We Are All John Glenn | 2019-05-17

我们都是约翰·格伦

著名的宇航员和政治家约翰·格伦(John Glenn)在描述他创造历史的地球轨道飞行时写道:“当我在太空中飞驰时，一个念头不断地掠过我的脑海:这枚火箭的每一个部件都是由出价最低的人提供的。”今天，我们都是约翰·格伦。

波音公司传出的有关导致两架737 Max飞机被击落的步骤的消息令人震惊、恐怖和恶心。一个3月17日《西雅图时报》的调查报道详细解释了波音公司如何通过偷工减料来增加利润，这是约翰·格伦的噩梦场景。

以前的《华尔街日报》2018年11月13日报道据参与调查的安全专家、美国联邦航空局中层官员和航空公司飞行员说，波音公司隐瞒了与一种新的飞行控制功能有关的潜在危险信息，该功能被怀疑与上个月狮航致命的飞机失事有关。波音737 Max 8和Max 9机型上的自动失速预防系统旨在帮助驾驶人员避免在不寻常的情况下错误地将机头抬高到危险的高度，但该系统可能会意外地将机头向下推，力度如此之大，以至于机组人员无法将它拉上来。事故发生大约一周后，波音公司在一份全球安全公报中告诉航空公司，这样的情况可能会导致飞机急剧下降或坠毁——即使飞行员是手动驾驶飞机，不指望飞行控制电脑启动。”令人惊讶的是，那是在去年11月，也就是3月埃塞俄比亚航空公司的一架航班第二次坠机前的几个月。

这个月，情况变得更糟了。在5月6日，NPR报道在星期天(5月5日)的一份声明中，波音公司表示，在波音向航空公司交付首批737 Max飞机的几个月内，其工程师发现了一个关键安全指标存在问题。这种被称为“攻角不一致警报”(angle of attack disagree alert)的指示器，用于在飞机传感器发送与机头方向相矛盾的数据时向飞行员发出警告。

“波音打算将该指标作为737 Max的标准，以保持前几代737的功能。但工程师们发现，该传感器只有在一个独立的、可选的安全功能下才能工作。”

简而言之，似乎是一个名为攻角(AOA)传感器的模块向737 Max软件系统发送数据。如果传感器显示飞机即将失速，软件就会以飞行员无法手动克服的巨大压力将机头向下推。当传感器出现故障时，软件就会失控，就像飞机失速了一样，猛烈地向下推机头。

这个故事让我震惊的部分是，AOA传感器是一个单独的设备，而不是冗余系统的一部分。正如我过去在这里写过的，所谓的“高可靠性”三级电子产品存在严重缺陷，三级系统的可靠性通常并不比消费电子产品更好(有时甚至更糟)。人们对美容效果的依赖很大，而不是第一次就把事情做好。冗余是飞机不会以很高的频率从空中坠落的原因。关键系统不是独立的;他们有备用电路。

就我所知，3级电子设备根本缺乏可靠性，我从来没有担心过飞行安全，因为有后备系统。但现在我们了解到，这个非常重要的设备没有备份。(更准确地说，有一个备份系统报告AOA传感器和其他执行类似功能的传感器之间的分歧。但事实证明，由于成本增加，波音并未在大多数737 Max 8上安装备用传感器。)

如果为了降低成本而忽略了冗余，我们可能会遇到大麻烦。毕竟，我们都是约翰·格伦。

编者按:吉姆·史密斯于1965年开始从事电子组装工作，并于1981年创立了电子制造科学，将焊接作为一门统一的科学来教授。全球数千名工程师、技术人员和管理人员参加了他的“焊接科学”课程。吉姆的文章在世界范围内发表了100多篇。他的“非常规智慧”专栏每月出现在ASSEMBLY杂志超过10年，他仍然是该杂志的定期撰稿人。欲了解更多信息，请访问www.emsciences.com．