Ella Atkins是密歇根大学航空航天工程教授,专门研究自动化系统。Atkins说:“我们需要监管机构现代化。这样,企业如果要申请适航证,监管机构就能和企业技术专家深入接触。”
3月10日,埃塞俄比亚航空公司运营的一架波音737MAX飞机坠毁,这是5个月以来该机型第二次发生坠机事故。埃航事件后,波音停止了737MAX的交付。737是波音销量最佳的飞机,MAX是737的新机型。
波音公司CEO Dennis Muilenburg已经承认,737MAX机型的新型飞行控制特性——机动特性增强系统(MCAS)是坠机的一个因素(坠机事故共导致346人遇难)。此事对波音利润的影响开始显现。波音表示,该机型停飞及努力解决问题带来的初步成本达10亿美元。该公司还表示,已经停止回购股票。截至3月31日的一个季度,波音销售额同比下降2%,降至229亿美元,净利润降低13%,降至21.5亿美元。
美国联邦航空局也受到了审视。美国国会、各国航空部门组成的国际委员会、美国交通部总监察长、美国联邦检察人员都在研究MCAS的适航情况。737MAX安装的新发动机体积更大,因此飞机容易上翘。MCAS的设计初衷就是为了抵消这种趋势,在特定机动中自动压低机头。MCAS的归类是对安全并无关键影响,因此一个没有冗余的传感器就能将其激活。美国联邦航空局和波音以为,MCAS如果故障,飞行员会将其视为飞机的自动安定面配平系统出现问题(先前737机型配有该系统),按照先前已经存在的程序将其关闭。
然而,埃航空难和去年10月29日印尼狮航空难调查的先期报告显示,两起事故中,传感器失效,导致MCAS不当激活,而且飞行员无法采取行动将其抵消,结果飞机俯冲,发生致命事故。
虽然737MAX发生坠机,但是很多观察人士表示,当前的航空器软件的安全认证流程总体来说表现良好。对于安全有关键意义的程序失效,无法按照设计运行的情况很罕见。相反,问题的源头往往在于——人们未能预见到设计规格中的危险点,例如飞行员与系统互动的方式可能是出乎人们预料的,MCAS案例似乎就是如此。
麻省理工学院航空教授R. John Hansman说:“人员与自动化设置共存的系统非常难以分析。这部分是因为,人的行为并不可靠。”
软件问题造成的航空事故似乎很少(先前有一个空客A330飞机的案例,与波音737MAX坠机事件有相似之处)。航空业的变化速度缓慢,这也对安全起了帮助。飞机制造商往往每隔10到20年才推出新一代客机。为了降低成本,制造商还重复使用已经获得认证的代码,而不是完全重新编写软件。
787是波音最先进的客机。Hansman表示,即使是787的飞行控制系统,也采用了为年代久远得多的飞机编写的程序。
美国联邦航空局预算和人员有限,几十年来依靠产业界来承担航空器安全认证的多数工作。美国政府问责办公室的一份报告显示,截至2013年,该项工作有超过90%由联邦航空局监管的制造商的员工和委派咨询人员完成。软件认证流程的重点则是要阐明需要程序做什么工作,并要确保程序与上述要求匹配。联邦航空局任命的代表负责指导开发人员制订测试计划,并且审查部分测试。但是,联邦航空局本身并不实际运行任何程序。
埃航空难后,联邦航空局代局长Daniel Elwell出席国会委员会会议时表示,该局员工人数需要增加大约1万人,预算需要增加大约18亿美元,才能自行承担认证工作。
不过,专家警告称,该局需要以更加精密的手段评估针对无人机和城市空中出租车开发的算法。
斯坦福大学航空航天教授Mykel Kochenderfer是该校人工智能安全中心的联席主任,也是SAIL-丰田人工智能研究中心(SAIL-Toyota Center for AI Research)的主任。Kochenderfer表示,就当前的飞行控制系统而言,“核查的东西就是,针对给定的某些输入,是否能得到预期中的输出。”
控制自动驾驶汽车和航空器的软件必须能够从经验中学习,并且能应对设计人员未能预见到的情况。此类软件的决策可能难以解释。
Kochenderfer说:“自动化系统的行为反常时,这种行为是对还是错?有时,这种行为的解释非常复杂。”
波音Aurora Flight Sciences、德事隆旗下贝尔直升机、亿万富豪拉里·佩奇的Hawk等开发城市空中出租车的公司正在与美国联邦航空局讨论制订一个产品上市路线图。密歇根大学学者Atkins表示,上述企业和联邦航空局在计算机科学方面存在巨大的人才差距,对话的天平因此偏向产业界一方。
她表示,关键在于,联邦航空局必须聘用更多计算机科学专家,形成独立验证、核查代码的能力。
几年来,Hansman主持的一个联邦航空局研发和工程顾问委员会一再警告称,该局需要加强软件等技术领域的专业知识。但是,该局要招徕计算机科学毕业生,就要与硅谷和城市空中交通初创企业竞争,后者向人才提供了创造新事物和赚大钱的精彩机遇。要与这些地方争夺人才,挑战实在很大。
联邦航空局表示,该局官员无法接受采访。一位发言人通过电子邮件对福布斯表示,该局在计算机和自动化系统方面具有很强的能力,并且将以渐进方式引入自动化航空器。
专家表示,相信自动化系统安全性的技术问题能够解决,但是解决问题的成本是否可以负担得起,这是另一个问题。
联邦航空局要求,客机对于安全有关键意义的传感器和系统都要有冗余安排;例如,民航客机通常有3台独立的飞行引导计算机。安装后备系统,就意味着增加成本,增加重量,减少业载。鉴于多数自动空中出租车概念的尺寸较小,上述系统可能导致在商业上不合算。Hansman说:“我怀疑,能不能以负担的起的价格,在小型自动化载具实现同等的完好性。”
这样一来,就必须持续减小电子产品的尺寸。例如,霍尼韦尔已经为无人机开发的雷达传感器,尺寸和一本简装书一样。研究人员还在开发方法,用基于物理的模型来替代冗余传感器。然而,还有很多工作要做。737MAX坠机事故使人们关注飞行控制。人们意识到,机器部件可能失效,酿成灾难。这都警醒着人们,要记住此事干系重大。
明尼苏达大学航空航天工程教授Peter Seiler说:“聊聊亚马逊包裹递送,和优步城市空中出租车,倒是挺有意思。但是,不能以为自己做了一辈子飞机,飞机部件失效的事情很罕见,一切就都会天下天平。技术问题是存在的,要维持安全性和可靠性的记录,就必须解决这些问题。”