「波音」事故不尋常，致命的bug你怕了嗎？

一、從埃航墜毀說起

小白：埃航墜毀了，這是什麼情況？

大東：當地時間3月10日早晨，載有149名乘客與8名機組人員的衣索比亞航空 ET302 號航班從亞的斯亞貝巴飛往內羅畢途中墜毀。埃航稱，乘客來自33個國家，事故中沒有生還者，遇難者中有8名中國人。

衣索比亞亞的斯亞貝巴Bishoftu附近墜機現場

小白：怎麼會發生這樣的事呢？衣索比亞航空不是非洲獲得讚譽最高的航空公司之一，擁有非常好的安全記錄以及非洲大陸上最新型的機型的嗎？

大東：這次的涉事飛機為一架波音737-800MAX，是幾個月前才交付的新飛機。

小白：波音737-800MAX？如果我沒記錯這不是和去年10月29日印尼獅航墜機事件中的機型相同。

大東：是的，同一機型，而且發生墜毀的時間都是起飛幾分鐘後。

小白：好嚇人，最近這飛機失事的新聞看多了，現在我都不敢坐飛機了，心裡陰影面積太大。

二、大話始末

小白：兩次事故的涉事飛機都為波音737MAX機型，這怕不能是巧合吧，這個機型的安全問題是不是該引起人們的高度重視了。

大東：有分析認為，波音737MAX配備了自動防失速系統，即「機動特性增強系統」是導致事故的原因。飛機飛行時機頭越高，攻角（氣流與機翼弦線之間夾角）越大，當攻角超出一定範圍時，飛機面臨失速風險。MAX 8配備的自動防失速系統一旦判斷飛機失速，可以無需飛行員介入即接管飛機控制，並使飛機低頭飛行，以改出失速。

獅航JT610遇難

小白：這看上去不是一個非常棒的系統嘛？

大東：波音公司對飛機失速保護的設想還是比較周全的，一方面可以通過飛行器失速保護系統中的處理器聯接到飛機飛行控制計算機，可以對失速時的飛機進行自動控制保護；另一方面也允許飛行員進行人工干預和手動駕駛，但是實際上這兩個環節可能都出現了漏洞。

小白：what？

大東：該飛行器失速保護系統在控制飛機下降時，雖然飛行員可以通過手動控制輸入指令來進行干預，但是由於事發過於突然，再加上缺乏事先專門培訓和警告，搞不清楚狀況的飛行員很難及時完成解除風險的正確操作，不知情的地面管理機構也無法提供正確的指引或處置建議。

小白：舉手，提問。失速保護系統觸發和控制飛機俯衝下降時，飛行員一直在進行人工干涉，此時失速保護系統會做出何種選擇？是飛行員輸入指令優先？還是失速保護系統的控制軟體程序優先？或是兩者並行？

大東：問得好。即使處於手動飛行模式，波音737MAX上的防失速系統也可能導致飛機急劇下降時間長達10秒。飛行員在這段時間內難以控制飛機，就算飛行員手動拉起機頭，5秒鐘後機頭又會自動重複下降過程。

小白：怎麼又自動下降了呢？

大東：這就表明，在失事飛機俯衝下降時，即使是在飛行員手動飛行模式，飛機的防失速系統仍然處於激活狀態，事故發生時，飛行員應該沒有獲得飛機的完全控制權。

小白：那麼失速保護系統為何會堅持錯誤認為飛機處於「失速」狀態？失速保護系統為什麼會無視飛行員手動操作指令？

大東：失事飛機上共設有3個攻角感測器，波音失速自動保護系統的控制程序設計很奇怪，其邏輯是只要主感測器認為飛機攻角過高（機頭抬得過高），飛機有失速危險，自動保護系統就可以被激活。

小白：如果只是這個主感測器發生故障了不就會導致整個系統出錯。

三、致命的軟體設計缺陷

小白：就因為飛機系統設計缺陷犧牲了這麼多無辜的性命，也讓無數家庭身處悲痛。

大東：你還記不記得2009年6月1日法航客機失蹤的新聞。

小白：十年前了，這個還真不記得了，求科普。

大東：因為測量飛機空速的皮託管結冰了，導致沒有空速讀數，自動駕駛系統立即關閉了。

小白：那就需要飛行員來操作了。

大東：當時兩個飛行員很慌亂，配合出錯，並且沒有聽到飛機發出的失速警告，一個操縱飛機上升，一個操作飛機下降，飛機系統也沒有自動修正，最終導致了悲劇的發生。

打撈法航失事客機黑匣子時的情況

小白：這次飛機系統咋不爭奪飛機的控制權了。

大東：2002年1月1日，一架貨運飛機和一架俄羅斯飛機在德國領空處於相撞航線上，但地面管制人員並沒有發現這個情況。在空中，兩架飛機相距不到一分鐘的航程，這時飛機上的TCAS空中防撞系統發出警告。貨運飛機的TCAS系統指示飛行員下降，俄羅斯飛機的TCAS系統指示飛行員攀升。

小白：兩個空中防撞系統發出了相互協調的指令，這不正好可以避免了事故的發生嘛。

大東：但不幸的是，地面管制人員此時發現了兩架飛機即將相撞，他聯繫上了俄羅斯飛機的機組人員，在不知道防撞系統已經發出攀升指令的情況下他向飛行員發出了相反的指令叫飛行員下降。俄羅斯飛行員最後還是遵從了航空管制的指令，開始下降。

小白：如果相信TCAS系統，而不是這個管制員，也就不會出事了。

大東：這次事件之後全世界的飛行員都要優先遵從空中防撞系統的指令，而不是航空管制發出的指令。

小白：目前的這些安全問題是因為軟體邏輯本身設計缺陷造成，屬於被動式安全，假設如果有黑客入侵飛機控制系統，任何一個環節都可能造成重大事故。

大東：你這麼一說我想起來，最近外媒報道了一位在越洋航班閑得無聊的「網安專家」一不小心玩壞了機載娛樂系統。他「不厭其煩」的在屏幕上複製粘貼一長串字元，其中還有像「fdkfdkfdkfdkfdhhhhhhhh」這樣的文字。不久之後，這個應用就卡住了。

飛機上的機載娛樂系統

小白：聽得我都嚇出一身冷汗，這樣狂虐娛樂系統萬一影響到正常飛行怎麼辦。

大東：好在這波操作沒有帶來什麼損傷，不過業內專家表示，研究確實是推動安全升級的好方法，但研究行為和黑客行為之間是有邊界的，即明知道自己的所作所為會產生什麼樣的潛在後果卻沒有及時收手。

小白：即使真的要測試機載娛樂系統是否有漏洞，至少也要等到飛機上沒人的時候再做啊。

四、安全信息預警與啟示建議

小白：事件發生了，我們要學會從中總結經驗教訓，對此事件咱有啥防範措施不？

大東：對於飛行員來說，如果再次發生類似事故時，機組人員僅僅依操作手冊應對「攻角數據錯誤」很可能是不夠的，飛行員可能需要馬上關閉失速自動保護系統，才能獲取飛機的完全控制權。

小白：平時對飛行員應該多加培訓，讓他們有處理這種風險的準備。

大東：另外，波音可能會對其737 MAX上失速自動保護系統進行系統更新時，解決感測器安全余度和數據真實性驗證的設計缺陷，以及飛行員手動輸入指令優先等問題。

小白：這個確實很重要。

大東：對於民機製造商要引以為戒，重視自動控制和自動失速保護系統的設計，避免出現安全隱患和軟體設計的邏輯漏洞。

小白：但從這幾次事件來看，飛行員什麼時候該相信軟體，什麼時候該獲取飛機控制權自己操控，讓人很困惑，稍有不慎代價慘重。

大東：沒錯，所以軟體在設計的時候最忌諱對非正常模式或者故障模式考慮不周全、不到位，與空客相比，波音在失速保護系統的控制程序設計方面存在軟體缺陷。

小白：軟體設計缺陷最為致命呀！

大東：波音公司發布了一份操作手冊公告：我們已經發現飛機存在設計缺陷了，目前暫時不知道怎麼改，但也不需要停飛，我們已經發了故障操作手冊給飛行員了。

小白：這是什麼鬼？我不要坐737MAX8型號的飛機了，太冒險了。

大東：那告訴你一個好消息，為確保飛行安全，民航局要求國內運輸航空公司於2019年3月11日18時前暫停波音737-8飛機的商業運行。

小白：太棒了，為中國民航局點贊。

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！