4月4日,埃塞航空ET302航班空难首份官方调查报告公布,随后,波音CEO丹尼斯·米伦伯格(Dennis Muilenburg)就两起波音737 MAX 8型飞机坠机事故,首次向公众承认是新的自动飞行控制系统(MCAS)导致了这两起近350人死亡的空难。
此前观察者网已发布多篇文章,详细解释了MCAS的逻辑不合理,简单来说,在单个攻角传感器测量有误时,MCAS就专断独行,不论驾驶员如何处置,仍然坚持低头向下扎。
这样低级的错误,固然十分离谱,但它背后还是有一些复杂的历史因素。
事件的起源在2010年12月,那时空客宣布了下一代A320Neo将采用LEAP发动机,从而大幅改善燃油效率,这立刻把波音逼入墻角。燃油是航空公司的主要花费之一,原本波音还在考虑开发一型全新的客机来取代737,但是A320Neo在2014年就要交货,重新开发新机型显然会让空客独霸单通道主线客机这个重要的利基很多年。一旦波音的传统客户跳槽,因为驾驶员人机界面和维修系统的惯性,就会连带把利润更高的双通道主线客机生意也带走,这将成为彻彻底底的商业灾难。
于是波音不得不紧急启动737Max的升级计划,硬是在2017年就开始交货,只比A320Neon晚了3年,而且还必须和空客一样,不要求驾驶员做昂贵费时的新训练。
为了赶工,波音安排让FAA(Federal Aviation Administration,联邦航空管理局)将认证的工作交由自己代为处理。这种官商水乳交融的“自我治理”(Self-governance)是1980年代Reagan政权起就特别强调的政治原理,其目的是在不公开直接解除政府监管表象的前提下,仍然在实际上给予财团远远更大的自由,而其主要手段则是一方面鼓励公务员与财团高管之间的旋转门,另一方面是削减预算,使得即使有心办事的官员也没有人力财力来执行任务。这个趋势,在共和党执政期间特别明显,经历里根、小布什和特朗普三任挖墙脚的不懈努力,美国在20世纪前70年所建立的廉洁高效官僚体制早已名存实亡。
然而在技术上,737源自60年代的原始设计过于古老,其实无法与80年代设计的空客A320平等竞争,于是牺牲基本的安全性成了必然的结果。这其中最重要的技术问题有两项:首先(第二项是飞控,见下文),737的机翼很低,但是过去50多年来,每一代新涡扇发动机都增高了涵道比(Bypass Ratio)以追求更大的推力和更高的燃油效率,所以也就越来越粗胖。从上一代的737NG开始,机翼下已经没有足够的空间来吊挂发动机,于是一方面要求发动机制造商强行削平下缘,另一方面将发动机舱(Engine Nacelle)向前上方挪移。737Max为了使用更大的LEAP发动机,更是必须超越原始设计的安全极限,埋下了后来事故的伏笔。
这个问题牵涉到比较精微的空气动力学,所以我在此详细讨论一下。很多新闻报导基于波音自己发表的一篇简介,说737Max采用MCAS是为了补偿发动机前移所造成的额外上扬力矩,这也成为很多网络评论的基础;但是专业知识相对比较强的作者,例如服务于航空业的张仲麟和有工程背景的晨枫,都指出把发动机向前上方移动,其实应该使推力轴线更接近阻力中心,所以照理说是会减低而不是增加上扬力矩。那么波音为什么那么说呢?
其实波音那个简介的基本叙述是正确的,只不过没有把细节说清楚罢了(可能是故意不说清楚,参见下文)。这里的额外上扬力矩并不发生于平飞的时候,也不直接来自发动机本身的推力,而是非线性空气动力学的后果。发动机舱为了减低阻力、增加空气流量,外环的剖面形状其实很像机翼,只不过必须卷成圆形。所以飞行的时候,发动机舱外环也产生“升力”,但它不是全部向上,而是与外环面垂直向内,于是在平飞状态下,这些升力互相抵消,没有实际影响。
但是在爬升阶段,飞机处于大迎角(Angle of Attack,又译为攻角)状态,这时气流主要作用于发动机舱外环的下缘,总升力就是向上了。这个升力因为有发动机抽取气流的影响,额外强大。同样的效应使得把发动机紧靠在机翼上缘成为增升的极端手段之一,例如强调短距起降性能的Antonov An-72。而发动机舱外环产生意外升力以至飞行器研发失败,也早有前例,对历史有兴趣的读者可以搜索Hiller VZ-1 Pawnee。
VZ-1 Pawnee是Hiller Aircraft为美国陆军设计研究的单兵飞行平台,1955年首飞。原本设计师希望由乘员倾斜身体来改变飞行方向,结果实验发现发动机舱外环的升力效应太强,稍有倾斜,那个方向的升力就大幅增加,把平台又推回平稳悬停状态。一个无法控制如何前进后退的飞行平台,当然是没有用处的,所以这个计划就被放弃了。
737Max的新LEAP发动机前移之后,这个来自发动机舱外环下缘的气动升力就会产生上扬力矩。LEAP的外环粗大、进气量高,都使得力矩更强。更糟糕的是这个力矩随迎角增加而有非线性的快速增大,所以一旦它开始让飞机上扬,就会有失控性的不稳定(Runaway Instability)。换句话说,737Max在俯仰轴向(Pitch)没有完全的静稳定性(Static Stability)。
静不稳定性是自F16之后,现代高性能战机的特性之一。它使得飞机极为灵活,但是因为飞机在极短时间就可能失控,驾驶员无论如何不可能用手控来维持安全飞行,所以静不稳定性设计的前提是电传飞控,也就是计算机全自动控制,在不稳定性随机发生的几毫秒内就自行主动更正。然而737不像空客A320,并没有电传飞控,仍然用的是机械液压;这也就是前面提到的,737的原始设计过于古老,最重要技术问题中的第二项。
但是波音公司的商业前途,在此一举,工程师再怎么不舒服,也只能蛮干硬上,靠打补丁来弥补,MCAS就是强加在机械液压飞控之上的一个电传补丁。它并不是为了预防像法航447号空难那样在巡航过程中因为副驾驶脑子抽风、拼命拉杆、人为导致失速,而是弥补飞行包线边缘的一个静不稳定区间的必要程序,所以它被设计成在起飞阶段特别敏感(我的猜测),而且优先级别高过驾驶员。如果我们理解它其实被波音工程师视为简易版的电传飞控而不仅仅是一个安全警告装置,就能明白为什么驾驶员不能否决它的决定,这是因为所有电传飞控系统原本就都有最终决定权。
那么波音工程师实际上所犯的错误,就只有一点,亦即允许迎角探测器成为单点故障来源(Single Point of Failure)。但是静不稳定性是一个很基本、很巨大的危险,如果一两个迎角探测器有了误读,也不能简单把MCAS关闭。真正的最佳解决方案,是重新设计机翼,但是波音没有这个时间。次佳的解决办法,是改用完整的电传飞控,这还是需要太久。最起码应该用到三个以上的迎角探测器,如此一来可以容许其中一个出毛病。但是波音似乎是到设计过程的末端才注意到静不稳定性的问题,MCAS是紧急搞出来的解答,737原本只有两个迎角探测器,要临时再加一个已经来不及。两个读数如果不一致,MCAS也不可能确定哪一个才是正确的,那么反而不如直接只取其中一个读数,出错的机率只有一半,这也就是既有的MCAS只采用两个迎角探测器中的一个读数来做决定的原因。
但是迎角探测器会出错是必然的。实际做设计工作的波音工程师也必然了解这一点,而公司最高层却似乎不明白这个设计决定在冒什么险。这一般是组织的内部文化腐败到某种程度之后,中高层管理人员欺上瞒下成了惯例,才会出这麽大的纰漏。波音在过去十几年里,为美国空军设计新一代加油机的过程中,磕磕绊绊,一再犯下许多低级错误,完全没有上个世纪的精干形象,看来不是偶然的。
中国民航局这次率先停飞737Max,是有胆识的正确决定,也暴露了FAA袒护自家商人的内幕,但是737Max对波音的生意太过重要,即使真相逐步揭露,波音仍然必须尽快止损,恢复交机。而重新设计新机型、新机翼、或者新飞控依旧会拖延太久,只有修改MCAS的逻辑程序,顶多加上第三个迎角探测器,是可以在几个月或一年内搞定的。所以波音现在的策略必然是谦卑地承认MCAS的缺陷,然后启动所有的公关资源,把公众的注意力集中到MCAS的改进上。
但是真正的问题重点,也就是737Max在空气动力学上的静不稳定性,在过去FAA认证的过程中,被波音瞒天过海了。对现在的波音来说,赔偿、指责、调查都是小事,它最怕的是欧洲或中国的民航管理机构重新进行独立、完整的认证过程,那么一旦静不稳定性被发现,新机翼和新飞控就无法推辞,这一拖延下来,少则七年、多则十年,波音在单通道干线市场基本无法和A320竞争。
中国民航局似乎并没有看透波音的底牌,对自身是否能够或应该启动对737Max的重新认证还有疑虑。我希望借着这篇文章,提醒他们,为了全球乘客的安全,并且提供C919一个公平的竞争环境,对737Max重新认证是绝对正确的选择。