3 月 17 日,《西雅图时报》发表了对波音空难事件的调查报道,揭露了波音公司和联邦航空管理局(FAA)之间的“暧昧”关系,以及波音新机设计可能存在的致命问题。《西雅图时报》所暴露的飞机安全监管缺位,飞机技术测试、披露和培训存在重大缺陷,已经引起了交通部内审机构的调查。
《西雅图时报》曝出的波音安全评估存在的问题摘要如下:
1、对新飞行控制系统的能力轻描淡写,MCAS 系统的目的在于向下推动喷气机机头以降低失速风险。当飞机开始服役后,MCAS 系统移动尾翼的角度四倍于安全分析中声称的角度,狮航失事飞机的黑盒子证明了这一点。
2、波音没有解释 MCAS 系统在每一次飞行员反应后是如何重置的,因而没有陈述系统反复往下压机头的潜在影响。
3、安全评估报告将自动化系统评为仅次于“灾难性”(catastrophic)级别的“危险性”(hazardous),但是即便如此,系统也应该事前杜绝只从一个传感器接受信号,但是波音恰好没干这件事。
图 | MCAS 系统在 737 Max 新机上的运行机制(来源:《西雅图时报》)
埃航空难静悄悄
在 3 月 10 日 737 Max 第二次坠机事故前,波音和 FAA 对于机动特性增强系统(MCAS)的安全评估内情都十分清楚,当时《西雅图时报》向波音询问内情,但未获回应。
空难发生后的 3 月 15 日,FAA 声称,该机构遵循了 737 Max 安全认证的标准流程。当时的发言人还表示,FAA 日理万机,不能进一步做深入的调查。
次日,波音表示,FAA 认为 Max 认证期间的配置和参数没毛病,波音的 MCAS 系统符合所有安全认证和监管层的要求。除此之外,波音对于 MACS 系统的具体问题讳莫如深,表示事件调查正在进行,不能透露。
FAA 内部一些技术专家表示,印尼政府在去年 10 月份的狮航空难中已经明确暗示,MCAS 系统是 FAA 飞机安全认证不合格的证明,波音自己造飞机,波音员工自己检查认证飞机的安全性,这是极其不合理的。
不同于波音以往给飞行员完全自主可控的飞行权力,Max 的新 MCAS 自动飞行控制系统被设置成无需飞行员操控,就自动执行程序。波音之所以这么做,是因为 MAX 发动机更大,被安装到了机翼上,这改变了机身的拉升力。这套自动化系统,只有在失速情况下才会被自动激活,MCAS 强压机头这一操作,使得飞行员体验到和飞旧款 737 机型同样的感觉。
FAA 将飞机安全认证交给波音自己?
因为缺钱缺资源,近几年 FAA 越来越多地将安全认证工作交给飞机制造商自己完成。在 FAA 内部,之前因为批准波音新机型和改版机型的安全事宜,员工内部已经出现了意见分歧,一些员工害怕被打击报复。在 737 Max 机型开发之前,FAA 内部这种消极的工作环境就已存在已久。
2015 年,当波音急于追赶空客,谋求快速认证 737 Max 之时,FAA 力推将一些安全检测任务委托给波音自己,以快速出具安全分析报告。随着 737 Max 交付至世界各地,这一报告交给了欧洲、加拿大等地航空局。
早在 737 Max 认证工作开始,FAA 工程师团队就将技术评估工作委托给了波音,而不是把这些重要的工作留在 FAA 体系内。FAA 一些内部技术专家还证实,随着认证工作的展开,经理们让他们加快进度,因为 737 MAX 的进度落后于空客 A320 neo 9 个月,当此关头,分秒必争。一位前 FAA 安全工程师回忆道:管理层要求重新评估哪些工作可以委托出去,他们认为 FAA 自己保留的工作太多了。关于“安全外包”给波音自己的讨论没有间断,一项接一项。到了后来,审查波音自己提供的报告这一环节的时间都被大大缩短,为了冲时间节点,他们没时间看了。当安全评估专员没时间看波音的报告的时候,经理们会草草签字,或者把报告打回波音让他们自己审。毕竟,管理层拥有决定权,而非技术专家们。
在这样的“安全外包”的工作氛围下,MCAS 系统安全分析报告在堆积如山的文件里显得不起眼,最后被打回波音让他们自己审。
波音提供给 FAA 的原始文件表明,攻角最大为 0.6 度。在飞行测试后,攻角被大幅增加,这样尾翼才有足够的力量扭转失速局面。但是飞机在大幅提高攻角之后究竟如何表现,这是难以预测的。狮航事件后,波音向航司披露的 MCAS 攻角为 2.5 度,FAA 官员和各国监管机构对这个数字都是闻所未闻,因为他们只见过 0.6 度的攻角。
FAA 前安全工程师表示,像在飞行测试后修改攻角这类行为必须及时披露,波音没有上报最大攻角数据不合规矩。而波音的飞行控制工程师认为,波音这一行为,说明波音的安全评估人员并不认为在修改了最大攻角参数后会对飞机造成灾难性的影响。
单传感器系统故障造成“灾难性”空难
对于民航客机来说,飞机的设计是静稳定的。在波音公司向联邦航空局提供的原始文件中,有这样一份说明,其中规定 MCAS 系统可移动水平翼的限制为 0.6 度,让飞机机头下掉的最大物理限制为 5 度。
而波音关于 MCAS 系统安全分析的底线是,在正常飞行中,MCAS 的最大假设权限为 0.6 度被激活,就归类为“重大故障”,这意味着它可能会对飞机上的乘客造成身体伤害,但不会导致死亡。
在极端情况下,特别是当飞机处于倾斜下降螺旋时,激活 MCAS 被归类为“危险性”等级故障,这意味着它可能对少数乘客造成严重或致命伤害,但仍然比“灾难性”低了一级,后者代表飞机损失大量人员遇难。但在波音 737 Max 上,靠单一传感器的信号,就可以阻止飞行控制系统的启动,而这套系统恰恰是这样设计的。
(图片来源:The Air Current 网站)
据了解,波音 737 Max 上的 MCAS 系统,在基于速度配平系统(Speed Trim System, STS)的基础上增加了一个新功能。简单来说,当在全重小、重心靠后且推力大的操作条件下,驾驶员需要手动激活系统,提高飞行性能,减少“机翼一头跑”这种情况的发生。
STS 通过指令,将速度以相反的方向移动,使飞机返回到配平的速度。而 MCAS 系统,是将原本的速度配平模式中的当前空速+迎角来指令,变成单纯根据迎角来指令安定面配平,而且,波音 737 Max 上,只要有一个迎角的指令,就可以激活 MCAS 系统。
所以,当驾驶员驾驶波音 737 Max 过程中,拥有 ST 以及 MCAS 这两个模式的速度配平系统。平时,速度配平系统工作在 ST 模式,在接近失速的时候需要转换成 MCAS 模式。但在这次事故中,波音没有更改速度配平系统的数据源逻辑,只使用一侧迎角探头的数据,使得 MCAS 有机会异常激活。
而根据《西雅图时报》的报道,代表 FAA 参与 737 Max 认证的前波音飞行控制工程师表示,一架飞机上的系统是否可以依赖一个传感器输入,还是说必须有两个传感器输入,都由系统安全分析中的危险评估分类所决定。
激活 MCAS 被归为“危险性”等级,其要求故障概率小于一千万分之一,通常必须至少有两个单独输入渠道,以防止其中一个出现故障。
与所有 737 一样,Max 实际上有两个传感器,位于驾驶舱附近的机身两侧。但在埃塞俄比亚空难发生之前,MCAS 系统只是从其中一个感应器中读取是否激活,在 MCAS 系统使用过程中,由于机翼的角度一直偏,从未反馈给驾驶员,或者发生任何警报。
就目前来看,在波音 737 Max 上的 MCAS 系统激活前,感应器并没有给出正确的指令,驾驶员只通过一个感应器提供的迎角度数,指令激活 MCAS 系统。而在激活之后,角度越来越倾斜,与机体本身的行驶状态并不一致,所以才会造成这样一起事故。
根据初步调查报告中提供的黑匣子数据显示,两个传感器的读数相差约 20 度,而且在起飞前、飞机在地面上滑行时也是如此,未曾改变。
而在这种危险情况发生之后,波音 737 Max 并未有两套解决方案,以应对紧急情况。所以,在驾驶员不知所措的情况下,才会酿成如此大祸。
专业培训缺乏,终酿成大祸
非常有趣的是,波音的高傲姿态在驾驶员培训上发挥得淋漓尽致。在印尼狮航空难之后,世界各地驾驶波音 737 Max 飞行员才从新闻当中才被告知,MCAS 系统存在的风险,以及如果 MCAS 系统被异常激活,该如何处理。
在此之前,从未有过任何官方的相关专业培训。波音公司坚持认为,狮航的飞行员应该已经认识到水平稳定器的运行是不受影响的,并且应该采用标准的飞行员检查表,来处理“稳定器失控”的极端情况。
由于 MCAS 系统只能在远远超出正常飞行范围的极端情况下激活,波音公司决定不需要对驾驶波音 737 Max 的飞行员进行额外培训,即使在飞行手册中,也没有提到如何处理异常激活下的处理方式。
美国航空公司盟军飞行员协会的发言人 Dennis Tajer 对《西雅图时报》的记者表示,他从旧的 737 NG 驾驶转向新的 737 Max 的培训,只需要在 iPad 上进行一小时的会议,就完成了培训,并不需要在模拟器上驾驶一段时间。
在埃塞俄比亚空难发生之后,美国西南航空公司飞行员协会批评波音公司在 737 Max 飞行员手册中没有提供有关 MCAS 系统或其可能发生异常激活等故障信息,以及解决办法。
就目前来看,在埃塞俄比亚空难当中,由于驾驶员没有在飞行前得到关于这个飞机的全部信息,最终发生如此大的事故,而波音公司没有妥善地处理故障问题,加大对飞行员的回访、培训力度,这都是波音推卸不了的责任。对于整个航空业和波音公司来说,都是一次血的教训。
此次调查最终会引向何方,仍未可知。但毫无疑问的是,波音、FAA 和美国交通部的公信力已经大打折扣。接下来,或许就该美国司法部出场了。