波音737 MAX8事故调查报告

引言

这是一篇值得功能安全行业同仁仔细研读的报告，报告就事故原因阐述了管理漏洞、安全文化缺失、人员培训问题、认证问题、生产压力、报警管理、事故后响应等诸多问题，但，在此之外，老郑认为对飞行员响应能力的错误假设和缺少对安全功能本身可能造成的风险分析（单个AOA传感器作为MCAS输入的合理性分析）是事故的最本质原因。

功能安全

老郑此处并不想重复阐述什么是功能安全，引言中提到的问题，都在功能安全的学科范畴之内。单靠任何一项都无法解决功能安全的问题，功能安全是一个系统性工程。同时，功能安全又是一个与时俱进的学科，它要应对的是发展一日千里的数字化、智能化浪潮下大量新产品新功能所带来的前所未有的风险。

空难事件跟737 MAX8的一个新功能有关。波音737 MAX 8机型上安装了一套新的自动防失速系统（MCAS），这个系统的目的是为了帮助驾驶舱机组人员避免错误地将飞机机头抬高到危险高度。然而在某些情况下，该系统可以将机头意外降低，而且幅度太大，致使机组人员无法重新将机头抬高，这种情形可能导致飞机俯冲或坠机。然而,这其中以下2点是致命的：

1. 对飞行员响应能力的错误假设

       在波音737-8（MAX）的设计和认证过程中，对机组对故障的响应做出了假设，认为飞行员能够感受到飞机的异常，并在10秒内抵消自动防失速系统（MCAS）的影响。但是，自动防失速系统（MCAS）持续激活，由于飞机手册和飞行员培训中没有关于MCAS系统的信息，机长在飞机系统发生故障、已成功对抗飞机俯冲20次后，将操纵飞机的权力交给当时紧张不已的副驾驶，而副驾驶当时根本没有保持操纵飞机的能力，随后飞机坠海失事。

虽然每架737 MAX飞机的前部两侧各有两个AOA传感器，但坠机前版本的MCAS每次仅依赖一个AOA传感器的AOA数据。这里有2个问题：一是为什么设置两个传感器却不是冗余？二是这一安全功能设计本身的风险极大。

以下节选目录和部分报告内容，供有兴趣的小伙伴研读：

       事故委员会报告：737-8（MAX）目录

1.导言

2.执行摘要

3.波音历史和737 MAX背景

合并公司——改变文化

竞争压力

从营销奇迹到财务负担

4.FAA监督和授权

授权背景

5.机动特性增强系统

什么是迎角（AOA）？

MCAS对飞行员差异训练的影响

重新设计MCAS

MCAS易受单个AOA传感器故障的影响

重复性MCAS激活

错误的假设，致命的时机

灾难性后果

MCAS不符合其自身的设计要求

6.AOA不同意警报

迎角（AOA）不一致警报和AOA

指示信号

AOA不同意警报如何失效

至少有三次错失了机会

AOA传感器

7.波音737 MAX飞行员培训

错误的假设

737 MAX模拟器差异报告和时间表

8.生产压力

737 MAX生产线

没有放缓——生产仍在继续

9.事故后响应

FAA的紧急适航指令

MCAS飞行员反冲

10秒“灾难性”MCAS测试场景

波音公司自己的试飞员

危险信号

风险分析：以公众安全为赌注

接地737 MAX

10.出现新问题

11.最后意见

       什么是迎角（AOA）？

在737 MAX项目开发的早期，为了帮助保持足够的离地间隙，在737 MAX上，波音将新发动机安装在机翼的更前方和飞机的更高处。这随后改变了飞机在某些飞行机动期间的空气动力学，尤其是在大迎角（AOA）期间。波音公司2000年10月的一篇文章称，“迎角是迎面而来的空气或相对风与飞机或机翼上的参考线之间的角度。”。当飞机以较高的AOA向上倾斜，飞行员施加发动机推力时，该推力导致飞机进一步向上倾斜，从而产生了飞机可能进入称为空气动力学失速的危险状态的风险，即机翼下的升力损失，并导致飞机在没有飞行员采取适当纠正措施的情况下基本上从空中坠落，在大多数情况下，需要将机头向下推，以便空气能够流过机翼，飞机可以重新获得升力。

此外，当在被称为高速上风转弯的测试机动中驾驶737 MAX时（这是FAA认证的要求，涉及以高AOA驾驶飞机），飞行员在控制柱上感受到的力没有要求的平滑。531在机动过程中，当飞行员向纵队后撤时，他们可能会感到阻力减弱。532相反，美国联邦航空局要求飞机以平稳过渡的方式处理这种机动。为了解决这个问题，波音公司的工程师最初考虑在机翼上增加称为涡流发生器的小型金属叶片。534然而，这一提议的解决方案并不能令人满意地解决这个问题。最终，波音公司决定将机动特性增强系统（MCAS）添加到737 MAX上，以帮助飞机补偿这些飞行条件。

如上所述，MCAS是一个自动系统，设计用于在737 MAX达到高AOA时激活。在这种情况下，MCAS将移动飞机的水平稳定器，将飞机的机头向下推，以减小攻角。在狮子航空公司和埃塞俄比亚航空公司的坠机事件中，来自故障AOA传感器的错误高AOA数据导致MCAS根据故障数据不断向下推动飞机机头，从而导致灾难性后果。537虽然每架737 MAX飞机的前部两侧各有两个AOA传感器，但坠机前版本的MCAS每次仅依赖一个AOA传感器的AOA数据。538嵌入飞机飞行控制计算机的MCAS软件系统最终将在MAX坠机事件中发挥核心作用。

MCAS易受单个AOA传感器故障的影响

为了确定何时激活，MCAS依赖于飞机上AOA传感器的数据。每架737 MAX配备两个AOA传感器，飞机两侧各一个。626然而，MCAS的设计一次只能依靠一个AOA传感器的数据来确定是否将飞机机头向下推。627 MCAS在每次飞行中交替使用它所依赖的单个AOA传感器，从左AOA传感器到右AOA传感器，反之亦然。628由于MCAS一次只依赖一个AOA传感器输入，这意味着，如果MCAS所依赖的AOA传感器出现故障，并错误地指示高AOA，MCAS将反复激活，并继续向下推动机头，除非飞行员知道如何有效停用MCAS。737 MAX的MCA依靠单个AOA传感器这一事实是有问题的，并受到了广泛的批评。629正如美国工程教育学会所报告的：英国克兰菲尔德大学（Cranfield University）的航空工程师兼客座教授盖伊·格拉顿（Guy Gratton）说：“MCAS显然容易出现单点故障。这是‘永远不应该被允许的’。普渡大学（Purdue U.）工程教育合作学习教授卡尔·史密斯（Karl Smith）补充道，冗余是一个核心理念，尤其是在生命受到威胁的复杂系统中。”大学。”630例如，美国空军KC-46加油机上的MCAS系统依赖于两个AOA传感器。631

狮航最终事故报告还指出：“MCA的设计依赖于单个AOA传感器的输入，使[737 MAX]飞行控制系统易受AOA故障的单一故障影响。在事故飞行期间，这种情况是由单一故障引起的，即AOA传感器的高偏差。这种高偏差导致了多个飞机级别的影响，包括操纵杆抖动、错误的空速和高度显示，以及襟翼缩回后的MCA。”632波音公司关于飞行员对未经要求的MCAS功能的反应的功能危害评估没有将系统评定为危险程度足以要求冗余功能，例如多个AOA传感器。633然而，在其“危险和灾难性故障条件分析”中，FAA通常写道：无灾难性故障条件。应由系统的单个组件、部件或元件的故障引起。经验丰富的工程判断和使用历史应表明，单一故障模式造成灾难性故障的可能性不大。评估中使用的逻辑和基本原理应简单明了，除非与本身具有灾难性的无关故障条件相关，否则故障模式不会发生。634在737 MAX 635获得认证之前，美国联邦航空局就已经知道AOA传感器的脆弱性。它们安装在飞机机头附近的机身上，有很长的已知损坏和故障风险历史。根据彭博社2019年的一项分析，“自20世纪90年代初以来，至少有140例[AOA]传感器出现在互联网上

美国飞机被飞机跑道和其他地面设备损坏，或在飞行中撞鸟。在美国、加拿大和欧洲至少有25起事故中，损坏引发了驾驶舱警报或紧急情况。”636根据美国联邦航空管理局服务困难报告网站的数据，CNN在一项稍有不同的分析中确定了“自2004年以来，至少有216份AOA传感器故障或必须维修、更换或调整的报告”。637 2017年3月，在美国联邦航空管理局（FAA）认证MAX前15个月，一名波音工程师提出了一个问题，即让MCA仅依赖一个AOA传感器。在2015年12月17日的一封波音内部电子邮件中，这位波音工程师也是一名AR，他问道：“我们在MCAS实施过程中是否容易受到单个AOA传感器故障的影响，或者是否发生了一些检查？”638 AR的担忧被证明是非常有预见性的，因为狮子航空公司的两次飞行的AOA数据都是错误的

610航班和埃塞俄比亚航空公司302航班导致MCAS激活，导致这些坠机事件。639

重复性MCAS激活

2016年6月13日，波音公司重新设计了MCAS，赋予其更大的授权,波音公司的试飞员观察到，MCAS反击了他在低速飞行时修剪飞机的企图。640这种情况引起了之前询问单一AOA传感器漏洞的同一位工程师的担忧。641在查看试飞数据图时，该工程师指出，MCAS的“棘轮性”导致飞机振荡，并建议通过波音的“嘎嘎”过程进一步检查该问题。642嘎嘎声是用来描述飞机问题的术语。643在2016年6月13日的试飞之后，一名试飞员将问题输入波音的报告系统，在该系统中，将跟踪尖叫声，直到问题得到解决。644由于狮子航空公司和埃塞俄比亚航空公司的航班都经历了MCAS激活引起的不可控振荡，导致MAX飞机失去了灾难性的指挥权，因此对飞行员有效对抗MCAS重复激活的能力的担忧具有难以置信的先见之明。645不幸的是，就像工程师之前提出的关于MCA依赖单个AOA传感器的问题一样，新的担忧最终被驳回。波音在给委员会的关于MCAS的书面回复中表示：MCAS的技术讨论还包括攻角传感器故障可能导致MCAS重复激活的可能性。在对该问题进行评估后，参与此次讨论的技术专家和飞行员小组根据他们的集体专业知识确定，没有必要重新设计MCAS来解决这种可能性，因为机组将能够使用……非常了解的驾驶技术和程序……来管理这种情况…。2016年6月15日，一位波音工程师就这个问题给几位同事发了电子邮件，问：“当我们的AOA或马赫数出现故障时，会发生什么？”648另一名波音工程师回应道：“至于故障的AOA和/或马赫数编号……如果它们出现故障，MCAS将立即关闭。”649这可能是计划的意图，但狮子航空或埃塞俄比亚航空公司的航班都没有这样做。在这两种情况下，错误的AOA数据在崩溃中起到了关键作用，MCAS没有因为MCAS接收到错误的AOA数据而关闭。此外，另一位提出2016年6月16日发给同事的关于MCAS新问题的电子邮件中的问题被告知该问题与安全无关。650 2016年6月20日，回应第二名工程师的工程师说，他们担心的是要满足技术认证要求，并写道，“我认为这不安全，除了飞行员可能会与MCAS输入抗争，随着时间的推移，他们发现自己陷入了一个大迷雾。”651两天后，即2016年6月22日，召开了“MCAS审查”会议，以解决该问题。会议参与者基本上支持会议前电子邮件交流中的主流说法，即MCAS的“棘轮性”（或重复激活）观察到的问题不是一个重大问题。652相反，正如下面描述的会议记录所示，解决MCAS问题所需的努力被描述为“容易解决”，问题本身“没有真正违反要求”653此外，关于“失效高AOA或失效高马赫数导致MCAS运动”的担忧，换句话说，高AOA的错误读数或高空速会议参与者的错误读数确定其他系统将对故障做出反应，并且“无需重新设计以解决此问题”654

错误的假设，致命的时机

除了波音工程师对故障AOA数据对MCA的影响以及MAX pilots能够抵消MCA重复激活的能力提出的担忧外，波音公司还从自己的测试结果中获得证据，表明测试飞行员对未经授权的MCA激活做出反应的时间超过了10秒，飞行员发现这种情况是“灾难性的[。]”在MCAS意外激活的情况下，波音公司认为飞行员会感觉到这种情况，就像失控稳定器配平——一种涉及电动配平电机突然将水平稳定器向全机头向上或机头向下移动的情况。稳定器配平失控对飞行员来说是众所周知的，美国联邦航空管理局（FAA）的指导假定飞行员将识别出这种情况，并在四秒钟内完成抵消该情况的程序。。659但当AOA传感器故障触发MCAS错误激活时，稳定器配平失控不会同时引发大量看似无关的警告和警告。660然而，波音公司认为飞行员会对意外的MCAS激活做出反应

好像是一个失控的稳定器配平事件，在四秒钟内。然而，根据JATR，“没有发现任何研究证实FAA关于飞行员识别时间和飞行员反应时间的指导……目前尚不清楚FAA关于飞行员识别时间和飞行员反应时间的指导是基于什么。”663 JATR还指出，“对航空事故的分析表明，飞行员识别故障并作出反应所需的时间可能比试飞指南所建议的要长得多。”

“联邦航空局关于飞行员3秒反应时间的指导可能不合适[。]”664此外，根据美国国家运输安全委员会的说法，“多个警报和指示会增加飞行员的工作量，警报和指示的组合不会触发事故飞行员在初始自动和稳定器配平输入期间立即执行失控稳定器程序。”665当MCAS启动时，国家运输安全委员会检查了狮子航空公司和埃塞俄比亚航空公司的两次事故航班，以及狮子航空公司事故前的航班，但飞机安全着陆。根据美国国家运输安全委员会（NTSB）：在所有三次飞行中，飞行员的反应都不同，与飞行员对意外MCAS操作的反应的假设不匹配，波音在安全评估中根据这些假设对其进行了危险分类，并且FAA批准并用于确保设计安全地适应故障。尽管系统设计、训练、操作和飞行员以往的经验等诸多因素，可以影响人类识别和接受NTSB报告的能力。该报告还发现：“虽然波音公司将非强制性MCAS操作的可能性视为其功能危害评估的一部分，但它没有评估所有可能伴随故障的潜在警报和指示，这些故障也会导致非强制性MCAS操作。因此，波音公司的系统安全评估和模拟机测试都没有评估警报和指示的综合影响可能会影响飞行员在响应错误的AOA输入导致的意外MCAS操作时，对优先顺序的识别。”667 NTSB指出，根据14 CFR 25.1309（d）（4）项下的联邦法规，“作为飞机认证的一部分，合规性证明必须包括考虑机组警告提示、所需纠正措施和检测故障能力的分析。”668

灾难性后果

尽管如此，委员会的调查还发现，波音在737 MAX项目早期就意识到，一些飞行员可能需要10秒或更长时间才能对失控的稳定器配平或未经授权的MCAS激活做出反应。波音公司也知道，自己的试飞员花了10秒多的时间在战斗模拟器中对未经命令的MCAS激活做出反应，发现情况“灾难性的[。]”669美国联邦航空管理局（FAA）将灾难性事故定义为：“预计会导致乘客多人死亡的故障条件，或通常伴随飞机损失而导致机组人员丧失能力或致命伤害的故障条件。”670

委员会发现的关于波音试飞员10秒反应时间的灾难性后果的第一个参考日期是2012年11月1日，当时737 MAX空气动力学稳定性与控制小组的一名波音工程师通过电子邮件向同事们发来，讨论了最近关于在上风转弯期间刺伤配平失控的模拟器评估。671在模拟器测试中，一名波音飞行员在“团队合作”的帮助下，能够在大约四秒钟内识别并对这种情况做出反应。672然而，另一名飞行员发现情况“非常糟糕”673“使用aislestand（sic）stab cutout开关的反应时间很长（>10秒），使用机头向上的机械微调时团队合作较少，”工程师写道。这名波音工程师在邮件中提出了一系列问题，这些问题在狮航和埃塞俄比亚航空公司坠机后变得极为相关。与其他几起案件一样，委员会发现波音工程师就关键细节提出了正确的问题，但这些问题没有得到充分解决，或者被一些同事驳回。如果这些关键问题在当时得到更彻底的解决，在某些情况下，它们可能会极大地帮助提高737 MAX的安全性。具体而言，波音公司的员工问他的同事：您认为飞行员接受了[MCAS]系统的培训/了解后，在收尾转弯/恢复过程中，是否会对刺伤失控做出足够快的反应，并且认为这是危险的，并将MCAS系统设计为满足这一要求是否合适？还是我们应该假设不是所有的飞行员都能足够快地意识到这一点，进而应对灾难？这是一个启示性的观察。在坠机前的几分钟里，在每一架注定失败的MAX航班上，飞行甲板上都爆发出刺耳的警报和警告。狮子航空公司和埃塞俄比亚航空公司的坠机事故是由多个问题共同造成的，但飞行甲板上的混乱是造成这两起事故的关键因素。676尽管波音公司知道，如果飞行员没有对未经要求的MCAS激活做出足够快的反应，后果可能是“灾难性的”，而且波音公司多年来根据自己的内部测试数据在其MCAS内部协调表中反复引用了这一事实，但波音公司显然没有人将这一关键数据告知FAA。2015年至2018年间，波音公司发布了六份关于MCA的单独协调表，其中提到了飞行员响应时间超过10秒的“灾难性”后果。678这些协调表上至少有四份波音ARs已审核、准备、批准和/或复制。679委员会无法找到任何迹象表明，这些ARs中的任何一个将这一关键测试数据告知了FAA。此外，波音公司已通知委员会，它无法找到任何记录，表明这些协调表中的任何一张是与FAA共享的。680多年来，波音协调表中关于10秒飞行员反应时间后果的措辞几乎没有改变。声明称：进行了稳定塔失控至先导反应（D项）。当飞行员意识到并对失控做出反应时，这些故障通过使用过道支架切断开关被阻止。评估仅在WUT期间进行，即在运行飞行包线范围内，但未进行.

由mistrim配平潜水回收率（正常运行包线）评估。通过飞行员培训，以识别失控和团队合作的使用，发现故障是危险的，这与C项发现相同。观察到典型的反应时间约为4秒。一个反应时间缓慢的场景（>10秒）发现，由于无法阻止飞机超速，故障是灾难性的。681波音公司在2015年、2016年和2017年分别生产了两份协调表。值得注意的是，波音还于2018年6月11日发布了一份更新的协调表，该协调表发布一年多之前737 MAX已经获得美国联邦航空局的认证，并已投入商业服务，而对一名飞行员在10秒以上对非强制性MCAS激活作出反应的评估保持不变。682然而，美国联邦航空局，以及购买737 MAX飞机的MAX飞行员和航空公司都不知道波音的调查结果，即未经要求的MCAS激活的反应时间超过10秒会带来灾难性后果，而且据委员会所知，波音自己的试飞员未能在飞行模拟器中做出足够快的反应。即使是波音737 MAX项目的最高层领导也不知道10秒的反应时间问题。在2020年4月对委员会工作人员的转录采访中，737 MAX项目的前首席项目工程师迈克尔·蒂尔说，他只是在为委员会的采访做准备时才了解到10秒的反应时间问题。683前737 MAX副总裁兼总经理基思·勒沃库恩（Keith Leverkuhn）对委员会工作人员说，他也不知道波音当时有10秒的反应时间证据，但在波音是否有义务与FAA分享这些信息的问题上，他改变了回答。他说，他确实有一个普遍的理解，即“如果船员在这段时间内没有对某些非正常情况做出反应，他们可能会是灾难性的。”684根据印度尼西亚关于狮子号空难的最终报告，事故调查人员在737 MAX模拟器中测试MCA时发现，“在两次激活MCA后，飞行员没有任何计数器，控制柱的力量变得‘太重’，无法移动。”在狮子航空事故发生前的大约六分钟内，685架MCAS启动了20多次，在埃塞俄比亚航空公司事故发生前的几分钟内，686架MCAS启动了四次。687波音公司认为，重复激活MCAS不会对MAX飞行员保持飞机控制的能力产生不利影响，尽管波音AR提出了这个问题。波音公司在2018年12月向美国联邦航空管理局（FAA）提交的一份报告中称，“工程和试飞员讨论了在MAX开发期间重复非预期MCAS激活的情况，并认为[它]不比单一非预期MCAS激活更糟。”688这些假设被悲惨地证明是错误的。

      结语

      数字化电子产品越来越多的应用于安全领域，更多的小伙伴在不断的尝试新的安全功能以对抗可能的风险，然而，这些安全功能带来的风险也许也是我们要更多要考虑的。

       分享

      以下分享波音事故报告全文，供有钻研精神的小伙伴深入学习。基于版权考虑，只对微信朋友赠阅。

–本文到此为止。您可以点击以下公众号名片，关注老郑，我们一起“闲话功能安全”。