What was MCAS supposed to do on the 737 MAX?

MCAS was designed to help the MAX cope with changed aerodynamics from larger, forward-mounted engines. Its nominal job was to trim the horizontal stabiliser slightly nose-down when sensors suggested the nose might pitch up too far, keeping handling consistent with earlier 737 models. In its original conception it was meant to be subtle and to operate rarely.

How did MCAS change and why did that matter?

During development Boeing expanded MCAS’s role, making it activate more frequently and apply larger stabiliser inputs, and it was wired to rely on data from a single angle‑of‑attack sensor rather than cross‑checking multiple sources. Erroneous AoA data then triggered repeated nose‑down inputs that pilots fought but could not overcome in time.

MCAS was not a machine‑learning model; it was deterministic flight‑control logic, with rules coded to act on specific sensor inputs. Yet it raises concerns about automated behavior that pilots and regulators may not anticipate, echoing worries about opaque AI systems. Labeling MCAS as automation can underplay design choices around transparency, redundancy, and human‑machine interaction.

What fixes were implemented after the MAX grounding?

After grounding, software changes limited MCAS to act only when both angle‑of‑attack sensors agree, restricted it to a single activation per event, and reduced trim input magnitude. Regulators tightened documentation, pilot training, and independent verification before clearance to return to service. These steps addressed immediate failure modes but did not fully resolve governance questions.

What broader lessons does the MAX case offer for AI and automation?

Four lessons stand out: in safety‑critical systems the costs of getting them wrong are immediate and final; governance must translate lessons into enforceable standards; clearer certification pathways for automated decision systems and mandatory reporting of substantive design changes are needed; and institutional structures should reduce conflicts of interest between manufacturers and certifiers.

Смертоносная автоматика: MCAS и трагедия 737 Max

Искусственный интеллект By Mattias Risberg Ноя 24, 2025 12:05

Automation Turned Deadly: MCAS and the Max

Поздняя модификация системы MCAS от Boeing, ставшая более агрессивной и зависимой от одного датчика, сыграла ключевую роль в двух катастрофах 737 MAX и преподала важные уроки по проектированию и регулированию критически важных систем автоматизации.

Как автоматическая функция безопасности стала частью катастрофы

Когда два авиалайнера Boeing 737 MAX потерпели крушение с интервалом в несколько месяцев в 2018–2019 годах, следователи обнаружили общую связь с программным обеспечением управления полетом. Система, предназначенная для того, чтобы помочь самолету справляться с двигателями иной формы — Maneuvering Characteristics Augmentation System, или MCAS, — была переработана на поздних этапах разработки таким образом, что ее работа стала более агрессивной и, что критично, стала зависеть от одного датчика угла атаки. Эти изменения устранили уровни защиты и оставили экипажи один на один с быстрым, запутанным режимом отказа, который они не были обучены распознавать или парировать.

MCAS: что она должна была делать

MCAS была внедрена, чтобы управляемость MAX была схожа с предыдущими моделями 737 после того, как более крупные и смещенные вперед двигатели изменили аэродинамику. Ее номинальная задача была скромной: когда определенные условия указывали на то, что нос может задраться слишком высоко, MCAS немного перекладывала горизонтальный стабилизатор на пикирование, чтобы сохранить привычные для пилотов характеристики управления. В первоначальной концепции она должна была действовать незаметно и срабатывать редко.

Как изменилась система и почему это имело значение

В ходе разработки Boeing расширил роль MCAS. Реализованная версия могла активироваться чаще и оказывать большее воздействие на стабилизатор, чем в ранних проектах; кроме того, она была настроена на реагирование на данные от одного датчика угла атаки вместо перекрестной проверки нескольких источников. В катастрофах Lion Air и Ethiopian Airlines ошибочные данные датчика угла атаки приводили к повторным командам на пикирование, с которыми пилоты боролись, но не смогли вовремя справиться. Переход от консервативной, избыточной конструкции к более агрессивной реализации с одним датчиком стал решающим фактором отказов.

Почему называть MCAS «ИИ» некорректно — и почему это определение все же важно

В СМИ и общественных дискуссиях эти катастрофы иногда преподносят как провал «ИИ». Это упрощение заманчиво, но неточно. MCAS не была моделью машинного обучения, которая тренировалась на данных; это была детерминированная логика управления полетом: правила, закодированные для реагирования на конкретные входные данные датчиков. Однако опасность здесь та же, что вызывает беспокойство в отношении непрозрачных систем ИИ — автоматизированное поведение, скрытое от конечных пользователей и регуляторов, взаимодействующее с хаотичными сигналами реального мира способами, которые разработчики не предусмотрели в полной мере.

Обозначение MCAS просто как «автоматизации» может преуменьшить то, как конструкторские решения — особенно в вопросах прозрачности, резервирования и взаимодействия человека и машины — превратили защитную функцию в угрозу. Эти полеты показывают, что даже необучаемые алгоритмы требуют тщательного проектирования безопасности, таких же прослеживаемых требований и независимых испытаний, которые мы сейчас требуем от систем ИИ в других областях.

Организационные и регуляторные провалы усилили технические недостатки

Технические решения не принимались в вакууме. Многочисленные проверки и слушания выявили, что проблемы в надзоре, коммуникации и корпоративной культуре усилили риск. Регуляторам не всегда предоставлялись полные сведения об эволюции MCAS; в руководствах для пилотов эта функция изначально отсутствовала; а предположения о том, что MCAS будет срабатывать редко, привели к сокращению подготовки пилотов по действиям в случае ее активации. Эти институциональные сбои превратили инженерную ошибку в кризис общественной безопасности.

Исправления, внесенные Boeing и регуляторами

После приостановки полетов парка MAX компания Boeing и авиационные власти потребовали внесения изменений в программное обеспечение и правила эксплуатации. Обновленная конструкция ограничивает MCAS так, что она срабатывает только тогда, когда оба датчика угла атаки согласованы, ограничивает ее одной активацией на каждое событие и умеряет величину отклонения стабилизатора. Регуляторы также ужесточили требования к документации, подготовке пилотов и независимой проверке перед тем, как самолет получил разрешение на возвращение в эксплуатацию. Эти изменения устранили непосредственные режимы отказов, но не снимают более широких вопросов управления, вскрытых кризисом.

Уроки для широкой дискуссии об ИИ и автоматизации

История Max — это предостерегающий пример для любого, кто внедряет автоматизацию в больших масштабах. Выделяются четыре урока:

Эти тезисы часто звучат в кругах специалистов по этике и безопасности ИИ, но пример 737 MAX показывает, что они не абстрактны. В критически важных для безопасности системах цена ошибки мгновенна и фатальна.

Направления для дальнейшего обсуждения

Технические исправления вернули MAX в эксплуатацию в условиях более строгого контроля, но этот эпизод остается эталоном того, как не следует управлять автоматизацией в регулируемых отраслях. Для политиков и инженеров насущной задачей является перевод извлеченных уроков в обязательные стандарты: более четкие пути сертификации для автоматизированных систем принятия решений, обязательная отчетность о существенных изменениях в конструкции и институциональные структуры, снижающие конфликт интересов между производителями и сертифицирующими органами.

Для журналистов и общественности это также напоминание о необходимости точности в терминах. Слово «ИИ» привлекает заголовки, но основной проблемой в случае с MAX был не искусственный интеллект в смысле машинного обучения, а сочетание агрессивной автоматизации, плохой прозрачности и ослабленных практик безопасности. Рассмотрение этого сочетания как вызова в области инженерии и управления дает нам более продуктивный путь к предотвращению повторения подобного.

Заключение

Катастрофы 737 MAX не были неизбежными. Они стали результатом конкретных конструкторских решений, непроверенных предположений и институциональных провалов. По мере того как автоматизация и ИИ проникают во все новые сферы, случай с MAX должен служить суровым примером: более безопасные системы рождаются не из уверенности в программном коде, а из консервативного проектирования, четкой коммуникации с пользователями, независимой экспертизы и надежного государственного надзора. Это не технические формальности, а предварительные условия общественной безопасности.

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers Questions Answered

Что должна была делать система MCAS на самолетах 737 MAX?

MCAS была разработана, чтобы помочь самолетам серии MAX справиться с изменениями в аэродинамике, вызванными более крупными двигателями, установленными со смещением вперед. Ее основной задачей было небольшое отклонение горизонтального стабилизатора вниз, когда датчики фиксировали риск чрезмерного задирания носа, чтобы управление самолетом оставалось таким же, как у предыдущих моделей 737. В своей первоначальной концепции система должна была действовать деликатно и срабатывать редко.

Как изменилась MCAS и почему это имело значение?

В процессе разработки Boeing расширил роль MCAS, заставив ее срабатывать чаще и сильнее воздействовать на стабилизатор. Кроме того, система была настроена на получение данных только от одного датчика угла атаки вместо перекрестной проверки данных из нескольких источников. Ошибочные данные от датчика угла атаки вызывали повторяющиеся команды на пикирование, с которыми пилоты боролись, но не смогли вовремя справиться.

Являлась ли MCAS искусственным интеллектом?

MCAS не была моделью машинного обучения; это была детерминированная логика управления полетом с кодом, прописанным для реагирования на конкретные входные данные датчиков. Тем не менее, она вызывает опасения по поводу автоматизированного поведения, которое пилоты и регулирующие органы могут не предвидеть, что перекликается с беспокойством по поводу непрозрачных систем ИИ. Называя MCAS просто «автоматизацией», можно недооценить важность конструкторских решений, касающихся прозрачности, резервирования и взаимодействия человека и машины.

Какие исправления были внедрены после приостановки полетов MAX?

После приостановки полетов изменения в программном обеспечении ограничили работу MCAS: теперь она активируется только при совпадении данных обоих датчиков угла атаки, срабатывает только один раз при возникновении инцидента и имеет меньшую амплитуду воздействия на стабилизатор. Регулирующие органы ужесточили требования к документации, подготовке пилотов и независимой проверке перед разрешением на возобновление эксплуатации. Эти шаги устранили непосредственные причины отказов, но не решили полностью вопросы управления и контроля.

Какие общие уроки можно извлечь из случая с MAX для ИИ и автоматизации?

Можно выделить четыре основных урока: в критически важных для безопасности системах цена ошибки мгновенна и фатальна; государственное управление должно превращать уроки в обязательные стандарты; необходимы более четкие пути сертификации систем принятия автоматизированных решений и обязательная отчетность о существенных изменениях в конструкции; а институциональные структуры должны снижать конфликт интересов между производителями и сертифицирующими органами.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!