印尼獅子航空去年10月發生悲劇性空難,之後在今年3月中又發生了衣索比亞航空墜機事件。這兩起事件是否能警惕汽車產業呢?

的確如此。

儘管航空業與自駕車採用的自動化技術既不相同也很難互相比較。卡內基美隆大學(Carnegie Mellon University)的教授Phil Koopman指出:「如果真要比的話,飛機自動駕駛技術可能比自駕車容易。」

對我來說,最令人心寒的是在5個月內,連續墜毀兩架波音737 Max客機。美國聯邦航空總署(FAA)安全審查一向被視為世界航空安全的最高標準,我們假設FAA有針對以上事件進行過安全審查。

這些災難讓航空業、媒體和大眾各方提出疑問,究竟發生什麼事了?有人因為疏忽而犯錯了嗎?

波音737 Max究竟發生什麼事?

首先,來剖析我們原本所認知的情況。

事故發生後不久,各方迅速地將原因歸咎於波音公司的業務決策、寬鬆的規範要求,以及硬體和軟體方面的設計修改。這些也許都是事後諸葛。

此兩起事件導致346人喪命,目前仍處於初步調查階段,尚無任何結案報告。但自3月10日衣索比亞航空公司發生墜機事件以來,外部不斷流傳的消息促使專家們開始思考導致此次重大事件的幾個可能因素如下:

˙波音與空中巴士(Airbus)正在開發更節能的引擎。該公司面臨極高的產品上市與來自競爭對手的壓力,因而做出了一些商業決策。

˙737 Max根據波音現有的暢銷機種737而打造。

˙波音強行推出了一款737 Max專用的新軟體,此軟體影響了「機動特性增強系統(MCAS)」。

˙MCAS的軟體未及時更新。

˙737 Max內部的感測器沒有備援功能(redundant backup),被懷疑是造成墜機的原因之一。

˙波音、監管機構和航空公司基於利益與商業考量,希望737 Max機師避免接受耗時昂貴的訓練。

˙導入新的自動化技術總是會發生出乎意料的事情。

20190325NT01P1 本圖包含衣索比亞航空302航班ET302的平均海拔高度數據(英尺)、地面速度數據(節)和垂直速度(英尺/分鐘)。起飛後不久,就出現了高度波動(altitude fluctuations)。(圖片來源:Flightradar 24)

專注開發單一飛機類型

分析眾多事故發生的可能原因,安全專家現在懷疑問題癥結在於波音決定專注於開發某一種飛機類型(其暢銷機種737),並以此機型為基礎持續進行改造。

改造既有737機型的這項決定可能會產生一連串的影響,最終導致B737 Max發生事故。

波音原本計畫開發一個新機種,但空中巴士在這之前已推出最新一款搭載經濟型引擎的A320neo,為了追趕上其進度,波音決定修改既有的737機型,加上更大、更高效能的引擎。

737是一架雙層的大型客機,設計構想源自1964年,是目前史上銷售最好的商用客機。

20190325NT01P2 (圖片來源:波音)

由於737機型的光榮暢銷史,波音不假思索地僅修改引擎和更新功能,便打造出這架737 Max,似乎馬上就受到顧客青睞。

但從工程開發的角度來看,737 Max是完全不同的產品。波音的工程師們必須想方設法將較大的引擎裝入這機身較窄的客機內。團隊們最後想到一個辦法,就是將新的引擎放在機翼上,也因此改變了飛機「升力(lift)」的特性。

在測試過程中,這種新的配置方式傾向於將機頭上推,在某些時候會產生失速的狀況(stall)。為了解決此一狀況,波音的工程師增加了稱為MCAS的新軟體,如果飛機計算出即將失速,就會將爬升中的機頭向下推,以避免失速情況發生。

現在,所有的注意力都放在MCAS。

一些初步的報告將事故原因導向MCAS的功能失誤。當中假設故障的感測器在獅子航空起飛時,錯誤地觸動了MCAS。

紐約時報在3月15日報導了關於衣索比亞航空失事的新聞。報導中提到了用來控制水平尾翼(horizontal stabilizer)角度的「制動螺杆(jackscrew)」,推測MCAS觸動水平尾翼,因此強制機頭朝下。此情況與去年十月份獅航空難的情況類似。

安裝MCAS便無後顧之憂?

雖然波音堅持MCAS的設計是為了讓737 Max更安全,但事實上,由於737 Max的運作方式與737不同,737 Max必須裝設MCAS。

新機型的運作行為改變,MCAS可居中修正。在現有的飛行控制系統中增加了新的MCAS程式碼,以防止新引擎破壞穩定俯仰。

加大和重新置放737引擎帶來無法預期的危險。懷疑加入MCAS功能後會造成事故的想法是否不合理?

假設如此,正如任何嵌入式系統專家皆可證實的情況,加入MCAS功能也許會違反安全關鍵系統設計的第一條規則。

Barr Group聯合創辦人兼技術長Michael Barr本身也是嵌入式軟體專家,他曾提到系統安全功能不能事後添加。他說:「它必須從一開始就設計到系統中。」他曾帶領開發團隊發現軟體缺陷是造成豐田汽車(Toyota)暴衝(SUA)的原因。

訓練落差

安全性並不是促使波音將 MCAS添加到B737 Max的唯一原因。波音希望確保新飛機像之前的737飛機一樣操作,加上B737 Max本身的修改不大,因此認為機師不需要重新接受培訓。

據報導,波音對於變更設計這件事輕描淡寫,希望不要驚動到美國聯邦航空總署。該公司希望採用模擬器讓機師了解新舊737系統差異,並避免美國聯邦航空總署下令重新培訓。

在最近接連發生的兩起墜機事件後,大眾的憤怒目光朝向波音的這項決策,以及美國和歐盟的監管機構一致認為機師不需要重新接受培訓,甚至不需要了解新軟體,包括新的MCAS凌駕控制(自動控制超越手控)。

換句話說,機師們並不知道MCAS的存在。

波音認為機師沒有必要知道,因為該公司認為既有的緊急程式能解決任何問題,無論是最初或是修改後的系統所造成的問題。

機師的看法

然而,現今駕駛B737 Max的機師並不認同此一觀點。

《the Atlantic》雜誌的James Fallows整理了美國飛安自願報告系統(Aviation Safety Reporting System;ASRS)最近提出的報告,他發現了一些由機師提到關於MCAS的報告。

機師們抱怨即使不想讓飛機降落,MCAS 也會強迫機頭降低。那些機師們急忙地取消MCAS功能或停止自動化系統,改採手動控制並倖免於難。

其中一位機師譴責波音提供的文件不足,他在ASRS報告中提到以下內容:

MCAS功能在飛機攻角(AOA)超過空速和高度臨界值時會開始啟動。穩定翼的遞增量限制在2.5 度,速率為每秒0.27度。在高馬赫數(Mach number)下,穩定翼的輸入量較小,在較低馬赫數時較大。一旦飛機攻角小於臨界值,或者機組人員執行手動操作,此功能將會重新設定。如果當初飛機攻角角度升高的狀況仍然存在,MCAS功能將根據目前飛機驅動時的馬赫數來命令另一個遞增的穩定翼下降。

此敘述目前不在737飛行手冊第二部分中,也不在波音飛行機組員操作手冊(FCOM)中,儘管這些內容很快地將會被列入。內容中強調,我們的飛行手冊中沒有介紹整個系統,此系統現在成為適航指令(Airworthiness Directives;AD)的主題。

我認為製造商、FAA和航空公司讓機師在沒有經過充分培訓的情況下駕駛一台舊機型所改造的新機是不合理的,僅提供可用的資源和足夠的文件檔案來瞭解飛機這種具備高度複雜性的機器更是相當不合理。這種應急式的飛機已經出現重大危險警訊,現在我們知道所使用的這套系統是容易失誤的,機師不確定這些系統是什麼、有哪些備援裝置,以及故障模式。

我不禁要問:還有什麼我不知道的?《飛行手冊》的資料不確實也不足夠,所有採用MAX載客的航空公司都必須堅持要求波音公司將所有系統納入手冊。

自動化的失誤

不可避免地,波音的MCAS功能故障事件,讓航空業以外的許多人重新思考「自動化錯誤(automation error)」的概念。

Semicast Research首席分析師 Colin Barnden 為航空自動化故障提出了三種可能情況:

1.災難性故障;

2.感測器故障導致機師失誤;

3.感測器和/或軟體故障導致自動化錯誤。

Barnden以美國航空公司1549號航班為例,提出第一種情況,鳥擊造成雙引擎故障,最著名的是電影《薩利機長:哈德遜奇蹟(Sully: Miracle on the Hudson)》和相關的媒體報導。人類天生的生存欲望讓那架飛機被迫在水上降落。

Barnden說當時有許多方式來拯救155條性命,但是我注意到「Sullenberger機長幾乎馬上啟動輔助動力系統(APU),而非採用標準作業程序中的失去推力(loss of thrust)步驟。」

他解釋,飛機尾部有一個提供電力的小渦輪機,使線傳控制系統(by-wire systems)與機上電腦足以撐到飛機降落在哈德遜河面上。「由於兩部引擎都無法運作(回復原來狀態),當電力耗盡就會墜毀。Barnden的結論是,Sullenberger展現了人工智慧所做不到的事情—臨場應變。

Barnden舉的第二個例子是法航447航班。一架從里約熱內盧飛往巴黎的國際客機於2009年6月1日墜毀。法國當局3年後發佈最終報告,飛機墜毀的原因是空速測量不一致導致自動駕駛儀斷線。機組人員的反應不當,飛機出現了空氣動力失速(aerodynamic stall),當時沒有恢復正常運作。

Barnden引用浮華世界中其中一篇稱為「人為因素」的文章:「對我來說,最有說服力的評論是作者所說的『如果機師什麼也沒做,那就是他們需要做的事。』」Barnden解釋說:「基本上,機師是一名電腦技術人員,而不是飛行員,無法理解感測器的數據。他們透過簡單的GPS速度讀數而得知是否處於失速狀態。

Barnden 解釋了一個高科技界的真理:「自動化減少了問題的數量,但隨後面臨的問題會更加複雜。這即是一個悲慘的例子。」

根據Barnden的分析,波音的MCAS軟體則是第三個例子。

他提到最近的墜機事件還沒有發現太多詳細原因,但似乎與軟體控制凌駕機師手動控制有關,據稱是為了確保安全性。他說:「目前發生了兩次事故,一架飛機因為這個特定的軟體系統而墜毀。看看監管機構的回應就知道了。目前所有8架波音737 Max飛機已在全球停飛,但誰知道會停飛多久? 」

他的結論是:「我們所得知的是『預期功能的失敗』,回到你最近在SOTIF上發表的預期功能安全之文章,當中提到飛機不應該阻止機師的操作,進而墜毀。經過數十年航空自動化、駕駛艙設計和飛機人為因素的研究,以上的情況卻正在發生。」

汽車應該仿照航空業?

人們常不經意地將汽車安全與航空安全相比,並向汽車製造商建議:「為什麼不採取航空業的方法呢?」

不幸地是,Koopman認為兩者完全不同,就像蘋果和橘子一樣。電腦導航與操控、具有備援硬體與近乎完美的軟體能適用於汽車,但航空業中常見的高品質設計與零件不可能在汽車業使用。此外,最大的差異在於人,大部分的汽車駕駛並非受過高度專業訓練,Koopman提到:「每年要舉辦路考?駕駛需要先接受一段時間的模擬器訓練,以了解發生事故時該如何反應?」

對於汽車駕駛來說,這些都無法執行。

考慮到許多因素,包含每年的行駛時間、與航空業相比的每輛汽車安全成本,Koopman總結:「在航空業推動自動化駕駛會比在汽車業容易。」

20190325NT01P3 (圖片來源:Phil Koopman)

缺乏標準或產業監督也是妨礙發展自駕車安全的因素。簡單地說,汽車和航空業受到的監管程度完全不同。

美國聯邦航空總署在設計查核和驗證,以及實施這些措施方面,比美國國家公路交通安全管理局(NHTSA)有更大的監督權力。

另一方面,正如國家科學院國家研究委員會的一份報告結論中提到:「NHTSA沒有制定自己的設計和實施標準,也沒有要求製造商遵循協力廠商的標準來指導設計、開發和評估過程,例如軟體程式碼的測試。」

看到波音MCAS的真實案例,如果航空業尚無法在機器與人之間的互動方面達到正確的自動化。對於自駕車產業來說,是否會面臨更嚴峻的挑戰?

我希望我不是唯一擔心自駕車將來若發生災難行事故時而感到畏縮的人。請記住,自駕車的安全目前沒有聯邦機構來監管它,每個公司都有自己的規定,而普羅大眾將會聽信車廠的話。

(參考原文: Boeing's B737 Max and Automotive 'Autopilot',by Junko Yoshida)

自駕車議題正火熱,繼智慧型手機後,車聯網被視為未來龐大商機的重要突破,千萬不可錯過這次龍頭廠商齊聚一堂,與國際記者Junko Yoshida在論壇暢談的機會!了解詳情請連結:https://site.eettaiwan.com/events/iovev2019/index.html