ソフトウェア開発者の目から見たクラッシュボーイング737 Max

Greg Travisによる記事「ボーイング737 Maxの災害がソフトウェア開発者にどのように見えるか」の翻訳を紹介します。 これは、ボーイングが商業的利益のためにお金を節約し、「コーナーを切り詰める」という欲求と、開発コミュニティの「無能と非倫理」の文化が346人の死につながった方法についてです。 すべての点で著者の立場を共有しているわけではありません（特に、人的要因はソフトウェアよりもはるかに悪いと考えています）が、主な議論に反対することは困難です。

以下はたくさんの手紙です。 怠lazを読んでも、トピックに慣れたい場合は、HabréにVyacheslav Golovanovの翻訳のこの記事の最初の短いバージョンがあります 。

この記事で表明された見解は、著者の見解のみであり、IEEE SpectrumまたはIEEEの立場ではありません（ 約Transl。-および翻訳者も:) ）。

私は30年の経験を持つパイロットであり、40年の経験を持つソフトウェア開発者です。 私は航空とソフトウェア開発についてたくさん書きました。 両方のことについて同時に書く時が来ました。

現在、すべてのニュースは、新しいボーイング737 Max航空機モデル ^（Eng。）の事故に関するニュースでいっぱいです。 顧客の完全な制御と安全性の感覚に完全に依存している産業にとって、これらの2つのクラッシュは実存的な大きな危険をもたらします。 そして、過去数十年にわたって飛行機crash落事故の死亡者数が減少したという事実にもかかわらず、この成果は過度の自信の理由ではありません。


WestJet Boeing 737 MAX 8、 acefitt 、Creative Commons Attribution 2.0 Generic

最初のボーイング737モデルは、3歳の1967年に初めて登場しました。 それは小さなエンジンと比較的単純な制御システムを備えた小さな飛行機でした。

航空会社（特にアメリカ南西部）は、シンプルさ、信頼性、柔軟性のために彼らに恋をしました。 さらに、当時の通常の3人または4人ではなくコックピットでパイロットを操縦するために必要な乗務員は2人だけで、これにより航空会社は大幅な節約を開始できました。 航空輸送市場の発展と新しい技術の出現に伴い、737のサイズは急速に成長し、電子機器と機械の複雑さが増しました。 もちろん、737だけが成長したわけではなく、旅客機は航空機業界とそれを購入した航空会社の両方から莫大な投資を必要とするため、両方とも絶えず拡大しました。

しかし、これらの市場と技術の大部分は、乗客の安全のためではなく、企業の経済的利益に基づいて行動しました。 エンジニアは、業界が「乗客1キロメートルあたりのコスト」と呼んでいるもの、つまり、ポイントAからポイントBに乗客を運ぶコストを削減するために、たゆまぬ努力をしました。

この最適化ストーリーの多くは、エンジンに関係しています。 熱機関の効率（効率） のカルノーの定理によれば、エンジンをより高温にすればするほど、より効率的になります。 この原則は、チェーンソーエンジンとジェットエンジンにも当てはまります。

小学校。 エンジンをより効率的にするための最も簡単で最速の方法は、出力単位あたりの燃料消費量を増やすことです。 それが私の小さなセスナのライカミングO-360エンジンが大きなプレートのサイズのピストンを持っている理由です。 したがって、船舶のディーゼルエンジンは3階建ての家のサイズになります。 まったく同じ理由で、ボーイングは新しい737に巨大なCFM International LEAPエンジンをインストールしたかったのです。

小さな問題が1つだけあります。元の737には、今日の基準で非常に小さなエンジンが装備されていたため、翼の下に簡単に配置できました。 しかし、737のサイズが大きくなると、エンジンも大きくなり、エンジンと地面の間のクリアランスが次第に小さくなりました。

この問題を回避するために、多くのトリックが考案されました（または、ソフトウェア開発者がそれらを呼ぶ「ハッキング」）。 たとえば、一般の人々にとって最も顕著で明白なのは、吸気口の形状を円形から楕円形に変更して、エンジンの下のスペースを増やすことです。

737 Maxの場合、状況は重大になりました。 元の737に取り付けられたエンジンブレードの直径は100 cm（40インチ）でしたが、737 Maxの新しいエンジンでは直径が176 cmに増加しました。軸線の差が30 cmを超えると、吸気口を楕円形にできなくなります。地面を削り始めませんでした。

次に、エンジンを上から構築し、翼に対して前方および上方にシフトすることにしました。 これにより、エンジン推力の軸線の変位が生じました。 現在、エンジン出力の増加に伴い、航空機はケーブル配線、つまり機首への傾向があります。

参考までに、航空機の迎え角は、流入する空気流の速度ベクトルの方向と翼面の間の角度です。 高速道路に沿って移動する車の開いている窓から手を出したと想像してください。 手のひらを地面とほぼ平行に保つと、これは小さな迎え角になります。 手のひらを地球の平面の周りに回すと、迎え角が大きくなります。 迎え角が大きくなりすぎると（超臨界）、空気流の乱れの結果として空力失速が発生します。 移動中の車の窓から手を出すことで、これを自分で確認することができます。ゆっくりと手を回すと、持ち上げる力が増加し、手を突然倒れるまで持ち上げます。これは、後続のストールを伴うストリームのストールです。

したがって、実際にエンジン出力を上げてケーブル接続する傾向は、パイロットがガスを絞る場合に航空機失速のさらなる発展のリスクを意味することがわかります（私の息子が言いたいように）。 このようなイベントの発生は、飛行速度が遅い場合に特に起こりやすくなります。

さらに悪いことに、エンジンナセルは非常に前方にあり、非常に大きいため、特に大きな迎え角では、エンジンナセル自体が揚力を生み出します。 つまり、ゴンドラはすでに悪い状況をさらに悪化させました。

私は強調します：737 Maxでは、エンジンは翼のように高角度の攻撃で動作し、揚力を生み出します。 さらに、この力の作用中心は、翼の揚力の作用中心に対してはるか前方にシフトしているため、737 Maxは迎え角が大きくなると迎え角がさらに大きくなる傾向があります。 そして、これは空気力学の能力の最悪の例です。

エンジン出力の変化に伴うピッチ自体の変化は、航空機の制御においてかなり一般的な出来事です。 私の小さなセスナでさえ、ガスを当てながら鼻を少し持ち上げます。 訓練中、パイロットはそのような困難について知らされ、それらを克服するように教えられます。 ただし、規制当局によって設定された特定の安全な制限があり、パイロット自身が我慢します。

迎え角が大きくなるとピッチが変わるのはまったく別のことです。 すでに空力失速のポイントに近づいている飛行機は、いかなる状況下でもこの効果をさらに発展させる傾向はありません。 この特性は「動的不安定性」と呼ばれ、許容される唯一のクラスの航空機-戦闘機-はパイロット用のカタパルトを装備しています。

航空業界の誰もが、できるだけ自然で飛行しやすい飛行機を夢見ています。 たとえば、エンジンの出力を変更したり、フラップを下げたり、着陸装置を伸ばしたりする場合、飛行条件は目立って変わらず、ロールやピッチの変更はありません。挙動は予測可能なままでなければなりません。

航空機の船体（鉄自体）は、最初は可能な限り予想どおりに動作し、追加の「ベルとホイッスル」を必要としません。 この航空キヤノンは、ライト兄弟のキティホークへの最初の飛行中に敷かれました。

明らかに、新しいボーイング737マックスモデルは、特に既に大きな迎え角の場合、牽引力が大きくなり、鼻を強く締めすぎています。 彼らは最も古い航空法に違反しており、おそらく米国連邦航空局（FAA）の認証基準にも違反しています。 しかし、ボーイングは製図板に戻って飛行機のボディを固定する代わりに、特定の「機動特性増強システム」 ^（ MCAS）に依存することを決定しました。

ボーイングは、ソフトウェアを使用して鉄の問題を解決しました。

私は、企業の言語の出現についての議論を残します（ およそTransl .:明らかに、著者は、「操縦性を改善するためのシステム」という名前は、航空用語では珍しいことを絶対に何もしないという意味ではないことを意味します ）別の記事のレキシコンですが、このシステムは異なる方法で呼び出すことができることに注意してください。たとえば、「パイロットがパンチを打ったときに失速を防ぐ安価な方法」CWTPASWTPPI）。 ただし、おそらくMCASで停止する価値があります。

もちろん、新しい大型エンジンに対応する必要性を考えると、MCASは機体の深部処理のはるかに安価な代替手段です。 このような処理には、たとえば、前部着陸装置の延長（胴体に引き込まれたときに胴体に収まらない）、翼の折り畳み、または他の同様の変更が必要になる場合があります。 それは途方もなく高価です。

マックス737の開発と製造はすべて、「これは同じ古き良き737です」という神話のもとで行われました。 これは古いモデルではないことを認識してください。再認証には数年かかり、数百万ドルを必要とします。

「実際、1967年にボーイング737を操縦する許可を得たパイロットは、737の後続バージョンをすべて制御できます。」
最大の航空会社の737パイロットの1人による記事の以前のバージョンのレビューから。

さらに悪いことに、このような大きな変更には、FAAによる再認証だけでなく、まったく新しいボーインググライダーの開発も必要です。 今、私たちは、航空機メーカーと航空会社の両方にとって、本当に大きなお金について話しています。

ボーイングが737 Maxを販売する際の主な論点は、同じ737であり、以前のモデルで飛行するパイロットはMaxも操縦できるということでした-高価な再訓練なしに、新しい証明書と新しい評価を取得します。 航空会社（および南西部がその代表例です）は、1つの「標準」タイプの航空機の艦隊を好む傾向があります。 パイロットと飛行機の両方が交換可能になり、柔軟性が最大になり、コストが最小になるため、どのパイロットでも制御できる単一の航空機モデルを持つことを好みます。

いずれにせよ、それはすべてお金に帰着し​​、MCASはボーイングとその顧客にとって正しい方向にお金を流すもう1つの機会になりました。 737 Maxの飛行特性が以前の737モデルと変わらないことを主張する必要性は、737 Maxフリートの互換性の鍵でした。 おそらく、それがMCASの存在そのものに関する文書が隠された理由でした。

この変化が突然目立つようになった場合、たとえば、航空機のマニュアルに反映されたり、パイロットが訓練を受けたときに特別な注意が払われたりすると、誰か-おそらくパイロットの誰かが立ち上がって言う：ねえ、それは737のようではありません。」 そして、お金は間違った方向に流れます。

すでに説明したように、移動中の車の窓から手を出し、手のひらをひねるだけで、自分で迎え角を試すことができます。 そのため、飛行機のような複雑な機械には、窓から露出した手に相当する機械的角度、つまり迎え角センサーもあります。

飛行機に乗るときに気づくかもしれません。 原則として、航空機の両側に1つずつ、通常はコックピットの窓のすぐ下に2つあります。 それらをピトー管と混同しないでください（それらについては以下をお読みください）。 迎え角センサーは風見鶏のように見え、ピトー管は…うーん、管のように見えます。 迎角センサーは、まさに天候ベーンなので、天候ベーンのように見えます。 機械的な翼は、迎え角の変化に応じて動きます。

ピトー管は、空気の流れが飛行機を「押す」力を測定し、迎え角センサーはこの流れが流れる方向を決定します。 実際、ピトー管は圧力を測定するため、空気に対する航空機の速度を決定するために使用されます。 迎え角センサーは、流れに対する航空機の方向を決定します。

胴体の両側に1つずつ、2組の角度センサーと2組のピトー管があります。 通常、メインパイロットの側面に設置された計器は、船体の同じ側面にあるセンサーから測定値を取得します。 同様に、2番目のパイロットの計器には、彼の側のセンサーからの値が表示されます。 このアプローチにより、機器に自然な冗長性が生まれ、パイロットによる迅速かつ簡単な相互検証が可能になります。 副操縦士が自分の対気速度インジケーターが奇数であると信じている場合、彼はそれをメインパイロット側の同様のデバイスと比較できます。 証言が発散すると、パイロットはどのデバイスが真実を示し、どのデバイスが嘘をついているかを見つけます。

むかしむかし、将来、飛行機が自分で飛ぶことができるようになると、パイロットと犬がコックピットに座らなければならないというジョークがありました。 パイロットが必要なのは、乗客が目の前にいるという認識から落ち着くためです。 犬が何かに触れようとすると、犬はパイロットを噛まなければなりません。

737日に、ボーイングは、航空機のバックアップデバイスとセンサーだけでなく、バ​​ックアップオンボードコンピューターも作成し、メインパイロットと2番目のパイロットから1台のコンピューターをインストールしました。 フライトコンピューターはさまざまな便利な機能を実行しますが、主なタスクは、指示されたときに飛行機を自動操縦し、パイロットが手動パイロットモードでミスを犯していないことを確認することです。 最後の段落は、「飛行モードの範囲の保護」と呼ばれます。

しかし、スペードをスペードと呼びましょう。これはジョークの「噛む犬」です。

MCASは何をしますか？ このシステムは、空力失速を回避するために、船舶が迎え角の許容範囲外にあると考えられる場合、航空機の機首を下げる必要があります。 ボーイングは737 MaxにMCASを設置しました。これは、大型エンジンとその新しい場所が、モデルの前世代よりも失速する可能性が高いためです。

その瞬間、MCASは迎え角が大きくなりすぎたことに気づくと、航空機のトリマー（航空機を上下に動かすシステム）に命令して、船の船首を下に向けます。 彼女はまた別のことをします。間接的に、ボーイングが「エレベーターフィールコンピューター」（エレベーター感知コンピューター、EFC）と呼ぶものを使用して、パイロットコントロールホイール（パイロットが鼻を上げ下げするために押すまたは引くヘルム）を押します。航空機）ダウン。

737 Maxでは、他のほとんどの最新の旅客機や自動車と同様に、コンピューターがすべてのプロセスを監視し、さらにはそれらを直接制御します。 多くの場合、パイロットの制御機器と飛行機の実際の空力羽、キール、および飛行機を飛ばすその他のデバイスとの間の直接的な機械的接続（ケーブル、油圧ライン、チューブなど）はもはやありません。 そして、そのような機械的な接続が存在する場合、コンピューターはパイロットがそれらを使用することが許されることを決定します（そして再び同じ噛み付く犬）。

ただし、パイロットは発生するすべてについて物理的な応答を受け取ることが重要です。 古き良き時代に、ケーブルがパイロットの制御要素を羽と接続したとき、飛行機が下がった場合、彼らは大きな力でハンドルを引っ張らなければなりませんでした。 飛行機が高度を上げている場合、彼らは彼を強制的に押し込まなければなりませんでした。 コンピューターの監視下で、制御の自然な感覚は消えました。 737 Maxにはもはや「自然な感覚」がありません。

はい、737には、パイロットが操作する補助翼や航空機の他の部分と直接やり取りする制御をリンクする冗長油圧システムがあります。 しかし、これらの油圧システムは非常に強力であるため、エルロンに作用する空力から直接フィードバックを送信しません。 パイロットは、コンピューターが感じることだけを感じます。 そして、時々、感覚はそれほど心地よくありません。

MCASシステムが失速に突入することを決定したという事実により、フライトコンピューターが飛行機を下降させるよう指示すると、モーターと補償器のチェーンがコックピットの舵を前進させます。 そして、コンピューターは舵に多大な労力をかけることができ、パイロットが彼らを自分自身に引き寄せようとし、コンピューターに彼が何かを完全に、間違ってやっていることをすぐに使い果たそうとすることがわかりました。

実際、システムがパイロットが舵を自分で引っ張って航空機を制御することを許可していないという事実は、737 Maxデザイナーの慎重な決定でした。 パイロットが操縦columnを引いて航空機の機首を上に向け直すことができる場合、MCASシステムが下を向くべきだと言ったとき、そのようなシステムのポイントは何ですか？

MCASはフライトコンピューターに統合されているという事実にもかかわらず、オートパイロットがオフになっている場合でも介入し、パイロットは独立して航空機を制御していると確信しています。 操縦者と操縦席の責任者のためのオンボードコンピューターとの闘争で、操縦士は人々を（文字通り）枯渇させました。

最後に、MCASシステムの存在そのものを隠して、「これはもう古い737ではない」と言わないようにする必要があり、必要な銀行口座は影響を受けませんでした。

フライトコンピューターは単なるコンピューターです。 これは、その中にアルミニウム部品、ケーブル、燃料ライン、またはその他の航空属性がないことを意味します。 それらはコード行で満たされています。 ここですべてが危険になります。

これらのコード行は、間違いなく上司の管理下にある人々によって書かれています。プログラマーもその上司も、工場で働いたり、翼をリベットで留めたり、ステアリングブラケットを開発したり、胴体に着陸装置を設置したりする人ほど、航空業界の特別な文化や習慣に精通していません。これらの人々は、過去に航空業界で働いていたものと何がうまくいかなかったかという共通の「産業」記憶を持っています。ソフトウェア開発者-いいえ。

737 Maxでは、フライトコンピューターの1つだけが同時にアクティブになります-メインの側または副操縦士の側のいずれか。アクティブなコンピューターは、航空機の側面に設置されたセンサーからのみデータを受信します。

操縦中にコンピューターのデータが分岐していることに気付いた人は、コントロールパネルを検査し、他のデバイスの読み取り値を評価し、何が間違っているかを理解します。ボーイングにインストールされたシステムでは、オンボードコンピューターは「他のデバイスを検査しません」。彼は自分の側にあるデバイスのみを信頼します。彼は昔ながらのやり方をしていません。彼は超現代的です。彼はソフトウェアです。

これは、ある極端な環境から別の環境への移行、絶え間ない振動と揺れにさらされているデバイスに発生する迎え角の特定のセンサーが故障した場合でも、制御コンピューターは単純にそれを信じることを意味します。

それよりも悪い。ピトー管、人工地平線など、直接および間接的に迎え角を決定する他のデバイスがいくつかあります。パイロットは、これらのすべての機器をチェックして、障害のある迎え角センサーを迅速に診断します。

極端な場合、パイロットは常に窓の外を見て、飛行機の機首が危険なほど引き上げられていないことを視覚的に確認できます。これは最終テストであり、パイロットの排他的かつ絶対的な特権である必要があります。残念ながら、現在のバージョンのMCASはこの権利を奪っています。彼女はパイロットが自分の目で見たものに反応する能力を奪います。

自己陶酔的な人格障害を持つ人として、MCASはパイロットの決定を覆い隠します。そして最終的に、それは誰にとっても悪いことが判明しました。

-HAL、鼻を持ち上げます。
-申し訳ありません、デイブ、私はあなたのためにこれを行うことができないのではないかと心配しています。

MCASベースのオンボードコンピューターは、パイロットが自分の目で見たものを含め、間違っているという証拠を認識しません。飛行機を必死に水平にし、ロボットのハンドルを自分の方に引くと、コンピューターはパイロットと乗客を「噛み殺し」ます。

昔、FAAには航空技術者の軍隊がいました。彼らは航空機メーカーと協力して、航空機が安全で認証の準備ができていることを確認しました。

航空機がより複雑になると、FAAと航空機メーカーが従業員に支払うことができる金額のギャップが絶えず拡大していました。ますます多くのエンジニアが公共部門から民間部門に移行しました。すぐに、FAAは特定の航空機モデルがどれだけ安全であり、それを生産できるかどうかを把握する機会がありませんでした。

次に、FAAは航空機の設計者に「プロジェクトの安全性を従業員自身が教えたらどうなるか」と提案しました。メーカーは「いいですね」と答えました。FAAは「ジョーにあいさつをします」

これが、「指定されたエンジニアリング担当者」DERの概念が生まれた方法です。これらの代表者は、すべてが安全で良いことをFAAに証明する航空機メーカー、エンジンメーカー、およびソフトウェア開発者のmerc兵です。

これは明らかな利益相反のように見えますが、これは完全に真実ではありませんが、誰も飛行機のcrash落に興味がありません。航空業界は国民の信頼に完全に依存しており、飛行機のcrash落はすべて、業界にとって実存的な脅威となっています。どのメーカーも、書類に署名するためだけにDERを雇うことはありません。一方、長い一日の仕事の後、誰かがソフトウェア開発部門の人たちに「はい、すべてが整っている」と言うかもしれません。

737 MaxのMCASソフトウェア開発者の誰も、1つではなく、反対側にある迎え角センサーを含む複数のデータソースを使用して、失速の判断に疑問を投げかけたことは驚くべきことです。ソフトウェア開発の友愛の生涯のメンバーとして、私は無能、慢、航空文化の理解不足の爆発的な混合がこのようなエラーにつながる可能性があることを理解していません。

翻訳者から：記事へのコメントの中で、ユーザーの1人は、MCASが、とりわけ、予想通りにストールプロセスの開発を最初に決定した後、攻撃角度を0.8度減少させただけでなく、停止するまでループしたことを指摘しました新しい次元ごとに。

しかし、これが業界のより深い問題の指標であることは確かです。元のMCASシステムのコードを書いた人たちは、明らかに、彼らに必要な専門的な成熟度のレベルから無限に遠く、疑いさえしていませんでした。どうすればこのソフトウェアの修正を彼らに任せることができ、実際に飛行管理ソフトウェアの残りの部分の信頼性とセキュリティを信じることができますか？

そのため、ボーイングは空力的に不安定な航空機の胴体737 Maxを作成しました。最初の大きな間違い。ボーイングは、新しい737の新たな動的不安定性の問題をソフトウェアで隠そうとしました。 2番目の間違い。最後に、ソフトウェアは、故障する傾向があることが知られているシステムの読み取り値（攻撃角度センサー）に依存しており、他の種類の機器だけでなく、センサーの2番目のセットの読み取り値でも、基本的なクロスチェック手順さえもありませんでした。大きな間違い3。

これらの問題はいずれも品質テストを許可しません。それらのどれでも、DERからだけでなく、最年少のエンジニアからも「OK」を取得するのに十分です。

これは大きな問題ではありません。これは政治的、社会的、経済的、技術的な罪です。

737 Maxの最初のクラッシュと2回目のクラッシュの間に、自分の飛行機に新しいデジタルオートパイロットをインストールする必要が生じました。これは1979年のセスナ172で、製造されたモデルの数の点で史上最も人気のある航空機です。彼は最初のボーイング737（1955対1967）のほぼ10年前に最初の飛行証明書を受け取りました。

私の新しい自動操縦装置は、バックアップオンボードコンピューター（2つのGarmin G5）と複雑な通信バス（CAN、コントローラーエリアネットワークなど）を含むいくつかの超近代的なコンポーネントで構成されています）、航空機のボディ内の位置に関係なく、システムのさまざまなコンポーネントが互いに通信できるようにします。 CANバスは、Drive-by-Wireテクノロジ（電子デジタル自動車制御システム）を実装するために自動車産業で開発されましたが、目的と実装の観点からは、737 Maxのコンポーネントを接続するARINCバスに似ています。

私の自動操縦には電子トリマーも含まれています。その結果、彼は私の172の飛行構成に対して、737 MaxのMCASを搭載した飛行コンピューターと同じ修正を行うことができます。 737 Maxの最初のクラッシュ後、自動操縦装置の設置中に友人と話をしたとき、私はおそらくライオンエア便の死亡につながったものと同様の潜在的な危険源を追加していることに気づいたことを覚えています。

最後に、私の新しい自動操縦装置には「保護シェル」（飛行モードの範囲の保護）もあります。「シェル」は航空機の最終的な運用特性のグラフです。オートパイロットが私のセスナを制御していないときでも、システムは引き続き航空機の状態を監視し、コルク栓抜きでダンプしたり、シャーシを飛ばしたり、または他の多くのことを行うことを確認します。はい、彼は「噛む犬」モードも持っています。

ご覧のとおり、私の20,000ドルの自動操縦と各737の数百万ドルの自動操縦との類似点は、直接的で、具体的で、関連性があります。違いは何ですか？

手始めに、新しい自動操縦装置をインストールするには、新しい証明書（「補足型証明書」、STC）が必要でした。つまり、オートパイロットのメーカーとFAAの両方は、1979年のGarminのオートパイロットを搭載したセスナ172が飛行機と大きく異なるため、一度組立ラインから外れたため、同じセスナ172ではなくなったことに同意します。これはまったく異なる飛行機です。 。

私の航空機には、航空機などの新しい（追加の）証明書（および新しい認証プロセス）が追加されているという事実に加えて、航空機の操作マニュアルを含む一連のドキュメントを取得、確認、補足する必要がありました。ご想像のとおり、ほとんどの場合、これらのアドオンには自動操縦に関する情報が含まれています。

このドキュメントは、この飛行機で飛行したい人なら誰でも知っているはずであることに注意してください、オートパイロットの動作とトリマーの制御方法を詳細に説明し、飛行モードの範囲の保護の機能についても説明します。

また、システムが誤動作していることを判断する方法と、システムをすばやくオフにする方法についても詳しく説明します。オートパイロットシステムからヒューズを抜いてオフにする必要がある行は、新しいドキュメントのほぼすべてのページで何度も繰り返されます。私の172を操縦したいパイロットにとって、それは他の172とは異なることがすぐに明らかになります。

初めてセスナに搭乗するパイロットと737 Maxに乗り込んだパイロットとの間に大きな違いがあります。。

: , , 737 Max , . , MCAS , , , . MCAS …

私の自動操縦装置と737 MaxのMCASを搭載したシステムのもう1つの違いは、CANバスで接続されたデバイスが常に通信してクロスチェックを実行することですが、明らかにMCASはそうではありません。たとえば、オートパイロットは、両方のG5オンボードコンピューターを常にポーリングして場所を特定します。データが発散すると、システムはパイロットに通知してシャットダウンし、手動制御モードに切り替わります。彼女が突然彼が倒れ始めそうだと信じ始めた場合、彼女は飛行機を地面に向けません。

そしておそらく最大の違いは、パイロットが私の飛行機と737 Maxで自動操縦コマンドを粉砕するために行使しなければならない力です。私の172には、コントロールを空力面に直接接続するケーブルがまだあります。コンピューターは私と同じレバーを押すことを余儀なくされ、それは私よりもはるかに弱いです。コンピューターが飛行機が落下し始めたと誤って判断した場合、その抵抗を簡単に克服できます。

私のセスナでは、人間はまだオートパイロットとの戦いから常に勝利を収めています。ボーイングは、航空機を開発する際にまったく同じ哲学を常に公言してきました。さらに、正反対の役割を果たすライバルのエアバスに対しても使用されました。しかし、ボーイング737 Maxのリリースにより、誰にも言わずに、人間と機械の関係の戦略を変更し、同様に静かに操作指示を変更することにしたようです。

737 Maxのこのすべての物語は、合併症が追加のリスクをもたらし、その技術には独自の限界があるだけでなく、真の優先事項があるべきことも教えてくれるはずです。今日、主なものはお金であり、セキュリティではありません。彼らは、正しい方向にお金の動きを続けることが必要である限り、それについて考えます。デバイスは変更が容易すぎるソフトウェアにますます依存しているため、問題は日々深刻化しています。

デバイスやハードウェアの欠陥は、エンジンの位置が悪い場合でも、寒いところに散らばるOリングでも、明らかに修正が困難です。 「難しい」と言うとき、「高価」という意味です。一方、ソフトウェアの欠陥は、迅速かつ安価に修正できます。必要なのは、更新プログラムを公開してパッチをリリースすることだけです。さらに、コンピューター上のオペレーティングシステムの更新と、スリープ中にTeslaに自動的にインストールされるパッチの両方を、購入者がこれをすべて標準と見なすようにしました。

1990年代に、チップあたりのトランジスタ数で表されるIntel Pentiumプロセッサの相対的な複雑さと、ソースコードの行で表される新しいMicrosoft Windowsオペレーティングシステムの複雑さを比較する記事を書いたことがあります。それらは比較的同等に複雑であることが判明しました。

同じ頃、以前のPentiumプロセッサにはFDIVバグと呼ばれるバグが発生しやすいことが判明しました。わずかな数のPentiumユーザー（おおよそTransl。：科学者と数学者）のみが問題を経験することができました。 Windowsでも同様の欠陥が見つかりましたが、これはごく一部のOSユーザーにも影響を及ぼしました。

ただし、IntelとMicrosoftの関係は根本的に異なっていました。 Windows用の小さなソフトウェアパッチが体系的にリリースされましたが、1994年にインテルは欠陥のあるすべてのプロセッサをリコールする必要がありました。これには4億7500万ドルの費用がかかりました。今日の価格では8億ドル以上です。

私の意見では、ソフトウェアを更新するときの相対的な単純さと重要な材料コストの不足が、開発者コミュニティの怠cultureな文化の発展につながっています。さらに、ソフトウェアがますます「ハードウェア」を制御するという事実により、この怠cultureな文化は、技術の開発に浸透し始めます-例えば、航空機の建設において。ソフトウェアを使用して欠陥を修正するのは非常に簡単であるため、装置の正確でシンプルな設計の開発に次第に注意を払っています。

私のテスラ、私のセスナのガーミンフライトコンピューター、ネストサーモスタット、または自宅のテレビの新しいアップデートがリリースされるたびに、これらのものはどれも工場から実際にリリースされていないことに再び気付きます。なぜなら、彼らのクリエーターはこれがまったく必要ないことを理解しているからです。作業は、次のアップデートをリリースすることにより、しばらくして終了できます。

» — , , . , , , ( « Windows» « ++»). , 10 , , ."
— ,

ボーイングは現在、オンボードコンピューターとMCAS 737 Maxの新しいアップデートをインストールしています。確かではありませんが、このアップデートは主に2つのことに焦点を当てていると思います。1つ

目は、パイロットが行うように、ソフトウェアにインストルメンテーションをクロスチェックする方法を教えることです。つまり、迎角のセンサーの1つが、飛行機が脱落し始めていることを報告し始め、もう1つのセンサーがそうでない場合、つまり、システムが機首を地面に向けないようにしたが、まだパイロットに最初に衝突について通知することを望んでいる場合センサーの測定値。

2つ目は、「最初に撮影し、後で質問する」という戦略を放棄することです。つまり、1つではなくさまざまなソースを調べ始めます。

私の人生では、航空産業のこれら2つの基本原則、これまで業界に忠実に貢献してきた考え方の基礎が、MCASを開発するときに忘れられることがどうしてわかったのか理解できません。私はDERの作業のどのプロセスが非常に壊れてプロジェクトの根本的な欠陥を引き起こしたかを知りません。

理由は、ボーイングがより大きなエンジンを供給し、それに伴う大きなコストを避けたいという理由とほぼ同じ場所にあるのではないかと思う。誰もが知っている無料のチーズを食べたいという欲求はネズミ捕りだけだ。

可能な限り単純なシステムを開発する必要性に重点が置かれていることは、「正常な事故：高リスクテクノロジーとともに生きる」という本の著者であるイェール大学の社会学者Charles Parrowによってよく実証されています（通常の事故：高リスクテクノロジーとの共存 ^（英語））1984。この本の本質はすべてタイトルに含まれています。 Parrowは、1つのコンポーネントの動作が別のコンポーネントの動作に直接影響する場合、システム障害は、密接に関連するコンポーネントを持つ複雑なシステムの動作の通常の結果であると主張します。このようなエラーは個々に技術的な誤動作やプロセスの破損が原因であるように見える場合がありますが、実際にはシステム自体の不可欠な機能と見なす必要があります。これらは「予想される」事故です。

この問題は、セキュリティを強化するように設計されたシステムほど深刻なものではありません。新しい変更が行われるたびに、各合併症の効果は低下し、最終的には完全に否定的な結果につながります。セキュリティを向上させるために、ある修正を別の修正の上に課すと、最終的にはその削減につながります。

これは、設計の古いエンジニアリング原則が私たちに伝えていることです-「シンプルな方が良い」（「シンプルで愚かな」、KISS）、およびその航空バージョン：「単純化してから明度を追加する」（「単純化してから明度を追加する」 ）

アイゼンハワー時代の航空機の認証におけるFAAの主な原則の1つは、単純さの固有の契約でした。航空機は、エンジン出力の変化に伴うピッチの大きな変化を示すべきではありません。この要件は、コックピットのパイロットの操縦と航空機の羽の間の直接的な接続の存在中に現れました。この要件は、書かれた時点で、機体自体の設計に単純さの要件を正しく課していました。今、人と機械の間に、ソフトウェアの層が現れており、そこで実際に何が起こっているのかを確実に知る人はいません。事態は複雑すぎて理解できません。

737 Maxの災害とスペースシャトルのチャレンジャーの類似点を頭から出せない。チャレンジャーの事故は、人々が指示に従ったためであり、その逆ではなかった-「通常の」災害の別の例です。規則は、シャトルを打ち上げる前に、飛行の完全な準備を確実にするために会議が必要であると言った。決定を下す際に、打ち上げの延期により生じる可能性のある政治的結果に過度に重点を置くべきではないと誰も言いませんでした。すべての入力データは、確立されたプロセスに従って慎重に計量され、ほとんどが開始に同意しました。そして、7人が死にました。

737 Maxの場合、すべてがすべてのルールに従って行われました。規則では、エンジンの出力が変化しても航空機のピッチが大きく変化することはなく、指定されたエンジニア（DER）がこの問題を解決するための変更に署名する権利を持っています。ルールには、意思決定を行う際にDERがビジネス上の考慮事項によって導かれるべきではないというものはありません。そして今、346人が亡くなっています。

飛行の安全性を改善するために設計されたMCASが、救うことができなかったよりも多くの人を殺した可能性が高いです。複雑さをさらに増し、ソフトウェアを追加して修正する必要はありません。削除するだけです。

著者について

グレッグトラビス-ライター、ソフトウェア開発責任者、パイロット、航空機の所有者。1977年、13歳で、彼は最初のソーシャルメディアプラットフォームの1つであるNoteを作成しました。飛行時間は2000時間以上で、グライダーからボーイング757まですべてを制御しました（動きの完全なシミュレーションを備えたシミュレーターで）。