人间莫测,BUG永生
2023-05-30嗷嗷胡
嗷嗷胡
十多年前,波音面临着一个两难抉择:被空客最新的A320NEO抢走了大笔订单,是重新设计一款新机型与之对抗,还是在737的基础上继续改进?
重新设计新机,要大量投入,尤其是耗时以十年计,其间全球份额如何变化无人能料;继续改进737,要面对半个世纪前原始设计的局限,而人家A320可是1988年才出生的。
讓天平往后者倾斜的最后一颗砝码是飞行员适应问题,全新机型需要航司重新培训飞行员,而继续改进737可以让大批现有737型号的飞行员快速扩展到新机型。
为了跟空客竞争,波音需为737更换大号发动机。然而737诞生之初从未考虑50年后的需求,天生“小短腿”起落架,发动机直径再大就要擦地了。为此波音将发动机吊舱前移,规避了翼下高度不足。
发动机前移了,大号发动机能放下了,但整架飞机重心前移,这增加了飞机抬头失速的风险。于是波音继续打补丁,增加了一个叫MCAS的电子程序,在飞机抬头可能失速时,MCAS会自动将机头向下压。
环环相扣,天意弄人。
要让现役飞行员对新机很好适应,波音继续改进737而非研发新型号;要让半个世纪前的设计能适应大号新发动机,波音改了737的结构和程序;又正是为了让新机更容易上手,MCAS程序没有被放入飞行员训练流程。
这就是著名的波音737 MAX8灾难。飞机可能因为一些细小故障误判失速,这本不是什么大事,然而这会激活并启动737 MAX8新增的,但飞行员根本不知其存在的MCAS自动程序。手忙脚乱之中便机毁人亡,两次。
在真正出事并被确认是由于设计缺陷引发事故之前,你去问任何一个波音的工程师,他都会告诉你“飞行安全是重中之重,制造商会有一套套流程以及各种备用措施冗余设计来确保安全无虞”。
今年的大新闻,潮州特斯拉失控案曝出时,很多人也是这样搬出汽车制动系统、电子系统中的一系列冗余程序备份设计,以掉书袋的方式来断定“刹车失灵车辆失控绝无可能”。
别误会,本胡完全无意加入这场以个人信息资源根本不可能得出有效结果的讨论;一篇千八百字的专栏对于任何有价值的、正经严肃的讨论也完全不够,当个摘要都不够。
我只是想说:“做足了安全设计”和“依然可能存在缺陷”之间,完全不矛盾。前者是主观能动范围内做到最好,后者是天有不测风云凡人孰能无过;前者是尽人事,后者是听天命。
这是很简单的道理,真正出问题之前,人们当然自认万无一失,尤其是自己参与其中的话—不然你早就去修改了不是吗,你当然会觉得不可能出错。
我一直关注的某汽修博主也讲述过类似的故事,某车型使用的电子刹车助力部件,因为芯片清洁没有管理好,有极小概率偶发失效,既难以发觉,也很难复现。当然,这个原因是事后才查明的。
而在这个原因被查出之前,它的设计者乃至同行们从任何一个角度去揣摩去剖析去复盘,都自然是发自肺腑的“我们方方面面都考虑到了怎么可能出问题呢”,然而这又能说明得了什么呢?
连NASA的航天飞机都可能因为未曾考虑到的设计缺陷而从天上掉下来,在只有几篇语焉不详的报道采访的情况下,我们又凭什么认定一辆汽车绝不可能出错呢?
永远敬畏犯错的可能,因为BUG永生。