爱吱声

标题: 重访737MAX和MCAS话题 [打印本页]
作者: 晨枫    时间: 2022-6-4 02:17
标题: 重访737MAX和MCAS话题
这是老话题了。本来没什么新意可侃,但看到Smithsonian上一段节目,解开了一个谜:为什么MCAS会只用一个迎角传感器。7 j! l+ z9 B% ]( I0 a5 @
# Y: N; p7 v3 M( G4 p, d  d
MCAS的两次致命失事都是因为迎角传感器故障。要命的是,这是单信号源,没有交叉校验和备份,完全不符合关键控制系统的基本可靠性要求。这是大学毕业设计都不敢犯的初级错误,波音怎么会栽在这上面?
- S$ Q6 ~5 a4 o; W/ I% ?! L1 e0 T' g3 j! ~# m$ Q; H9 w
按照电视上的说法(没看到是否ACI的,没看到片头,后半段都在讲FAA失职的事情,没有新意,跳过去不看了),MCAS最初是为高空失速设计的,避免飞行员出于本能拉杆、加推力,这是法航443的失事情况。在这个时候,MCAS是迎角传感器和速度、加速度传感器交叉检验的。+ u( F6 X- }# V8 r, G

% v* s# b6 I2 a. X+ I% `但后来发现,起飞时也可能出现上扬问题。这可能是发动机增大直径而被迫前移的结果,在大迎角飞行时,迎面气动压力形成额外的上扬力矩。为了维持与NG相同的手感,MCAS也用于这个设定,自动压一点机头。问题起飞时速度、加速度都小,所以MCAS只能把速度、加速度传感器的交叉检验取消,就剩迎角传感器了。+ e' P$ }/ j9 c7 V
( p+ X: ?  _2 A; k, m
这是scope creep的问题,也是设计改变时的工程管理问题。一般设计改变都是细节改变,但涉及设计基础的改变,就要特别小心,很多原先论证和验证过没问题的地方,都必须重新论证和检验,MCAS就是出大乱子的情况。这将成为全世界工程教育里风险管理的失败范例年年讲月月讲天天讲。* F2 W" z; d8 A7 e& [' U! u) t& F

  A: v) Q$ W) W- v: l用软件模拟原有操作习惯没错,错在技术风险管理上。
& A. i8 l0 x4 d. p3 o& Y
* l+ t. [( t3 _' c很多人指责没有飞行员的换型训练,这貌似有道理,但实际上没有触及问题的实质。MCAS的目的就是维持原来的操控感觉。迎角传感器失效导致的问题严重性是设计时没有考虑到的,训练中就不会有这样的“考题”。波音只要求2小时iPad培训就可以换型。如果MCAS设计达标,这2小时还真是足够了。但MCAS设计出了问题,额外的培训并不解决问题。想不到的就考不到,再培训也白搭。
# o2 w0 N+ L; ~" {2 ?. j
# b; m3 `6 W- ]+ V6 a: q还有一个问题是手册里没有详细描述MCAS的功能。这也是似是而非的。现代软件的功能太多了,太具体的描述使得手册根本不可读,也没人能记得住。MCAS可不是唯一的改动。有谁把手机从iPhone11换到12时,去把手册全部重读一遍的?估计手册里对一些“显而易见”的改动也不会详细描述,尽管MCAS的改变在这里远远不是显而易见的。9 V, O9 K% A& T9 }

6 B/ r( w! B0 N+ U  v- `' ]& hFAA把80%的认证“外包”給波音,这是另一个大错误。但随着系统功能和复杂性的爆炸性提高,FAA要全部包干认证,需要极大增加人手和认证时间,FAA根本管不过来。在理论上,这是唯一可靠的做法。在现实中,这极大地增加认证成本和时间,到了FAA不可能管过来的地步了。FAA可是从航电、结构、材料一直到座椅、机上娱乐、卫生间、厨房甚至外表油漆、内饰涂料都要认证的。这个问题不好办。现在肯定是宁可错杀三千不可错过一个,但长远来说,还是要有一个办法,既满足安全,又降低认证成本,这个时间和金钱成本最后都是要转嫁到用户的。以后人工智能、高度自动化、数字化越来越多了,问题更大。
8 L9 T; k7 _* w; ]% V  U& j3 G5 r& l! ?7 C' T' o
从FAA的角度来说,波音既有偷工减料的动机,更有确保不会真有安全隐患的动机,出事了最大的输家还是波音。MAX的灾难确实证明了这一点。但FAA以后还会“外包”部份低级、元件级认证吗?估计还是会的。在航空之外,化工厂排放是政府监管的,关键的项目政府直接监管,但一般监控(噪声、放空燃烧黑烟、NOx、水质PH等)政府管不过来,靠自觉申报,但抓住漏报、瞒报不仅重罚,特别针对你的额外政府监管都要企业出钱,中兴被罚后还要出钱请美国常驻合规官就是这样的情况。所以FAA vs波音认证,这个事情不那么黑白分明。
3 w7 e  t" N! F( P" F7 \9 \. r2 d. M2 ], N8 j
至于波音高层用修修补补冒充全新产品,这是全世界商家都做的事情,只要用户买单,安全上不可出问题,就不是罪过。至于这是不是好的商业战略,就是另外的问题了。. T: f5 ~0 ~+ M' W9 y' Z

% L4 e7 c1 z) S* b( {波音的安全文化肯定出了大问题,这没什么可说的,该罚罚,该杀杀,但MCAS的问题不是罚和杀就解决的。说起来,MCAS的问题和F-35一样,不简单,也因此没有简单的解决方案。
作者: ilcc    时间: 2022-6-4 04:15
晨大,现在737Max 算过关了吗?前几天刚坐了一回,登机了才想起来。
作者: 数值分析    时间: 2022-6-4 04:23
很多人指责没有飞行员的换型训练,这貌似有道理,但实际上没有触及问题的实质。MCAS的目的就是维持原来的操控感觉。迎角传感器失效导致的问题严重性是设计时没有考虑到的,训练中就不会有这样的“考题”。波音只要求2小时iPad培训就可以换型。如果MCAS设计达标,这2小时还真是足够了。但MCAS设计出了问题,额外的培训并不解决问题。想不到的就考不到,再培训也白搭。

( w) B4 R' \5 h8 G这一段的逻辑有点异议.
- o% |! x' _- ^7 X. x: b晨大的逻辑是:MCAS仰角检测在低速时没有交叉验证这个问题是个系统中物理存在但未被发现的问题,所以如果有换型培训自然也不会涉及到这个问题.所以换型训练无助于解决这个问题
& E/ g7 U6 y8 m% i( m8 e. t但主张换型训练的人的逻辑是,如果不强行取消换型训练,就不需要强行模拟ng的操作手感,于是MCAS系统根本不需要在低速下运作(训练飞行员手动压杆即可),也就根本不会有MCAS仰角检测在低速时没有交叉验证这个问题.
作者: 法乎其上    时间: 2022-6-4 04:26
波音的安全文化肯定出了大问题
$ y$ {1 r7 F4 X* Q$ R  a
不如放大一下,你看看会不会违和:' r6 I! _# k" _9 [
波音的文化肯定出了大问题0 e+ ^) Y% c0 _& N
美国的文化出了大问题7 V4 }- `4 r1 x2 n$ B5 P
美国出了大问题。
" R( N8 E5 Y6 O4 [+ W2 N+ ~, f8 F+ F' N
这种事情是没有救的,除非断尾求生,但人类没有那个本事。不死无法重生。
作者: 晨枫    时间: 2022-6-4 05:31
ilcc 发表于 2022-6-3 14:15
) v, r3 k8 e  k+ _晨大,现在737Max 算过关了吗?前几天刚坐了一回,登机了才想起来。
8 R4 l% ~6 T6 `2 s0 V
现在算过关了。所有已知问题都解决了。乘坐的舒适应该还是不错的?
作者: 晨枫    时间: 2022-6-4 05:33
数值分析 发表于 2022-6-3 14:23% Q! g0 H1 a: r) Q0 w# {8 }( ]
这一段的逻辑有点异议.0 X& c, Z. G2 G
晨大的逻辑是:MCAS仰角检测在低速时没有交叉验证这个问题是个系统中物理存在但未被 ...
但主张换型训练的人的逻辑是,如果不强行取消换型训练,就不需要强行模拟ng的操作手感,于是MCAS系统根本不需要在低速下运作(训练飞行员手动压杆即可),也就根本不会有MCAS仰角检测在低速时没有交叉验证这个问题.

/ |$ \9 Y& @, J2 a! r5 U/ d! H. W5 r0 E3 m5 ]
要强行作为counter argument是可以的,但这就破坏了business case,所以是不成立的。business case就是不需飞行员重新培训。
作者: ilcc    时间: 2022-6-4 06:20
晨枫 发表于 2022-6-4 05:31
" X5 R/ }$ D) ~- D4 X现在算过关了。所有已知问题都解决了。乘坐的舒适应该还是不错的?
6 R) z2 ?% t7 ^/ X: v
没有特别感觉,因为都坐满了。飞机到是比较新。
作者: 面朝大海    时间: 2022-6-4 07:44
司机同志真的是孜孜不倦专业黑三五,连埋汰波音时也要拉上三五陪骂
作者: 的名    时间: 2022-6-4 10:23
晨枫 发表于 2022-6-3 16:31
7 r% L" i' R- O* {1 n现在算过关了。所有已知问题都解决了。乘坐的舒适应该还是不错的?
1 c  I! v5 U& S6 ~
是怎么解决的?增加了交叉校验和备份么?如果没增加的话感觉还是不放心啊
作者: 晨枫    时间: 2022-6-4 11:00
的名 发表于 2022-6-3 20:23
0 F* `: S0 k7 z7 D% v. [" R" Q1 R是怎么解决的?增加了交叉校验和备份么?如果没增加的话感觉还是不放心啊 ...
, s1 t2 J; }% }9 {4 i; z
具体我忘了,FAA和波音至少不会在同一个坑里掉两次,还没有那么蠢。
作者: 景景行行    时间: 2022-6-14 00:45
的名 发表于 2022-6-4 10:23
* c* u2 u8 b0 {3 n; Q3 K3 Y9 M+ N是怎么解决的?增加了交叉校验和备份么?如果没增加的话感觉还是不放心啊 ...
: l9 j1 o" g- C
在两个迎角风标的基础上增加了一个软件计算迎角,三校验防差错。
作者: 晨枫    时间: 2022-6-14 02:07
景景行行 发表于 2022-6-13 10:45
% A* G9 ^$ `3 d" k5 a在两个迎角风标的基础上增加了一个软件计算迎角,三校验防差错。

& m9 ~1 g1 a4 i0 o软件风标用什么输入?惯导+GPS?权重不能和硬件风标一样吧?
( P3 f) F5 T9 S. w& i7 G- f  L0 }4 z9 b# v2 w" @) y
也好,至少有一个出错时,自动切除MCAS,提示飞行员“现在全手动”了,而不是MCAS和飞行员斗智斗勇,那真是混蛋透顶的设计。
作者: 景景行行    时间: 2022-6-17 00:50
晨枫 发表于 2022-6-14 02:07
% s4 v  W; C! t0 T6 V% c/ H软件风标用什么输入?惯导+GPS?权重不能和硬件风标一样吧?
; e9 u/ b: }8 |; Z% n9 }. ?, H) m# d+ m+ B+ P9 @, K' C1 b' w
也好,至少有一个出错时,自动切除MCAS,提 ...

4 ^8 }+ G" ?3 T  w) d具体怎么做是波音的专有信息,不过无外乎空速高度过载姿态等几个飞行参数。好多年前就有论文讲过了。Synthetic air data system都有维基百科页面了。
作者: 清凉山    时间: 2022-6-17 01:38
晨枫 发表于 2022-6-14 02:076 E* @, `. \  J3 R$ p8 t
软件风标用什么输入?惯导+GPS?权重不能和硬件风标一样吧?0 n- j; t6 V/ C

0 e2 x0 o* ?3 t4 r- _2 W) G也好,至少有一个出错时,自动切除MCAS,提 ...
4 A7 {3 r+ z; q

; H$ e( q/ j& B6 x% U- e8 q看过一起马航的事件,起飞前忘记把空速管套子拿掉,升空后没有空速!好在330还有软件合成空速备份,慌乱一阵子后还是安全返航了。



欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2