波音737-Max的停飞事态还在扩大。FAA官员说，要等到波音的飞控补丁通过测试后，才能复飞。停飞将延续到至少5月，不过没说是5月初还是5月底。

波音方面则宣称737-Max的交付暂停，但生产继续。按照每月52架的产量，要不了多久，Renton工厂的停机坪就要爆满了。根据停飞令，到时候连转移到其他机场停放都需要FAA特许才可能，否则根本不许升空。

波音损失多少？

埃航302空难之后，波音的股票已经跌了10%以上。随着停飞的延长，波音股票可能还会继续跌。瑞银估计，2019年波音应该交付579架MAX，占737总交付量的88%（还有上一代的NG在继续交付），价值317亿美元，占波音民机营收的48%，占波音总营收的28%，可能占波音利润的82%，因为继续热销的波音787在早期赔本赚吆喝，现在的利润还在填补当年的漏洞。2018年波音营收1011亿美元，2018年预期1095-1115亿美元。问题是737-Max出问题之后，波音的预期还有多少能实现。

据报道，波音手头有85亿美元的现金流，另有51亿美元的信用额度。应付短期没有问题，但家大业大花销大，如果737-Max的生产还在继续，但交付迟迟不能恢复，资金不能回收，那波音的现金流很快就要出问题。单暂停交付一项，每个月的停飞对波音就是至少18亿美元的额外损失。

更大的问题是各国航司退订、拒收、索赔。据报道，狮航已经有意退订222架737-Max（已交货11架，包括坠毁的那架，尚有211架还未交付），总价值220亿美元。狮航已冻结所有尚未交付的飞机，韩航也拒收。越南VietJet刚签订100架737-Max 8，但越南民航当局已经表示，在现在的情况下，不可能容许这些飞机在越南飞行。俄罗斯Aeroflot、泰航、肯尼亚航空、沙特Flyadeal都有退订或者换空客的意向。中国是现有737-Max最多的国家，如果中国旅客对737家族的安全性产生怀疑而拒乘，推迟接收甚至退订也是可能的。

退订和索赔对波音是非常艰难的问题。一方面，那些订购协议里可能有众多条款，使得“无理退订”要承受巨大的违约金；另一方面，在安全和适航性受到威胁时，已经不是“无理退订”了。航司因为波音的问题而被迫停飞造成的经济损失是索赔的正当理由，但怎么使得波音认账，也是要看律师的本事的。

最要命的是，即使波音有足够把握拒绝退订和索赔，这将极大地损害与用户的关系，损害其他系列飞机的销售和未来销售前景。波音787锂电池风波时，波音最后是与用户私了的，以后续销售的降价作为补偿。但737-Max的影响太大，已经交付了350架，确认已经投入日常航班运作的至少250架，而订单高达5000架以上，索赔面太大。不可能出现全面退订的事情，但只要有几百架，影响就够大。787那会儿刚交付40架，大部分航司还没有开始航班运作，索赔的面小多了。

另一个问题就是狮航610和埃航302受难者家属的赔偿要求。先前波音把狮航610的责任推到维修和飞行员，就有逃避赔偿的考虑。但如果确认埃航302的空难原因与狮航610一样，属于波音的设计问题，那不管狮航的维修和飞行员有什么过错，波音都是主要责任。这就像当年通用汽车的皮卡油箱在撞车后容易起火，责任是通用汽车的，而驾车人小心点、不撞车就没事了这些构不成辩护的理由。但这就不容易私了了，惩罚性罚款的数额会十分巨大。对波音不仅是经济损失，更是公关损失，赔了钱还要背上恶名。但如果斤斤计较，对遇难者家属的要求置若罔闻，甚至恶言相向，则可能是公关灾难。

美国媒体对737-Max风波的态度很有意思。在中国率先停飞的时候，一边倒地指责中国小题大做、政治化，并与贸易摩擦扯上。现在倒是不再提这档子事了，但着力强调波音737-Max的订单依然强劲，飞机依然受欢迎，而旅客是健忘的，要不了多久就会忘记737-Max曾经有的安全问题了，闭口不提各国航司的退订潮和可能出现的大面积拒收。难说这是否有借助舆论稳定波音股票的用意，毕竟道琼斯下跌违反所有美国人的利益，而波音是道琼斯里的重要部分。但只要有心人时不时提醒，想健忘都难，毕竟这可是社交媒体的影响在某种程度上超过主流媒体的现在。

对事故原因的误读

但“看波音好戏”不是正确心态。说到底，波音倒了，只有空客的话，一家独大的民航市场对消费者是不利的，两霸竞争比一强独大要好得多。三强竞争当然更好，但中国商飞要成长到波音、空客的程度还需要时间。

更加不应该有的是把技术问题庸俗化、简单化的倾向，更不宜用想象出来的理由把波音妖魔化。

波音在737-Max的设计中不管存在什么问题，贪婪和短视不是主要原因。就像很多成功的老字号一样，波音最大的利益还是在于长远的生存和发展，而不是在一时一事上的进账。损害安全声誉对波音的打击是毁灭性的，波音没有理由有意推出存在已知安全隐患的产品，在高度成熟、高度复杂的产品上犯简单、低级错误更是小概率事件。

一般认为，波音737-Max 8上新增的机动特性增强系统（简称MCAS）是肇事的祸首，但对于737-Max为什么需要MCAS，坊间的很多解释应该说是误导。

很流行的说法是，由于波音737原始设计中起落架较短，机翼离地净空不足，所以一代一代的737把发动机短舱逐渐前移，以在发动机短舱下唇口不至于过低而吸入地面杂物的情况下，可以把上唇口提升到机翼前方，依然得益于大直径涡扇的省油、降噪优点。这样，翼下发动机实际上已经成为“翼前发动机”了，由此带来的一系列气动变化导致必须采用MCAS以克服上扬倾向，最终导致狮航610和埃航302的惨祸。这是似是而非的。

这是从俯仰稳定性出发的说法。但俯仰稳定性最基本的道理是：在升力中心保持不变的情况下（机翼保持原位的话，大体可以认为升力中心保持不变），重心前移导致的是天然的低头倾向，而不是抬头倾向。所以发动机前置导致必须用MCAS抑制不由自主的抬头是说不通的。

另一个说法是737-Max的发动机不仅前置，推力线还有所提高，导致天然的抬头倾向，所以需要MCAS自动抑制，这也是说不通的。推力线提高同样强化的是天然的低头倾向，不是抬头倾向。

还有一个说法是发动机推力线提高，喷气气流造成局部机翼的“升力层”破坏，导致天然的抬头倾向。这就更奇怪了。航空上不存在升力层这样的说法。如果这是指机翼上表面的层流状态，737-Max本来就不是层流翼，世界上就没有多少主流商用飞机使用层流翼设计，流行的超临界翼更不是层流翼。最低限度，如果发动机喷流造成“升力层”破坏而导致升力损失的话，考虑到发动机推力线的位置是固定的，升力损失就不应该是偶尔出现的现象，而是每时每刻的。那737-Max也就别飞了。

事实上，从波音737-Max、787、777X到空客320NEO、330NEO、350XWB，甚至到中国C919，纵观采用翼下发动机布局的现代民航客机，很难找到发动机不前置的，发动机外涵道喷口的位置差不多都与机翼前缘齐平，甚至领先于机翼前缘。现代客机的推力线也远远高于波音707的时代，发动机短舱的上唇口几乎与机翼前缘齐平。换句话说，如果737-Max的发动机位置错了，那全世界的客机设计都错了。



很多人把737-Max的问题怪罪于发动机前置



但787也是这样的



777X也是一样的



空客的A320NEO同样发动机前置



A3450XWB也没有不同



中国的C919也同样发动机前置

再有一个说法是发动机短舱前移，造成大迎角状态下风压分布向前移动，形成抬头倾向，这个说法有点道理，但还是有问题。

迎角是机体轴线指向与飞机运动轨迹之间的夹角，大迎角状态下迎风动压确实可以很显著，面积分布向前移动造成抬头倾向是可能的。但风压下的抬头倾向最终是由重心前后下视投影面积决定的，只要重心前的投影面积小于重心后的投影面积，就是稳定的，任何上扬倾向都会在风压作用下自然回中。737-Max的发动机前移了，但后机体也加长了，重心前后的投影面积分布光靠目测很难看出变化，除非有精确的设计数据证明，否则只能相信波音不至于犯这样的低级错误。



737NG和Max的重心线前后的投影面积分布光靠目测是难以确定的

应该指出的是，如果设计的时候就有所考虑，发动机短舱的圆唇口是可以产生升力的，这好比把圆唇口当作环形翼，将导致在大迎角状态产生强烈上扬倾向。但一般圆唇口是按照不产生升力来设计的。升力说到底是用阻力换来的，环形翼的升阻比不如常规机翼，还增加种种飞控难题，所以发动机短舱一般是按照最低阻力、无升力设计的，737-Max也不例外。

有意思的是，波音在申请型号适航认证（由于是作为737NG的改进型申请的，所以是补充适航认证，不是全新申请）时，确实提到MCAS是为了抑制上扬倾向而新增的，但这是因为LEAP发动机比CFM56推力更大的原因。翼下发动机的推力线低，天然具有使得飞机抬头的倾向。在设计时适当考虑，这并不是问题。但基本设计没有大改而推力显著增加时，就可能有上扬倾向问题。这么说来，737-Max的推力线抬高，实际上还是缓解了上扬倾向的。当然，缓解不够，需要用MCAS来补偿。应该指出的是，这只有在高原、高温起飞、大迎角爬升而需要最大推力的时候容易出现，巡航的时候推力要求很低，没有这个问题。



737-100没有上扬问题，但不是发动机位置或者推力线的关系，而是推力不足





比较公认没有问题的737NG（上）和Max（下），两者发动机位置没有原则差别

波音用MCAS来补偿这个问题。MCAS在以下情况会自动触发：

1. 迎角过高

2. 自动驾驶脱开

3. 襟翼收上位

4. 急转弯

但在以下情况会停止工作：

1. 迎角充分较低

2. 飞行员手动超越控制（但MCAS会在10秒钟后会自动再次切入）



MCAS要切除，需要把这两个红东西一起拔出





MCAS的开关线路图，有兴趣的可以研究一下

MCAS是用于大迎角时的失速保护的，所以第一个条件很显然。这也是在手动飞行阶段才需要的，换句话说，主要用于起飞和降落阶段万一飞行员操纵过度导致迎角过大，巡航阶段通常转入自动驾驶仪状态，没有这个问题。在起飞和降落状态中，起飞和爬升更容易出现迎角过大的情况。降落一般这个问题不大，没有民航飞行员试图像航母上挂拦阻索那样降落客机的，起落架都受不了。当然，紧急情况的迫降除外，但那时所有的自动东西都应该切除，免得碍事。襟翼是增升用的，起飞离地、转入爬升的时候收起襟翼，因为已经达到一定的空速，这时应该降低阻力、尽快爬升、转入巡航状态了。急转弯实际上也是大迎角飞行，只是迎角的平面“横躺下来”了。转弯过急也是会失速的。

这些切入条件没有大问题，问题出在退出条件。迎角充分降低可以是MCAS或者手动降低迎角的结果，既然降低了，就不再需要失速保护，这没有问题。问题在于仪表出错。狮航610和埃航302的迎角传感器的出错机制现在还不清楚，可能与结冰有关，也可能无关。问题在于出错后怎么办。

波音和FAA犯了什么错？

波音737的基本设计是50年前的，当年采用双重迎角传感器，由飞行员手动全程控制起飞和着陆，这是符合安全要求的。几十年下来，各种自动增稳（像MCAS）逐步加上，一方面改善了操纵性和安全性，另一方面也悄悄地改变了对仪表可靠性的要求。由于737-Max是“补充适航认证”，当年认为安全的，现在“没有改变”的话，还继续承认是安全的。问题在于如何判断“没有改变”。

MCAS 只使用两个迎角传感器中的一个，形成了单点故障源。在全人工年代，飞行员可以比较两个传感器，结合其他传感器和直接的座舱观察，可以有效地感知迎角，并加以适当的控制。但自控系统不能简单地把两个迎角传感器统统接上，因为单从这两者之间是无法判断哪一个故障的。进一步接入其他传感器大大增加系统复杂性（包括间接判读，因为其他传感器并不是直接用于迎角测量的，还有数据率和可靠性问题），实际上增加了故障源和故障模式，并不是越多越好的。

但MCAS这样高权限的关键系统对于迎角传感器单点故障缺乏保护是不可思议的，最低限度，应该有两个迎角传感器之间的偏差报警，甚至在偏差超限时自动禁止MCAS介入，因为此时MCAS的迎角读书已经不可靠了。MCAS这样有单点故障风险的高权限关键系统显然超越了“没有改变”，FAA这次是失职的。

波音的补丁正是增加了这样的偏差报警，并容许飞行员决定哪一个传感器依然可靠，命令MCAS从那个迎角传感器读取迎角测量数据。这是比现状进了一步，但依然不理想。更可靠的办法是增加迎角传感器，实现真正的冗余。

最初级的是双重冗余，A、B系统都是单重的，但有系统自检，发现故障时自动切换到备份系统，平时也在主要和备份系统之间定时切换，确保都在可靠工作状态。但这对MCAS现在的故障模式用处不大，迎角传感器故障难以自检，就像眼前一片漆黑，单靠眼睛是无法判别到底是天黑了，还是眼睛被蒙住了一样。

进一步是三取二冗余，在A、B、C三个系统里随时自动比较，偏差小的两个被认为是可靠的，偏差大的那个自动被屏蔽出去。不过一旦三重降级为双重后，就回到上面双重的情况了。

更进一步是四重冗余，这有多种方法。一个方法是按照三重冗余运行，第四个系统作为备份，三重里的故障系统被屏蔽出去后，备份系统自动加入，维持三重冗余。备份系统随时与主要系统比较，并定时轮换，确保可靠工作。另一个办法是直接四取三，在把故障系统屏蔽出去后，降级为三重。

冗余系统在理论上可靠性更高，但复杂性大大增加。比较和切换机制本身的可靠性有可能成为单点故障源，所以对可靠性的贡献并不是那么简单。

有人把MCAS的问题归结于737-Max依然使用机液飞控而不是数字飞控，这是似是而非的。不解决单点故障问题的话，数字飞控是一样的问题，不因为数字了就自然安全了。数字飞控在飞行员的操纵杆输入和最终的气动控制面动作之间增加一层“过滤”，只容许“合法”输入通过，对于“非法”输入加以约束甚至屏蔽，这其实就是MCAS在做的事情。数字飞控从操纵杆到控制面“一条龙”，机液飞控加MCAS在操纵杆的“旁边”增加强制接管，两者在失速保护方面的实际效果是一样的。737-Max有很多可以得益于数字飞控的地方，但失速保护方面数字飞控不比MCAS有更多的“魔术”。而且737-Max改数字飞控就要魔改，超过补充适航认证的范围了，也就不符合737从NG大改到Max的初衷了。

波音的第二个错误是对MCAS的权限不加限制，容许MCAS一路把气动控制面打到极限位置。有的时候确实需要最大限度的控制量，但如果过度控制是因为系统出错的原因，这是要出大事情的，而且到时候连人工干预都拉不回来了。这好比汽车的自动车道保持，“看到”接近车道线了，自动回中一点。但要是车道线因为划线不清楚或者老线新线重叠错乱，而自控不加限制，可能就不只是回中，而是一路把方向盘打到底，那时驾车人连手动拉回来都不一定有机会。一般对于这样的控制系统要加以限制，比如自动回中最多能打到多少度，超过这个极限了，发出警报，并要求人工接管。

波音的补丁正是包括了对最大控制量的限制，FAA要到狮航610之后才对波音提出有关要求也是很不应该的。

波音的第三个错误是MCAS在飞行员手动超越后再次自动切入。计算机和飞行员谁更容易犯错误，这是哲学问题了。但现有适航和安全法规里都是以飞行员的判断为准，否则早就该把飞行员下岗、统统全自动飞行了。在技术上，自动起飞、自动巡航、自动降落早已能够做到，在基本体制上还是以飞行员为核心正是因为还存在太多的自控系统故障模式，自控系统无法完全、可靠地自主解决。另外，将一飞机人的生死完全交给自控系统负责，在伦理上也还过不了这个坎。

因此，在道理上，飞行员的手动超越应该具有最高权限，没有任何自控系统可以否决。但数字飞控和MCAS正是为了防止飞行员的大意和粗暴操作而存在的。这两者如何权衡是很微妙的问题，没有一言以蔽之的锦囊妙计。但这像美国国会与总统的互相否决权限一样，不能来回无休止地互相否决。在原则上，自控系统第一次否决飞行员的操纵杆输入后，飞行员如果对自控反否决，自控就不应该再次否决飞行员。这首先是因为飞行员有最高权限，其次是因为飞行员显然已经确认自控的否决不合理。在这里，波音让MCAS反复否决飞行员的手动超越控制，这是非常不合理的，FAA让这样的控制逻辑过关更是失职。

但坊间有很多说法，把波音飞控软件的问题归咎于外包给印度。首先，现在没有证据表明MCAS的软件外包到了印度。其次印度之所以成为软件大国，并不是因为无能。相反，印度软件人员的素质没有问题。个人在工作中接触过印度软件人员编制的工业控制软件源代码，对他们的结构化、规范化水平印象深刻。他们的软件或许缺乏想象力和效率，读起来甚至有拖沓、废话多的感觉，但易读，易查错，一致性好。这对大型软件是十分重要的，也是中国软件欠缺的。华为为了证实自己的安全性，把核心软件开放给英国的信息安全机构审查，结论是：软件本身并无安全漏洞或者任何隐患，但结构性、易读性、一致性不足，到了需要扩展或者查错的时候，一盘“乱面条”根本无从下手。华为在坚持“这不是问题”几年后，不再坚持，投资几十亿重写核心软件，正是这个原因。

再者，外包印度的只是软件实现，功能和架构定义都来自波音。这好比美国制定了芭比娃娃的款式、颜色，东莞只是按要求用塑料、布料和人工做成具体的芭比娃娃。如果芭比娃娃卖不动，或者有安全问题，责任在美国。所以把MCAS的问题堆到印度头上，这是不对的。

也有人指出，波音负责IT的副总裁是印度人，这也不说明任何问题。公司IT只管内网、外网和一般IT事务，不管自控这一摊。而且对波音来说，自控还分飞控的设计、制造和生产线的自控两摊，都是互不相干的事。

印度有很多问题，但一与印度沾边，就自动认定这是印度的问题，这是不对的。中国崛起不需要依靠贬低别人。

波音的另一个错误是在737-Max推出时，没有在技术手册里明确说明MCAS的作用和解锁方法，在培训的时候，也是用737NG的模拟器，只有一些简单的iPad、PPT资料用于Max的换型训练。

737NG到737-Max在一般操作上没有多少区别，这正是737-Max的卖点之一。除了MCAS，可能还真没有什么理由推出专门的模拟器。在设计阶段，波音是把MCAS作为“对飞行员透明”的系统而定位的，所以也无需专门的MCAS训练。因此，就当时的认知而言，波音的做法并无问题。

是否需要为了MCAS专门推出全新的模拟器，这是一个问题，但另一个问题是技术手册。波音在手册中确实没有给出充分的MCAS有关信息，但这还是回到最初“对飞行员透明”的想定上，只是现在证明，这个想定是错误的。

技术手册的完整性和易读性是一个有意思的问题。从理论上来说，技术手册应该完整，把所有功能都说明清楚。在实际上，随着系统功能的不断增加，手册的更新成为“不可能的任务”，而手册本身已经成为动辄几千页的巨无霸了。这已经没有易读性了，读了也不可能记住、理清。

为了增加易读性，手册通常分成概论和细则，从一般使用、异常情况处理到设计考虑、注意事项，既要事无巨细，又要简洁意明。随着复杂性的提高，再次分成概论的概论，细则的细则，最终成为一房间浩如烟海的手册。电子化后，不需要纸质手册了，但问题更大，手册的通读和查询已经到了需要搜索软件的地步了。

完整但不易读因此没人读的手册是没用的，而且设计者和使用者对同一问题的视点不同，不考虑这个差别，可能鸡同鸭讲。在这样的情况下，手册内容的选取和组织成为一门艺术，甚至有专业公司专门帮助各大公司编制各种产品手册、训练手册等。这些公司不是有关技术的专家，但在业主公司提供完整技术信息和手册要求后，能有效地编写出规范、易读、一致性高的手册。但这和软件外包一样，关键在于业主公司提供的信息和构架要求。

但问题都不在于谁编写的手册，看看自己的周围，有多少人在买一辆汽车、一只手机、一台电脑、一只数码单反后，把手册看完，而且记住、理清的？尤其是那些手机的新应用，可能有很多意想不到的功能，但有多少人是从手册（或者说明书、readme文件）上学的？大多数人能做到“挑重要的”看上一眼就不错了，其他的就凭自己对相关产品的一般理解，“在用中学”了。

这在一般情况下是可以的，即使对737NG到737-Max的换型也无不可，问题在于MCAS违反了飞行员的一般理解。这牵涉到复杂系统人机设计中对人类行为和反应的推测，这是很大的话题。简单地说，自控系统人机界面的设计要“合人性”，绝不能“反人性”。反人性的自控设计必定是双输。这可能是737-Max的最大教训。

说到最大教训，坊间不少言论把事故归咎于过度自动化，这是不对的。自动化不是万能的，但反自动化已经万万不能了。整个航空史就是自动化的历史。莱特兄弟没有发明飞行，甚至没有发明动力飞行，他们的贡献是发明了有效的横滚控制，使得飞行安全可控。此后不久的1912年，斯派里就发明了使用陀螺的自动驾驶仪，帮助飞行员在巡航中维持航向和姿态。100年后，波音MCAS的意图也是帮助飞行员实现无忧虑操作，人为错误导致失速的先例可是很多。矫枉不宜过正。MCAS的设计错误必须纠正，但自动化的大方向并没有错。

在更加广义的层面上，自动化不仅提高便利，也是安全的好帮手。汽车的自动挡使得无数人得以享受驾驶的乐趣和实用，ABS刹车和防滑控制则避免了很多事故，挽救了生命。事实上，离开自动化，工业革命根本就不会发生。瓦特没有发明蒸汽机，他发明的是离心调速器。就因为这个差别，人们记住了瓦特的名字，而纽考门就只有扒故纸堆的人才知道了。

狮航610和埃航302的教训是惨痛的，但要读取正确的教训，这很重要