首页 / 腾讯大家 / 正文

从复杂系统的风险看波音的空难

腾讯大家 2019-03-15 22:30:27

半年时间内连续发生两起737Max8新客机坠毁事件,把波音推上了风口浪尖。中国民航局在第一时间做出了反应,暂时停飞所有相关机型,许多国家的飞管机构也纷纷跟进,而美国联邦航空局迟至事故三天后才不得不决定停飞。

从复杂系统的风险看波音的空难埃塞俄比亚航空空难现场

关于这起坠机灾难,推测的原因有很多。一个常见的分析是,波音为了把服役超过50年的737老机型的利润榨干,而没有对飞机设计进行实质的升级,为了安装上更大更省油的发动机,选择利用自动驾驶系统来避免飞机起飞迎角过大可能导致的失速问题。而这种自动驾驶装置(为了防止飞机失速而压低机头)有可能在传感器失效的情况下反应过度,导致飞机高速俯冲撞击地面。

更为重要的推测原因可能是,随着飞机的飞控系统越来越复杂,越来越自动化,飞行员发现问题之后应对的时间越来越短,而且可能无法或者没有能力尽快完全人工接管整个飞行。

在彻底调查埃塞俄比亚航空公司失事原因出台之前,这些都是揣测。但是其背后揭示出来的高科技发展下的复杂系统到底隐藏着什么样的风险,则是我们需要去深思的。

从复杂系统的风险看波音的空难波音737

高科技的复杂系统无法直接观察,传感器给自动驾驶提供的指示也很难被飞行员及时了解,一旦出现小的差错,比如说传感器误报,给人留下的纠错时间并不多。因为系统变得日益自动化,错误讯息传导非常快,就容易发生被系统专家形容为“紧密耦合”问题,引发连锁反应,也就是错误从一个部分很快传导到另一部分,根本不给人时间去反应,最终导致灾难的产生。

在这两次波音事故之前,2009年法航447在大西洋上空发生的空难也是因为传感器失灵导致自动驾驶突然关闭,而飞行员无法应对复杂情况下飞机失事的。

从复杂系统的风险看波音的空难法航447空难中坠毁飞机的尾翼

复杂系统的风险,有三方面问题特别值得我们深思:

第一,是“人+机器”的半自动化更安全,还是全自动化更安全?

无论是MAX8坠机事件还是法航477灾难都凸显了一个问题,那就是“人+机器”的半自动化系统可能安全隐患更大。像现代大飞机这样的复杂系统,机器在大多数时候都是自动操作,飞行员只是在特定时间点,比如说起飞或者降落,还有机器失灵的环境中,才会直接介入驾驶飞机,确保安全。但这样的安排在系统变得越来越复杂,自动化程度越来越高的时候,反而有可能成为最大的安全隐患。

一方面,传感器失灵,飞行员并不一定能在第一时间掌握信息,留给他纠错的时间非常短。缺乏正确信息是导致系统失灵最主要的原因之一。另一方面,因为自动化操作的时间越来越多,飞行员真正独立操作系统的能力和应对复杂情况的训练都变得越来越少。还有一点也非常重要,那就是日益复杂的系统留给人操控的空间也越来越少。法航灾难的调查者就提出,如果能即时关闭飞行电脑,给驾驶员以完全的操控,也许能避免灾难。印尼狮航的案例同样如此。飞行员在最后六分钟所做的就是与飞行电脑争夺飞机的控制权

从复杂系统的风险看波音的空难印尼狮航的失事飞机

有鉴于此,有专家就提出,半自动化系统最不安全,应该开发全自动化的系统。比如,有专家就建议,未来的飞机应该是无人驾驶的,一来物联网确保对飞机各种姿态数据的实时监控,让最资深的飞行员在空管中心里随时应对各种飞机可能出现的紧急情况,避免飞行员缺乏训练的问题。至于乘客心理上是否能接受无人驾驶的客机,则是另一个问题了。从系统角度来说,飞行员是飞行安全的保证,因为他与乘客有着一致的利益。

第二,另一些专家则提出完全相反的观点,认为应对复杂系统的最重要的方法不是向前再进一步完全拥抱自动化系统,而是向回走,减少系统的复杂程度,为系统增加一些冗余。他们提出,应该在复杂系统中保持数字和模拟的两套并行的管理方式,而不是完全用数字来替代模拟。保持模拟(机械)的管理方式,能避免复杂系统的风险么?

照理说,波音和空客是贯彻了不同的飞行逻辑,从两者的驾驶舱布局就能看出来。空客的驾驶舱,飞行控制摇杆被安放在正副驾驶座位的侧前方,很像游戏机的摇杆,只有在起飞和降落的时候才会用到,因为大多数时候都是飞行电脑在控制飞机。波音的驾驶舱则仍然强调传统的驾驶感觉,飞行员正前方是操纵杆,拉高机头的时候操纵杆会拉近到两腿中间,而且正副驾驶的操纵杆是联动的。这种布局有可能避免法航447的灾难。

法航的这架空客330飞机最终因为失速坠毁,调查人员怀疑副驾驶可能在最后关头有拉高机头的动作。出现失速危险时,压低机头俯冲重新获得加速是正确的操作(当然, 这也是系统误操作导致狮航坠毁的原因)。如果是波音的布局,机长就能够立刻观察到副驾驶拉高机头的动作――旧式的布局减少了系统内的复杂程度――或许能更清晰了解飞机的状态。

从复杂系统的风险看波音的空难法航空客330

但是波音这样的布局并不是真正设置了一套冗余的模拟(机械)系统。操纵杆虽然给了驾驶员明确的姿态反馈,甚至在飞机失速的时候操纵杆会紧急摇摆给予飞行员以警告,但是从底层设计而言,都是将飞行电脑传递的信息模拟到操纵杆上。像波音科技这样的复杂系统还能不能简单直接地给飞行员以完全的机械控制呢?

第三,美国联邦航空局为什么迟在埃航空难三天之后才签发暂时停飞令?美国航空监管系统的纠错机制是不是出了问题?这个问题,其实是跳出空难本身而看整个产业和监管这个更大的复杂系统的风险问题。

波音和空客是商业大飞机领域两大寡头。一旦出现飞行事故,通常需要飞机制造商所在国的飞管机构给出调查结论,是否需要停飞。如果最终埃航空难与去年狮航掉飞机的原因相同,美国联邦航空局半年前在狮行灾难后仍然给予了MAX8适航的结论,就将被证明是巨大的失察。

这样潜在的系统风险当然与美国特朗普政府的混乱有关。联邦航空局本身就处于“无人驾驶”的状态,特朗普迟迟没有任命正式局长。他一度提名自己私人飞机(波音757)的机长做局长,可谓“举贤不避亲”,被参议院嘲笑。而中国民航局在第一时间发出暂飞令,随即被各国飞管机构跟进,则显示出了更大范围内系统的纠错能力。因为虽然波音是制造巨头,但是如果从机队数量和航线里程来计算,以中国为首的新兴市场航空公司已经要后来居上了。

复杂系统到底有没有纠错能力,关键还要看谁来制定规则,谁又有权力来执行这些规则。

归根结底,复杂系统的风险也揭示了一条科技进步的悖论:当系统变得越来越复杂越来越先进,它也会变得越来越残忍,任何一个细小的错误都可能引发深远的灾难。

时讯快报

5.5亿用户的选择

立即打开