编者按:
今早起床,发现朋友圈一片哗然——“3月11日18:00时前暂停所有B737-8商业运行”。
本文原本是笔者正在写作的另一篇技术贴的番外篇。这里借埃航空难的话头,单独成篇,聊一些大而化之的问题。而空难发生的具体原因,尚需权威调查来揭示。
笔者所在的机队尚未引进B737MAX机型(万幸,万幸)。文中与B737MAX内容均引用自公开资料。
下面笔者尝试以逻辑学的角度,重新审视业内争议巨大的B737MAX飞机的MCAS系统。
(一)B737CL时代的安定面配平系统
B737CL是传统的“机械+液压助力”式飞机。飞行员是其操纵系统的核心和主导。任何辅助操纵系统,都不得与飞行员的操纵意志相悖。
(1)人工配平
人工配平系统,通过配平手轮、钢索、齿轮箱和丝杠直接驱动水平安定面的运动。人工配平机构永远与安定面机构刚性连接。
在正常情况下,手轮主要起到一个指示器作用。不论哪个系统驱动配平,都一定会带动手轮转动。
当电动配平出现故障时,手轮既是所有“安定面配平失效”故障中的最后备驱动方式,也是所有“安定面配平失控”故障的最终极阻断方式。
(2)主电配平
“主电配平”用于人工操纵时的配平,由驾驶杆上的配平电门控制。
主电配平受“驾驶杆切断电门”的挟制——禁止配平与机组操纵意图相反。当机组向后带杆的时候,配平无法向前旋转;机组向前推杆的时候,配平也无法向后旋转。
(3)自动驾驶配平
“自动驾驶配平”,顾名思义用于自动驾驶接通状态下的配平,由飞行控制计算机(FCC)控制。
自动驾驶配平同样被禁止与机组操纵意图相悖。机组只需要断开自动驾驶即可制止FCC的错误配平指令。
(3)速度配平
在起飞、爬升或复飞阶段,发动机保持稳定的推力。飞机通过改变俯仰姿态,来调整空速高低。
在小重量、后重心、大推力状态下,飞机的人工操纵品质可能变差。此时速度配平系统会辅助机组操纵。
例如,当空速高于配平速度时,“速度配平”会向后旋转。顶杆力增加促使机组抬高机头,增大爬升率以“吸收”多余的空速。反之亦然。
“速度配平”通过自动驾驶配平电路工作,不受“驾驶杆切断电门”控制,故而配平可以与驾驶杆方向相反。但同样不会与飞行员操纵意图相背,原因有三。
首先,该功能仅用于增加一定反向杆力,配平幅度很小,不会超过驾驶杆的俯仰操纵权限。
其次,该功能必须在主电配平电门公开5秒后方启动。机组随时可以通过主电配平制止该功能。
再次,该功能以恢复配平速度为目标。机组只要稍稍松杆,让姿态顺配平方向变化,恢复配平速度后,该功能即告停止。
(二)B737NG时代的安定面配平系统
笔者有8年的B737CL飞行经历。第一次站在B737-800下面时,我的感受就是——什么都大!
更大的机身、更大的发动机、更高的起落架、更大的机翼面积、全新的翼型,从外形尺寸来看,这完全就是一架全新设计的飞机。但只要一步入驾驶舱,你就会发现其基本的构架与B737CL全无二致。
B737NG的安定面配平系统主要有两点改进:
(1)取消一个配平马达
“主电配平”和“自动驾驶配平”各自拥有独立的电路,但共用一个配平马达。
(4)失速配平
The SMYD sends minimum operating speeds and flap position data to the A/T computer and on-side FCC. The FCC and A/T use this data for their minimum speed calculations.
During a stall, the FCCs command the stabilizer to trim the airplane nose down. The EFSM and column cut-out switch modules operate to make sure the pilot cannot easily stop this automatic stabilizer movement with the elevator control column nose up input.
在波音手册中,该功能没有专属的名称。为了便于介绍,下文姑且称之为“失速配平”。
当空速小于失速速度时,飞行控制计算机(FCC)通过“速度配平”系统向前转动配平。与此同时,升降舵感觉变换组件(EFSM)将带杆力放大4倍,以确保飞行员不能轻易超控低头配平。
编者注:
尽管没有充分的证据,但由此可以推测,所谓“高迎角人工操纵品质变差”的问题可能在B737NG机型中就已经存在了。只不过NG系列处理比较得当,不为人所关注罢了。
这里我们着重介绍“失速配平”的三个特点:
第一,失速管理偏航阻尼计算机(SMYD)计算失速速度,FCC与实际空速比对后下达配平指令。“失速配平”可以被视作SMYD与FCC协同决定的结果。
第二,触发配平的条件是空速小于失速速度。
第三,在FCC指令低头配平的同时,SMYD还会协调EFSM将带杆力增大4倍。但二者的共同作用,仅能保证“机组无法轻易带杆超越配平效果”,而不会反过来超越驾驶杆的操纵权限。
(三)B737MAX的MCAS工作逻辑
B737MAX选用了风扇尺寸更大的CFM-LEAP发动机,却仍然沿用B737NG短小的主起落架尺寸,导致发动机离地间隙不够。为了解决这个问题,波音将发动机位置前移,并将风扇涵道略微上翘。
不成想,这一调整改变了升力焦点与重心的相对关系,同时也放大了“加油门抬机头”效应。飞机在高迎角状态下的操纵品质变差。
在B737NG的系统架构,对失速/临近失速的感知和判定,属于失速管理偏航阻尼器(SMYD)的权限。正如我们上文所述,当B737NG临近失速时,失速警告、失速配平、EFSM增加带杆力、自动缝翼伸出等动作,都是在SYMD的协调下完成的。
SMYD接受空速、迎角、姿态、高度、推力、襟缝翼位置、防冰构型等数据,综合判定飞机是否临近或进入失速,并向相关系统发送信号。尽管B737NG的SYMD不具备跨系统比对数据的能力(详见《解决方案陷阱》一文),但实践证明B737NG飞机SYMD的工作是可靠并有效的。
B737MAX在高迎角状态下的操纵品质发生了重大变化。如果循常理推之,波音应当首先考虑调整SYMD的软件。因为SYMD采集的数据更全面,这对于高迎角状态配平的介入时机和程度都是有意义的。
但波音并没有这么做。
B737MAX选择将“失速配平”择出来略作修改,再冠以一个逼格闪闪的新名字——“机动特性增强系统”(MCAS)。我们用一张表来展示B737NG失速配平与B737MAX的MCAS的差异。
为什么要这样设计呢?
波音不说,我们永远都不会知道。但从下面这些细节中,或许可以找到线索。
(1)高迎角状态
自始至终,波音都不承认MCAS是为失速设计,而只称之为“高迎角状态改善操纵品质”。
高迎角状态,不一定是失速。
这意味着,B737MAX出现“高迎角操纵品质变差”可能早于失速/临近失速。如果继续沿用B737NG“失速配平”触发标准(空速小于失速速度),MCAS的介入会过晚。
所以波音选择绕过SYMD,单独划定一个迎角阈值,由FCC单独指令MCAS动作。
但是一体两面,失速,一定是高迎角状态。
这样一个对飞机失速特性构成严重影响的操作,完全绕开SYMD的监控和挟制,由单个FCC依据,单个迎角传感器数据,自行决定介入,难道没有问题吗?
任何技术问题,首先都是逻辑问题?
(2)升降舵操纵权限
在B737NG机型上“失速配平”与“EFSM增大带杆力”的共同效果,也仅仅是“make sure the pilot cannot easily stop this automatic stabilizer movement with the elevator control column nose up input”。
上述两个系统的设计,意在增加机组带杆难度,防止失速过程中的误操作,但绝不会超过驾驶杆的操纵权限。
但是在B737MAX机型上,波音刻意将MCAS权限扩大至全配平行程,切断MCAS与SYMD和EFSM的一切关联,改“空速触发”为“迎角触发”......
请容许我再强调一遍,以上修改是波音刻!意!为!之!是要波音额外花钱进行设计和验证的。
作为一家百年航空老店,波音对B737系列机型的改进已经持续了50多年。难道波音的设计师都是傻子,意识不到以上修改MCAS可能超过驾驶杆权限?难道波音故意花钱给自己找麻烦玩儿?
“无利不起早”——波音的这项改进,一定存在紧迫、不可回避的性能需求。
也就是说,B737MAX所谓“高迎角操纵品质变差”的问题可能远远要比业界的普遍认识更严重,严重到波音采取如此极端的“外挂”进行干预。
B737MAX被全球禁飞后,波音公司急于解决MCAS误动作问题,开始回过头来“水多了加面”。
MCAS后续的修改对“高迎角操纵品质变差”又会造成何种影响,可能是更需要业内警惕的问题。但愿我们不需要用下一次空难再来敦促波音“面多了加水”。
(四)可能的解决方案
在最近几天已经陆陆续续波音可能采取的修改方案透露出来。由于并未得到官方确认,本文不便置评。这里我们只从理论上讨论MCAS可能的解决方案。
(1)加高主起落架高度,重新设计发动机位置和进气道角度
笔者把话撂在这儿,波音要是肯花这个钱,我把电脑打成粉吃了。
(2)全面升级SYMD
全面升级SYMD,令其具备跨系统交叉比对数据的能力(详见《解决方案陷阱》一文),并将所有“高迎角”辅助操纵的权限交由SYMD控制,是最终极、最有效的解决方案,可以有效的识别传感器故障,对高迎角操纵品质进行精细改善。而且在波音787和空客全系列飞机都已经在使用类似的技术,在技术上并不存在障碍。。
但笔者把话撂在这儿,波音要是肯花这个钱,我把电脑桌都打成粉吃了。
(3)限制MCAS权限
这是业界讨论比较多的一个解决方案。修改MCAS的配平权限,确保MCAS配平不会超过驾驶杆俯仰操纵权限。该方案看似成本最低,效果最好。但存在两个问题:
第一,收紧配平权限,就意味着MCAS必须提高配平介入的精度。“高迎角操纵品质”并不只受迎角影响,空速、推力、重心、高度、气压、温度、防冰,甚至于MCAS完全没有考虑到的襟缝翼构型,都会参与其中。
而FCC单纯按照迎角阈值控制MCAS,如何确保精度?扩大FCC接收的数据种类?那还不如交给SYMD呢。
第二,在不同的空速、重心、推力和大气环境下,驾驶杆(升降舵)的俯仰权限是不同的。如何确保MCAS在各种条件均不超过驾驶杆权限,波音有两种选择:向保守侧一刀切,或者升级FCC的硬件、软件和数据采集范围。
好吧,那又绕回原点了。
向保守侧一刀切,如何保证高迎角状态的操纵品质?
升级FCC的硬件、软件和数据采集范围?请参照本文上一条。
(4)增设人工阻断设计
早在狮航610空难后,波音就下发了技术通告,辩称机组只需要关闭“安定面配平切断电门”即可阻断MCAS误动作。从理论上讲波音说的并没有错,只是可操作性较差罢了。
除了“安定面配平切断电门”外,还有两种更为有效的阻断途径可供考虑。
第一,通过“驾驶杆切断电门”阻断。
“驾驶杆切断电门”可以阻断任何与驾驶杆移动方向相反的配平指令。但是MCAS沿用了B737NG系列上通过“速度配平”系统动作的设计。而“速度配平”的工作原理(允许配平与驾驶杆方向相背),则注定了其电路必须绕过“驾驶杆切断电门”。
想要把MCAS与“驾驶杆切断电门”交联,势必涉及到硬件设计的改动。波音是否愿意花费这个时间和金钱成本,要打一个大大的问号。
第二,通过主电配平电门阻断。
据波音介绍,MCAS必须在机组松开主电配平电门后5秒开始动作。但只要迎角仍然高于阈值,MCAS可以反复多次被触发。
如果将条件更改为“只要机组使用一次主电配平,则MCAS后续均被抑制”,即可有效防止MCAS的误动作问题。
但如果飞机真的进入复杂的高迎角状态,这一设定会不会导致MCAS介入不足,进而导致飞机失控呢?
理论上讲,是有这个可能的。
但是借用郭德纲的话讲“有辙想去,没辙死去”。有“机组误操作”在前面挡着,摔一万架飞机波音也能把自己择(zhai二声)得干干净净。
(5)监控迎角数据不一致
效仿B737NG飞机“EEC备用方式”故障的系统逻辑,只要两侧数据不一致,则两侧数据均不予采信。
在MCAS现有的硬件和软件基础上,这是一种比较可行的改进方法。但如果波音采取这一解决方案,后续飞行就应当对飞机空速、姿态和推力设置进行限制,以避免进入“高迎角状态”。
写在后面: 任何技术问题首先都是逻辑问题
笔者初读《三体》第一部的时候,看到三体星人用“智子”阻断人类物理学发展的桥段,连着好几天睡不好觉。
等到第二部开篇,看到一个名叫“逻辑”的人物出场,与第一部的“反派”叶文洁在坟地前聊天,笔者坐在马桶上放声大笑——我肿么这么笨!
1974年联合国教科文组织公布七大基础学科名录:数学、逻辑学、天文学和天体物理学、地球科学和空间科学、物理学、化学、生命科学。其中逻辑学位列第二。
逻辑,是跨越技术鸿沟和壁垒的最佳捷径。
但是在我国的公立义务教育中,是没有专门的逻辑课程的。笔者在带飞和教学过程中,痛感很多接受过高等教育的学员,逻辑思维素养差到一塌糊涂。如果让笔者开办一所航校的话,《逻辑学》和《控制论》一定是必修课。
现代航空工程是建立在严谨的数学和逻辑学基础之上的。从这个角度讲,任何技术问题,首先都是逻辑问题。
回到本文的MCAS问题。不论波音如何强调MCAS的系统可靠性,如何狡辩机组可采取而未采取的措施,都无法抹杀其逻辑学上的硬伤:
在非电传飞机上,放任一个辅助操纵系统,在无任何警告的情况,进行超越飞行员权限的操纵。
以单个传感器数据判定飞机状态,并立即采取几乎不可逆的操纵。
工程学上的瑕疵,逻辑学上的灾难!!!
同理,这几天在网络上有很多好事者弹冠相庆——“国产大飞机经此一役,大卖无疑”——也让人作呕!
请允许我再次使用《解决方案陷阱》一文的结尾,作为本文的收笔。
只要机组有拉起机头的主观意愿,失控就是有希望改出的。
但反复出现的失速警告和MCAS配平,很可能动摇了机组带杆增加姿态的判断。以至于MCAS的错误配平最终占据上风,将水平安定面驱动至前止位,导致飞机俯仰失控。
说到底,机组态势感知能力的丧失,对飞机状态的认知错误,才是导致狮航610空难的根本原因。
如果由笔者负责波音的危机公关,我会非常乐见业界对MCAS系统的争议和指责。
因为改进MCAS是成本最低的解决方案。而想要把B737的仪表数据架构推到重来,则无异于设计一款全新的飞机。继续装聋作傻,头痛医头,脚痛医脚,是波音唯一的选择。
反观空客系列飞机,已经初步具备了错误数据的识别和隔离理念,进一步改良架构不存在技术上的障碍。但有波音这样的“猪对手”挡在前面,恐怕空客也未必多有动力投入资源。
反倒是C919和A220这样的后发机型,如果能够在设计之初谨慎规划仪表数据架构,则会给未来的技术升级打下良好的基础。
(文章转自微信公众号:艺不压身 作者:楚虽三)