“波音”事故不寻常,致命的bug你怕了吗?丨专栏

 

当地时间3月10日早晨,载有149名乘客与8名机组人员的埃塞俄比亚航空ET302号航班从亚的斯亚贝巴飞往内罗毕途中坠毁。埃航称,乘客来自33个国家,事故中没有生还者,遇难者中有8名中国人。...



一、从埃航坠毁说起

小白:埃航坠毁了,这是什么情况?

大东:当地时间3月10日早晨,载有149名乘客与8名机组人员的埃塞俄比亚航空 ET302 号航班从亚的斯亚贝巴飞往内罗毕途中坠毁。埃航称,乘客来自33个国家,事故中没有生还者,遇难者中有8名中国人。


埃塞俄比亚亚的斯亚贝巴Bishoftu附近坠机现场


小白:怎么会发生这样的事呢?埃塞俄比亚航空不是非洲获得赞誉最高的航空公司之一,拥有非常好的安全记录以及非洲大陆上最新型的机型的吗?

大东:这次的涉事飞机为一架波音737-800MAX,是几个月前才交付的新飞机。

小白:波音737-800MAX?如果我没记错这不是和去年10月29日印尼狮航坠机事件中的机型相同。

大东:是的,同一机型,而且发生坠毁的时间都是起飞几分钟后。

小白:好吓人,最近这飞机失事的新闻看多了,现在我都不敢坐飞机了,心里阴影面积太大。

二、大话始末

小白:两次事故的涉事飞机都为波音737MAX机型,这怕不能是巧合吧,这个机型的安全问题是不是该引起人们的高度重视了。

大东:有分析认为,波音737MAX配备了自动防失速系统,即“机动特性增强系统”是导致事故的原因。飞机飞行时机头越高,攻角(气流与机翼弦线之间夹角)越大,当攻角超出一定范围时,飞机面临失速风险。MAX 8配备的自动防失速系统一旦判断飞机失速,可以无需飞行员介入即接管飞机控制,并使飞机低头飞行,以改出失速。

狮航JT610遇难


小白:这看上去不是一个非常棒的系统嘛?

大东:波音公司对飞机失速保护的设想还是比较周全的,一方面可以通过飞行器失速保护系统中的处理器联接到飞机飞行控制计算机,可以对失速时的飞机进行自动控制保护;另一方面也允许飞行员进行人工干预和手动驾驶,但是实际上这两个环节可能都出现了漏洞。

小白:what?

大东:该飞行器失速保护系统在控制飞机下降时,虽然飞行员可以通过手动控制输入指令来进行干预,但是由于事发过于突然,再加上缺乏事先专门培训和警告,搞不清楚状况的飞行员很难及时完成解除风险的正确操作,不知情的地面管理机构也无法提供正确的指引或处置建议。

小白:举手,提问。失速保护系统触发和控制飞机俯冲下降时,飞行员一直在进行人工干涉,此时失速保护系统会做出何种选择?是飞行员输入指令优先?还是失速保护系统的控制软件程序优先?或是两者并行?

大东:问得好。即使处于手动飞行模式,波音737MAX上的防失速系统也可能导致飞机急剧下降时间长达10秒。飞行员在这段时间内难以控制飞机,就算飞行员手动拉起机头,5秒钟后机头又会自动重复下降过程。

小白:怎么又自动下降了呢?

大东:这就表明,在失事飞机俯冲下降时,即使是在飞行员手动飞行模式,飞机的防失速系统仍然处于激活状态,事故发生时,飞行员应该没有获得飞机的完全控制权。

小白:那么失速保护系统为何会坚持错误认为飞机处于“失速”状态?失速保护系统为什么会无视飞行员手动操作指令?

大东:失事飞机上共设有3个攻角传感器,波音失速自动保护系统的控制程序设计很奇怪,其逻辑是只要主传感器认为飞机攻角过高(机头抬得过高),飞机有失速危险,自动保护系统就可以被激活。

小白:如果只是这个主传感器发生故障了不就会导致整个系统出错。

三、致命的软件设计缺陷

小白:就因为飞机系统设计缺陷牺牲了这么多无辜的性命,也让无数家庭身处悲痛。

大东:你还记不记得2009年6月1日法航客机失踪的新闻。

小白:十年前了,这个还真不记得了,求科普。

大东:因为测量飞机空速的皮托管结冰了,导致没有空速读数,自动驾驶系统立即关闭了。

小白:那就需要飞行员来操作了。

大东:当时两个飞行员很慌乱,配合出错,并且没有听到飞机发出的失速警告,一个操纵飞机上升,一个操作飞机下降,飞机系统也没有自动修正,最终导致了悲剧的发生。

打捞法航失事客机黑匣子时的情况


小白:这次飞机系统咋不争夺飞机的控制权了。

大东:2002年1月1日,一架货运飞机和一架俄罗斯飞机在德国领空处于相撞航线上,但地面管制人员并没有发现这个情况。在空中,两架飞机相距不到一分钟的航程,这时飞机上的TCAS空中防撞系统发出警告。货运飞机的TCAS系统指示飞行员下降,俄罗斯飞机的TCAS系统指示飞行员攀升。

小白:两个空中防撞系统发出了相互协调的指令,这不正好可以避免了事故的发生嘛。

大东:但不幸的是,地面管制人员此时发现了两架飞机即将相撞,他联系上了俄罗斯飞机的机组人员,在不知道防撞系统已经发出攀升指令的情况下他向飞行员发出了相反的指令叫飞行员下降。俄罗斯飞行员最后还是遵从了航空管制的指令,开始下降。

小白:如果相信TCAS系统,而不是这个管制员,也就不会出事了。

大东:这次事件之后全世界的飞行员都要优先遵从空中防撞系统的指令,而不是航空管制发出的指令。

小白:目前的这些安全问题是因为软件逻辑本身设计缺陷造成,属于被动式安全,假设如果有黑客入侵飞机控制系统,任何一个环节都可能造成重大事故。

大东:你这么一说我想起来,最近外媒报道了一位在越洋航班闲得无聊的“网安专家”一不小心玩坏了机载娱乐系统。他“不厌其烦”的在屏幕上复制粘贴一长串字符,其中还有像“fdkfdkfdkfdkfdhhhhhhhh”这样的文字。不久之后,这个应用就卡住了。

飞机上的机载娱乐系统


小白:听得我都吓出一身冷汗,这样狂虐娱乐系统万一影响到正常飞行怎么办。

大东:好在这波操作没有带来什么损伤,不过业内专家表示,研究确实是推动安全升级的好方法,但研究行为和黑客行为之间是有边界的,即明知道自己的所作所为会产生什么样的潜在后果却没有及时收手。

小白:即使真的要测试机载娱乐系统是否有漏洞,至少也要等到飞机上没人的时候再做啊。

四、安全信息预警与启示建议

小白:事件发生了,我们要学会从中总结经验教训,对此事件咱有啥防范措施不?

大东:对于飞行员来说,如果再次发生类似事故时,机组人员仅仅依操作手册应对“攻角数据错误”很可能是不够的,飞行员可能需要马上关闭失速自动保护系统,才能获取飞机的完全控制权。

小白:平时对飞行员应该多加培训,让他们有处理这种风险的准备。

大东:另外,波音可能会对其737 MAX上失速自动保护系统进行系统更新时,解决传感器安全余度和数据真实性验证的设计缺陷,以及飞行员手动输入指令优先等问题。

小白:这个确实很重要。

大东:对于民机制造商要引以为戒,重视自动控制和自动失速保护系统的设计,避免出现安全隐患和软件设计的逻辑漏洞。

小白:但从这几次事件来看,飞行员什么时候该相信软件,什么时候该获取飞机控制权自己操控,让人很困惑,稍有不慎代价惨重。

大东:没错,所以软件在设计的时候最忌讳对非正常模式或者故障模式考虑不周全、不到位,与空客相比,波音在失速保护系统的控制程序设计方面存在软件缺陷。

小白:软件设计缺陷最为致命呀!

大东:波音公司发布了一份操作手册公告:我们已经发现飞机存在设计缺陷了,目前暂时不知道怎么改,但也不需要停飞,我们已经发了故障操作手册给飞行员了。

小白:这是什么鬼?我不要坐737MAX8型号的飞机了,太冒险了。

大东:那告诉你一个好消息,为确保飞行安全,民航局要求国内运输航空公司于2019年3月11日18时前暂停波音737-8飞机的商业运行。

小白:太棒了,为中国民航局点赞。

来源:中国科学院计算技术研究所

温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」



    关注 中科院之声


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册