737 Max事故的元凶是软件设计问题吗?

rjdaily5年前 (2019-12-17)研究443

编者按:波音737 Max在1年之内出现两次重大坠机事故令世人震惊。经过了这么久飞机的复飞时间似乎仍未能确定。近日,《纽约时报》注意到美国和欧洲航空监管部门同时到波音的一家合作供应商那里进行了调查。该公司开发的飞控软件和驾驶舱显示屏会不会是事故的原因呢?Chris Hamby进行了分析报导,文章标题为:Far From the Spotlight, a Boeing Partner Feels the Heat

737 Max事故的元凶是软件设计问题吗?

那家商用飞机公司的高级管理人员已被罢免。公司CEO上周受到了国会议员的严厉质询。收入急剧减少。

在发生两起737 Max喷气式飞机的致命坠毁事件(第一起才过去1年,坠毁在印尼海岸)之后,波音公司一直想努力熬过公司史上的最大危机。

而现在,在你们看不到的幕后,对事故的审查已经从这家麻烦缠身的飞机制造商延伸到了Max研发的合作伙伴之一,Collins Aerospace。被归咎对那两起事故负责的软件就是这家扎根爱荷华州东部的公司开发的,该型飞机的驾驶舱显示屏也是它生产的。

代表346名坠机受害者部分家庭成员的国会调查员和律师正在质询Collins对Max的问题有什么样的了解,以及是什么时候知道的。

Collins已把自己对飞机的工作记录提供给正在调查坠机事故的众议院运输和基础设施委员会。委员会主席,众议员Peter DeFazio说:“我们的调查仍在进行当中,我们还需要做大量工作才能充分了解特定决定是如何做出的,以及为什么特定技术问题会出现在两架坠毁的737 Max飞机上。”

Collins还把信息移交给了第二次坠机事故(今年3月埃塞俄比亚航空公司的一趟航班)受害者家属的律师代表。这部分信息尚未公开。其余事故受害者家庭的律师大部分也声称打算把Collins列为被告。

Justin Green是很多家庭的律师代表,他说:“很明显,Collins扮演了重要角色,这一点在事故后并未能马上显现出来。”

波音已经把责任归咎于驾驶舱显示屏软件供应商(但没有点名Collins),称驾驶舱显示屏的一个警报存在问题。按照印尼调查人员的说法,如果该警报正常报警的话,可能会有助于防止第一次坠机的发生。

波音发言人在一份声明中说:“波音和Collins Aerospace正在一起协作,对Max的软件进行更新,让相关机组可安全地恢复服务。”

上周,美国联邦航空局和欧盟航空安全局的官员均出现在爱荷华州。两家机构均表示,自己正在对波音和Collins希望用来说服监管机构允许Max复飞的软件更新进行了审计。

对Collins工作的高度关注突显了对全球最大飞机制造商的合作关系可能进行的审查。该公司跟波音还有一项合作,那就是拖延已久的一架美国空军飞机的关键系统的交付,因为被美国国防部官员视为存在缺陷,正在接受美国政府责任署的审查。

2012年,当波音宣布Collins在竞争中胜出,为当时仍在研发中的737 Max提供驾驶舱显示屏的消息时,后者和所在社区均弹冠相庆。对于Collins的高管来说,这也是公司几年前所进行的一次巨大变革的认可,而且这次变革正是应波音的要求而做的,其目的是要花小钱办大事。

但是,随着现在几乎每天都有关于说Max飞机坠毁的新闻报道,最近当记者前往采访时,已经很少有高管或员工愿意讨论飞机方面的事情。

没有人会同意提到自己的名字,有的则把问题抛给了Collins的母公司联合科技。联合科技的一位发言人拒绝置评,并威胁称如果继续向Collins员工询问有关Max的问题的话,将会采取(未指明的)法律行动。

联合科技旗下的另一家公司Rosemount Aerospace也被卷进了Max的相关调查,因为据称该公司制造的传感器提供了错误数据,导致在两次坠机中触发了错误的计算机命令。

向波音献殷勤

Collins与波音的关系给Cedar Rapids市带来了福音,Collins(去年被收购之前叫做Rockwell Collins)是当地最大的雇主,而且航空工程的专业性让当地人深感自豪。据公司透露,波音及其欧洲竞争对手空客公司均是Collins公司的最大客户,共占其近年来总销售额的三分之一左右。

市长Brad Hart说,这座13万人口小城市“有大城市的便利却无大城市的烦恼”,而Collins为当地提供了成千上万个高薪工作,几乎支撑着当地经济的方方面面。

Hart表示“Collins对本市工资水平、消费能力、税收以及房地产的经济影响无疑是最大的。”他同时对Max危机不会给这座仍然从2008年灾难性洪水的重建中复原的城市造成持续性破坏表示有信心。

Max关键系统的合同巩固了Collins与波音的长期合作关系,这在一定程度上是因为Collins CEO在2002年对所谓的“一项非常传统的业务进行的巨大变革。”

当时的CEO Clayton Jones曾告诉《财富》杂志,该公司多年来一直是“技术领导者与创新者。但不幸的是,这一路上他们忘了打磨自己的财务技能。”

1998年,波音高管把Jones叫到西雅图,后来他在一次演讲中回忆到并明确表示,要想获得波音的更多业务,Collins必须大幅降低价格。作为回应,Collins引入了所谓的“精益电子产品”,采取了丰田普及的紧缩开支哲学。

Collins重组了业务部门,对经理进行再培训,着眼于提高效率和速度。同时它还敦促自己的供应商也要这样做,并且跟HCL Technologies等公司建立了伙伴关系——后者提供的是外包给印度的低成本工程服务。

通过这种努力,Collins最终取代了Max前身737 NG的飞控计算机供应商霍尼韦尔,并为2011年投入运营的波音787提供了众多系统。

2012年 Collins拿到Max显示屏合同时,就认为自己的开支已经勒得紧了 。当时一位经理在公司的出版物上面说道:“必须采取许多节省成本的措施——那是很多的艰难决定。”

现在,无论是国会调查还是私人诉讼,显示系统都是争论的焦点。

2018年10月,造成机上189人全部丧生的狮航班机失事后,波音曾告诉FAA自己打算作为标准功能纳入搭配飞行驾驶舱显示屏的一个告警只有在航空公司购买了可选升级后才能工作。而狮航没有购买。

自2006年以来,这项警报就一直是Max前身的标准配置。其作用是当两个传感器在测量飞机相对于风的角度存在显著差异时通知飞行员。

印尼的调查人员发现,如果狮航飞机上的警报发挥作用的话,飞行员就有可能意识到让飞机俯冲的自动系统已经被错误地激活了。

在上周的一次国会听证会上,波音CEO丹尼斯· 穆伦伯格(Dennis Muilenburg)承认,他的公司在这一告警的实现上犯了错误。但是尽管没有提到Collins的名字,波音同时也指出这个问题源于软件供应商的错误。

然而, DeFazio在一份声明中说,经委员会调查人员审查过的文件显示,在告警形成的“几乎每一个节点都有波音高管的参与以及对关键决定的签字。”

Collins没有回应置评请求。

这种设计是行不通的

Collins还参与了飞控软件的开发。这是狮航及今年3月造成157人死亡的埃航坠机事件调查的核心。

在这两起事故中,所谓的机动特性增强系统(MCAS)软件均基于故障传感器的错误信息对机尾的部件进行了自动移动,导致机鼻向下。

飞行员不知道MCAS的存在是因为该手册没有提到它,所以他们难以诊断问题并且无法抵消该软件的重复命令。

Collins在提交的法律文书中承认自己编写了该软件的代码,但又表示自己只是在执行波音的设计。Collins否认自己在飞控计算机上的工作有任何错误。

根据印尼调查人员调查结果所附的一份国家运输安全委员会的报告,2016年12月,就在FAA对Max进行认证的三个月之前,Collins曾归档了对飞控软件的安全分析。

一位前Collins工程师在一次接受采访中曾指出,MCAS的设计应该引起公司的关注,因为它仅依赖一个传感器。

这名搞飞控(但不是Max的)的工程师说:“这种设计是行不通的。”鉴于调查的敏感性,此人要求匿名。

据一名曾参与过Max飞控计算机前Collins员工说,即使是Max的前身,737 NG,缺少冗余性也带来了挑战。这名工程师说,比方说,波音需要软件帮助在低能见度条件下自动着陆——这通常需要三台计算机对数据进行比较以确保可靠性。这名工程师说,但是737 NG只有两台,使得飞机“容错度大为降低。”

由于波音决定升级737 NG,而不是研发新飞机,所以这款旧型号飞机的设计很多都被转移到了Max飞机上。

航空安全的调查人员称,在Max坠机事故发生将近十年前,另一起致命事故就已经凸显了这种过时设计的潜在危险。

2009年,一架737 NG飞机曾在阿姆斯特丹机场附近坠毁,导致9人死亡,100多人受伤。荷兰安全委员会的一项调查认定,发生故障的高度传感器错误地激活了一个自动系统,令飞机速度大为降低并导致失速。

那架飞机是比较旧的型号,没有用到Collins的飞控计算机。但是,当荷兰调查人员测试较新型飞机使用的Collins飞控计算机时,他们发现了也存在同样的潜在危险——以及可能会不当触发该系统的软件缺陷。

荷兰调查人员还发现,几年前,Collins已经更新了自己的软件,让它去比较飞机两个高度传感器的读数,而不是仅仅只依靠一个。但是,尽管这一更新早在2006年就已经推出,但FAA直到2009年发生坠机事故后才要求航空公司安装此更新。

现在,波音公司已经提出要对Max进行类似修复。

该公司表示,用于MCAS的更新软件将从两个(而不是原来的一个)用来测量飞机迎风角度的传感器接收输入。

与美国空军的合作

今天,波音与Collins的另一项合作也面临困难。因KC- 46(以767为框架的加油机,旨在取代美国空军许多老化的加油机)的再三推迟交付,波音已受到严厉批评。

今年,美国空军发现旨在远程(而不是手工从飞机后部)引导加油设备的摄像头和计算机系统存在严重问题。在某些情况下,系统显示屏上的图像会失真,这可能导致加油设备损坏飞机——隐形飞机尤其要注意这一点,因为这回导致雷达看到它们。

Collins提供加油机的远程加油系统以及其他系统——在2017年的新闻稿中,Collins高管宣称这些系统是“尖端技术,可藐视此前用于空中加油的任何东西。”

美国政府问责局发现,为了回应美国空军的关切,波音已对该系统的软件进行了西欧该,但美国空军官员认为波音并未完全修复该问题。空军官员告诉问责局,波音可能需要三到四年的时间才能解决这个问题,而且解决方案不仅要修改软件,可能还牵涉到硬件变更——后者显然更耗时且成本更高。

现在,在737 Max的事情上,监管机构也面临着类似决定。美国联邦航空局称,上周去Cedar Rapids的联邦航空局及其欧洲同行官员未能完成对Max升级后的飞控软件的审计。

美国联邦航空局的一名官员说,监管机构计划再去一趟爱荷华,对波音和Collins提供的其他文件进行审查,以确定何时允许Max重返天空。

译者:boxi。