2020年11月18日,美国联邦航空管理局批准波音737 MAX飞行,但波音如何走到这一步的历史仍然令人不安。1早在2020年9月,美国众议院就发布了一份238页的737 MAX事故报告,结束了长达18个月的调查。5该报告将2018年10月(印尼狮航)和2019年1月(埃塞俄比亚航空)发生的两起坠机事故归咎于名为机动特性增强系统(MCAS)的计算机飞行控制系统。在全球政府当局停飞近400架飞机之前,737 MAX一直是波音公司历史上销售最快的飞机,但这只是在第二次坠机之后。技术系统故障是这些灾难的直接原因,波音和航空公司因此损失了数十亿美元,更悲惨的是,346名乘客和机组人员丧生。
波音公司成立于1916年,至今仍是世界上最著名的工程公司之一。737 MAX的坠毁真的是一种先进的飞机控制系统的技术故障吗?还是管理的失败?当然,在很多层面上,技术和管理是密不可分的。尽管如此,波音公司的高管、经理和工程师并没有被新技术的复杂性和不可预测性难住。在一系列的决定在美国,他们把利益放在安全之前,不考虑自己行为的后果,或者当他们知道事情不对劲时,没有足够大声地说出来。让我们看看证据。
我们可以从波音公司部署MCAS的决定说起。该公司希望将更大、更省油的发动机安装在老式飞机737NG(下一代)上。波音是在应对来自空中客车(Airbus)的激烈竞争,以及航空公司客户对更省油、单通道飞机的需求。但新发动机极大地改变了旧737的俯仰角和稳定性。波音公司没有重新设计飞机,而是选择安装从另一架飞机上改装的MCAS。当时的想法是,当传感器读数显示机头过高时,MCAS软件将使737 MAX模拟737NG机型的操纵特性,将飞机前部压下。听起来不错。
最初的MCAS设计有两个外部“迎角”(AOA)空气传感器,分别位于飞机的外侧。然而,一种传感器更便宜更简单,这成为了最终的设计。波音公司的工程师还在不改变对数据和安全的假设的情况下,不断增加MCAS推动飞机机头的能力。特别值得一提的是,最终的设计——只有一个传感器——假设飞行员可以在MCAS出现数据错误或其他问题时进行干预。然而,在2015年,波音公司记录了MCAS易受传感器故障的影响。14外部传感器容易受到鸟类的损坏以及维护和校准中的错误。9波音2018年的一份备忘录还显示,飞行员只有4秒的时间来识别MCAS失火,10秒的时间来纠正它。13事实上,在狮航坠机的前一天,一名维修工人更换了一个故障传感器。狮航并没有向第二天坠毁的飞行员传达修复工作的严重性,也没有向前一架飞机上险些发生灾难的细节,而是在第三名飞行员的帮助下勉强避免了事故的发生,这名飞行员知道MCAS的存在,恰好就在驾驶舱里。5
波音公司决定飞行员是MCAS的“后备”,但该公司没有在737 MAX操作手册中解释MCAS是如何工作的,以及飞行员需要的响应时间有多短。为什么?波音还有另一个目标:它想把MCAS和MAX整体视为增量升级在737系列中。为什么呢?这种渐进性的指定使航空公司不必花费数百万美元在新的模拟器上培训飞行员。与此同时,波音能够避开美国联邦航空局对MCAS和737 MAX的详细审查。联邦航空局还可以依靠波音公司的工程师对飞机的微小改动进行测试和认证。
国会的报告广泛接触到了公司的电子邮件和文件,以及媒体的详细报道。这些消息来源都描述了相同的决定,以及波音战略和文化的渐进但根本的变化。
首先是1997年波音与财务状况不太好的小型飞机制造商麦道公司的合并。通常,当大公司收购小公司时,大公司的文化占据主导地位。波音公司以卓越的工程设计和安全著称,但麦道公司的高管们说服波音公司的所有者更多地关注成本、竞争和股东价值(股价)。实际上,麦道收购了波音,有媒体评论说:“麦道用波音的钱买了波音。”4例如,麦道公司通常尝试逐步升级旧飞机,而不是从头开始生产成本更高的新机型。波音公司显然遵循了这种增量战略来创造737 MAX。14
其次,波音公司2001年决定将总部从西雅图迁至芝加哥,西雅图是该公司的发源地,也是其主要的商用飞机工程、制造和测试设施的所在地。此举在公司领导层和专注于737系列的技术团队之间制造了物理上的距离。据波音高管表示,此举是一项战略决策,目的是将管理层与商用飞机部门分离,并向投资者发出波音正在多元化的信号。除了总部设在西雅图的商用飞机之外,波音现在还拥有麦克唐纳喷气式战斗机、道格拉斯商用飞机、休斯直升机和一个航空部门,所有这些都位于不同的地点,从芝加哥很容易到达。10
第三,来自空中客车的竞争日益激烈。空中客车是1970年在法国、德国、西班牙和荷兰的支持下成立的欧洲财团。今天,空客是世界上最大的飞机制造商,超过波音,因为737 MAX停产。但空客曾在2011年短暂超过波音成为第一,而且它在同领域有一款与737 max竞争更激烈的产品——A320neo。6几个支持其主要竞争对手的欧洲政府可能使波音处于持续的财务劣势。此外,空客还拥有技术优势:它从零开始制造A320系列,并于1988年首次交付飞机。相比之下,波音翻新了一款更老的737系列,该系列于1968年首次上市。3.
第四,首席执行官和董事会层面的工作重点发生了变化。2005年,詹姆斯•麦克纳尼(James McNerney)成为波音首位非工程师出身的首席执行官,并一直担任到2015年。麦克纳尼是哈佛MBA,在成为制造喷气发动机的通用电气飞机公司(GE Aircraft)总裁和3M公司首席执行官之前,曾在麦肯锡和宝洁公司工作。他的专长是战略和营销,他来这里是为了提高财务业绩。在麦克纳尼的指导下,737 MAX的研发始于2011年。这架飞机于2017年在另一位首席执行官丹尼斯·米伦伯格(Dennis Muilenburg)的领导下投入使用,他从2015年到2019年担任该职位。米伦伯格是一名工程师,他的整个职业生涯都在波音度过。然而,据波音现任首席执行官大卫·卡尔霍恩称,米伦伯格延续了麦克纳尼的战略,积极推动737 MAX的销售和生产。7波音股东随后在2020年6月和9月提起诉讼,称Muilenburg在737 MAX问题的严重性上误导了董事会,而董事会在监督设计、开发和安全报告方面松懈。12
在这种竞争激烈的环境下,在一个完全由两家公司主导的市场(它们的市场份额加起来约为99%),波音的高管、经理和工程师做出了几个关键的决定。除了MCAS单传感器设计,2014年7月,波音公司决定,有驾驶早期737机型经验的飞行员无需在模拟器上进行新的训练就可以驾驶737 MAX。波音公司也向航空公司客户做出了同样的承诺。11波音甚至提出,如果需要进行更多培训,每架飞机将退还100万美元。然而,在第一次坠机之前,人们就已经清楚这架飞机可能很危险。当然,对于MCAS的一些潜在问题的解释,需要对飞行员发出更明确的警告,提醒他们注意MCAS,以及传感器数据错误可能在驾驶舱中造成的混乱,甚至在第一次坠毁后让飞机停飞。波音公司和美国联邦航空局在第一次坠机后确实发出了通知,但他们没有特别提到MCAS,也没有提供足够的指导来帮助埃及机组人员避免第二次坠机。8波音公司和联邦航空局也没有在第二次坠机后停飞这架飞机,也没有试图升级现有的737模拟器,以复制MCAS的行为。相反,在两次坠机后,波音仍然试图将事故归咎于“飞行员的失误”。14
我们可能还担心,我们已经进入了一个软件和硬件系统非常复杂的时代,政府专家无法独立认证波音在737 MAX中使用的技术。
另一个关键决定发生在2016年,当时波音公司决定允许试飞员停止驾驶真正的737 MAX飞机,而只是使用飞行模拟器继续测试。模拟器不仅没有很好地模拟MCAS的行为,而且没有模拟错误数据会发生什么,而波音知道这是有可能的。因此,波音试飞员从未真正测试过传感器出现故障的737 MAX。他们从未真正体验过航空公司飞行员在两起致命空难中的体验。9
在早期的设计中,波音还包括一个“AOA不一致警报”,当两个迎角传感器的读数不一致时,它会告诉飞行员。“不同意警报”会让飞行员意识到潜在的数据问题。波音还允许供应商将警报与可选的“AOA指示器”显示器绑定。航空公司没有意识到这个指标的重要性,因为在操作手册中没有MCAS的描述;大多数人认为没有必要为警报选项额外付费。结果是,80%的737 MAX飞机在发货时没有一个有效的预警系统,该系统可以在传感器数据出现故障时通知飞行员。5
那么,我们应该从这个悲剧故事中学到什么呢?
一个教训是,即使是最好的公司也可能成为竞争压力的牺牲品,因为它们试图保持财务上的可行性,更快增长,或通过更快速和更便宜的运输产品来盈利。备受尊敬的丰田,经常被誉为世界上最好的制造公司,也经历过一段类似的时期:过度雄心勃勃的增长,草率的测试和质量控制,导致生命和数十亿美元的损失。2有人会认为,飞机制造商和汽车公司永远不会为了利润而牺牲安全,因为它们本质上是在从事安全运输业务。这不是现实中发生的事情。波音公司的案例也类似挑战者号1986年的航天飞机灾难。发射的压力导致NASA的管理人员否决了工程师们对低温下发射安全的担忧。15
另一个教训是,我们需要政府保护公众,同时保护公司免受竞争压力的影响——这些竞争压力可能导致错误的决策。为了避免我们认为企业可以自我监督,或者认为工程师是优秀的,管理者是糟糕的,请注意,在调查中,来自波音工程师的电子邮件吹嘘说,他们“骗”了FAA监管机构,让他们相信737 MAX不需要进行新的培训。14
我们可能还担心,我们已经进入了一个软件和硬件系统非常复杂的时代,政府专家无法独立认证波音在737 MAX中使用的技术。对于飞机、汽车、制药、食品、银行和许多其他产品和服务,政府主要依靠公司自我监督或提供关键的认证数据。可以说,我们允许“狐狸看守鸡舍”。要解决这个问题并不容易,但至少,政府监管机构需要更加勤奋,雇佣更多或更好的专家,减少对企业信息的过度依赖。对于高管、经理和工程师来说,他们需要在安全和成本之间找到更好的平衡。更快、更便宜在短期内听起来很好,但如果最终的产品不是更好或更安全,就会导致灾难。
至少波音公司的一些人知道,飞行员可能没有足够的时间对MCAS故障做出反应,但该公司决定不通知飞行员该系统正在幕后运行,也不提供模拟器培训。至少波音公司的一些人知道MCAS是危险的,因为一个传感器构成了一个潜在的灾难性故障的单点。简而言之,这项技术不是自己设计的,也不是自己失败的,这就是为什么737 MAX的崩溃主要是管理的失败。
1.美国联邦航空局批准波音737 Max再次飞行。纽约时报(2020年11月18日);https://nyti.ms/2UERbys
2.对丰田汽车崩溃的反思。Commun。ACM 541(2011年1月)。
3.空客vs.波音:两个对手的故事。航空航天技术.(2020年1月31日);https://bit.ly/3pIfvO0
4.1997年的合并为波音737 Max危机铺平了道路。石英(2020年1月3日)。
5.众议院交通和基础设施委员会。委员会最终报告:波音737 MAX的设计、开发和认证。(2020年9月);https://bit.ly/2UDCSKp
6.随着危机的持续,空客对波音737 MAX机型施加压力。《华尔街日报》.(2020年2月13日)。
7.基特罗夫(N. Kitroeff)和盖勒斯(Gelles, D.)的情况比我想象的要多:波音(Boeing)的新CEO面临着挑战。纽约时报(2020年3月5日)。
8.莱文和彭博新闻社。波音737 Max坠毁后,为什么飞行员的警告未能阻止第二架飞机坠落?”《财富》杂志(2020年3月9日)。
9.Nicas, J.等。波音在737 Max中建立了致命的假设,对后期的设计改变视而不见。纽约时报(2019年6月1日)。
10.奥文斯(Ovans):波音的大动作内幕。哈佛商业评论(2001年10月)。
11.国会报告指责波音在MAX设计上失职,联邦航空局监管不严。《华尔街日报》(2020年3月6日)。
12.波音董事会在诉讼中被指控在737 MAX危机期间监管不严。《华尔街日报》(2020年9月25日)。
13.坦格尔,阿斯兰,帕兹托,和蒙特,M.四秒灾难:波音如何注定了747 MAX。《华尔街日报》(2020年8月16日)。
14.第五阶层。波音是如何坠毁的:737 Max的内部故事。(2020年1月19日);https://bit.ly/3pIfIkg
数字图书馆是由计算机协会出版的。版权所有©2021 ACM, Inc.
在2020年2月于约克举行的安全关键系统研讨会上,Dewi Daniels指出,波音737 Max 8的坠毁在一定程度上是由于错误的分类要求。
由于MCAS系统最初预计只在巡航飞行中使用,它的极限被设置为0.6度,其DO-178C临界度被设置为DAL-C(主要),而不是DAL-B(危险)或DAL-A(灾难性)。
当意识到在低速飞行中也需要MCAS时,它的极限被提高到2.5度,对DAL没有做任何改变。工程师和评估人员将花更多的时间检查DAL-A子系统,而不是DAL-C子系统(或者,对于汽车系统,将花更多的时间检查ASIL-D子系统而不是ASIL-A子系统)。
我认为有一种观点认为,需求的不正确分类在发生的崩溃中扮演了一个角色。
[以下评论/回应由Michael A. Cusumano提交。——CACM管理员)
是的,我相信波音公司在管理MCAS要求过程和变化方面存在很多问题,特别是当工程师和试飞员对起飞后的慢速飞行中系统需要做什么有了更多了解之后。
显示所有2评论