原标题:为追赶空客 FAA将安全认证外包给波音自己
埃塞俄比亚航空公司空难伤痛仍笼罩着全世界。随着调查的深入,波音公司恐怕将面临更大的质疑和危机:空难发生前11天,媒体将一份安全隐患报告发送给波音和美国联邦航空局(FAA),却石沉大海;既然波音737MAX飞行控制系统存在问题,那又是如何通过安全授权认证的?
波音总部所在地的《西雅图时报》3月17日发表一篇文章,题为“有缺陷的分析、失败的监督:波音、FAA是如何认证可疑的波音737MAX飞行控制系统的”。美国联邦政府的安全调查员认为,波音737MAX客机使用的新型飞行控制系统的安全评估存在关键疏漏,联邦政府对飞机安全认证也没有尽责。
为了追赶竞争对手空客的进度,FAA管理层不断敦促安全工程团队迅速完成授权认证,于是一边将安全认证工作委托给波音自己的团队,一方面缩减审查工作。此外,波音的737MAX客机的设计中出现系统性纰漏,并在安全评估报告中“错误”提供数据从而影响评估结果;为了吸引更多航空公司买家,波音甚至隐瞒了安装新型飞行系统一事,减少飞行员培训,以节省巨大成本作为卖点。
美国《华尔街日报》最新消息,有知情人士透露,美国交通部正在对FAA批准波音737MAX客机的情况进行调查。华尔街日报称,这是一项针对新飞机的安全批准存在潜在失误的“不寻常调查”。
西雅图时报援引FAA现任及前任工程师的话称,波音公司2015年推出737MAX新型客机后,为了获得联邦政府的认证,向FAA提交了客机新型飞行控制系统的安全评估,该系统全称是“操纵特性增加系统(Maneuvering Characteristics Augmentation System,简称MCAS)。
但是FAA工程师发现,波音提交的安全评估存在以下问题:
一、安全报告没有充分标识出新型飞行控制系统的全部动力。为了防止飞机空中失速,飞行控制系统可以转动飞机的平尾,让机头朝下。但客机服役后,MCAS转动速度要比初始安全评估标出的速度高出四倍多;
二、报告没有解释当驾驶员做出响应后系统如何及时自动复位,也未能充分考虑到系统还可能继续将机头往下推的潜在影响;
三、系统的危险评估定为“危险性”(“hazardous”)等级,比“灾难性”低了一级。即便是“危险性”等级,也不能只靠一个单一传感器的信号来阻止飞行控制系统的启动,而这套系统恰恰是这样设计的;
四、报告称,客机平尾的转动角度小于0.6度。但去年10月印尼狮航610航班坠毁后,波音公司首次向各个航空公司提供的“操纵特性增加系统”说明则把角度标成2.5度。
以上这些问题令工程师们十分震惊。去年狮航失事后的调查显示,波音737MAX客机上伸出机外的唯一传感器失灵,导致飞机坠毁之前飞行控制系统被多次启动,机头不断下推,飞行员则拼命将飞机向上拉抬。
这套新型飞行控制系统让驾驶员无法完全控制飞机。因为波音737MAX客机的引擎过大,所以在机翼上的位置必须更加靠前,从而导致客机的气动升力发生了改变。
MCAS系统如何在波音737MAX客机上运行 图片来自西雅图时报
安全工程师将他们的发现告诉了西雅图时报。随后,该报在11天前、也就是埃塞俄比亚3月10日空难发生之前,将这一消息告诉了波音公司和FAA,但都没有得到任何回应。
3月15日,FAA表示,对波音737MAX客机的认证遵守标准程序。FAA的一位发言人表示,由于最近过于繁忙,FAA“无法置评任何详细的质询”。
3月16日,波音公司又发表声明称,“FAA在737 MAX的认证过程中考虑到了‘操纵特性增加系统’最终的装配结构和操作参数,认为该系统符合所有的认证及规章要求”。
波音还表示,由于埃塞俄比亚空难正在调查中,无法进行评论。当被问及“操纵特性增加系统”安全评估的具体情况时,波音仅表示,“很多说法都非常不准确”,但是没有直接对MACS的认证缺陷作出回应。
据FAA内部若干技术专家认为,印尼狮航坠机事故仅仅是安全认证团队做得太过的最新迹象,狮航空难调查已明确显示与MACS系统有关,而且波音公司员工对波音飞机的安全分析拥有如此大的权力是不合适的。
FAA的一位安全工程师表示,我们必须确保FAA更多地参与到故障评估和假设中去。
同时,埃塞俄比亚空难调查有了最新进展。路透社17日称,据飞机黑匣子数据显示,埃塞俄比亚波音737 MAX航班的坠毁与去年10月印尼狮航坠毁有明显相似之处。
FAA将安全认证委托给波音
据西雅图时报透露,FAA以缺乏资金和资源为由,多年来授权波音公司承担更多飞机安全认证工作。
起初在针对波音737MAX客机的安全认证中,FAA安全工程团队将一部分技术评估直接委托给波音,并将其认为更关键的一部分仍保留给FAA。
但是,数名FAA技术专家在采访中表示,在认证过程中,管理层不断催促他们加速。因为波音737MAX客机的竞争对手是欧洲空客的A320neo客机,但是波音737MAX的研发比空客晚了9个月。若想要赶超空客,时间对波音而言至关重要。
一位直接参与737MAX客机认证的前FAA安全工程师表示,在认证途中,“管理层要求我们重新评估委托授权的内容。管理层认为我们保留了太多给FAA。”
“重新评估最初决定的压力一直存在”,这位前工程师称,“即使在我们重新评估后……管理层仍在继续讨论应将更多的项目委托给波音公司。”
而且,即便是保留给FAA的一部分工作,有时仍会遭到缩减限制,比如审查波音公司提供的技术文件。他补充称,“没有对这些文件进行全面适当的审查”,“为了在特定认证期内完成,审查过程非常匆忙。”
当留给FAA技术人员的时间太短而无法完成审查时,有时要么是管理者自己签署文件,要么将审查委托给波音公司。
这位工程师表示,“只有FAA的管理人员、而不是安全机构技术专家,才拥有最终授权的权力。”
最后,波音737 MAX客机于2017年获得FAA授权认证。
美国联邦航空管理局
波音给出“错误”数据,影响评估结果
在这种氛围下,MCAS的系统安全分析,仅仅是认证所需的海量文件中的一部分,被委托给了波音公司。
波音公司向联邦航空局提供的原始文件中这样有一份说明,其中规定MCAS可移动水平翼的限制为0.6度,让飞机机头下掉的最大物理限制为5度。
但是,在印尼狮航坠机后,波音公司首次向航空公司提供有关MCAS的详细信息。相关公告中称,MCAS的权限为2.5度。
这个数字对于FAA的工程师来说是全新的,他们在此前的安全评估中只获知的是0.6度。
一位FAA工程师表示,“FAA认为这架飞机的设计极限是0.6,这也是其他外国监管机构的想法”,“这个数字会对飞机涉及的危险评估产生影响。”
更高的限制角度意味着,每次触发MCAS启动时,都会导致比原始安全分析文档所显示的出现更大角度的尾翼运动。
曾参与MAX客机认证的前FAA安全工程师,以及作为FAA授权代表参与MAX工作的前波音飞行控制工程师都表示,这些安全分析必须得到更新,从而反映飞机测试中最准确的飞行信息。
前FAA工程师表示,“这些数字应该与测试和配备的任何设计相匹配。”
不过,前波音飞行控制工程师也称,“最新的数字有可能不会出现在报告中,因为只要经过审查后,他们认为这些差异不会改变结论或增加危险评估的严重性。”
如果最终的安全评估文件做了部分更新,那么在文件中的某些地方肯定仍然包含0.6度的限制,并且这个更新没有在FAA技术评估小组中被广泛告知。
“没有一个工程师意识到存在一个更高的限制,”FAA的另一位现任工程师说。
同时,系统安全分析中的另一个元素放大了这个数字的差异:每次触发MCAS时,系统自动移动尾翼的权限都会启动;它可以被多次触发,就像印尼狮航航班所出现的问题一样。
FAA一位现任安全工程师表示,每当狮航航班的飞行员重新设置控制开关、将飞机往后拉抬时,MCAS就会启动,并“允许新的2.5度增量”,“所以,一旦它们推动几次后就会完全停止”,这意味平尾转到最大角度。
前波音飞行控制工程师、现为航空电子及卫星通信顾问的彼得·莱姆(Peter Lemme)表示,由于每次使用时MCAS都会重置,“它实际上拥有无限的权力。”
莱姆认为,“它有完全的权力将平尾运动到最大值”,但“没有必要这样做。没有人应该同意给予它无限权力。”
在狮航的初步调查报告中,黑匣子数据显示,在这一循环动作重复21次后,机长将控制权移交给副机长。当MCAS把机头往下推两到三次时,副机长只按了两下开关就会做出反应。在2.5度的权限下,两个未经校正的MCAS系统循环足以达到最大的机头下推效应。
此外,狮航黑匣子数据还显示,在最后几秒钟,机长恢复了控制,并以很大力量将飞机拉升回来,但为时已晚。飞机以每小时500英里的速度向大海俯冲。
系统设计失败:只有单个传感器
波音关于MCAS的系统安全分析的底线是,在正常飞行中,MCAS的最大假设权限为0.6度被激活,就归类为“重大故障”,这意味着它可能会对飞机上的乘客造成身体伤害,但不会导致死亡。
在极端情况下,特别是当飞机处于倾斜下降螺旋时,激活MCAS被归类为“危险故障”,这意味着它可能对少数乘客造成严重或致命伤害,但仍比“灾难性故障”低一个级别,后者代表飞机损失大量人员遇难。
曾参与MAX认证工作的前波音飞行控制工程师说,一架飞机上的系统是否可以依赖一个传感器输入,还是说必须有两个传感器输入,都由系统安全分析中的危险评估分类所决定。
他称,几乎所有商用飞机上的设备,包括各种传感器,都非常可靠足以应对“重大故障”要求,即故障概率必须小于十万分之一。因此,这类系统一般允许只靠单个输入传感器。
但是,当评估严重等级上升时,“危险性损害”等级所要求的概率更为严格,为一千万分之一,那么通常必须至少有两个单独输入渠道,以防止其中一个出现故障。
令莱姆感到不解的是,波音的系统安全分析评估将MCAS的故障定位“危险”等级,但系统触发是通过单一传感器所读取的。
和所有的737机型一样,Max机型实际上也有两个传感器,分别位于机身两侧、靠近驾驶舱的位置。但是MCAS的设计目的却是只从其中一个传感器上读取数据。
莱姆认为,波音本可以设计一个系统来比较两个传感器的读数,如果其中一个故障,系统就会显示出来;或者也可以设计成,飞机起飞前、在地面滑行时检查攻角数值是否准确,此时攻角数值应为零。“他们本可以设计一个双渠道系统,或者也可以测试地面上的攻角数值”,“但我不知道他们为什么没有这么做。”
根据初步调查报告中提供的黑匣子数据显示,两个传感器的读数不仅在整个飞行过程中相差20度,而且飞机起飞前在地面滑行时也相差20度。
没有培训,也没有事先告知
在印尼狮航失事后,全球737MAX客机飞行员都接到了关于存在MCAS的指示,以及如果系统被不当触发后该怎么办。
波音坚持认为,狮航飞行员应该已经意识到飞机在不受指令的情况下运行,应该用飞行员检查表的标准程序来应对所谓的“稳定系统失控”。如果这样做了,飞行员就会按下切断开关,阻止其运动。
波音还指出,在坠机前一天,驾驶同款飞机的飞行员经历了与印尼狮航610航班相似的情况,并做到了这一点:切断开关,重新获得控制权,然后继续飞行。
然而,飞行员和航空专家认为,狮航航班飞行中发生的事情似乎不像是自动稳定系统失控,因为这被认为是自动稳定系统拒绝关闭,并在不受控的情况下继续操纵尾翼运动。
在事故飞行中,尾翼的运动不是连续的;飞行员能够多次对抗机头下推。且当MCAS启动时,控制杆功能被禁用,飞行员无法通过向后拉控制杆拉抬机头。
上述这些差异肯定会让狮航飞行员们对正在发生的事情感到困惑。
此外,由于MCAS只在正常飞行范围外的极端情况下启动,因此波音认为737MAX飞行员不需要针对该系统进行额外培训,甚至他们不需要知道有MCAS的存在。在飞行员手册中也没有提到这件事。
这个做法使得最新款机型与现有的737机型获得共同的“类型评级”,也允许航空公司将培训减至最少。
美国航空公司联合飞行员协会发言人丹尼斯·塔杰(Dennis Tajer)表示,他从旧的737NG型飞机驾驶舱转移新737Max的培训中,只需在iPad上进行一个小时培训,而不需要模拟机训练。
最大限度地减少飞行员的过渡期培训,对波音的客户而言是一项重要的成本节约,也是这款新型飞机的一个关键卖点,目前737MAX已有5000多个订单。
波音官网向航空公司推销这架飞机时承诺,“鉴于它和下一代737的共性,当你组建737MAX机队时,将节省下数百万美元。”
飞机失事后,美国飞行业界纷纷指责波音在737MAX飞行员手册中没有提供有关MCAS或其可能故障的信息。
美国联邦航空局的一名安全工程师也认为,事先缺乏信息可能是狮航坠机的关键因素。