3月10日,埃塞俄比亚航空公司的一架波音737 MAX8客机从埃塞俄比亚首都飞往肯尼亚首都途中坠毁,机上157人遇难;去年10月,印尼狮航造成189人罹难的坠机事件,事故同样发生在飞机起飞阶段,跟埃航事故具有一定的相似性。
根据初步调查结果显示,2018年狮航事故的直接原因是:飞机信号系统接收到一个假信号,即失事飞机的迎角传感器出现数据错误,信号显示飞机“抬头”,所以飞机机动特性增强系统(MCAS)持续给出“低头”指令,导致飞机机头不断下压,机组人员与飞机MCAS搏斗很长时间,飞行员在11分钟内连续手动拉升20余次终告失败,最终飞机坠海。而埃航空难在飞行过程中也发生了不正常的爬升与下降及飞行速度超速现象。
目前,狮航空难的最终调查结果尚未公布,埃航空难也仍在调查之中,我们无法判断上述各方分析的原因是否正确,也没有能力去深度解读两次空难的深层次原因。但作为一名运载火箭领域工程师,我仍希望思考灾难背后的工程问题。
航天与航空,虽然飞行原理和技术基础不一样,但是在工程上具有一定的相似性。运载火箭与飞机都是在一定的时间约束内执行特定的运输任务,都是脱离地球表面高速飞行,都涉及复杂的气动外形、推进、控制系统等设计工作,都是安全性、可靠性要求极高的复杂工程。
国际上有很多大型企业都同时从事运载火箭和飞机业务,比如波音公司研制的德尔塔4火箭曾是美国主力运载火箭,同时波音公司仍在从事美国最新的SLS重型运载火箭以及载人飞船的研制工作。再比如,空客公司刚刚将阿里安系列火箭的研制剥离出公司本体,以跟赛峰公司合资的方式组建阿里安集团专门制造火箭。
透过此次埃航事故,从航天航空复杂工程实现角度,有六个方面值得思考:
一是系统的可靠性设计。航天航空工程具有高风险特征,需要在工程顶层设计过程中考虑系统的可靠性设计。
737 MAX8颇受质疑的一个设计是“采用3个迎角传感器中的1个数据” 作为信号系统的数据来源。而航天工程设计中多处采用了提高可靠性的冗余设计,其中有冷热备份、三取二冗余或者其他冗余方式,需要注意的是冗余数据是否存在使用中的单点环节、冗余设计逻辑是否正确等细节问题需要引起注意。
二是接口沟通确认。接口是大系统、大工程实现中的特殊问题。
据有关消息称,737 MAX8机动特性增强系统的实现逻辑完全由印度软件外包设计人员实现,这其中是否存在软件代码实现人员未能充分理解系统功能设计意图问题就无法知晓了。但类似接口设计问题,以及软件功能架构设计与软件实现之间沟通确认不充分的问题并非第一次发生,2017年,俄罗斯联盟-2.1B运载火箭失败的原因就是火箭上面级控制系统的算法有缺陷引起的。
三是技术状态控制与确认。据悉,波音737 MAX8是在传统737机型上进行改进设计,为了适应新的改进才增加的机动特性增强系统,属于典型“老瓶装新酒”。
通过层次递推的技术改进设计实现产品升级的思路在工程实现上屡见不鲜,这其中技术状态控制与确认尤为重要。欧洲阿里安5火箭首飞失利的一个重要原因就是惯导系统继承了阿里安4火箭的产品,然而“阿里安5”与“阿里安4”飞行状态差异导致软件溢出。
四是测试覆盖性。航天航空产品均面临天地一致性的问题,开展完备的测试性设计是工程实现中的难题。在测试性设计中,不仅要考虑功能实现、环境差异的问题,还要考虑多种工况联合下的覆盖问题。
五是人机协作。波音737 MAX8空难传递的一个明确信息就是在极端情况下,飞行员无法战胜飞控程序,在人机大战中失败而丧失对飞机的控制权。
由此可见,人机协作、人机耦合乃至人工智能是否面临挑战的问题又一次成为大家讨论的热点。这是一个存在争议的科学问题,随着人工智能技术的发展,这类问题会更加普遍地出现,我们可能需要研究的是如何更好地实现人机协作,在人机协作中达到工程目标,让再完美的技术也无法脱离人类。
六是海恩法则。海恩法则指出,每一起严重事故的背后,必然有29次轻微事故和300起未遂前兆以及1000起事故隐患。让人痛心的是,有信息显示前期已经有若干飞行员反馈了波音737 MAX8类似的异常信息,但是没有引起波音公司的高度重视。在航天产品中,基于产品测试数据开展数据包络分析,也正是要通过产品测试数据的变化规律确认产品的质量状态。
无法探究空难的真正技术原因,我只是思考背后的工程思想和工程方法,希望悲剧可以避免发生。
文/陈海鹏
编辑/张晓帆 曹郁展(实习生)
监制/许斌
