中華工控網 > 工控新聞資訊 > 波音客機墜機的啟示: 警惕智造系統功能安全隱患
波音客機墜機的啟示: 警惕智造系統功能安全隱患

圖為印尼獅航波音737 MAX 8客機。據報道,印尼獅航是波音公司737 MAX飛機的最大客戶之一,正在考慮改用空客SE,計劃暫停與美國飛機制造商簽訂的現有訂單。圖片來源:視覺中國

最近波音飛機的墜落,嚴格說是人工智能影響人類的災難性事件,也是智能化系統功能失效的典型案例。

波音737MAX8是波音成熟度最高的機型,燃料消耗是同類機型的30%,但發動機更改導致飛機機頭容易抬高。因此,它使用了一個機動特性增強系統(MCAS),在飛機迎角過大時該系統會自動下調機頭以進入它設定的安全狀態。但從最近發生的事故來看,MCAS更像波音公司在737MAX8飛機上埋的炸彈。

獅航空難事故調查已有結論,其直接原因是機頭左側攻角傳感器故障,使MCAS錯誤地連續26次進入自殺式俯沖。獅航飛行員曾33次試圖拉升機頭,但最終人工操作沒能成功糾偏。埃塞俄比亞航空空難事故調查還在進行,但從已經披露的信息可以判斷,飛機在起飛后,連續出現了爬升和下降兩種飛行姿態,飛行員稱無法控制飛機,最后導致墜毀。

這兩起事故都是智能化系統功能錯誤導致的飛機失控,屬功能安全事故。

什么是功能安全

功能安全是一門安全工程學科,專門研究復雜控制系統的功能失效避免。它的基礎標準是2000年發布的IEC61508。近20年來,針對各領域的安全相關系統,已經發展出一個標準族群。

功能安全主要從3個方向展開研究:預期功能安全、硬件隨機性失效避免和系統性失效避免。其中,預期功能安全是系統性失效的一部分,它要求全面識別受控設備中的所有危險,并把風險控制在可容忍范圍之內。一旦受控設備中包含智能化系統時就極富挑戰——這也是目前面臨的新問題。

硬件隨機性失效避免要求組成安全相關系統的硬件系統必須具有足夠的可靠性、足夠的容錯能力和診斷覆蓋率,系統性失效避免則要避免所有可能導致系統性失效的錯誤和故障,如軟件功能安全、環境適應性、檢測到故障時的系統行為等。

功能安全標準規定了各種原則、方法,是多個行業多年經驗的總結,對于提高復雜控制系統與保護系統執行功能的可靠性,具有十分重要的指導意義。

MCAS存在的功能安全問題

埃塞俄比亞航空和獅航墜機事故原因都聚焦在波音737MAX8飛機的MCAS上。MCAS是一個安全相關系統,從功能安全視角看,它存在多個問題。

首先是設計缺陷,體現在:第一,波音公司在加裝MCAS系統時,忽視了發動機更改會使飛機容易在大迎角飛行時失速,違背了本質安全原則;第二,對MCAS系統的危險評估定為有害等級而不是災難級,定級有誤,說明設計者對MCAS失效可能造成的后果嚴重性估計不足,對這個系統的軟硬件都沒有配置足夠的魯棒性;第三,系統容錯能力不足,即使是有害等級,MCAS系統僅采集左側傳感器數據作為啟動條件也是不符合要求的;第四,對安全關鍵部件(如攻角傳感器)的故障,沒有診斷和報警;第五,出現死亡俯沖時,沒有明顯提示警告機組人員;第六,波音公司的培訓資料從未提及該項功能,也沒有任何特別的培訓課程。

其次是維護和操作問題。一個細節是,獅航飛機空難前帶著這個故障飛行了4次之多,事故前一天還出現過機頭持續下壓的危險狀況,直到飛行員關閉MCAS才安全降落。此外,獅航的維修工作及程序未能解決涉事客機的問題,而客機關鍵零件(攻角傳感器)的安裝及校準記錄不完整未受到重視。

最后是監管問題。波音737MAX8在美聯邦航空管理局進行新飛機的安全批準時,為了加快進度,把該機型MCAS系統的安全評估交給了波音,并要求工程師加快檢查進度。這極大降低了監管的力度和有效性。同時,這也違反了功能安全標準的規定,“對于失效后會導致嚴重后果的安全相關系統,必須由獨立的第三方評估后給出合格與否的結論”。

此外,波音提交的報告數據與實際不符,評估報告未發現MCAS的諸多設計缺陷,評估未要求飛行手冊上標注MCAS且未要求特別的培訓等,都是監管上的紕漏。

功能安全標準要求采用全生命周期來管理安全相關系統,設計者有責任設計高安全完整性等級的安全相關系統,維護者有責任維護安全相關系統,監管者有責任獨立評估安全相關系統的功能安全性能。但如果在設計上存在本質缺陷,那么僅靠維護難以提高安全相關系統執行功能的可靠性。設計者要考慮到維護者和使用者的能力限制。

新技術下復雜系統

面臨更多安全挑戰

聯想到獅航飛行員努力奮斗拉了33次機頭仍失敗墜機,聽到埃塞俄比亞航空的飛行員驚恐地報告無法控制飛機的聲音,所有人都會心疼不已。我們不禁要問,在智能化時代,我們應如何趨利避害?

從智能制造到人工智能、從5G到工業互聯網,新的熱點層出不窮,新的技術不斷更新換代,智能化系統越來越復雜。互聯互通、信息集成,要將系統所有邊界情況一網打盡是天方夜譚。這種情況下,無論是設計者還是監管部門都嚴重缺乏經驗,面臨“你不知道自己不知道什么”的困境。

我們批評波音自己對自己的系統進行評估,但實際上,對于類似MCAS這樣的系統,監管部門的理解和評測能力很可能不足,也沒有相應的標準。對復雜的智能化系統進行功能安全評測一直是業內難題。

在智能化系統控制的飛機、自動駕駛汽車、現代化的工廠中,人的錯誤可能是導致事故的重要原因。比如2009年6月1日法航447墜落事件中,空速管結冰導致飛行控制系統進入故障模式,副駕駛持續拉桿的錯誤動作導致飛機失速墜落。在波音這架飛機上,駕駛員與MCAS一直在搶奪控制權,最終駕駛員失敗了。在危急時刻,該聽誰的?這需要針對每個功能進行認真研究。

另外,機器學習具有“黑箱”特質(不確定性),面對相同情況時可能會產生不同結果。數據采集和學習系統的不完善,也可能導致無意的偏差和數據失真問題。以自動駕駛汽車為例,機器學習訓練的自動駕駛汽車很有可能在學習了相關“學習資料”之后,仍會選擇徑直撞向穿熒光綠色背心的建筑工人。

因此,當我們推行智能化與人工智能技術時,必須同步研究功能安全。

為智能制造保駕護航

波音飛機墜機事件不是孤立的功能安全事故案例。近年來的特斯拉和優步自動駕駛汽車事故、大眾汽車變速箱機電單元問題導致汽車失速事故、遼寧鋼鐵廠鋼包控制系統功能失效事故、美國得州煉油廠因液位計失靈導致的爆炸事故等,都是由于設備故障導致系統失控,最終發生嚴重事故。

面對更新換代的新技術和“層出不窮”的熱點,我們必須理解風險埋藏在哪里,能夠識別出那些未知且不安全的部分,然后將它們的風險控制在可容忍范圍之內,對它們進行區分,拿出化解風險的方案并對其進行驗證。需要制定標準規范行業行為,比如,制定安全標準以規范數據采集和學習系統的開發行為,從而減少人工智能系統無意的偏差和數據失真問題。

埃塞俄比亞航空和獅航空難是巨大的悲劇,所有新技術失敗導致的事故都是人為的災難。看到這些災難,不禁對智能化和人工智能等新技術心存敬畏。希望我們能深入研究功能安全技術,用標準和法規來保障新技術在安全的框架內發展。而任何一項新技術,也只有在解決了安全問題之后,才能真正為用戶所接受。

(作者系機械工業儀器儀表綜合技術經濟研究所副總工程師、功能安全中心主任,國家安全生產專家組成員,國際權威機構認證的功能安全專家。)

【雙11活動】Fluke便攜式紅外熱像儀

  寄語 | 關于我們 | 聯系我們 | 廣告服務 | 本站動態 | 友情鏈接 | 法律聲明 | 非法和不良信息舉報  
工控網客服熱線:0755-86369299
版權所有 中華工控網 [email protected] Gkong.com, All Rights Reserved

經營許可證編號:粵B2-20040325
網安備案編號:4403303010105
辽宁11选5开奖号码历史查询 辽宁11选5胆拖如何玩 彩票趋势计划软件 为什么辉煌棋牌下载不了 杰克棋牌完整手机版 舟山星空棋牌大厅清墩 收集各种可以稳定赚钱的法子 河南快赢481遗漏数据 双色球斜跳号分布图 甘肃11选5预测 网页游戏靠什么赚钱吗 双色球2017119华仔蓝球 广东十一选五app官方 安徽十一选五开奖结果走势图表 股票理财 双色球规律杀凤尾 北京赛车有人赢钱吗