| 送交者: Fremont[♂☆★★声望品衔11★★☆♂] 于 2019-03-22 12:47 已读 116 次 | Fremont的个人频道 |
回答: 737Max的问题到底是什么 由 大刀片片 于 2019-03-22 12:30
再有一个说法是发动机短舱前移,造成大迎角状态下风压分布向前移动,形成抬头倾向,这个说法有点道理,但还是有问题。 6parker.com 6park.com迎角是机体轴线指向与飞机运动轨迹之间的夹角,大迎角状态下迎风动压确实可以很显著,面积分布向前移动造成抬头倾向是可能的。但风压下的抬头倾向最终是由重心前后下视投影面积决定的,只要重心前的投影面积小于重心后的投影面积,就是稳定的,任何上扬倾向都会在风压作用下自然回中。737-Max的发动机前移了,但后机体也加长了,重心前后的投影面积分布光靠目测很难看出变化,除非有精确的设计数据证明,否则只能相信波音不至于犯这样的低级错误。 6parker.com 6park.com737NG和Max的重心线前后的投影面积分布光靠目测是难以确定的 6parker.com 6park.com应该指出的是,如果设计的时候就有所考虑,发动机短舱的圆唇口是可以产生升力的,这好比把圆唇口当作环形翼,将导致在大迎角状态产生强烈上扬倾向。但一般圆唇口是按照不产生升力来设计的。升力说到底是用阻力换来的,环形翼的升阻比不如常规机翼,还增加种种飞控难题,所以发动机短舱一般是按照最低阻力、无升力设计的,737-Max也不例外。 6parker.com 6park.com有意思的是,波音在申请型号适航认证(由于是作为737NG的改进型申请的,所以是补充适航认证,不是全新申请)时,确实提到MCAS是为了抑制上扬倾向而新增的,但这是因为LEAP发动机比CFM56推力更大的原因。翼下发动机的推力线低,天然具有使得飞机抬头的倾向。在设计时适当考虑,这并不是问题。但基本设计没有大改而推力显著增加时,就可能有上扬倾向问题。这么说来,737-Max的推力线抬高,实际上还是缓解了上扬倾向的。当然,缓解不够,需要用MCAS来补偿。应该指出的是,这只有在高原、高温起飞、大迎角爬升而需要最大推力的时候容易出现,巡航的时候推力要求很低,没有这个问题。 6parker.com 6park.com737-100没有上扬问题,但不是发动机位置或者推力线的关系,而是推力不足 6parker.com 6park.com比较公认没有问题的737NG(上)和Max(下),两者发动机位置没有原则差别 6parker.com 6park.com波音用MCAS来补偿这个问题。MCAS在以下情况会自动触发: 6parker.com 6park.com1. 迎角过高 6parker.com 6park.com2. 自动驾驶脱开 6parker.com 6park.com3. 襟翼收上位 6parker.com 6park.com4. 急转弯 6parker.com 6park.com但在以下情况会停止工作: 6parker.com 6park.com1. 迎角充分较低 6parker.com 6park.com2. 飞行员手动超越控制(但MCAS会在10秒钟后会自动再次切入) 6parker.com 6park.comMCAS要切除,需要把这两个红东西一起拔出 6parker.com 6park.comMCAS的开关线路图,有兴趣的可以研究一下 6parker.com 6park.comMCAS是用于大迎角时的失速保护的,所以第一个条件很显然。这也是在手动飞行阶段才需要的,换句话说,主要用于起飞和降落阶段万一飞行员操纵过度导致迎角过大,巡航阶段通常转入自动驾驶仪状态,没有这个问题。在起飞和降落状态中,起飞和爬升更容易出现迎角过大的情况。降落一般这个问题不大,没有民航飞行员试图像航母上挂拦阻索那样降落客机的,起落架都受不了。当然,紧急情况的迫降除外,但那时所有的自动东西都应该切除,免得碍事。襟翼是增升用的,起飞离地、转入爬升的时候收起襟翼,因为已经达到一定的空速,这时应该降低阻力、尽快爬升、转入巡航状态了。急转弯实际上也是大迎角飞行,只是迎角的平面“横躺下来”了。转弯过急也是会失速的。 6parker.com 6park.com这些切入条件没有大问题,问题出在退出条件。迎角充分降低可以是MCAS或者手动降低迎角的结果,既然降低了,就不再需要失速保护,这没有问题。问题在于仪表出错。狮航610和埃航302的迎角传感器的出错机制现在还不清楚,可能与结冰有关,也可能无关。问题在于出错后怎么办。 6parker.com 6park.com波音和FAA犯了什么错? 6parker.com 6park.com波音737的基本设计是50年前的,当年采用双重迎角传感器,由飞行员手动全程控制起飞和着陆,这是符合安全要求的。几十年下来,各种自动增稳(像MCAS)逐步加上,一方面改善了操纵性和安全性,另一方面也悄悄地改变了对仪表可靠性的要求。由于737-Max是“补充适航认证”,当年认为安全的,现在“没有改变”的话,还继续承认是安全的。问题在于如何判断“没有改变”。 6parker.com 6park.comMCAS 只使用两个迎角传感器中的一个,形成了单点故障源。在全人工年代,飞行员可以比较两个传感器,结合其他传感器和直接的座舱观察,可以有效地感知迎角,并加以适当的控制。但自控系统不能简单地把两个迎角传感器统统接上,因为单从这两者之间是无法判断哪一个故障的。进一步接入其他传感器大大增加系统复杂性(包括间接判读,因为其他传感器并不是直接用于迎角测量的,还有数据率和可靠性问题),实际上增加了故障源和故障模式,并不是越多越好的。 6parker.com 6park.com但MCAS这样高权限的关键系统对于迎角传感器单点故障缺乏保护是不可思议的,最低限度,应该有两个迎角传感器之间的偏差报警,甚至在偏差超限时自动禁止MCAS介入,因为此时MCAS的迎角读书已经不可靠了。MCAS这样有单点故障风险的高权限关键系统显然超越了“没有改变”,FAA这次是失职的。 6parker.com 6park.com波音的补丁正是增加了这样的偏差报警,并容许飞行员决定哪一个传感器依然可靠,命令MCAS从那个迎角传感器读取迎角测量数据。这是比现状进了一步,但依然不理想。更可靠的办法是增加迎角传感器,实现真正的冗余。 6parker.com 6park.com最初级的是双重冗余,A、B系统都是单重的,但有系统自检,发现故障时自动切换到备份系统,平时也在主要和备份系统之间定时切换,确保都在可靠工作状态。但这对MCAS现在的故障模式用处不大,迎角传感器故障难以自检,就像眼前一片漆黑,单靠眼睛是无法判别到底是天黑了,还是眼睛被蒙住了一样。 6parker.com 6park.com进一步是三取二冗余,在A、B、C三个系统里随时自动比较,偏差小的两个被认为是可靠的,偏差大的那个自动被屏蔽出去。不过一旦三重降级为双重后,就回到上面双重的情况了。 6parker.com 6park.com更进一步是四重冗余,这有多种方法。一个方法是按照三重冗余运行,第四个系统作为备份,三重里的故障系统被屏蔽出去后,备份系统自动加入,维持三重冗余。备份系统随时与主要系统比较,并定时轮换,确保可靠工作。另一个办法是直接四取三,在把故障系统屏蔽出去后,降级为三重。 6parker.com 6park.com冗余系统在理论上可靠性更高,但复杂性大大增加。比较和切换机制本身的可靠性有可能成为单点故障源,所以对可靠性的贡献并不是那么简单。 6parker.com 6park.com有人把MCAS的问题归结于737-Max依然使用机液飞控而不是数字飞控,这是似是而非的。不解决单点故障问题的话,数字飞控是一样的问题,不因为数字了就自然安全了。数字飞控在飞行员的操纵杆输入和最终的气动控制面动作之间增加一层“过滤”,只容许“合法”输入通过,对于“非法”输入加以约束甚至屏蔽,这其实就是MCAS在做的事情。数字飞控从操纵杆到控制面“一条龙”,机液飞控加MCAS在操纵杆的“旁边”增加强制接管,两者在失速保护方面的实际效果是一样的。737-Max有很多可以得益于数字飞控的地方,但失速保护方面数字飞控不比MCAS有更多的“魔术”。而且737-Max改数字飞控就要魔改,超过补充适航认证的范围了,也就不符合737从NG大改到Max的初衷了。 6parker.com 6park.com波音的第二个错误是对MCAS的权限不加限制,容许MCAS一路把气动控制面打到极限位置。有的时候确实需要最大限度的控制量,但如果过度控制是因为系统出错的原因,这是要出大事情的,而且到时候连人工干预都拉不回来了。这好比汽车的自动车道保持,“看到”接近车道线了,自动回中一点。但要是车道线因为划线不清楚或者老线新线重叠错乱,而自控不加限制,可能就不只是回中,而是一路把方向盘打到底,那时驾车人连手动拉回来都不一定有机会。一般对于这样的控制系统要加以限制,比如自动回中最多能打到多少度,超过这个极限了,发出警报,并要求人工接管。 6parker.com 6park.com波音的补丁正是包括了对最大控制量的限制,FAA要到狮航610之后才对波音提出有关要求也是很不应该的。 6parker.com 6park.com波音的第三个错误是MCAS在飞行员手动超越后再次自动切入。计算机和飞行员谁更容易犯错误,这是哲学问题了。但现有适航和安全法规里都是以飞行员的判断为准,否则早就该把飞行员下岗、统统全自动飞行了。在技术上,自动起飞、自动巡航、自动降落早已能够做到,在基本体制上还是以飞行员为核心正是因为还存在太多的自控系统故障模式,自控系统无法完全、可靠地自主解决。另外,将一飞机人的生死完全交给自控系统负责,在伦理上也还过不了这个坎。 6parker.com 6park.com因此,在道理上,飞行员的手动超越应该具有最高权限,没有任何自控系统可以否决。但数字飞控和MCAS正是为了防止飞行员的大意和粗暴操作而存在的。这两者如何权衡是很微妙的问题,没有一言以蔽之的锦囊妙计。但这像美国国会与总统的互相否决权限一样,不能来回无休止地互相否决。在原则上,自控系统第一次否决飞行员的操纵杆输入后,飞行员如果对自控反否决,自控就不应该再次否决飞行员。这首先是因为飞行员有最高权限,其次是因为飞行员显然已经确认自控的否决不合理。在这里,波音让MCAS反复否决飞行员的手动超越控制,这是非常不合理的,FAA让这样的控制逻辑过关更是失职。 6parker.com 6park.com但坊间有很多说法,把波音飞控软件的问题归咎于外包给印度。首先,现在没有证据表明MCAS的软件外包到了印度。其次印度之所以成为软件大国,并不是因为无能。相反,印度软件人员的素质没有问题。个人在工作中接触过印度软件人员编制的工业控制软件源代码,对他们的结构化、规范化水平印象深刻。他们的软件或许缺乏想象力和效率,读起来甚至有拖沓、废话多的感觉,但易读,易查错,一致性好。这对大型软件是十分重要的,也是中国软件欠缺的。华为为了证实自己的安全性,把核心软件开放给英国的信息安全机构审查,结论是:软件本身并无安全漏洞或者任何隐患,但结构性、易读性、一致性不足,到了需要扩展或者查错的时候,一盘“乱面条”根本无从下手。华为在坚持“这不是问题”几年后,不再坚持,投资几十亿重写核心软件,正是这个原因。 6parker.com 6park.com再者,外包印度的只是软件实现,功能和架构定义都来自波音。这好比美国制定了芭比娃娃的款式、颜色,东莞只是按要求用塑料、布料和人工做成具体的芭比娃娃。如果芭比娃娃卖不动,或者有安全问题,责任在美国。所以把MCAS的问题堆到印度头上,这是不对的。 6parker.com 6park.com也有人指出,波音负责IT的副总裁是印度人,这也不说明任何问题。公司IT只管内网、外网和一般IT事务,不管自控这一摊。而且对波音来说,自控还分飞控的设计、制造和生产线的自控两摊,都是互不相干的事。 6parker.com 6park.com印度有很多问题,但一与印度沾边,就自动认定这是印度的问题,这是不对的。中国崛起不需要依靠贬低别人。 6parker.com 6park.com波音的另一个错误是在737-Max推出时,没有在技术手册里明确说明MCAS的作用和解锁方法,在培训的时候,也是用737NG的模拟器,只有一些简单的iPad、PPT资料用于Max的换型训练。 6parker.com 6park.com737NG到737-Max在一般操作上没有多少区别,这正是737-Max的卖点之一。除了MCAS,可能还真没有什么理由推出专门的模拟器。在设计阶段,波音是把MCAS作为“对飞行员透明”的系统而定位的,所以也无需专门的MCAS训练。因此,就当时的认知而言,波音的做法并无问题。 6parker.com 6park.com是否需要为了MCAS专门推出全新的模拟器,这是一个问题,但另一个问题是技术手册。波音在手册中确实没有给出充分的MCAS有关信息,但这还是回到最初“对飞行员透明”的想定上,只是现在证明,这个想定是错误的。 6parker.com 6park.com技术手册的完整性和易读性是一个有意思的问题。从理论上来说,技术手册应该完整,把所有功能都说明清楚。在实际上,随着系统功能的不断增加,手册的更新成为“不可能的任务”,而手册本身已经成为动辄几千页的巨无霸了。这已经没有易读性了,读了也不可能记住、理清。 6parker.com 6park.com为了增加易读性,手册通常分成概论和细则,从一般使用、异常情况处理到设计考虑、注意事项,既要事无巨细,又要简洁意明。随着复杂性的提高,再次分成概论的概论,细则的细则,最终成为一房间浩如烟海的手册。电子化后,不需要纸质手册了,但问题更大,手册的通读和查询已经到了需要搜索软件的地步了。 6parker.com 6park.com完整但不易读因此没人读的手册是没用的,而且设计者和使用者对同一问题的视点不同,不考虑这个差别,可能鸡同鸭讲。在这样的情况下,手册内容的选取和组织成为一门艺术,甚至有专业公司专门帮助各大公司编制各种产品手册、训练手册等。这些公司不是有关技术的专家,但在业主公司提供完整技术信息和手册要求后,能有效地编写出规范、易读、一致性高的手册。但这和软件外包一样,关键在于业主公司提供的信息和构架要求。 6parker.com 6park.com但问题都不在于谁编写的手册,看看自己的周围,有多少人在买一辆汽车、一只手机、一台电脑、一只数码单反后,把手册看完,而且记住、理清的?尤其是那些手机的新应用,可能有很多意想不到的功能,但有多少人是从手册(或者说明书、readme文件)上学的?大多数人能做到“挑重要的”看上一眼就不错了,其他的就凭自己对相关产品的一般理解,“在用中学”了。 6parker.com 6park.com这在一般情况下是可以的,即使对737NG到737-Max的换型也无不可,问题在于MCAS违反了飞行员的一般理解。这牵涉到复杂系统人机设计中对人类行为和反应的推测,这是很大的话题。简单地说,自控系统人机界面的设计要“合人性”,绝不能“反人性”。反人性的自控设计必定是双输。这可能是737-Max的最大教训。 6parker.com 6park.com说到最大教训,坊间不少言论把事故归咎于过度自动化,这是不对的。自动化不是万能的,但反自动化已经万万不能了。整个航空史就是自动化的历史。莱特兄弟没有发明飞行,甚至没有发明动力飞行,他们的贡献是发明了有效的横滚控制,使得飞行安全可控。此后不久的1912年,斯派里就发明了使用陀螺的自动驾驶仪,帮助飞行员在巡航中维持航向和姿态。100年后,波音MCAS的意图也是帮助飞行员实现无忧虑操作,人为错误导致失速的先例可是很多。矫枉不宜过正。MCAS的设计错误必须纠正,但自动化的大方向并没有错。 6parker.com 6park.com在更加广义的层面上,自动化不仅提高便利,也是安全的好帮手。汽车的自动挡使得无数人得以享受驾驶的乐趣和实用,ABS刹车和防滑控制则避免了很多事故,挽救了生命。事实上,离开自动化,工业革命根本就不会发生。瓦特没有发明蒸汽机,他发明的是离心调速器。就因为这个差别,人们记住了瓦特的名字,而纽考门就只有扒故纸堆的人才知道了。 6parker.com 6park.com狮航610和埃航302的教训是惨痛的,但要读取正确的教训,这很重要
请点这里投票,“赞”助支持!