2019 年 5 月
第 34 卷,第 5 期
[编者寄语]
航班故障
通过Michael Desmond |2019 年 5
.jpg "Michael Desmond")
两个严重崩溃中有五个月。不是因为在 1954 Dehavilland Comet (bit.ly/2D0z51d) 具有新的商业 jet 登机之间发生这种类型的其生命周期这么早的阶段中发生灾难。一对 Boeing 737 最大飞机,引入只是上一年和崩溃后起飞,当 Lion 空气 610 (LI610) 都急速降低到关闭印度尼西亚 Java Sea 在 2018 年 10 月和埃塞俄比亚航空公司 302 (ET302) 崩溃之外亚的斯亚贝巴 2 月分钟。在所有,346 生活都丢失。
我曾经写过之前的航班事故 ("链的灾难," msdn.com/magazine/mt573708),浏览以无线方式法国 447 2009年崩溃中播放的自动化和检测的角色。和中最新的 737 最大事故,一些相同的问题裁剪。在过去的 30 年里,商用航空明显变得更加安全,甚至是非常安全。但当事故发生时,通常是与自动化系统和控制它们的飞行员有关。
737 最大,对于引入的航班的特定点上向下简化飞机的鼻子的系统运行在最坏的时刻不正常,紧靠起飞。Maneuvering 特征扩大系统 (MCAS) 的设计使最大的行为更像其前身,广泛部署 737NG,通过在性能和高鼻子时向上 counteracting 有时间距到新的 jet 中一种趋势 737。目标是使飞没有模拟器定型时所需的 NG 飞行员,这样可以节省数百万美元的航空公司数以百万计的 737 最大值和 NG 如此相似。
并且没有难题:MCAS 必须几乎不可见。添加检测到的考核中心或特定于错误 MCAS 激活发布过程可以强制要求使用模拟器培训。因此时角度的攻击 (AoA) 传感器上 LI610 失败和上当 MCAS 起飞后不久平面的鼻子是太高,则捕获到尚未准备好的小组。飞行员重复 countermanded MCAS,仅为每向下的强制时间更高版本,使系统从鼻子取 trim 这最终将导致高速探讨。
有五个月更高版本 ET302 遇到相同的现象。调查人员报告小组做出响应这相应地,禁用在生成后半部分以防止 MCAS 强制鼻子剪裁 motors 进一步向下。但现在飞行员必须集中精力进行物理剪裁滚轮,使用电缆移动背面平面稳定。遗憾的是,在出差 jet 高速度、 aerodynamic 强制进行这不可能。时它们重新剪裁电机投标引发飞机的鼻子,MCAS 几乎立即向下推送鼻子并且小组失去控制。
调查事故到正在进行的但硬课程不断涌现。在其实现中所讨论的问题:
数据验证:中每个意外的 AoA 传感器数据已清楚地异常,尚未 MCAS 保持在每个事件激活。与此相反,autopilot 等自动化的系统通常退回到手动控制进纸是不同的数据时。
冗余:MCAS 激活从只是一个两个 AoA 传感器上 737 的最大 fuselage 根据的输入。实现第二个传感器会大幅降低意外激活的风险。
条件代码:MCAS 激活仅与 AoA 值较高的响应中。添加逻辑以应对雨燕,海拔高度和试验的输入可能会阻止不需要的激活 — 例如,无法编码 MCAS 时试验命令向上剪裁 MCAS 输入后禁用。
作用域的任务关键型:MCAS 已被描述为使飞入和效果等 737NG 飞行员 737 的最大的增强功能。尚未软件重复 counteracted 试运行命令,并最终修整成最大偏转。
透明度:MCAS 有没有 UI — 不 visual 或听觉会指示它已激活,或者遇到故障状态-和任何已发布的失败清单的试验。试验将解释为失控剪裁电机不需要的 MCAS 激活和使用该清单来关闭对马达这样做是假定。
可能在 MCAS 缺陷时可解析,更大的问题却仍如何此系统中的最后 FAA 批准飞机的设计。我希望最大值和 MCAS 将通知有数十年的时间的软件和系统开发 737 的课程。
Michael Desmond是的主编MSDN 杂志 》。