波音737 MAX为何频频出事?波音和FAA又为何无视安全分析里的疏漏?
图片来源:Mike Siegel / The Seattle Times
2015年,当波音急着追赶空客,卯足了劲要让737 MAX通过安全认证时,联邦航空局(FAA)的经理索性让自己的安全工程师把安全测试的任务交给波音自己完成,且快速通过了结果分析。
但波音交给FAA的一项关于新飞行控制系统的原版安全分析中出现了多个关键性的疏漏。该系统名为机动特性增强系统(MCAS),过去5个月间埃航和狮航的坠毁事件很可能是拜它所赐。上周三,FAA发布了紧急禁飞令,并开始了针对系统的调查。
参与评估波音上交的MCAS“系统安全分析(System Safety Analysis)"的匿名工程师给我们分享了以下细节:
分析低估了新飞行控制系统的强大功能,该系统旨在旋转水平尾翼,将飞机机头向下推,以避免失速。当飞机后来投入使用时,MCAS能够将尾部移动的距离比初始安全分析文件中规定的距离多出整整四倍。分析无法解释每次飞行员响应时系统的重置方式,从而忽略了系统反复推动飞机机头向下的潜在影响。分析将一次系统故障评估为低于“灾难性(catastrophic)"的“危险(hazardous)"等级。但即使是“危险"等级也不应让系统的激活取决于单一传感器的输入结果——但最后的设计还是单一传感器。据说在埃航坠毁之前,波音和FAA就被告知了系统疏漏的问题,但他们并没有及时做出回应。上周五,FAA称他们履行了MAX标准测试的认证流程。新闻发言人表示他们太忙,“不能深入回答过于细致的问题。"
波音公司上周六发表声明称:“美国联邦航空局在MAX认证期间评估了MCAS的最终配置和运行参数,并得出结论认为它符合所有认证和监管要求。" 除了“因为正在进行调查,无法做出评论"这句话,波音公司没有直接回应MCAS认证中的具体缺漏,只说“有一些重大的错误描述"。
FAA的几位技术专家表示,在去年十月发生的狮航飞机坠毁调查中,印度尼西亚的相关人员已经明确暗示了MCAS的问题。这说明FAA不该将安全认证完全委托给波音,他们不该享有这么大的权力。
“我们需要确保FAA更多地参与到故障评估和原因诊断中。"一位FAA安全工程师说。
那么MCAS是如何导致飞机坠毁的呢?
作为一款自动触发的系统,MCAS会在没有飞行员指令的情况下启动。因为737MAX的引擎过大,只能安装在机翼前方,这会改变机身的空气动力学,增大飞机失速上升的可能。故MCAS“被开发出来,以确保737MAX的安全运行",即在飞机失速上升的时候,提供一个推动机头向下的力。
这个向下推力的大小是系统设计的关键。波音提供给FAA的文件上显示,系统能让水平尾翼的角度改变0.6度,相应能将机头下压的最大角度是6度。但之后的飞行测试表明,系统的下压力度过大,可能导致飞机失去升力,只能向下盘旋。
狮航坠毁后检测到的黑匣子数据表明,MCAS造成的尾翼下压角度是测试中的4倍,即2.4度。但0.6度是波音报告中给出的极限值,一旦越过这个极限值,“重大失灵(major failure)"就会发生,这意味着乘客可能会受重伤。系统做出自动决定的依据来自一个传感器的数据,这其实无法满足预防“危险失灵(hazardous failure)"的要求。尽管波音737机型都安装有两个传感器,但MCAS只依靠其中一个的数据。狮航的黑匣子报告显示,飞机的两个传感器显示出超过20度的误差,甚至在起飞之前,这个误差就存在了。
现任航空电子和卫星通信顾问的前波音飞行控制工程师彼得·雷米(Peter Lemme)表示,由于MCAS每次使用都会重置,“它实际上具有无限的权限"。由于一个测量飞机“攻角"(气流与机翼之间的角度)的传感器发生了故障,在飞行期间多次触发MCAS,这引发了一场致命的拉锯战,因为系统反复推动飞机的机头向下,手忙脚乱的飞行员只得与系统搏斗,试图将飞机拉升,他们总共进行了21次操作。在最终时刻,机长还是试图拉升飞机,但为时已晚。飞机以每小时500英里的速度冲进了海里。FAA发现上周日坠毁的埃航302的飞行轨迹与狮航存在相似之处,这才下发了禁飞令。
但FAA为何会在一开始就将737 MAX的安全监测放心地交给波音自己呢?
一个官方给出的原因是,FAA缺少必要的资金和资源完成监测。但在实际过程中,数位技术专家表示,经理多次催促他们加快进程,因为MAX的推出时间已经比竞争对手空中巴士A320neo晚了9个月。工程师们要将FAA需要完成的认证工作与波音方面的工作区分开来,但一位工程师表示:“管理者认为留给FAA的监测工作太多了。" 技术人员还没来得及检查完整份文件,经理就绕过他们做了决定。
信息沟通的不畅不仅发生在FAA和波音之间,737 MAX的飞行员也没有及时得到关于MCAS的操作规则。波音在坠机事故的辩解中指出,两架失事飞机的飞行员没有按照标准飞行手册中提供的步骤进行操作。波音认为,飞行员应该把MCAS的异常启动视为“稳定器失灵(stabilizer runaway)"的症状,继而按照手册进行操作,即切断稳定器开关,重获飞机的控制权。但有经验的飞行员和航空专家认为,MCAS启动的表现和标准的稳定器失灵不同,因为后者意味着尾翼的连续失控。但在狮航的事故中,尾翼的动作并非连续,飞行员需要多次对抗下降。况且在正常情况下,飞行员只要拉起操纵杆,就能抑制稳定器的动作,但这对MCAS不起作用。面对这些情况,飞行员不可能知道应对方法——他们的飞行手册里没写。
而波音公司也没有为飞行员提供驾驶737 MAX的培训。美国航空公司盟军飞行员协会的发言人丹尼斯·泰杰(Dennis Tajer)表示,从旧的737 NG机型驾驶舱到新型737 MAX的培训只需要看一小时iPad,连模拟器都不需要。精简培训流程为波音的金主节省了大笔资金,也因此成为一大卖点,为公司带来了超过5000笔订单。
波音称他们在狮航事故后就草拟了737 MAX的飞行控制软件升级预案,计划将禁止MCAS的反复启动,且会采用两个传感器的信息输入。但升级没能在埃航失事前完成。FAA说他们会在4月前强制波音完成软件升级。但无论如何,面对被杀者家属的法律诉讼,波音将不得不解释为什么他们的升级不属于原始系统设计的一部分,FAA也需要说明他们的认证过程是安全的。
编译:冷君晓
来源:Seattle Times
原标题:Flawed analysis, failed oversight: How Boeing, FAA certified the suspect 737 MAX flight control system
新闻推荐
据新华社悉尼2月26日电一个国际研究团队日前宣布,在印度尼西亚的密林里重新发现世界上最大的蜜蜂“华莱士巨蜂”,并首次拍...