在两次坠毁中起了主要作用。
MAX飞机完工前一年,波音公司使该系统更具主动和高风险。虽然最初版本依赖于来自至少两种类型传感器的数据,但最终只使用了一种,使系统没有关键的安全措施。在两次注定没有归途的飞行中,飞行员在搏命,因为一个损坏的传感器在几分钟内将飞机送入无法恢复的机头俯冲,造成346人死亡,并促使世界各地的监管机构将Max停飞。
但许多参与设计,测试和批准该MCAS系统的人,表示他们还没有完全理解这些更改。波音公司和联邦航空管理局的现任和前任员工与“纽约时报”进行了沟通,他们表示他们认为该系统应该依赖于更多的传感器,并且很少会被触发。基于这些误导的假设,许多人做出了关键的决策,影响了设计,认证和培训。
“这没有任何意义,”曾在Max工作的试飞员说。 “我希望我该有完整的了解。”
虽然检察官和立法者试图将出错的问题拼凑在一起,但现任和前任员工做出单一命运决定的系统改变,导致了一系列设计错误和监管疏忽。当波音公司急于完成飞机运行时,许多员工说,他们没有意识到这一决定的重要性。他们描述了一种划分方法,每种方法都集中在飞机的一小部分上。这个过程使他们无法完全了解一个关键且最终危险的系统。
该公司还向监管机构淡化了该系统的范围。据三位机构官员称,波音公司从未向参与确定飞行员培训需求的联邦航空管理局官员披露MCAS改变情况。
当波音公司要求从飞行员手册中删除MCAS系统描述时,F.A.A表示同意。结果,大多数Max飞行员在去年10月第一次坠机之前都不知道该软件。
公司发言人Gordon Johndroe在一份声明中说:“波音公司以公众的安全为优先考虑。”
他补充说,波音和监管机构已遵循标准程序。 “F.A.A.考虑到MCAS认证期间MCAS的最终配置和操作参数,并得出结论认为它符合所有认证和监管要求,“约翰德罗先生说。
起初,MCAS - 机动特性增强系统 - 不是一个非常危险的软件。该系统仅在极少数条件下触发,使飞机低头的俯仰操纵,以便Max在高速飞行中操纵更加平稳。它依靠来自多个传感器的数据来测量飞机的加速度以及迎角,从而有助于确保软件不会错误地触发。
然后波音工程师重新构思了该系统,扩展了它的作用,以避免各种情况下的失速。他们允许软件在更多的飞行中工作。他们使它能够主动地向下推飞机的机头。他们只使用飞机迎角的数据,删除了一些保护措施。
如果员工和监管机构更好地了解MCAS,可能会避免灾难。
最初主张扩展系统的试飞员并不了解这些变化如何影响其安全性。安全分析师表示,如果他们知道它仅使用一个传感器,他们会采取不同的措施。监管机构没有对新版MCAS进行正式的安全评估。
现任和前任员工,其中许多人因不断调查而不愿透露姓名,他说,在第一次MAX失事后,他们惊呆了,因为发现MCAS仅依靠单一传感器。
“这很疯狂,”一位帮助设计MCAS的工程师说。
“我很震惊,”一位仔细审查它的安全分析师说。
“对我来说,似乎有人不明白他们在做什么,”一位评估系统传感器的工程师说道
MCAS诞生
2012年,Max的首席试飞员遇到了问题。
在737 Max的早期开发过程中,飞行员Ray Craig,一位银发退役的海军飞行员,在飞行模拟器上尝试高速飞行,例如避开障碍物或逃离另一架飞机强大涡流的机动。虽然对于客机的飞行员来说可能永远不需要这样的机动动作,但F.A.A.要求在这些情况下喷气飞机能够操纵正常。
但这架飞机并没有顺利飞行,部分原因在于Max的发动机更大。为解决这个问题,波音公司决定使用一款软件。该系统旨在在后台工作,因此飞行员实际上不会知道它的存在。
据参与测试的一位人士称,自1988年以来一直在波音公司工作的Craig先生并不喜欢这个系统。作为一名传统飞行员,他回避从飞行员那里获得操纵权的系统,并且更喜欢修改空气动力学装置,比如涡流发生器,机翼上的鳍片。但该人士表示,在风洞中测试Max设计的工程师并不相信这些空气动力学装置会起作用。
Craig先生屈服了。这种高速情况非常罕见,以至于他认为软件永远不会真正开始。
据三位737 Max工作的人说,为了确保它不会被错误触发,工程师最初设计的MCAS在飞机超过至少两个不同的阈值时触发。 一个涉及飞机与风的角度(迎角),另一个涉及所谓的G值,或飞机加速的力。
MAX需要达到乘客飞机可能永远不会遇到的极高的G力。 对于飞机的角度,系统从迎角探测器获取数据。 几英寸长的传感器就是一个固定在飞机身上的小风向标。
增加更多功率
在2016年1月下旬的一个下雨天,成千上万的波音员工聚集在华盛顿州伦顿市737工厂旁边的一条跑道上。他们欢呼,因为第一个被称为Renton精神的MAX因为其首次试飞而升空。
“这次飞行取得了成功,”MAX的新首席试飞员艾德威尔逊在当时的新闻发布会上表示。 曾测试过波音战斗机的威尔逊先生在前一年取代了Craig先生。“737 Max的感觉非常良好,让我们完全相信这架飞机将满足客户的期望,”他说。
但据几位知情人士透露,几周后,威尔逊先生和他的副驾驶开始注意到事情开始不妙。 当低速接近失速时,MAX的操纵性并不好。
在西雅图波音公司的一次会议上,威尔逊先生告诉工程师,这个问题需要解决。 该人士表示,他和他的副驾驶员提出了MCAS。
这一变化并未在该集团中引起太多争论,其中仅包括少数人。 据该人士称,这被认为是“一次普通的调整”。 相反,该小组主要讨论了如何在新方案中使用MCAS的后续工作。
“我不记得曾经有过关于这是否是个好主意的真正辩论,”该人士说。
这一变化证明是关键的。 将MCAS的使用扩展到低速情况需要取消G值的阈值(限制)。 MCAS现在需要在低速时工作,因此不能再使用G值。
这一变化意味着只有迎角传感器是防止错误触发的唯一防护装置。 虽然现代737喷气式飞机有两个迎角传感器,但MCAS的最终版本只采用了一个传感器。
在较低速度下使用MCAS还需要增加该系统的功率。 当飞机缓慢飞行时,飞行操纵会不太敏感,需要更多的行程才能操纵。 类似对比将车的方向盘以每小时20英里的速度转向及每小时70英里转向。
MCAS的原始版本可以移动水平安定面 - 飞机尾部控制飞机垂直方向的部件 - 在大约10秒内最大移动约0.6度。 但新改装的可以在10秒内将安定面移动到2.5度。
试飞员不负责处理此类改变的后果。 他们的工作是确保飞机操纵平稳。 其他同事负责进行更改,还有其他同事负责评估新系统对安全的影响。
波音拒绝透露这些改变是否需要进行新的内部安全分析。
而F.A.A. 负责培训的官员不知道这些改变,该机构的另一个部门参与了认证工作。 但它没有对改变进行安全分析。
F.A.A. 已经批准了以前版本的MCAS。 而且该机构的规章并不要求对它重新审查,因为这些改变并不影响飞机在极端情况下的运行方式。
“F.A.A. 该机构在一份声明中表示,在737 Max的认证过程中,他们意识到了波音公司的MCAS设计。 “根据监管要求,该机构评估数据并在正常飞行范围内进行飞行测试,包括在低速失速和其他飞行条件下触发MCAS工作。”
外部事件
在工程师安装了第二版MCAS之后,威尔逊先生和他的副驾驶驾驶737 Max进行了螺旋。
航班平安无事。 他们测试了MCAS的两个潜在故障:系统不触发的高速机动,以及触发但随后冻结的低速失速。 据知情人士透露,在这两种情况下,飞行员都能轻松驾驶飞机。
在那些飞行中,他们没有测试如果由于迎角探测器故障而触发MCAS会发生什么 - 这是两次坠机中的问题。
波音工程师在最初的MCAS的安全分析中确实考虑过这种可能性。 根据两个人的说法,他们将这一事件归类为“危险”,比最严重的“灾难性”归类低一级。 在监管方面,这意味着MCAS可能会在1000万飞行小时内被错误地触发。
这种可能性可能低估了过去探测器损坏的所谓外部事件的风险,例如与鸟类的碰撞,登机梯的颠簸或机务踩踏它们。虽然评估的一部分考虑了此类事件,但它们不包括在概率中。调查人员怀疑3月份埃塞俄比亚航空公司的航班上迎角传感器被撞。
迎角传感器被鸟撞是相对常见的。
纽约时报对两个F.A.A.的数据库分析,在商业飞机上发现了数百次弯曲,破裂,剪切,安装不当或其他故障的迎角探测器报告。
自1990年以来,一个数据库记录了1172个实例,其中鸟类 - 草地鹨,鹅,鹬,鹈鹕和火鸡秃鹫等 - 各种类型的传感器损坏,迎角叶片遭到122次撞击。另一个数据库显示波音飞机上的迎角探测器存在85个问题,其中包括自1995年以来737上的38个问题。
并且公共数据库不一定能够记录涉及迎角探测器的事件的程度,因为F.A.A.有其他信息。 “我有信心说有更多的东西被击中,”野生动物专家理查德·多贝尔说,他在美国农业部花了20多年的时间研究这个问题,跟踪了F.A.A的问题。
一个简单的请求
2016年3月30日,Max的首席技术飞行员Mark Forkner向F.A.A.高级官员发送了一封电子邮件。 一个看似无害的要求:“是否可以从飞行员手册中删除MCAS?”
帮助确定飞行员培训需求的官员已在几个月前简要介绍了MCAS的初始版本。 根据三位F.A.A官员称,Forkner先生和波音公司从未向他们提及MCAS正在进行大的修改。
在该系统相对良性且很少使用的印象下,三位官员说,F.A.A最终批准了福克纳先生的要求。
波音希望限制从737的先前版本到Max的变化。因为任何重大的变化都可能要求航空公司花费数百万美元进行额外培训。 而面对来自空中客车的竞争压力的波音试图避免这种情况。
Forkner先生,前F.A.A.员工,工作在这各项目的第一线。 作为首席技术飞行员,他是F.A.A的主要联络人。 在培训和制定飞行员手册。
“给我们带来的压力,”Max的驾驶舱设计师Rick Ludtke说,“非常大。”
“所有这一切都通过Forkner进行,”Ludtke先生补充道。 “以及从F.A.A.的阻挡和阻力都是通过Forkner的疏通。“
与其他人一样,Forkner先生可能对MCAS有不完整的理解。
两名前雇员说,波音公司的技术飞行员像以前一样会定期驾驶飞机。 “然后公司做出了战略性的改变,他们认为技术飞行员将不再是持续飞行的飞行员,”Ludtke先生说。
Forkner先生主要在飞行模拟器上工作,但模拟机并未能完全模仿MCAS系统。
目前尚不清楚现在是西南航空公司飞行员的Forkner先生当时是否意识到该系统的变化。
Forkner先生的律师David Gerger说他的客户并没有误导F.A.A. Gerger先生说:“Forkner是一名空军老兵,他把安全放在首位,工作也很透明。”
“在成千上万的测试中,从未发生过这样的事情,”他说。 “基于他被告知的事情以及他所知道的事情,他从未想过这样做。”
F.A.A. 与Forkner先生合作的小组根据对系统的不完整理解做出了一些决定。 据三位官员称,它从未测试过传感器故障。 它不需要额外的培训。
William Schubbe, 根据“泰晤士报”的一份录音,在华盛顿特区举行的四月份会议上,与培训组合作的高级F.A.A官员告诉飞行员和航空公司,波音公司之前低估了MCAS系统。
“系统展示给F.A.A.的说法”Schubbe先生说,“波音公司说这个系统对飞行员来说是如此透明,以至于没有必要证明任何失效。”
F.A.A. 参与培训的官员并不是唯一使用过时信息的人。
波音公司向航空公司提供的2017年4月维修手册仍然是MCAS的原始版本。 但是到那时,波音已经开始交付飞机了。 当前手册已更新。
第一次事故发生后,波音公司继续为MCAS辩护并依赖单一传感器,涉及印度尼西亚的Lion Air。
在11月与美国航空公司飞行员工会的紧张会谈中,波音高管反驳了飞行员的担忧。 根据会议记录,波音公司副总裁Mike Sinnett表示:“据报道,这是单点故障,但设计或认证并未考虑单点故障。”
他的理由? 飞行员是用来备份的。
“因为其功能和训练有素的飞行员共同工作并且是系统的一部分,”他说。
四个月后,第二架737 Max在埃塞俄比亚坠毁。 几天之内,MAX就在世界各地被停飞。
作为改装工作的一部分,波音公司将MCAS重新设计为更接近第一版。 它将不那么主动,它也将依赖于两个传感器。
来自西雅图的Jack Nicas和来自纽约的Natalie Kitroeff, David Gelles 和 James Glanz报道。 Julie Creswell,Tiffany Hsu和Agustin Armendariz撰写了纽约报道。 Kitty Bennett和AlainDelaquérière为研究做出了贡献。
全文由google 翻译软件翻译,陈建国校对