外媒爆猛料！为了赶时间，当年FAA竟将737 MAX安全认证委托给波音自己？

近日埃航空难中涉及到的波音新款机型737 MAX 8成为了舆论焦点。而《西雅图时报》又爆出了猛料：波音737 Max系列关键的安全认证竟是波音自己做的?

据报道，2015年，当波音公司急于赶上空客公司并认证其新推出的737 MAX时，美国联邦航空管理局(FAA)的管理人员敦促该机构的安全工程师将安全评估委托给波音公司，并迅速批准分析结果。

但波音公司向美国联邦航空局提交的MAX新型飞行控制系统的原始安全分析报告——这是一份用来证明飞机飞行安全的报告——存在几个关键缺陷。

该飞行控制系统被称为MCAS(机动特性增强系统)，目前正在接受审查。此前，这架飞机在不到五个月的时间里发生了两起坠机事故，导致美国联邦航空局周三下令停飞这架飞机。

《西雅图时报》证实，直接参与评估或熟悉这份文件的现任和前任工程师分享了波音对MCAS的“系统安全认证”的细节。

安全认证:

低估了新飞行控制系统的力量，该系统旨在旋转水平机尾，将机鼻向下推，以避免失速。

当这些飞机后来进入服役时，MCAS能够将机尾移动的距离比最初的安全分析文件中所述的远四倍以上。

未能解释每次飞行员做出反应时，该系统如何自动复位，从而忽略了该系统不断向下推飞机机鼻的潜在影响。

将系统故障评估为“灾难性”以下一级。但是，即使是“危险”的危险级别也应该阻止基于单个传感器输入的系统激活——然而，这就是它的设计方式。

接受《西雅图时报》采访并分享安全认证细节的人士都要求匿名，以保护他们在美国联邦航空局(FAA)和其他航空机构的工作。

波音公司和联邦航空局都被告知了这一事件的细节，并在11天前，也就是上周日一架波音737 MAX客机第二次坠毁前，被要求做出回应。

上周五晚些时候，美国联邦航空局表示，它遵循了MAX的标准认证程序。

一位发言人援引本周的繁忙情况说，该机构“无法深入调查任何细节”。

波音公司周六发表声明回应称，“FAA在MAX认证期间考虑了MCAS的最终配置和运行参数，并得出结论，它符合所有认证和监管要求。”

波音补充称，“由于正在进行的调查……无法置评”，该公司没有直接回应有关MCAS认证缺陷的详细描述，只是表示，“存在一些严重的误解。”

美国联邦航空局的几名技术专家说，10月份的狮航空难只是该机构的飞机认证代表团做得太过分的最新迹象。当时印尼的调查人员也明确指出了MCAS的问题。波音员工对波音飞机的安全认证有这么大的权威是不合适的。

一位联邦航空局安全工程师表示:“我们需要确保联邦航空局更多地参与故障评估，以及其中的假设。”

新飞行控制系统

与波音公司长期以来给予飞行员完全控制飞机的传统相反，MAX的新型MCAS自动飞行控制系统被设计成在后台工作，无需飞行员输入。

这是必要的，因为最新的更大的发动机必须放在机翼更前方，改变了机身的空气动力升力。

这款飞机的设计初衷是只在高速失速的极端飞行情况下自动启动，这种额外的向下推机鼻的动作会让飞行员感觉和老款737一样。

（图源：西雅图时报）

被授权代表FAA工作的波音工程师为MCAS开发了系统安全分析手册，这份文件随后被欧洲、加拿大和世界其他地方的外国航空安全监管机构共享。

该文件“旨在确保737 MAX的安全运行”，结论是该系统符合所有适用的FAA规定。

但是狮航空难的黑匣子的数据被分析后表明一个错误的传感器——机身外侧的一个叶片，用来测量飞机的“迎角”，即气流与机翼之间的夹角——使得在致命的飞行期间MCAS多次触发，开始了飞行员与自动系统的拔河比赛，系统反复往下推机鼻，而在最终坠毁之前飞行员们奋力控制着飞机，想把它重新拉起来。

周三，在宣布737 MAX停飞时，美国联邦航空局指出，狮航(Lion Air)航班的飞行轨迹与上周日埃塞俄比亚航空(Ethiopian Airlines) 302航班的坠毁有相似之处。调查人员还发现了这架埃塞俄比亚飞机的移动飞机水平尾翼的部件，这表明飞机水平尾翼的位置不同寻常——MCAS系统可能是其中一个原因。调查人员正在努力确定MCAS是否可能是两起事故的原因。

安全认证委托给波音自己?

由于缺乏资金和资源，美国联邦航空局多年来授予波音越来越大的权力，让其承担更多的工作，以证明自己飞机的安全性。

早在737 MAX获得认证之初，美国联邦航空局安全工程团队就将委托给波音的技术评估与他们认为更为关键、并将保留在美国联邦航空局内部的评估进行了划分。

但几名FAA技术专家在接受采访时表示，随着认证的进行，管理人员敦促他们加快进程。

这或许是因为波音的737 MAX的研发落后于其竞争对手空客A320neo九个月。时间对波音来说至关重要。

一位直接参与了MAX认证的前FAA安全工程师说，在认证过程进行到一半时，“管理层要求我们重新评估授权的内容。管理层认为我们在联邦航空局保留的太多了。”

这位前工程师表示:“不断有压力要求我们重新评估最初的决定。”“即使在我们重新评估之后……管理层仍在继续讨论将更多项目下放给波音公司。”

即使是FAA保留下来的工作，比如审查波音提供的技术文件，有时也会被削减。

“没有对这些文件进行全面和适当的审查，”这位前工程师补充说。“为了达到特定的认证日期，我们匆忙进行了审查。”

当FAA技术人员完成审查的时间太短时，有时管理者要么自己签署文件，要么将审查委托给波音。“联邦航空局的管理人员，而不是技术专家，拥有授权的最终权力。”工程师说。

不准确的限制范围

在这种氛围下，对MCAS的系统安全分析，只是认证所需的大量文件中的一份，被委托给了波音公司。

波音公司提供给美国联邦航空局的原始文件包括一份描述，详细说明了该系统可以移动水平机尾的极限——0.6度，而实际的最大机尾向下移动幅度仅略小于5度。

后来的飞行测试显示，当飞机面临失去升力和螺旋下降的危险时，为了避免高速失速，需要加大机尾的移动幅度，这一限制后来被提高。

飞机在高迎角失速状态下的行为很难完全通过分析来提前建模，因此，当试飞员在新飞机上进行飞行测试时，要完成失速恢复程序，调整控制软件来改进飞机性能的情况并不少见。

狮航610航班坠毁后，波音公司首次向航空公司提供了MCAS的详细信息。

波音公司向航空公司发布的公告称，MCAS的指令上限为2.5度。

对于联邦航空局的工程师来说，这是一个新数字，他们在安全评估中看到的是0.6度。

美国联邦航空局一名工程师表示:“美国联邦航空局以为，这架飞机的设计上限为0.6度，这也是外国监管机构的想法。”

“这会让你对所涉及的危险做出不同的评估。”

更高的极限意味着，每次触发MCAS时，它都会导致比原始安全分析文件中规定的更大的尾部运动。

一位从事MAX认证的前FAA安全工程师，以及一位作为FAA授权代表从事MAX认证的前波音飞行控制工程师，双方都表示，这些安全分析需要更新，以反映飞行测试后最准确的飞机信息。

这位前联邦航空局工程师表示:“这些数字应该与经过测试和部署的任何设计相匹配。”

但双方都表示，有时只是在晚些时候才会达成更新文件的协议。

这位前波音飞行控制工程师表示:“只要对最新数据进行了审查，并得出结论，这些差异不会改变危险评估的结论或严重性，就有可能不会出现最新数据。”

如果最后的安全分析文件是部分更新的，那么在某些地方它肯定仍然包含0.6度的限制，而且FAA的技术评估小组没有广泛地交流更新。

“没有一名工程师知道有更高的上限，”另一名现任FAA工程师表示。

这个数字上的差异被系统安全分析中的另一个因素放大了:每次触发MCAS时，系统移动机尾的权限的限制都适用。

它可以被触发多次，就像在狮航航班上一样。

一位现任联邦航空局安全工程师说，每次狮航航班上的飞行员重置控制栏上的开关，将机头向上拉时，MCAS就会再次启动，“允许新的2.5度增量”。

他说，“所以一旦它们推了几次，它们就会完全停止了。”意思是机尾完全旋转。

波音公司前飞行控制工程师、现任航空电子和卫星通信顾问的彼得·莱姆(Peter Lemme)说，由于MCAS每次被使用都会重置，“它实际上拥有无限的权限。”

旋转水平尾翼，也就是技术上所说的稳定器，使飞机的机头尽可能地向下推。

莱姆说:“它有充分的权力将稳定器完全移动。”

“没有必要这么做。没有人应该同意给予它无限的权力。”

在狮航(Lion Air)的航班上，当MCAS将飞机机头向下推时，机长用控制柱上的拇指开关将飞机拉了上来。MCAS仍然在错误的攻角读数下工作，每次都会开始生效，并旋转水平机尾，再把机鼻往下推。

初步调查报告中公布的黑匣子数据显示，在这个循环重复21次之后，机长将控制权交给了副机长。

当MCAS把机鼻再往下推两到三次时，副机长只按了两下拇指开关。

在2.5度的限制下，如果不进行校正，两次MCAS循环就足以达到最大的降低效果。

在最后几秒钟，黑匣子的数据显示机长恢复了控制，并以很大的力量拉了回来。

但为时已晚。飞机以每小时500多英里的速度坠入大海。

系统依赖于单个传感器

波音公司对MCAS系统安全分析的底线是，在正常飞行中，将MCAS激活到假定的最大权威0.6度，只被归类为“重大故障”，这意味着它可能会给飞机上的人带来身体上的痛苦，但不会导致死亡。

在极端机动的情况下，特别是当飞机处于倾斜下降螺旋时，MCAS的激活被归为“危险故障”，这意味着它可能会对少数乘客造成严重或致命的伤害。

这仍然比“灾难性故障”低一级。“灾难性故障”指的是飞机失事，造成多人死亡。

这位代表美国联邦航空局参与MAX认证工作的前波音飞行控制工程师表示，飞机上的系统是否可以依赖于一个传感器输入，还是必须有两个，这取决于系统安全分析中的故障分类。

他说，几乎任何商用飞机上的所有设备，包括各种传感器，都足够可靠，能够满足“重大故障”的要求，即故障的概率必须小于10万分之一。

因此，这类系统通常允许依赖于单个输入传感器。

但当评估结果更为严重时，“危险故障”要求的概率更严格，为千万分之一，那么系统通常必须至少有两个单独的输入通道，以防其中一个出错。

根据前飞行控制工程师莱姆，波音公司的系统安全分析评估应该称MCAS故障是“危险故障”，因为该系统是由单个攻角传感器读数触发的。

莱姆说:“危险故障模式单靠一个传感器，我认为这种模式不符合要求。”

像所有737一样，MAX实际上有两个传感器，一个在靠近驾驶舱的机身两侧。但是MCAS的设计只从其中一个数据中提取读数。

莱姆说，波音公司本可以设计该系统来比较两个叶片的读数，如果其中一个偏差很大，就会显示出来。

另外，该系统也可以在飞机起飞前在地面滑行时检查迎角读数是否准确，当时迎角应该为零。

“他们本可以设计一个双通道系统。或者他们也可以测试地面攻角的数值。我不知道他们为什么不这么做。”

初步调查报告中提供的黑匣子数据显示，两个传感器的读数不仅在整个飞行过程中存在约20度的差异，而且在飞机起飞前在地面滑行时也存在差异。

没有培训，没有信息

狮航坠机事件发生后，世界各地的737 MAX飞行员都被告知MCAS的存在，以及如果系统被不当触发该怎么办。

波音公司坚持认为，狮航公司的飞行员应该认识到水平稳定器是在无人指挥的情况下移动的，并且应该用一个标准的飞行员检查程序来应对所谓的“稳定器失控”。

如果他们这样做了，飞行员就会关闭控制开关，使自动稳定器的动作失效。

波音公司指出，在坠机前一天驾驶同一架飞机的飞行员经历了与610航班类似的行为，而且确实是这样做的:他们关闭了稳定器控制开关，重新控制了飞机，并继续进行剩余的飞行。

然而，飞行员和航空专家表示，在狮航的飞行中发生的事情看起来不像标准的稳定器失控，因为这被定义为尾部的连续无指令运动。

在事故飞行中，机尾的运动不是连续的;飞行员能够多次逆转机鼻朝下的动作。

此外，MCAS改变了控制开关对稳定器运动的响应。

控制开关通常应该阻止任何稳定器的机鼻朝下运动，但有了MCAS系统，控制开关功能是禁用的。

这些差异肯定会让狮航的飞行员感到困惑。

由于MCAS只能在正常飞行范围之外的极端情况下启动，波音决定737飞行员不需要额外的系统培训——实际上他们甚至不需要知道它。

他们的飞行手册中没有提到这一点。

这一立场使新机型获得了与现有737机型相同的“机型等级”，使航空公司能够将飞行员的培训降到最低。

美国航空公司(American Airlines)联合飞行员协会(Allied Pilots Association)发言人丹尼斯·塔杰尔(Dennis Tajer)表示，他在从旧的737 NG驾驶舱过渡到新的737 MAX时，只在iPad上进行了一个多小时的训练，没有进行模拟器训练。

对波音的航空客户来说，最大限度地减少飞行员过渡培训是一项重要的成本节约措施，也是这款飞机的一个关键卖点。

波音公司在其网站上向航空公司宣传这款飞机时承诺，“当你打造自己的737 MAX机群时，由于它与下一代737的共性，将节省数百万美元。”

坠机事件发生后，美国和西南航空公司飞行员工会的官员批评波音没有在737 MAX飞行员手册中提供有关MCAS或其可能故障的信息。

美国联邦航空局的一名安全工程师表示，缺乏事先的信息可能是狮航坠机事件的关键因素。

波音公司对该系统的安全分析假设，“飞行员会意识到正在发生的事情是失控，并切断开关，”这位工程师说。

“这里的假设是不正确的。人为因素没有得到恰当的评估。”

上周一，在737 MAX停飞之前，波音概述了“针对737 MAX的飞行控制软件增强”，这是该公司在狮航坠机事件后不久开发的。

根据联邦航空局给立法者的一份详细简报，波音公司将改变MCAS软件，使两个攻角传感器都能输入系统。

它还将限制MCAS在响应错误信号时移动水平机尾的程度。

当被激活时，系统将只启动一个周期，而不是多次。

波音还计划更新飞行员培训要求和机组人员手册，将MCAS纳入其中。这些提议的变更反映了本文中安全工程师的批评。在埃塞俄比亚飞机坠毁前，他们曾与《西雅图时报》交谈。

美国联邦航空局(FAA)表示，将在不迟于4月的适航指令中强制要求波音修复软件。

面对遇难者家属提起的法律诉讼，波音将不得不解释，为何这些修正不属于最初的系统设计。

联邦航空局将不得不捍卫其对该系统的安全认证。