3月10日,埃塞俄比亚航空ET302航班在起飞后不久坠毁,机上157人全部罹难。有关这起事故别的文章已经提到很多了,这里不再多说,这里只说说这个之前没人知道现在名声大噪的机动特性增强系统,即MCAS。
(image)
提到机动特性增强系统(MCAS),就不得不提到那起著名的法航AF447空难。这个事故也广为人知,在本次事故中,本来在机长位的飞行员(不是机长本人,当时机长不在)本来对问题所在已有察觉,开始推杆操作以增加速度,但副驾驶位的飞行员显然根本就不知道发生了什么事,此时反而用力拉杆,结果飞机的电传系统在平衡了两个不同的输入信号后,两个输入信号相互被抵消,仍然没有控制飞机压下机头,飞机也失去了最后的挽救机会。
事故后,空客当时的飞控系统被人们所诟病,称其左右驾驶位上操纵杆的权限分配不明、飞行员无法真正“掌控”飞机。当然,实际上飞机在设计时,飞控权限和操作方法在手册上还是写的比较清楚的,但当值的两个副驾驶员并没有完全搞清楚,特别是当时副驾驶位子上的那位,更是糊涂。。这也说明很多事故其实都是人水平不够引发的。
(image)
也许正是这次事故中飞行员的糟糕表现,加上所谓波音737MAX的发动机位置变化引起的抬头力矩增加、可能需要更多的低头配平力矩,而飞行员可能由于种种原因迎角过大时没有及时压下机头,这就让波音开发了MCAS这款“无需飞行员介入的自动保护功能”,而且波音737MAX系列也是首款应用该系统的飞机。可以说MCAS的想法是很好的,但两个问题也就此埋下了:即迎角传感器可能发生故障,以及飞行员本身对飞机的操作权限。
(image)
对于第一个问题,波音737MAX虽然有2个迎角传感器,但MCAS的逻辑并没有对比两个数据哪个正确,而是有一个传感器的数据表明迎角过高,MCAS就会被激活。而如果正好这个传感器发生了故障,MCAS并不会判断出来,而是继续发挥作用,直到飞机坠毁。从之前印尼民航管理部门公布的JT610航班中期调查报告看,起飞后爬升过程中因传感器失效导致MCAS在错误条件下不断启动,正是事故发生的原因之一。
(image)
而第二个问题更为严重,因为传统以来,飞行员在飞机操纵上都具有“最高权限”,只要飞行员关闭自动驾驶进行手动操作,计算机就没有什么操作能超越飞行员。虽然这样的方式很考验飞行员的水平,也的确因为飞行员水平不足而引起过很多事故,但“飞行员具有最高权限”的事情一直都是雷打不动的;即使因飞行员问题引起过事故,人们也是呼吁航空公司提升飞行员的水平,或者在飞机上增加改善飞行员工作环境的设备,从来没有人呼吁“让自动操作系统的权限高过飞行员”这个情况。
例如在空中防撞系统(TCAS)或近地警告系统(EGPWS)中,虽然系统可以检测到飞机会有危险而向飞行员发出警报或操作指令,但最终还是要飞行员动手进行相关操作来躲避危险,这两个系统并不会直接操作飞机进行相关的躲避,即使最终飞机确实发生碰撞事故,也从没有人希望将这两个系统改成自动操作躲避的。
(image)
(image)
但这一切在波音的MCAS系统中被打破。MCAS的工作“无需飞行员介入”,而且就是在断开自动驾驶、采用手动驾驶时候才起作用,真正关闭它的手段只有“关掉平尾的自动配平”而手动配平方式飞行。甚至,MCAS在工作时不光无需飞行员介入,甚至也没有相关的报警告诉飞行员系统正在工作,飞行员完全不知道系统正在帮他降低迎角。
这就是很严重的问题了,这会让飞行员无法“掌控”飞机,而自动操作系统又可能引发一些“只有人工操作才能避免”的事故。
在狮航事故JT601之前的航班中,当时多位飞行员都反映过他们在和飞机“较劲”,从而不得不连平尾自动配平也关掉,完全手动的驾驶飞机才安全降落;而正是这“不得不关掉自动配平”这个操作才挽救了飞机。而且,包括美国在内的很多飞行员都投诉过737MAX自动驾驶系统存在问题,客机在起飞爬升过程中会突然俯冲下来。而中国民航局李健副局长也表示过,国内的飞机的迎角控制器对保持飞机姿态的控制系统出现了问题,手动操作情况下,探测器探测不准的情况已经发生过多次,带来操作上的困难。
实际上,这些情况都是MCAS系统莫名启动了。
(image)
而且,包括狮航在内的很多航空公司也表示,波音没有向航空公司和飞行员提供737MAX上MCAS系统的性能细节,意思是他们“不知道”这个系统。虽然波音在飞机检查单上提供了在迎角传感器故障时的操作程序(例如关掉平尾自动配平),这也说明波音应该是预测到这可能会出故障带来的问题,但并没有进一步解释“为什么要这么操作”、“没有这么操作时飞机会有什么风险”。虽然这也可能反映出有些航空公司的培训不到位,但波音没有尽到足够的义务、手册和培训教程本身编写不够完善也是问题所在。因为如果波音详细的说明了这个系统,至少可以让飞行员提高警惕,让他们头脑中多一根弦,就可能回避潜在的风险。
(image)
最后需要指出的是,“设计不足人来补”的思路靠不靠谱、有多靠谱,其实很难回答,但很多制造商的确都认为“从设备层面消除问题,远比把运气押在人的身上更可靠”,因为人在紧张情况下,非常容易错漏忘,而设备就不存在这样的问题,这也是波音开发MCAS系统的原因之一,而该系统真正的问题是,不应该把其权限与飞行员持平、甚至高于飞行员。
因此,FAA也强制波音进行修改,包括MCAS激活增强,MCAS迎角信号增强,MCAS最大指令限制等,而且对于上述设计更改,波音也要升级培训要求,并更新飞机飞行手册和飞行机组操作手册。FAA的这些要求,正是需要MCAS在工作时要让飞行员知道,而且不能和飞行员“较劲”。
当然,在AF447事故当中,当时正是处于飞行员没有能力挽救飞机的状态,因此如果当时有MCAS系统的话的确有可能救飞机一命。但是,这并不是MCAS系统的权限可以与飞行员持平、甚至高出飞行员的理由,飞机上最终掌控者仍然是飞行员,而不应该是飞控系统的计算机;而计算机只能做到尽可能的提示飞行员应该如何操作,最终动手的也还是飞行员,不应该是自动操作系统。
?