波音和FAA到底犯了多少致命錯誤？_風聞

波音737-Max的停飛事態還在擴大。FAA官員説，要等到波音的飛控補丁通過測試後，才能復飛。停飛將延續到至少5月，不過沒説是5月初還是5月底。

波音方面則宣稱737-Max的交付暫停，但生產繼續。按照每月52架的產量，要不了多久，Renton工廠的停機坪就要爆滿了。根據停飛令，到時候連轉移到其他機場停放都需要FAA特許才可能，否則根本不許升空。

波音損失多少？

埃航302空難之後，波音的股票已經跌了10%以上。隨着停飛的延長，波音股票可能還會繼續跌。瑞銀估計，2019年波音應該交付579架MAX，佔737總交付量的88%（還有上一代的NG在繼續交付），價值317億美元，佔波音民機營收的48%，佔波音總營收的28%，可能佔波音利潤的82%，因為繼續熱銷的波音787在早期賠本賺吆喝，現在的利潤還在填補當年的漏洞。2018年波音營收1011億美元，2018年預期1095-1115億美元。問題是737-Max出問題之後，波音的預期還有多少能實現。

據報道，波音手頭有85億美元的現金流，另有51億美元的信用額度。應付短期沒有問題，但家大業大花銷大，如果737-Max的生產還在繼續，但交付遲遲不能恢復，資金不能回收，那波音的現金流很快就要出問題。單暫停交付一項，每個月的停飛對波音就是至少18億美元的額外損失。

更大的問題是各國航司退訂、拒收、索賠。據報道，獅航已經有意退訂222架737-Max（已交貨11架，包括墜毀的那架，尚有211架還未交付），總價值220億美元。獅航已凍結所有尚未交付的飛機，韓航也拒收。越南VietJet剛簽訂100架737-Max 8，但越南民航當局已經表示，在現在的情況下，不可能容許這些飛機在越南飛行。俄羅斯Aeroflot、泰航、肯尼亞航空、沙特Flyadeal都有退訂或者換空客的意向。中國是現有737-Max最多的國家，如果中國旅客對737家族的安全性產生懷疑而拒乘，推遲接收甚至退訂也是可能的。

退訂和索賠對波音是非常艱難的問題。一方面，那些訂購協議裏可能有眾多條款，使得“無理退訂”要承受巨大的違約金；另一方面，在安全和適航性受到威脅時，已經不是“無理退訂”了。航司因為波音的問題而被迫停飛造成的經濟損失是索賠的正當理由，但怎麼使得波音認賬，也是要看律師的本事的。

最要命的是，即使波音有足夠把握拒絕退訂和索賠，這將極大地損害與用户的關係，損害其他系列飛機的銷售和未來銷售前景。波音787鋰電池風波時，波音最後是與用户私了的，以後續銷售的降價作為補償。但737-Max的影響太大，已經交付了350架，確認已經投入日常航班運作的至少250架，而訂單高達5000架以上，索賠面太大。不可能出現全面退訂的事情，但只要有幾百架，影響就夠大。787那會兒剛交付40架，大部分航司還沒有開始航班運作，索賠的面小多了。

另一個問題就是獅航610和埃航302受難者家屬的賠償要求。先前波音把獅航610的責任推到維修和飛行員，就有逃避賠償的考慮。但如果確認埃航302的空難原因與獅航610一樣，屬於波音的設計問題，那不管獅航的維修和飛行員有什麼過錯，波音都是主要責任。這就像當年通用汽車的皮卡油箱在撞車後容易起火，責任是通用汽車的，而駕車人小心點、不撞車就沒事了這些構不成辯護的理由。但這就不容易私了了，懲罰性罰款的數額會十分巨大。對波音不僅是經濟損失，更是公關損失，賠了錢還要背上惡名。但如果斤斤計較，對遇難者家屬的要求置若罔聞，甚至惡言相向，則可能是公關災難。

美國媒體對737-Max風波的態度很有意思。在中國率先停飛的時候，一邊倒地指責中國小題大做、政治化，並與貿易摩擦扯上。現在倒是不再提這檔子事了，但着力強調波音737-Max的訂單依然強勁，飛機依然受歡迎，而旅客是健忘的，要不了多久就會忘記737-Max曾經有的安全問題了，閉口不提各國航司的退訂潮和可能出現的大面積拒收。難説這是否有藉助輿論穩定波音股票的用意，畢竟道瓊斯下跌違反所有美國人的利益，而波音是道瓊斯里的重要部分。但只要有心人時不時提醒，想健忘都難，畢竟這可是社交媒體的影響在某種程度上超過主流媒體的現在。

對事故原因的誤讀

但“看波音好戲”不是正確心態。説到底，波音倒了，只有空客的話，一家獨大的民航市場對消費者是不利的，兩霸競爭比一強獨大要好得多。三強競爭當然更好，但中國商飛要成長到波音、空客的程度還需要時間。

更加不應該有的是把技術問題庸俗化、簡單化的傾向，更不宜用想象出來的理由把波音妖魔化。

波音在737-Max的設計中不管存在什麼問題，貪婪和短視不是主要原因。就像很多成功的老字號一樣，波音最大的利益還是在於長遠的生存和發展，而不是在一時一事上的進賬。損害安全聲譽對波音的打擊是毀滅性的，波音沒有理由有意推出存在已知安全隱患的產品，在高度成熟、高度複雜的產品上犯簡單、低級錯誤更是小概率事件。

一般認為，波音737-Max 8上新增的機動特性增強系統（簡稱MCAS）是肇事的禍首，但對於737-Max為什麼需要MCAS，坊間的很多解釋應該説是誤導。

​很流行的説法是，由於波音737原始設計中起落架較短，機翼離地淨空不足，所以一代一代的737把發動機短艙逐漸前移，以在發動機短艙下唇口不至於過低而吸入地面雜物的情況下，可以把上唇口提升到機翼前方，依然得益於大直徑渦扇的省油、降噪優點。這樣，翼下發動機實際上已經成為“翼前發動機”了，由此帶來的一系列氣動變化導致必須採用MCAS以克服上揚傾向，最終導致獅航610和埃航302的慘禍。這是似是而非的。

這是從俯仰穩定性出發的説法。但俯仰穩定性最基本的道理是：在升力中心保持不變的情況下（機翼保持原位的話，大體可以認為升力中心保持不變），重心前移導致的是天然的低頭傾向，而不是抬頭傾向。所以發動機前置導致必須用MCAS抑制不由自主的抬頭是説不通的。

另一個説法是737-Max的發動機不僅前置，推力線還有所提高，導致天然的抬頭傾向，所以需要MCAS自動抑制，這也是説不通的。推力線提高同樣強化的是天然的低頭傾向，不是抬頭傾向。

還有一個説法是發動機推力線提高，噴氣氣流造成局部機翼的“升力層”破壞，導致天然的抬頭傾向。這就更奇怪了。航空上不存在升力層這樣的説法。如果這是指機翼上表面的層流狀態，737-Max本來就不是層流翼，世界上就沒有多少主流商用飛機使用層流翼設計，流行的超臨界翼更不是層流翼。最低限度，如果發動機噴流造成“升力層”破壞而導致升力損失的話，考慮到發動機推力線的位置是固定的，升力損失就不應該是偶爾出現的現象，而是每時每刻的。那737-Max也就別飛了。

事實上，從波音737-Max、787、777X到空客320NEO、330NEO、350XWB，甚至到中國C919，縱觀採用翼下發動機佈局的現代民航客機，很難找到發動機不前置的，發動機外涵道噴口的位置差不多都與機翼前緣齊平，甚至領先於機翼前緣。現代客機的推力線也遠遠高於波音707的時代，發動機短艙的上唇口幾乎與機翼前緣齊平。換句話説，如果737-Max的發動機位置錯了，那全世界的客機設計都錯了。

很多人把737-Max的問題怪罪於發動機前置

但787也是這樣的

777X也是一樣的

空客的A320NEO同樣發動機前置

A3450XWB也沒有不同

中國的C919也同樣發動機前置

再有一個説法是發動機短艙前移，造成大迎角狀態下風壓分佈向前移動，形成抬頭傾向，這個説法有點道理，但還是有問題。

迎角是機體軸線指向與飛機運動軌跡之間的夾角，大迎角狀態下迎風動壓確實可以很顯著，面積分布向前移動造成抬頭傾向是可能的。但風壓下的抬頭傾向最終是由重心前後下視投影面積決定的，只要重心前的投影面積小於重心後的投影面積，就是穩定的，任何上揚傾向都會在風壓作用下自然回中。737-Max的發動機前移了，但後機體也加長了，重心前後的投影面積分佈光靠目測很難看出變化，除非有精確的設計數據證明，否則只能相信波音不至於犯這樣的低級錯誤。

737NG和Max的重心線前後的投影面積分佈光靠目測是難以確定的

應該指出的是，如果設計的時候就有所考慮，發動機短艙的圓唇口是可以產生升力的，這好比把圓唇口當作環形翼，將導致在大迎角狀態產生強烈上揚傾向。但一般圓唇口是按照不產生升力來設計的。升力説到底是用阻力換來的，環形翼的升阻比不如常規機翼，還增加種種飛控難題，所以發動機短艙一般是按照最低阻力、無升力設計的，737-Max也不例外。

有意思的是，波音在申請型號適航認證（由於是作為737NG的改進型申請的，所以是補充適航認證，不是全新申請）時，確實提到MCAS是為了抑制上揚傾向而新增的，但這是因為LEAP發動機比CFM56推力更大的原因。翼下發動機的推力線低，天然具有使得飛機抬頭的傾向。在設計時適當考慮，這並不是問題。但基本設計沒有大改而推力顯著增加時，就可能有上揚傾向問題。這麼説來，737-Max的推力線抬高，實際上還是緩解了上揚傾向的。當然，緩解不夠，需要用MCAS來補償。應該指出的是，這隻有在高原、高温起飛、大迎角爬升而需要最大推力的時候容易出現，巡航的時候推力要求很低，沒有這個問題。

737-100沒有上揚問題，但不是發動機位置或者推力線的關係，而是推力不足

比較公認沒有問題的737NG（上）和Max（下），兩者發動機位置沒有原則差別

波音用MCAS來補償這個問題。MCAS在以下情況會自動觸發：

1. 迎角過高

2. 自動駕駛脱開

3. 襟翼收上位

4. 急轉彎

但在以下情況會停止工作：

1. 迎角充分較低

2. 飛行員手動超越控制（但MCAS會在10秒鐘後會自動再次切入）

MCAS要切除，需要把這兩個紅東西一起拔出

MCAS的開關線路圖，有興趣的可以研究一下

MCAS是用於大迎角時的失速保護的，所以第一個條件很顯然。這也是在手動飛行階段才需要的，換句話説，主要用於起飛和降落階段萬一飛行員操縱過度導致迎角過大，巡航階段通常轉入自動駕駛儀狀態，沒有這個問題。在起飛和降落狀態中，起飛和爬升更容易出現迎角過大的情況。降落一般這個問題不大，沒有民航飛行員試圖像航母上掛攔阻索那樣降落客機的，起落架都受不了。當然，緊急情況的迫降除外，但那時所有的自動東西都應該切除，免得礙事。襟翼是增升用的，起飛離地、轉入爬升的時候收起襟翼，因為已經達到一定的空速，這時應該降低阻力、儘快爬升、轉入巡航狀態了。急轉彎實際上也是大迎角飛行，只是迎角的平面“橫躺下來”了。轉彎過急也是會失速的。

這些切入條件沒有大問題，問題出在退出條件。迎角充分降低可以是MCAS或者手動降低迎角的結果，既然降低了，就不再需要失速保護，這沒有問題。問題在於儀表出錯。獅航610和埃航302的迎角傳感器的出錯機制現在還不清楚，可能與結冰有關，也可能無關。問題在於出錯後怎麼辦。

波音和FAA犯了什麼錯？

波音737的基本設計是50年前的，當年採用雙重迎角傳感器，由飛行員手動全程控制起飛和着陸，這是符合安全要求的。幾十年下來，各種自動增穩（像MCAS）逐步加上，一方面改善了操縱性和安全性，另一方面也悄悄地改變了對儀表可靠性的要求。由於737-Max是“補充適航認證”，當年認為安全的，現在“沒有改變”的話，還繼續承認是安全的。問題在於如何判斷“沒有改變”。

MCAS 只使用兩個迎角傳感器中的一個，形成了單點故障源。在全人工年代，飛行員可以比較兩個傳感器，結合其他傳感器和直接的座艙觀察，可以有效地感知迎角，並加以適當的控制。但自控系統不能簡單地把兩個迎角傳感器統統接上，因為單從這兩者之間是無法判斷哪一個故障的。進一步接入其他傳感器大大增加系統複雜性（包括間接判讀，因為其他傳感器並不是直接用於迎角測量的，還有數據率和可靠性問題），實際上增加了故障源和故障模式，並不是越多越好的。

但MCAS這樣高權限的關鍵系統對於迎角傳感器單點故障缺乏保護是不可思議的，最低限度，應該有兩個迎角傳感器之間的偏差報警，甚至在偏差超限時自動禁止MCAS介入，因為此時MCAS的迎角讀書已經不可靠了。MCAS這樣有單點故障風險的高權限關鍵系統顯然超越了“沒有改變”，FAA這次是失職的。

​波音的補丁正是增加了這樣的偏差報警，並容許飛行員決定哪一個傳感器依然可靠，命令MCAS從那個迎角傳感器讀取迎角測量數據。這是比現狀進了一步，但依然不理想。更可靠的辦法是增加迎角傳感器，實現真正的冗餘。

最初級的是雙重冗餘，A、B系統都是單重的，但有系統自檢，發現故障時自動切換到備份系統，平時也在主要和備份系統之間定時切換，確保都在可靠工作狀態。但這對MCAS現在的故障模式用處不大，迎角傳感器故障難以自檢，就像眼前一片漆黑，單靠眼睛是無法判別到底是天黑了，還是眼睛被矇住了一樣。

進一步是三取二冗餘，在A、B、C三個系統裏隨時自動比較，偏差小的兩個被認為是可靠的，偏差大的那個自動被屏蔽出去。不過一旦三重降級為雙重後，就回到上面雙重的情況了。

更進一步是四重冗餘，這有多種方法。一個方法是按照三重冗餘運行，第四個系統作為備份，三重裏的故障系統被屏蔽出去後，備份系統自動加入，維持三重冗餘。備份系統隨時與主要系統比較，並定時輪換，確保可靠工作。另一個辦法是直接四取三，在把故障系統屏蔽出去後，降級為三重。

冗餘系統在理論上可靠性更高，但複雜性大大增加。比較和切換機制本身的可靠性有可能成為單點故障源，所以對可靠性的貢獻並不是那麼簡單。

有人把MCAS的問題歸結於737-Max依然使用機液飛控而不是數字飛控，這是似是而非的。不解決單點故障問題的話，數字飛控是一樣的問題，不因為數字了就自然安全了。數字飛控在飛行員的操縱桿輸入和最終的氣動控制面動作之間增加一層“過濾”，只容許“合法”輸入通過，對於“非法”輸入加以約束甚至屏蔽，這其實就是MCAS在做的事情。數字飛控從操縱桿到控制面“一條龍”，機液飛控加MCAS在操縱桿的“旁邊”增加強制接管，兩者在失速保護方面的實際效果是一樣的。737-Max有很多可以得益於數字飛控的地方，但失速保護方面數字飛控不比MCAS有更多的“魔術”。而且737-Max改數字飛控就要魔改，超過補充適航認證的範圍了，也就不符合737從NG大改到Max的初衷了。

波音的第二個錯誤是對MCAS的權限不加限制，容許MCAS一路把氣動控制面打到極限位置。有的時候確實需要最大限度的控制量，但如果過度控制是因為系統出錯的原因，這是要出大事情的，而且到時候連人工干預都拉不回來了。這好比汽車的自動車道保持，“看到”接近車道線了，自動回中一點。但要是車道線因為劃線不清楚或者老線新線重疊錯亂，而自控不加限制，可能就不只是回中，而是一路把方向盤打到底，那時駕車人連手動拉回來都不一定有機會。一般對於這樣的控制系統要加以限制，比如自動回中最多能打到多少度，超過這個極限了，發出警報，並要求人工接管。

波音的補丁正是包括了對最大控制量的限制，FAA要到獅航610之後才對波音提出有關要求也是很不應該的。

波音的第三個錯誤是MCAS在飛行員手動超越後再次自動切入。計算機和飛行員誰更容易犯錯誤，這是哲學問題了。但現有適航和安全法規裏都是以飛行員的判斷為準，否則早就該把飛行員下崗、統統全自動飛行了。在技術上，自動起飛、自動巡航、自動降落早已能夠做到，在基本體制上還是以飛行員為核心正是因為還存在太多的自控系統故障模式，自控系統無法完全、可靠地自主解決。另外，將一飛機人的生死完全交給自控系統負責，在倫理上也還過不了這個坎。

因此，在道理上，飛行員的手動超越應該具有最高權限，沒有任何自控系統可以否決。但數字飛控和MCAS正是為了防止飛行員的大意和粗暴操作而存在的。這兩者如何權衡是很微妙的問題，沒有一言以蔽之的錦囊妙計。但這像美國國會與總統的互相否決權限一樣，不能來回無休止地互相否決。在原則上，自控系統第一次否決飛行員的操縱桿輸入後，飛行員如果對自控反否決，自控就不應該再次否決飛行員。這首先是因為飛行員有最高權限，其次是因為飛行員顯然已經確認自控的否決不合理。在這裏，波音讓MCAS反覆否決飛行員的手動超越控制，這是非常不合理的，FAA讓這樣的控制邏輯過關更是失職。

但坊間有很多説法，把波音飛控軟件的問題歸咎於外包給印度。首先，現在沒有證據表明MCAS的軟件外包到了印度。其次印度之所以成為軟件大國，並不是因為無能。相反，印度軟件人員的素質沒有問題。個人在工作中接觸過印度軟件人員編制的工業控制軟件源代碼，對他們的結構化、規範化水平印象深刻。他們的軟件或許缺乏想象力和效率，讀起來甚至有拖沓、廢話多的感覺，但易讀，易查錯，一致性好。這對大型軟件是十分重要的，也是中國軟件欠缺的。華為為了證實自己的安全性，把核心軟件開放給英國的信息安全機構審查，結論是：軟件本身並無安全漏洞或者任何隱患，但結構性、易讀性、一致性不足，到了需要擴展或者查錯的時候，一盤“亂麪條”根本無從下手。華為在堅持“這不是問題”幾年後，不再堅持，投資幾十億重寫核心軟件，正是這個原因。

再者，外包印度的只是軟件實現，功能和架構定義都來自波音。這好比美國製定了芭比娃娃的款式、顏色，東莞只是按要求用塑料、布料和人工做成具體的芭比娃娃。如果芭比娃娃賣不動，或者有安全問題，責任在美國。所以把MCAS的問題堆到印度頭上，這是不對的。

也有人指出，波音負責IT的副總裁是印度人，這也不説明任何問題。公司IT只管內網、外網和一般IT事務，不管自控這一攤。而且對波音來説，自控還分飛控的設計、製造和生產線的自控兩攤，都是互不相干的事。

印度有很多問題，但一與印度沾邊，就自動認定這是印度的問題，這是不對的。中國崛起不需要依靠貶低別人。

波音的另一個錯誤是在737-Max推出時，沒有在技術手冊裏明確説明MCAS的作用和解鎖方法，在培訓的時候，也是用737NG的模擬器，只有一些簡單的iPad、PPT資料用於Max的換型訓練。

737NG到737-Max在一般操作上沒有多少區別，這正是737-Max的賣點之一。除了MCAS，可能還真沒有什麼理由推出專門的模擬器。在設計階段，波音是把MCAS作為“對飛行員透明”的系統而定位的，所以也無需專門的MCAS訓練。因此，就當時的認知而言，波音的做法並無問題。

是否需要為了MCAS專門推出全新的模擬器，這是一個問題，但另一個問題是技術手冊。波音在手冊中確實沒有給出充分的MCAS有關信息，但這還是回到最初“對飛行員透明”的想定上，只是現在證明，這個想定是錯誤的。

技術手冊的完整性和易讀性是一個有意思的問題。從理論上來説，技術手冊應該完整，把所有功能都説明清楚。在實際上，隨着系統功能的不斷增加，手冊的更新成為“不可能的任務”，而手冊本身已經成為動輒幾千頁的巨無霸了。這已經沒有易讀性了，讀了也不可能記住、理清。

為了增加易讀性，手冊通常分成概論和細則，從一般使用、異常情況處理到設計考慮、注意事項，既要事無鉅細，又要簡潔意明。隨着複雜性的提高，再次分成概論的概論，細則的細則，最終成為一房間浩如煙海的手冊。電子化後，不需要紙質手冊了，但問題更大，手冊的通讀和查詢已經到了需要搜索軟件的地步了。

完整但不易讀因此沒人讀的手冊是沒用的，而且設計者和使用者對同一問題的視點不同，不考慮這個差別，可能雞同鴨講。在這樣的情況下，手冊內容的選取和組織成為一門藝術，甚至有專業公司專門幫助各大公司編制各種產品手冊、訓練手冊等。這些公司不是有關技術的專家，但在業主公司提供完整技術信息和手冊要求後，能有效地編寫出規範、易讀、一致性高的手冊。但這和軟件外包一樣，關鍵在於業主公司提供的信息和構架要求。

但問題都不在於誰編寫的手冊，看看自己的周圍，有多少人在買一輛汽車、一隻手機、一台電腦、一隻數碼單反後，把手冊看完，而且記住、理清的？尤其是那些手機的新應用，可能有很多意想不到的功能，但有多少人是從手冊（或者説明書、readme文件）上學的？大多數人能做到“挑重要的”看上一眼就不錯了，其他的就憑自己對相關產品的一般理解，“在用中學”了。

這在一般情況下是可以的，即使對737NG到737-Max的換型也無不可，問題在於MCAS違反了飛行員的一般理解。這牽涉到複雜系統人機設計中對人類行為和反應的推測，這是很大的話題。簡單地説，自控系統人機界面的設計要“合人性”，絕不能“反人性”。反人性的自控設計必定是雙輸。這可能是737-Max的最大教訓。

説到最大教訓，坊間不少言論把事故歸咎於過度自動化，這是不對的。自動化不是萬能的，但反自動化已經萬萬不能了。整個航空史就是自動化的歷史。萊特兄弟沒有發明飛行，甚至沒有發明動力飛行，他們的貢獻是發明了有效的橫滾控制，使得飛行安全可控。此後不久的1912年，斯派裏就發明了使用陀螺的自動駕駛儀，幫助飛行員在巡航中維持航向和姿態。100年後，波音MCAS的意圖也是幫助飛行員實現無憂慮操作，人為錯誤導致失速的先例可是很多。矯枉不宜過正。MCAS的設計錯誤必須糾正，但自動化的大方向並沒有錯。

在更加廣義的層面上，自動化不僅提高便利，也是安全的好幫手。汽車的自動擋使得無數人得以享受駕駛的樂趣和實用，ABS剎車和防滑控制則避免了很多事故，挽救了生命。事實上，離開自動化，工業革命根本就不會發生。瓦特沒有發明蒸汽機，他發明的是離心調速器。就因為這個差別，人們記住了瓦特的名字，而紐考門就只有扒故紙堆的人才知道了。

獅航610和埃航302的教訓是慘痛的，但要讀取正確的教訓，這很重要。

本文為風聞社區獨家稿件，未經授權，禁止轉載。