2019-04-08 04:46:00
最近兩個月,煩心的事特別多,也就無暇照顧部落格。不過與政策直接有關的話題還是出現了兩次,我不願錯過對人類社會有貢獻的機會,仍然寫了文章來評論,都直接發表在《觀察者網》上。現在把更新過的版本也轉錄在此;這是第二篇。
==========================================
波音737Max上市發售不久,就一連出現兩次墜機事件,造成300多人死亡。目前已經有足夠的證據證明這兩次事故的主因都是“機動特性增强系統”(Maneuvering Characteristic Augmentation System,MCAS)的邏輯不合理,在單個迎角探測器測量有誤時,就專斷獨行,不論駕駛員如何處置,仍然堅持低頭向下紮。
這樣低級的錯誤,固然十分離譜,但是它的背後還是有一些複雜的歷史因素。737Max的起源在2010年十二月,那時空客宣佈了下一代A320Neo,采用LEAP發動機,從而大幅改善燃油效率,這立刻把波音逼入墻角。燃油是航空公司的主要花費之一,原本波音還在考慮開發一型全新的客機來取代737,但是A320Neo在2014年就要開始交貨,重新開發新機型顯然會讓空客獨霸單通道幹綫客機這個重要的利基很多年;一旦波音的傳統客戶跳槽,因爲駕駛員人機界面和維修系統的慣性,就會連帶把利潤更高的雙通道主綫客機生意也帶走,這將成爲徹徹底底的商業災難,於是波音不得不緊急啓動737Max的升級計劃,硬是在2017年就開始交貨,只比A320Neon晚了3年,而且還必須和空客一樣,不要求駕駛員做昂貴費時的新訓練。
爲了趕工,波音安排讓FAA(Federal Aviation Administration,聯邦航空管理局)將認證的工作交由自己代爲處理。這種官商水乳交融的“自我監管”(Self-regulation)是1980年代Reagan政權起就特別强調的政治原理,其目的是在不公開直接解除政府監管表象的前提下,仍然在實際上給予財團遠遠更大的自由,而其主要手段則是一方面鼓勵公務員與財團高管之間的旋轉門,另一方面是削減預算,使得即使有心辦事的官員也沒有人力財力來執行任務。這個趨勢,在共和黨執政期間特別明顯,經歷Reagan、小Bush和Trump三任挖墻脚的不懈努力,美國在20世紀前70年所建立的廉潔高效官僚體制早已名存實亡。
然而在技術上,737源自60年代的原始設計過於古老,其實無法與80年代設計的空客A320平等競爭,於是犧牲基本的安全性成了必然的結果。這其中最重要的技術問題有兩項:首先(第二項是飛控,見下文),737的機翼很低,但是過去50多年來,每一代新渦扇發動機都增高了涵道比(Bypass Ratio)以追求更大的推力和更高的燃油效率,所以也就越來越粗胖。從上一代的737NG開始,機翼下已經沒有足夠的空間來吊挂發動機,於是一方面要求發動機製造商强行削平下緣,另一方面將發動機艙(Engine Nacelle)向前上方挪移。737Max爲了使用更大的LEAP發動機,更是必須超越原始設計的安全極限,埋下了後來事故的伏筆。
上圖是737Max的LEAP發動機和上一代737NG的CFM-56安裝位置的對比,可以明顯看出LEAP不但更靠前上方,而且發動機艙也更大。其實爲了保證發動機艙下緣與地面有17英寸(43公分)的距離,波音已經要求LEAP的製造商(CFM)特別以燃油效率為代價,縮小發動機直徑,所以波音特供的LEAP-1B比A320和C919所用的版本都要小一圈。至於LEAP-1B的另一個特徵:後緣的三角形鋸齒,那是爲了打破紊流、減低噪音的設計,是波音的專利。
這個問題牽涉到比較精微的空氣動力學,所以我在此詳細討論一下。很多新聞報導基於波音自己發表的一篇簡介,說737Max采用MCAS是爲了補償發動機前移所造成的額外上揚力矩,這也成爲很多網絡評論的基礎;但是專業知識比較強的作者,例如服務於航空業的張仲麟和有工程背景的晨楓,都指出把發動機向前上方移動,應該使推力軸綫更接近阻力中心,所以照理說是會減低而不是增加上揚力矩。那麽波音爲什麽那麽説呢?
其實波音那個簡介的基本敘述是正確的,不過沒有把細節說清楚(可能是故意不說清楚,參見下文)。這裏的額外上揚力矩並不發生於平飛的時候,也不直接來自發動機本身的推力,而是非綫性空氣動力學的後果。發動機艙爲了減低阻力、增加空氣流量,外環的剖面形狀其實很像機翼,只是必須捲成圓形。所以飛行的時候,發動機艙外環也產生“升力”,但是它不是全部向上,而是與外環面垂直向内,於是在平飛狀態下,這些升力互相抵消,沒有實際影響。
但是在爬升階段,飛機處於大迎角(Angle of Attack,又譯爲攻角)和全油門(Full Throttle)狀態,這時氣流主要作用於發動機艙外環的下緣,總升力就是向上了。這個升力因爲有發動機抽取氣流的影響,額外强大。同樣的效應使得把發動機緊靠在機翼上緣成爲增升的極端手段之一,例如强調短距起降性能的Antonov An-72。而發動機艙外環產生意外升力以至飛行器研發失敗,也早有前例,對歷史有興趣的讀者可以搜索Hiller VZ-1 Pawnee。
VZ-1 Pawnee是Hiller Aircraft為美國陸軍設計研究的單兵飛行平臺,1955年首飛。原本設計師希望由乘員傾斜身體來改變飛行方向,結果實驗發現發動機艙外環的升力效應比預期的要强,傾斜之後,那個方向的升力就大幅增加,把平臺又推回平穩懸停狀態。一個無法很好控制如何前進後退的飛行平臺,當然是沒有用處的,所以這個計劃就被放棄了。換句話説,由於發動機艙外環升力與重心的相對位置,VZ-1 Pawnee獲得過强的靜穩定性;這一點與737Max相反。
737Max的新LEAP發動機前移之後,這個來自發動機艙外環下緣的氣動升力就會產生上揚力矩。LEAP的外環粗大、進氣量高,都使得力矩更強。更糟糕的是這個力矩隨迎角增加而有非綫性的快速增大,所以一旦它開始讓飛機上揚,就會有失控性的不穩定(Runaway Instability,或者Divergence)。換句話說,737Max在俯仰軸向(Pitch)沒有完全的靜穩定性(Static Stability)。
靜不穩定性是自F16之後,現代高性能戰機的特性之一。它使得飛機極爲靈活,但是因爲飛機在極短時間内就可能失控,駕駛員無論如何不可能用手控來維持安全飛行,所以靜不穩定性設計的前提是電傳飛控,也就是電腦全自動控制,在不穩定性隨機發生的幾毫秒内就自行主動更正。然而737不像空客A320,並沒有電傳飛控,仍然用的是機械液壓;這也就是前面提到的,737的原始設計過於古老,兩個最重要技術問題中的第二項。
但是波音公司的商業前途,在此一舉,工程師面臨再怎樣的困難,也只能蠻幹硬上,靠打補丁來彌補,MCAS就是强加在機械液壓飛控之上的一個電傳補丁。它並不是爲了預防像法航447號空難那樣在巡航過程中因爲副駕駛腦子抽風、拼命拉桿、人爲導致失速,而是彌補飛行包綫邊緣的一個靜不穩定區間的必要程序,所以它被設計成在起飛階段特別敏感(我的猜測),而且優先級別高過駕駛員。如果我們理解它其實被波音工程師視爲簡易版的電傳飛控而不僅僅是一個安全警告裝置,就能明白爲什麽駕駛員不能否決它的決定,這是因爲所有電傳飛控系統原本就都有最終決定權。
那麽波音工程師實際上所犯的錯誤,就只有一點,亦即允許迎角探測器成為單點故障來源(Single Point of Failure)。但是靜不穩定性是一個很基本、很巨大的危險,如果一兩個迎角探測器有了誤讀,也不能簡單把MCAS關閉。真正的最佳解決方案,是重新設計機翼,但是波音沒有這個時間。次佳的解決辦法,是改用完整的電傳飛控,這還是需要太久。最起碼應該用到三個以上的迎角探測器,如此一來可以容許其中一個出毛病。但是波音似乎是到設計過程的末端才注意到靜不穩定性的問題,MCAS是緊急搞出來的Band-Aid(創可貼),而737原本只有兩個迎角探測器,要臨時再加一個已經來不及。兩個讀數如果不一致,MCAS也不可能確定哪一個才是正確的,那麽反而不如始終只取其中一個讀數,出錯的機率只有一半,這也就是既有的MCAS只采用兩個迎角探測器中的一個讀數來做決定的原因。
但是迎角探測器最終會在使用過程中出錯是必然的。實際做設計工作的波音工程師也必然瞭解這一點,而公司最高層卻似乎不明白這個設計決定冒了多大的險。這一般是組織的内部文化腐敗到某種程度之後,中高層管理人員欺上瞞下成了慣例,才會出這麽大的紕漏。波音在過去十幾年裏,為美國空軍設計新一代加油機KC-46的過程中,磕磕絆絆,一再犯下許多低級錯誤,完全沒有上個世紀的精幹形象,看來不是偶然的。
中國民航局這次率先停飛737Max,固然是有膽識的正確決定,也暴露了FAA袒護本國商家的内幕,但是737Max對波音的生意太過重要,即使真相逐步揭露,波音仍然必須儘快止損,恢復交機。而重新設計新機型、新機翼、或者新飛控依舊會拖延太久,只有修改MCAS的邏輯程序,頂多加上第三個迎角探測器,是可以在幾個月或一年多内搞定的。所以波音現在的策略必然是謙卑地承認MCAS的缺陷,然後啓動所有的公關資源,把公衆的注意力集中到MCAS的改進上。但是真正的問題重點,也就是737Max在空氣動力學上的靜不穩定性,在過去FAA認證的過程中,被波音瞞天過海了。對現在的波音來説,賠償、指責、調查、聲譽損失都是小事,它最怕的是歐洲或中國的民航管理機構重新進行獨立、完整的認證過程,那麽一旦靜不穩定性被發現,新機翼和新飛控就無法推辭,這一拖延下來,少則七年、多則十幾年,波音在單通道幹綫客機市場基本無法提供有競爭力的產品。
中國民航局似乎並沒有看透波音的底牌,對自身是否能夠或應該獨立啓動對737Max的重新認證還有疑慮。FAA爲了保護波音,甚至已經邀請中方參與合作,共同檢查新版的MCAS(參見https://www.guancha.cn/politics/2019_04_06_496576.shtml),這是魔術師聲東擊西的伎倆,目的在於遮掩真正的問題所在。我希望藉著這篇文章,提醒民航局,爲了全球乘客的安全,並且提供C919一個公平的競爭環境,對737Max進行獨立認證才是正確的選擇。
【後註一】今天(2019年六月1日)《紐約時報》刊登了一篇有關MCAS在737Max設計過程中如何演化的歷史(參見https://www.nytimes.com/2019/06/01/business/boeing-737-max-crash.html),主要依靠采訪當時Boeing的首席試飛員來提供内幕。整篇文章包含許多細節,最重要的有三點:1)MCAS原本觸發的門檻非常高,後來逐步改變到只由單個攻角傳感器決定;2)Boeing和FAA從來沒有考慮或測試過False Positive(偽陽性)的可能;3)MCAS適用性變廣,主要發生在737Max研發的最後一年。因爲趕時間,所以Boeing特意對FAA和試飛員都隱瞞了詳情。
很可惜這篇文章仍然沒有觸及整個737Max問題的核心,也就是爲什麽Boeing要冒著極大的技術風險,並且瞞著所有的外圍人員,也硬要增廣MCAS的適用範圍。當然我在正文中已經解釋了真正的問題所在,也就是Boeing在737Max研發周期的最後,才發現飛行包綫的邊緣有一個靜不穩定的區間,所以不得不拉著MCAS硬上,並且儘所有力量也要隱瞞這個事實,一直到今天依舊如此。
【後註二】我在正文解釋過,因爲新引擎的位置、大小和進氣量的變化,而導致737 Max在爬升狀態有了靜不穩定性,這才是Boeing最怕大家發現的事實,所以一切公關都拼命想把公衆的注意力集中到軟件上。很不幸的,連EASA拒絕快速批准737重飛的公告,都似乎中了Boeing的計,只討論MCAS的適飛性。
今天(2019年六月5日)終於看到美國知名的消費者權利運動家(Consumer Rights Advocate)Ralph Nader公開質疑737 Max的氣動設計。他因爲不是物理系出身,並沒有像我在正文裏那樣詳細解釋了氣動力學的作用機制,但是如果讀者去看他的評論(參見https://www.bloomberg.com/news/articles/2019-06-04/nader-says-boeing-737-max-is-flawed-and-should-never-fly-again )應該可以看出他說的是同一件事。
我猜測是有Boeing的工程師,因爲良心驅使,偷偷地和Nader聯係,並且解釋了細節。
【後註三】我終於看到一則在2019年十二月29日發表的德國視頻(參見https://www.youtube.com/watch?v=PlaMQBEg-9M&list=WL&index=9&t=1822s),正確地描述了本文中的氣動細節。這是我第一次看到歐洲有人對737Max事件做出完整的工程分析,代表著European Aviation Safety Agency(EASA)不會被波音的障眼法欺瞞,以爲修改軟件就可以解決問題。換句話説,737Max應該無法很快通過EASA的認證,那麽它被强迫淘汰就成爲真正的可能。