浅析波音坠机事故背后的技术缺陷与未来无人驾驶技术的影响

2019年4月5日，波音公司总裁丹尼斯·米伦伯格(Dennis Muilenburg）发表声明，承认飞机机动特性增强系统（MCAS）错误启动导致埃航事故。根据初步的调查报告，飞行员完全按照波音公司提供的指导程序操作，结果还是未拿回飞机的控制权，直至飞机坠毁。这就说明飞机失事完全是由于飞机缺陷导致的。

机动特性增强系统（MCAS）本来是波音公司给737Max额外增加的安全系统，当飞机在起飞时也就是攻角过大时（头抬得太高），MCAS系统自动启动，将飞机的头往下压，以防止飞机失速掉下来，毕竟民航飞机不可能像战斗机那样可以垂直上升。没想到这个额外的安全系统却造成两起致命的事故，导致300多人丧生。

MCAS系统启动需要飞机攻角数据的输入，当攻角超过一个极限值，MCAS系统启动下压机头，这个攻角输入来源于飞机头两侧安装的两个攻角传感器。

波音737MAX攻角传感器

一旦攻角传感器损坏失灵，传播了错误的数据，比如飞机头才抬30度，攻角传感器却显示60度，MCAS系统接收到错误的数据后，自动启动下压机头。如果飞行员及时发现后改为手动操作，将机头重新抬高即可，但波音飞机致命的问题在于，飞行员在飞机失事前执行了波音提供的所有指导程序后，还是无法拿回飞机的控制权。

这说明波音的MCAS系统存在一系列系统性的缺陷。两个传感器之间无数据对比，只要一个传感器的数据达到阈值就能启动MCAS系统；飞行员手动操作也拿不回MCAS系统的优先权；MCAS系统在操作时驾驶舱显示器并没有足够的显示，导致飞行员不知道发生了什么情况。波音公司在官网发布了MCAS系统软件更新的信息，针对系统的缺陷进行了修改，全文如下：

机动特性增强系统（MCAS）飞行控制法是为737 MAX设计和认证的，以提高飞机的俯仰稳定性 - 使其感觉和飞行与其他737一样。

MCAS设计用于飞机起飞攻角增加时在手动飞行中激活。

波音公司已开发出MCAS软件更新，以便在AOA传感器提供错误数据时提供额外的保护层。该软件经过数百小时的分析，实验室测试，模拟器验证和两次试飞，包括与联邦航空管理局（FAA）代表在场作为观察员进行的飞行认证测试。

额外的保护层包括：

飞行控制系统现在将比较来自两个AOA传感器的输入。如果传感器在襟翼收回时相差5.5度或更大，MCAS将不会激活。驾驶舱显示屏上的指示器将提醒飞行员。

如果MCAS在非正常条件下被激活，它将仅为每个提升的AOA事件提供一个输入。没有已知或预想的故障情况，MCAS将提供多个输入。

MCAS从不会指令比机组人员能够拉回操作杆抵消的更多的稳定器输入。飞行员将继续总是能够超越MCAS并手动控制飞机。

这些更新减少了机组人员在非正常飞行情况下的工作量，并防止错误数据导致MCAS激活。

我们继续与FAA和其他监管机构合作进行软件更新认证。

要获得波音737型的评级，飞行员必须完成21天或更长时间的讲师指导的理论和模拟器培训。 NG和MAX之间的差异训练包括基于计算机的培训（CBT）和人工审查。

波音公司已经创建了更新的CBT以配合软件更新。一旦获得批准，所有737 MAX飞行员都可以使用。本课程旨在为737类型的飞行员提供对737 MAX速度配平系统的更深入理解，包括MCAS功能，相关的现有机组程序和相关的软件变更。

飞行员也将被要求审查：

机组操作手册公告

更新的速度配平失败非正常检查表

修订快速参考手册

安全有效地操作737 MAX所需的所有主要飞行信息都包含在主飞行显示屏上。我们所有的商业产品都是如此。波音公司不会所需的安全功能上定价。飞机安全高效运行的飞行员程序和培训主要集中在飞机侧倾和俯仰姿态、高度、航向和垂直速度，所有这些都集成在主飞行显示器上。所有737MAX飞机都以与飞行员训练和飞行员训练使用的基本仪器扫描模式一致的方式显示此数据。

AOA（攻角）指示器为机组人员提供补充信息。 AOA差异警报为理解飞行员和副驾驶显示器之间的空气速度和高度差异的可能原因提供了额外的背景。有关这些功能的信息由AOA传感器提供。

在飞行过程中没有飞行员行动或程序要求了解攻角信息。

问题是软件弥补硬件缺陷造成的吗？

从波音公开的信息来看，这次事故并不只是仪器损坏的问题，而是一系列系统性的故障。传感器损坏、传感器数据之间无比对，飞行员拉动飞机操纵杆依然无法抵消MCAS系统自动产生的机头下压，MCAS系统启动无显示，飞行员不能快速找到原因。MCAS系统是一种主动安全系统系统，在遇到突发情况会自动启动，至于波音为什么安装这样一个安全系统，目前很多媒体分析是由于波音737自身硬件有缺陷，说是737MAX的发动机安装在机翼靠前的位置，起飞时容易造成攻角过大，安装这个MCAS系统是为了弥补硬件的缺陷，在机头抬得太高时主动下压避免飞机失速，相当于通过软件来弥补硬件的缺陷。

然而这样的说法目前找不到官方的依据，这种推断也让人难以置信。我们并不清楚航空器的安全标准，即使汽车，如果硬件本身具有缺陷，比如车辆行驶过程中会突然变道，汽车制造商为了抵消了这个缺陷，安装一个主动纠偏系统，在车辆突然自动变道时主动启动纠偏程序，这样的汽车显然不符合安全标准，即使纠偏的软件再先进，任何国家都不会容忍这样的汽车上路。汽车如此，飞机的安全标准更不用说了，管理部门怎么能容忍一架天生有硬件缺陷的飞机上天？

缺陷是波音的外包模式造成的吗？

有人分析波音出现系统故障的根本原因在于节约成本，软件大多采取外包的形式，导致质量下降。但是波音MCAS系统的错误并不是代码的问题，而是设计方案从根本上就有缺陷。波音在MCAS系统方面申请了几十件专利，这些发明人都来自波音公司，也说明MCAS系统是波音公司自主研发的，无法甩锅给供应商。

制造业的全球外包是行业趋势，在大型高端制造业上尤其如此，例如光刻机的领导者ASML的研发很多都采取外包模式。波音公司的新式飞机787的65%的制造都由供应商完成，其中日本公司承担35%的任务，日本的三菱重工、川崎重工、富士重工承担波音核心部件包括机翼的研发与制造。波音的外包模式甚至比ASML更激进，ASML与供应商分享知识产权，各自拿需要的部分，波音对于一级供应商放弃知识产权控制，供应商为波音研发核心零部件，但波音并不要求相关知识产权的控制权，这一点从供应商的专利分析上也可以看出，日本几大波音供应商都持有机翼的核心专利。这种产业链管理模式并不会导致产品质量下降，相反这是大型高端制造业成功的关键因素。这种与供应商分享知识产权或者让供应商拥有知识产权的模式，反而能够促进供应商研发的积极性，提供产品的质量和供应链的技术水平，进而提高产品质量。

如果MCAS采购自一级供应商，由世界上顶级的安全系统公司设计，反而不大可能产生这样明显的系统性缺陷。从波音公开的专利信息来看，MCAS系统的控制是典型的反应结构模式，即单一传感器输入，执行器执行，根本上缺少协调与规划，攻角传感器输入一个错误数据，执行器直接根据这个数据执行机头下压，也不考虑当时飞机的实际情况，周围的环境。这在自动驾驶汽车领域是不可想象的，比如无人驾驶汽车上安装了避障系统，在遇到障碍物时会自动转向避开障碍物，但是障碍物检测系统肯定是多数据输入，一个传感器失灵，还有其他传感器印证，此外车辆转向时还要考虑周围的环境，比如路边上就是悬崖，系统肯定不会选择让车直接冲向悬崖，而是进行一个规划，权衡利弊后作出决策。相比较而言，波音的MCAS系统是非常初级的反应结构系统，缺少协调与规划的模块，执行器接收到错误的数据，不考虑飞机的实际环境，简单地与设定的极限值进行一个比较，基于比较的结果直接将机头压向大海和地面，酿成惨剧。

如何影响未来的无人驾驶的标准？

无人驾驶汽车目前还处于起步阶段，但是飞机的无人驾驶实际上早已实现，波音公司在无人驾驶领域专利持有大量专利。原因很简单，飞机的“路况”要简单得多，航道固定，也不会有行人障碍物之类，自动驾驶就容易实现。飞机上的无人驾驶技术路线也相对比较激进，比如出问题的MCAS系统，飞行员拿不回飞机的控制权，与控制系统搏斗。飞机启动MCAS系统也根本不通知飞行员，飞行员在得知飞机机头过度下压时，拉动操纵杆也无法抵消系统产生的下压角度，这就相当于汽车的系统一秒将方向盘转360度，而人工一秒只能转180度，驾驶员无论怎么操作也矫正不了机器的疯狂。控制系统一旦出现故障，操作人员无能力纠正。波音在这次软件更新上采取了人工至上的思想，系统完全处于辅助地位。“MCAS从不会指令比机组人员能够拉回操作杆抵消的更多的稳定器输入。飞行员将继续总是能够超越MCAS并手动控制飞机。”以及“MCAS系统启动时 驾驶舱显示屏上的指示器将提醒飞行员。”

这种思路极有可能会成为将来无人驾驶交通工具的标准，机器用来决策的数据输入必须是多渠道的，不能基于单一传感器的数据采取行动，这样一旦有传感器损坏，将会产生致命的后果；机器的安全系统启动时，仪表盘或显示器要有显示，让驾乘人员知道发生了什么？机器的操作偏向于保守，使得人工操作有能力抵消机器操作产生的后果，确保在突发情况，操作人员有能力拿回控制权，亡羊补牢。目前不清楚波音公司会否在这些更新上申请专利，大概他们也不好意思在这方面布局专利。人类为这样的技术更新付出的代价实在太惨重。

来源： 佑斌

作者： 佑斌

编辑：标天下知识产权

PC端百度标天下，申报专利