观点:埃航坠机可能会改变整个航空工业
2018年航展上的737max。图片来源:https://www.flickr.com/photos/71965027@n02/43507196912
撰文 | 焦 健(北京航空航天大学可靠性与系统工程学院)
责编 | 张 晗
● ● ●
2019年3月10日的坠机事故可能会改变整个航空工业。
3月10日,埃塞俄比亚航空一架波音737 max 8飞机在起飞后不久坠毁,机上乘客及机组人员共157人全部罹难,这是继去年10月29日印尼狮航空难事故造成189人罹难后,波音737 max 8飞机发生的第二起空难。相隔不久的两起空难具有很多相似之处:都是全新的波音737 max 8飞机,都是在起飞后不久,坠毁前都疑似发生了控制异常。这不免让人怀疑是飞机可能存在安全问题。
根据目前披露的信息,波音公司最新推出的737 max系列飞机很可能存在设计缺陷。
波音737 max的卖点之一是节能环保,为此它更换了最新的leap-1b型发动机,但由于737飞机前起落架高度不够,无法容纳更大型的leap-1b发动机。或许是在市场竞争的压力之下,波音公司采取了改动量最小的设计方案:737 max提高了发动机的安装位置,这样就可以在保持机身、机翼和起落架不变的情况下,确保发动机有足够的离地高度,但是这种设计方案会影响飞机的俯仰配平从而使得飞机出现大迎角失速(飞机仰角大于临界值时,升力急速消失)的可能性增大。为确保飞行安全,波音公司又进一步改进飞行控制系统,利用机动特性增强系统(mcas)自动调节飞机姿态,在仰角过大的时候操控尾翼舵机,使得机头适当向下以避免出现大迎角失速。
大迎角失速图解:上面是正常情况,中间是临界情况,下面飞机已经失速。图片来源:https://en.wikipedia.org/wiki/stall_(fluid_dynamics)#/media/file:stallformation.svg
但从目前公开的资料来看,波音公司并未就这一新功能对飞行员进行相应的培训,很多飞行员很可能并不知道飞机增加了这一新功能。单独看飞控系统这一新功能或许并没有问题,但是从整个飞机的角度来说,这又造成了新的隐患:当由于传感器错误等原因造成输入数据有误时,飞控系统会做出错误的判断,在原本正常的情况下压低机头,也就变成了向下俯冲;而飞行员又不了解这一新功能,无法做出正确判断从而会进一步恶化局面。一旦在起飞、着陆这种安全关键阶段出现上述情况,其后果不堪设想。
基于上述分析,我们可以看到三个几乎是老生常谈的安全问题。
首先,安全不仅仅是一个技术问题,也是一个管理问题、社会问题,需要站在整个社会技术系统(socio-technical system)的层面上进行考虑。
在市场竞争、财务成本、生产周期的压力下,一个企业或组织很可能会以牺牲产品安全性为代价来争取更大的市场份额或利润。2000年的阿拉斯加航空261号航班空难即是如此,阿拉斯加航空公司在竞争压力下,私自延长了规定的维修间隔期,导致261号航班客机的水平尾翼驱动机构由于磨损过大而卡死,最终坠毁。面对空客公司同级别a320 neo 机型的竞争压力,波音公司确实需要尽快推出新型飞机来确保市场份额,研制周期就成了决策者和设计师优先考虑的问题。
从目前的结果来看,很多用户对波音公司是否像宣传的那样真正做到“安全第一”存疑,波音是否为了缩短研制周期而采用了改动量最小但未必是最安全的设计方案也需要进一步的调查。
第二,即使在技术层面,安全也仍是一个系统性问题。根据已有的报道,波音公司引入mcas 新功能就是为了降低新方案的安全风险。但安全是一个系统性问题,需要站在整个飞机的角度来优化安全问题,局部的改进未必能够真正解决安全问题,甚至会引入新的隐患。
mcas 新功能在试图解决俯仰配平问题的同时,很可能忽略了与传感器的接口问题(新功能带来的另一个新问题),当传感器发生异常时也就无法正确处理。或许有人会觉得这是传感器的问题,并不是飞控系统的错,但适航原则之一就是“故障安全”——飞机不能因为单点故障而影响安全,即使发生了故障,飞机仍然是安全的。
最后,自动化甚至智能化装置对安全的影响也需要我们认真思考。
为了避免人为失误,民航飞机不断引入自动化装备,目前在气象条件允许的情况下,巡航和着陆阶段基本都已可以自动驾驶。但是,在自动化程度不断提高甚至开始引入人工智能的当下,安全问题有必要重新审视。波音公司引入mcas新功能所造成的隐患,似乎说明我们目前陷入一个怪圈:为了提高安全水平的自动化/智能化装置在某些时候却成了致命的缺陷。
自动化/智能化装置究竟能否真正提高飞机的安全水平,目前在学术界也还没有完全达成共识。从长远来看,发展人工智能是大势所趋,逐渐应用人工智能不是问题,问题在于如何应用。人的行为大致可以分为三类,对于技能型(skill-based)和规则型(rule-based)行为,人工智能的优势不言而喻,但是人工智能能否替代知识型行为(knowledge-based,指利用自己的经验和知识来从无到有,随机应变)目前仍存在很大争议,而后者又恰恰是最关键的和最危险的行为。在自动化装置面前,飞行员的角色从操纵者转变为观察/决策者,飞行控制过程在很大程度上对于飞行员是不透明的,一旦出现问题,飞行员无法了解问题所在,也就是无法凭自己的经验和能力来解决问题。此外,自动化、智能化装置往往与强调简化的可靠性原则相背离,这个矛盾也不容忽视。
在市场、经费、进度压力下牺牲安全,产品的设计未能遵循基本安全原则,如何真正避免或消除人为失误,这是安全性工作经常面临的问题,它们会直接影响产品自身的安全性,从根本上决定产品的安全水平。
在相当长的时期内,人们普遍认为飞机本身已相当安全,主要是环境和人为因素在影响民航安全水平,但连续两次波音737 max 空难事故为航空工业敲响了警钟。航空及民航业的高速发展掩盖了存在的问题,人们突然发现,即使如波音这样经验丰富的航空巨头也可能存在低级问题。面对灾难,社会需要反思现有的k8凯发百家乐的文化和工作模式。
或许,这会改变整个航空工业。
参考资料:
1. rasmussen j. risk management in a dynamic society: a modelling problem [j]. safety science, 1997, 27(2–3):183-213.
2. leveson n. engineering a safer world: systems thinking applied to safety [m]. the mit press, 2011.
3. 阿拉斯加航空261号班机空难报告https://www.ntsb.gov/investigations/accidentreports/reports/aar0201.pdf
4. 何旭洪,黄祥瑞. 工业系统中人的可靠性分析:原理方法与应用 [m]. 北京:清华大学出版社, 2007.
制版编辑 | 皮皮鱼