3月10日,埃塞俄比亞航空ET302航班在起飛後不久墜毀,機上157人全部罹難。有關這起事故別的文章已經提到很多了,這裏不再多說,這裏隻說說這個之前沒人知道現在名聲大噪的機動特性增強係統,即MCAS。
(image)
提到機動特性增強係統(MCAS),就不得不提到那起著名的法航AF447空難。這個事故也廣為人知,在本次事故中,本來在機長位的飛行員(不是機長本人,當時機長不在)本來對問題所在已有察覺,開始推杆操作以增加速度,但副駕駛位的飛行員顯然根本就不知道發生了什麽事,此時反而用力拉杆,結果飛機的電傳係統在平衡了兩個不同的輸入信號後,兩個輸入信號相互被抵消,仍然沒有控製飛機壓下機頭,飛機也失去了最後的挽救機會。
事故後,空客當時的飛控係統被人們所詬病,稱其左右駕駛位上操縱杆的權限分配不明、飛行員無法真正“掌控”飛機。當然,實際上飛機在設計時,飛控權限和操作方法在手冊上還是寫的比較清楚的,但當值的兩個副駕駛員並沒有完全搞清楚,特別是當時副駕駛位子上的那位,更是糊塗。。這也說明很多事故其實都是人水平不夠引發的。
(image)
也許正是這次事故中飛行員的糟糕表現,加上所謂波音737MAX的發動機位置變化引起的抬頭力矩增加、可能需要更多的低頭配平力矩,而飛行員可能由於種種原因迎角過大時沒有及時壓下機頭,這就讓波音開發了MCAS這款“無需飛行員介入的自動保護功能”,而且波音737MAX係列也是首款應用該係統的飛機。可以說MCAS的想法是很好的,但兩個問題也就此埋下了:即迎角傳感器可能發生故障,以及飛行員本身對飛機的操作權限。
(image)
對於第一個問題,波音737MAX雖然有2個迎角傳感器,但MCAS的邏輯並沒有對比兩個數據哪個正確,而是有一個傳感器的數據表明迎角過高,MCAS就會被激活。而如果正好這個傳感器發生了故障,MCAS並不會判斷出來,而是繼續發揮作用,直到飛機墜毀。從之前印尼民航管理部門公布的JT610航班中期調查報告看,起飛後爬升過程中因傳感器失效導致MCAS在錯誤條件下不斷啟動,正是事故發生的原因之一。
(image)
而第二個問題更為嚴重,因為傳統以來,飛行員在飛機操縱上都具有“最高權限”,隻要飛行員關閉自動駕駛進行手動操作,計算機就沒有什麽操作能超越飛行員。雖然這樣的方式很考驗飛行員的水平,也的確因為飛行員水平不足而引起過很多事故,但“飛行員具有最高權限”的事情一直都是雷打不動的;即使因飛行員問題引起過事故,人們也是呼籲航空公司提升飛行員的水平,或者在飛機上增加改善飛行員工作環境的設備,從來沒有人呼籲“讓自動操作係統的權限高過飛行員”這個情況。
例如在空中防撞係統(TCAS)或近地警告係統(EGPWS)中,雖然係統可以檢測到飛機會有危險而向飛行員發出警報或操作指令,但最終還是要飛行員動手進行相關操作來躲避危險,這兩個係統並不會直接操作飛機進行相關的躲避,即使最終飛機確實發生碰撞事故,也從沒有人希望將這兩個係統改成自動操作躲避的。
(image)
(image)
但這一切在波音的MCAS係統中被打破。MCAS的工作“無需飛行員介入”,而且就是在斷開自動駕駛、采用手動駕駛時候才起作用,真正關閉它的手段隻有“關掉平尾的自動配平”而手動配平方式飛行。甚至,MCAS在工作時不光無需飛行員介入,甚至也沒有相關的報警告訴飛行員係統正在工作,飛行員完全不知道係統正在幫他降低迎角。
這就是很嚴重的問題了,這會讓飛行員無法“掌控”飛機,而自動操作係統又可能引發一些“隻有人工操作才能避免”的事故。
在獅航事故JT601之前的航班中,當時多位飛行員都反映過他們在和飛機“較勁”,從而不得不連平尾自動配平也關掉,完全手動的駕駛飛機才安全降落;而正是這“不得不關掉自動配平”這個操作才挽救了飛機。而且,包括美國在內的很多飛行員都投訴過737MAX自動駕駛係統存在問題,客機在起飛爬升過程中會突然俯衝下來。而中國民航局李健副局長也表示過,國內的飛機的迎角控製器對保持飛機姿態的控製係統出現了問題,手動操作情況下,探測器探測不準的情況已經發生過多次,帶來操作上的困難。
實際上,這些情況都是MCAS係統莫名啟動了。
(image)
而且,包括獅航在內的很多航空公司也表示,波音沒有向航空公司和飛行員提供737MAX上MCAS係統的性能細節,意思是他們“不知道”這個係統。雖然波音在飛機檢查單上提供了在迎角傳感器故障時的操作程序(例如關掉平尾自動配平),這也說明波音應該是預測到這可能會出故障帶來的問題,但並沒有進一步解釋“為什麽要這麽操作”、“沒有這麽操作時飛機會有什麽風險”。雖然這也可能反映出有些航空公司的培訓不到位,但波音沒有盡到足夠的義務、手冊和培訓教程本身編寫不夠完善也是問題所在。因為如果波音詳細的說明了這個係統,至少可以讓飛行員提高警惕,讓他們頭腦中多一根弦,就可能回避潛在的風險。
(image)
最後需要指出的是,“設計不足人來補”的思路靠不靠譜、有多靠譜,其實很難回答,但很多製造商的確都認為“從設備層麵消除問題,遠比把運氣押在人的身上更可靠”,因為人在緊張情況下,非常容易錯漏忘,而設備就不存在這樣的問題,這也是波音開發MCAS係統的原因之一,而該係統真正的問題是,不應該把其權限與飛行員持平、甚至高於飛行員。
因此,FAA也強製波音進行修改,包括MCAS激活增強,MCAS迎角信號增強,MCAS最大指令限製等,而且對於上述設計更改,波音也要升級培訓要求,並更新飛機飛行手冊和飛行機組操作手冊。FAA的這些要求,正是需要MCAS在工作時要讓飛行員知道,而且不能和飛行員“較勁”。
當然,在AF447事故當中,當時正是處於飛行員沒有能力挽救飛機的狀態,因此如果當時有MCAS係統的話的確有可能救飛機一命。但是,這並不是MCAS係統的權限可以與飛行員持平、甚至高出飛行員的理由,飛機上最終掌控者仍然是飛行員,而不應該是飛控係統的計算機;而計算機隻能做到盡可能的提示飛行員應該如何操作,最終動手的也還是飛行員,不應該是自動操作係統。