上周,埃塞俄比亚航空公司的波音737MAX 8飞机发生空难,致157人遇难。去年10月,印尼狮航空难飞机亦属于该型号,189人遇难。
接连两起波音737MAX 8的坠毁事件,让波音公司被推上了风口浪尖,而记者多米尼克·盖茨(Dominic Gates)的一篇文章,则再度披露了一些重要信息:波音737MAX 8的安全评估环节居然有部分是由波音公司自行完成的,而不是美国联邦航空管理局(FAA)。
根据盖茨的文章,波音公司这款737系列的最新机型737MAX 8在安全评估方面存在诸多漏洞与隐患。
2015年,波音公司发起业绩赶超空中客车公司的行动。同一年,该公司对新的波音737MAX展开(适航)取证工作。
而美国联邦航空管理局(FAA)管理者们却要求该局安全工程师们将飞机安全评估工作委托给波音公司自行开展,而对有问题的分析结果,该局却在很短时间内予以批准通过。
部分直接参与MCAS(机动特性增强系统,下同)安全性评估或熟悉评估报告内容的现任及前任波音工程师曝光了波音公司MCAS系统安全分析报告中的细节内容,该内容已经获得记者的证实。
以下为分析报告的核心细节:
※MCAS旨在某些时候偏转飞机水平尾翼以使飞机进入俯冲进而避免失速,当飞机投入使用时,水平尾翼的极限偏转度为0.6度,MCAS却能够将尾翼偏转超过初始安全分析文件中所述角度的4倍,也就是2.5度。
※这份报告未能说明每次飞行员在做出反应时,MCAS如何对自身进行重设,由此也就无法阐明MCAS重复控制机头推头下降所产生的潜在影响(驾驶员做出回应后,系统还可能继续把机头往下推)。
※将系统的故障评估为低于“灾难性”的一个级别,但即使是“危险”的危险级别,也不能只靠一个单一的传感器的信号去阻止飞行控制系统的启动——然而,这套系统的设计方式正是这样。
接受记者采访及与分享波音公司MCAS安全分析报告的人均要求匿名,他们表示此举是为了保住各自在联邦航空管理局和其他飞行组织的饭碗。
在两起涉及波音737MAX飞机的坠机事件发生之后,上述飞行控制系统(其也被称作MCAS,即操纵特性增强系统)正在接受审查。
在此之前不到五个月时间里,先后有两架波音737MAX飞机发生事故导致重大人员伤亡,美国联邦航空管理局于上周三(当地时间3月13日)对该款机型下达“禁飞令”。
此外,距离发稿11天之前,盖茨分别向波音和联邦航空管理局告知上述报告内容细节,并要求其做出评论,而当时埃塞俄比亚航空的波音737MAX飞机空难还未发生。
上周五晚些时候,联邦航空管理局表示其对于波音MAX机型的取证程序符合标准流程。该局发言人以工作繁忙为由向记者表示,联邦航空管理局无法深入回应更多细节性询问。
上周六波音公司也做出了回应,其在一份声明中表示:“联邦航空管理局在对MAX机型取证工作过程中对最终配置和运营参数进行分析考虑,其所得出的结论是该机型符合所有取证工作及监管要求。”
目前,波音公司以“因调查正在进行中”为由表示无法做出评论。对于有关MCAS认证环节存在缺陷的说法,波音公司也没有予以直接回应,其仅表示“其中存在部分错误”。
MCAS惹的祸?
与波音公司的长期传统——即飞行员完全控制飞机相悖,MAX飞机新型的MCAS自动飞行控制系统在设计上是后台运行的,无需飞行员输入指令。
这是有必要的,因为MAX更大的发动机必须要放在机翼的更前方,改变了机身的空气动力学尤其是升力特性。在设计上,系统仅在高速失速的极端飞行情况下自动启动,这种额外的机头向下将使飞行员感觉与老式波音737相同。
被授权代表FAA的波音工程师们为MCAS系统开发了系统安全分析报告(System Safety Analysis for MCAS),该文件之后又与欧洲、加拿大以及世界其他各国的航空安全监管机构共享。该文件“旨在确保737 MAX的安全运行”,而文件的结论是:该系统符合所有FAA的适用规定。
然而,印尼狮航坠毁后检测到的黑匣子数据表明,单个传感器故障——迎角传感器在此期间多次触发MCAS。迎角传感器是帮助飞机测量其机头在气流中是否过高(编者按:此时迎角过大,飞机容易失速)的重要装置,如果机头过高,飞机会陷入失速,从而导致坠毁。
在这次致命飞行之中,便开始了一场人机拉锯战,系统反复推动飞机机头向下,而飞行员在最后坠毁之前,依旧在与控制系统“搏斗”以将飞机机头拉回。
当737 MAX再次坠毁时,FAA表示印尼狮航的飞行轨迹和埃塞俄比亚航空公司302航班坠毁存在相似之处。
调查人员还发现了埃塞俄比亚航空的螺杆升降机,这是飞机水平尾翼的一部分。该部件表明该飞机的水平尾翼处于一个“不寻常”的位置,而MCAS系统或是这种位移的一个可能原因。
调查人员正在努力确定MCAS系统是否是导致两次坠机事故的原因。
混乱的取证工作机制
这么多年来,FAA因缺乏资金和资源,一直授权波音公司承担更多证明自身飞机安全性的工作。在737 MAX取证工作的早期,FAA安全工程团队将技术评估分开,一部分技术评估被委托给波音公司,另一部分FAA认为更为重要,权力被保留在FAA内部。
但是,几位FAA技术专家在采访中表示,随着取证工作的进行,管理人员敦促他们加快这一进程。MAX的研发落后于竞争对手空客A320neo九个月时间,时间对波音来说至关重要。
一名直接参与到MAX取证工作的前FAA安全工程师说,在取证工作过程的中途,“管理层要求我们重新评估被委派的工作内容。管理层认为我们FAA保留了太多取证工作的权力。”
该工程师表示:“重新评估我们最初的决定一直存在压力。即便在我们重新评估之后,管理层仍在继续讨论如何将更多项目委托给波音公司。”
即使是被保留的工作,例如审查波音公司提供的技术文件,也有时也会受到限制。该工程师补充道:“没有对文件进行彻底和适当的审查。为了配合取证工作达成的日期,评估便会很快达成。”
如果留给FAA技术人员完成审查的时间太短,有时管理人员要么自己签署文件,要么将审查委托给波音公司。“FAA的管理人员对授权拥有最终决定权,而不是代理技术专家。”该工程师说。
不准确的水平尾翼倾斜极限值
在这种情形下,MCAS的系统安全分析,只是取证工作所需文件的一部分,也被授权给波音公司。
波音提供给FAA的原始文件包括一个说明,其中规定了系统可以移动水平尾翼的极限。在物理最大值为5度以内的俯冲运动中,水平尾翼的极限倾斜度为0.6度。
之后的飞行测试则显示,需要更强大的尾部移动以避免高速失速(飞机失去上升动力并出现坠落危险),该极限值被上调了。
在高迎角失速中的飞机行为很难纯粹通过分析预先建模,因此,当试飞员完成失速恢复流程之后,进行系统软件调控、进一步改善飞机性能并不罕见。
在狮航610航班坠毁后,波音公司首次向航空公司提供了有关MCAS的详细信息。波音公司向航空公司发布的公告称,MCAS指令的倾斜限度为2.5度。
这个数字对于在安全评估中看到仅有0.6度的FAA工程师来说是“全新的”。一位FAA工程师说:“FAA认为这架飞机是按照0.6的极限设计的,其他外国监管当局也是这么认为的。但是,这与你进行的危险评估则大相径庭。”
上限提高意味着每次触发MCAS时,机翼尾部的移动都比原始安全分析文档中所描述的要大得多。
一名曾担任过MAX取证工作的前FAA安全工程师,以及一名前波音飞行控制工程师均表示,这些安全分析需要更新以反映飞机最准确的信息。“这些数字应该与测试和设计数值相匹配,”该前FAA工程师说。
但两人都表示,有时候FAA与波音会在稍后一段时间协议更新文件。前波音飞行控制工程师说:“只要经过审查并得出结论:差异不会改变结论或危险评估的严重程度,那些最新的数值可能不会出现在更新协议里。”
如果最终的安全分析文件被部分更新,它肯定仍然包含某些部件0.6的倾斜限值,而且,更新文件或未在FAA技术评估小组内广泛传达。
第二位FAA工程师表示:“没有一个工程师知道0.6的倾斜限值被提高了。”
数值上限不符因系统安全分析中的另一个元素被大大放大了:每次触发MCAS系统时,系统移动机翼尾部的权限限制。
MCAS系统可以被多次触发,就像印尼狮航坠毁航班那样。一位现任FAA安全工程师表示,每次狮航飞行员重置其控制开关以使机头向后拉,MCAS系统便会介入,“并允许2.5度的新增量。因此,一旦他们推了几次,水平尾翼倾斜便会到达最高点,”即尾部旋转的最大范围。
现任航空电子和卫星通信顾问的前波音飞行控制工程师Peter Lemme表示,由于MCAS每次使用都会重新设置,“它实际上具有无限的权限”。而将水平尾翼(技术上称为稳定器)旋转到末端,最有可能使得飞机机头下推。
Lemme表示:“系统完全有权将稳定器全部移动。这点根本没有必要,不应该有人赋予系统这样没有限制的权力。”
在狮航坠机事件中,当MCAS将机头向下推时,机长使用操控杆上的拇指开关将飞机拉回。在错误的迎角读数下,MCAS系统每次都会调整水平尾翼,并使机头继续下推。
初步调查报告中公布的黑匣子数据表明,在这样重复了21次后,机长将控制权交给了副驾驶。由于MCAS将机头下推了两到三倍,副驾驶只短暂使用了两次拇指开关以回应。
在2.5度的极限情况下,在不存在校正的情况下,两个MCAS系统的周期循环便可以导致飞机最大的俯冲效果。
在飞机最后几秒钟的飞行中,黑匣子数据显示机长恢复了对飞机的控制,以强制使飞机拉回。但为时已晚,飞机仍然以每小时500英里的速度扎入了大海……
单一传感器致系统失灵
波音公司关于MCAS系统安全分析的底线是,在正常飞行中,将MCAS激活到0.6度被认定为“重大故障”(major failure),这意味着这时可能会对人造成身体上的痛苦,但不是死亡。
在极端情况下,特别是当飞机处于(失速)尾旋之中时,MCAS的激活被认定为“危险故障”(hazardous failure),这意味着可能对少数乘客造成严重或致命伤害。这仍然低于“灾难性故障”(catastrophic failure)的水平,届时将有许多人员伤亡。
代表FAA参与MAX取证工作的前波音飞行控制工程师表示,喷气式飞机上的系统是否可以依赖一个传感器输入,或者必须有两个,是根据系统安全分析中的故障分类而决定的。
他说,几乎商用飞机上的所有设备,包括各种传感器都足够可靠,可以满足“重大故障”的要求,即故障概率必须小于十万分之一。
因此,这些系统通常而言仅依赖于单一传感器。但是当评估后果更加严重时,“危险故障”要求更为严格,危险的概率为千万分之一,那么系统通常至少要有两个独立的传感器工作,以防其中一个出现问题。
波音公司的系统安全分析评估认为,MCAS故障将是“危险的”,这让Lemme非常困惑。因为,MCAS系统是由单个迎角读数传感器触发的。“仅靠一个传感器就被认定为危险故障级别,我认为这通不过评估,” Lemme表示。
与所有737一样,MAX实际上有两个传感器,分别位于驾驶舱附近的机身两侧,但在设计上,MCAS只是从其中一个读取数据。Lemme表示,波音本可以在设计上比较两个传感器读数。或者,系统可以设计成,飞机在起飞滑行时检查迎角读数是否准确,此时迎角应为零。
Lemme 说:“他们本可以设计一个双通道系统。或者他们本可以测试地面迎角的数值,我不知道他们为什么没有这么做。”初步调查报告中提供的黑匣子数据显示,两个传感器的读数不仅在整个飞行过程中差异大约为20度,而且在起飞前滑行时也是如此。
培训与信息公开的缺失
在狮航坠毁事故发生后,世界各地的737 MAX飞行员被告知MCAS系统的存在以及当系统被不恰当触发之后该如何应对。
波音公司坚持认为,狮航飞行员应该已经认识到水平尾翼(安定面)正在不受控制的运行,应该采用标准的飞行员检查程序以应对所谓的“稳定器失控”问题。如果飞行员这样做了,飞行员便会通过使用切断开关,停止安定面的自动配平。
波音公司指出,狮航飞机坠毁前一天,其他飞行员也经历了与狮航610航班类似的情况:他们打开安定面配平的切断开关,重新控制飞机,继续剩余的飞行。
然而,飞行员和航空专家表示,狮航飞行中发生的事情看起来并不像标准的稳定器失控,因为它被定义为尾部连续无指令的运动。在事故飞行中,尾部运动并不连续;飞行员能够多次对抗机头向下运动。
此外,MCAS系统改变了操控杆对稳定器运动的反馈。向后拉控制柱通常会中断机头向下运动,但是,在MCAS运行时,操控杆该功能却被禁用了。
这些差异肯定会使狮航飞行员对发生的事情感到困惑。
由于MCAS系统只能在远远超出正常飞行范围的极端情况下才会被激活,波音公司决定737飞行员不需要对系统进行额外培训,事实上波音认为飞行员们甚至不需要了解它。波音的飞行手册中没有提到它。
这种立场使得737 Max飞机与其他737机型们获得同样的型号评级,这样,航空公司能够最大限度地减少对MAX飞行员们的培训。
美国航空公司飞行员联合会(Allied Pilots Association)发言人Dennis Tajer表示,他从旧的737 NG机型转向全新的737 MAX,只在iPad上进行了不到一小时的培训,而且不需要模拟器培训。
最简化的737 MAX飞行员转换培训是波音航空公司的另一大卖点,波音表示可以为用户节约大量成本,该机型已累计超过5000个订单。波音也在其官网上向航空公司隆重推荐737 Max,并承诺“当你打造自己的737 MAX机队时,你将可以节省数百万美金,因为它与下一代737是共通的。”
在坠机事故发生后,美国航空和西南航空工会官员们批评了波音公司,斥责其737 MAX飞行员手册中没有提供任何有关MCAS或系统可能故障的信息。
FAA一名安全工程师表示,在狮航空难中,缺乏这些事先就可以知道的信息可能至关重要。波音对该系统的安全性分析假设是:飞行员认识到了发生了什么,失速并切断开关。该工程师表示:“这里的假设是不正确的。其中的人为因素并未得到合适的评估。”
周一,在波音737 MAX停飞之前,波音公司概况描述了“737 MAX的飞行控制软件增强功能”,该功能自狮航坠机事件发生后不久便在研发之中。
根据FAA对立法官员的详细介绍,波音公司将更改MCAS软件,以便从两个迎角传感器输入信息。同时,它还将限制MCAS响应错误信号并移动水平尾翼的能力。当激活时,系统将仅能启动一个周期,而不是多次启动。
波音还计划更新飞行员培训要求和飞行机组手册,以包括MCAS。这些提议的变化反映了安全工程师在坠机故事后遭到的批评。
FAA还表示,它将在不迟于4月份的适航指令中命令波音公司进行软件修复。面对逝者家属带来的法律诉讼,波音将不得不解释为什么这些修复不属于原始系统设计的一部分。另一方面,FAA则必须捍卫一件事:其对飞行控制系统的认证是安全可靠的。
值得一提的是,作为波音前总部的所在地,西雅图的当地记者可能有着比其他地区记者在航空领域更多的人脉及资源,盖茨是一位资深航空记者,他在这一岗位工作了至少15年时间。
而另一件令人吃惊的是:文中大部分的采访,都发生在埃航的737MAX 8坠毁事件发生之前。
飞行汽车 www.flycar.com.cn
本文链接地址:波音/FAA"深喉"爆料:737MAX 8安全缺陷早已埋下