Otomasyon Ölümcül Hale Geldi: MCAS ve Max

Yapay Zeka By Mattias Risberg
Automation Turned Deadly: MCAS and the Max
Boeing’in MCAS otomasyonunda yapılan —daha agresif hale getirilen ve tek bir sensöre bağımlı kılınan— geç bir yeniden tasarım, iki 737 MAX felaketinde merkezi bir rol oynadı ve güvenlik açısından kritik otomasyonun nasıl inşa edileceği ve yönetileceği konusunda acil dersler sunuyor.

Otomatik bir güvenlik özelliğinin bir felaketin parçasına dönüşme süreci

2018–2019 yıllarında iki Boeing 737 MAX uçağı birkaç ay arayla düştüğünde, müfettişler uçakların uçuş kontrol yazılımına uzanan ortak bir payda tespit ettiler. Uçağın farklı şekilli motorlarla başa çıkmasına yardımcı olmak için tasarlanan bir sistem olan Manevra Karakteristikleri Takviye Sistemi (MCAS), geliştirme sürecinin sonlarında, davranışını daha baskın hale getirecek ve kritik olarak tek bir hücum açısı sensörüne güvenecek şekilde yeniden yapılandırıldı. Bu değişiklikler koruma katmanlarını ortadan kaldırdı ve mürettebatı, tanımak veya karşı koymak için eğitilmedikleri hızlı ve kafa karıştırıcı bir arıza moduyla karşı karşıya bıraktı.

MCAS: Ne yapması amaçlanmıştı

MCAS, daha büyük ve daha ileriye monte edilmiş motorların aerodinamiği değiştirmesinin ardından MAX'in önceki 737 modelleri gibi hareket etmesine yardımcı olmak için tanıtıldı. Nominal görevi mütevazıydı: Belirli koşullar burnun çok fazla yukarı kalkabileceğini (pitch up) gösterdiğinde, MCAS pilotlar için kullanım tutarlılığını korumak amacıyla yatay stabilizeyi hafifçe burun aşağı (nose-down) konumuna getiriyordu. Orijinal konseptinde sistemin fark edilmeyecek kadar hafif olması ve nadiren çalışması amaçlanmıştı.

Sistem nasıl değişti — ve bu neden önemliydi

Geliştirme sırasında Boeing, MCAS’in rolünü genişletti. Uygulanan sürüm, önceki taslaklardan daha sık devreye girebiliyor ve daha büyük stabilize komutları uygulayabiliyordu; ayrıca birden fazla kaynağı çapraz kontrol etmek yerine tek bir hücum açısı sensöründen gelen verilere tepki verecek şekilde bağlanmıştı. Hem Lion Air hem de Ethiopian Airlines kazalarında, hatalı hücum açısı verileri, pilotların mücadele ettiği ancak zamanında üstesinden gelemediği tekrarlayan burun aşağı komutlarını tetikledi. Muhafazakar ve yedekli bir tasarımdan daha agresif, tek sensörlü bir uygulamaya geçiş, arızalarda belirleyici bir faktör oldu.

MCAS'i "Y.Z." olarak adlandırmak neden yanıltıcıdır — ve bu etiket neden hala önemlidir

Medya ve kamuoyu tartışmalarında bu kazalar bazen bir "Y.Z." (Yapay Zeka) hatası olarak çerçeveleniyor. Bu kısaltma cazip olsa da kesinlikten uzaktır. MCAS, verilerden kendi kendini eğiten bir makine öğrenimi modeli değildi; deterministik bir uçuş kontrol mantığıydı: belirli sensör girdilerine göre hareket etmek üzere kodlanmış kurallardı. Ancak tehlike, insanların şeffaf olmayan YZ sistemleri hakkında endişelendiği tehlikeyle aynıdır: son kullanıcılardan ve düzenleyicilerden gizlenen, tasarımcılarının tam olarak öngöremediği şekillerde gerçek dünyadaki karmaşık sinyallerle etkileşime giren otomatik davranışlar.

MCAS'i sadece "otomasyon" olarak etiketlemek, tasarım tercihlerinin — özellikle şeffaflık, yedeklilik ve insan-makine etkileşimi konularındakilerin — koruyucu bir özelliği nasıl bir tehlikeye dönüştürdüğünü hafife alabilir. Bu uçuşlar, öğrenmeyen algoritmaların bile sıkı bir güvenlik mühendisliği, yani şu anda diğer alanlardaki YZ sistemlerinden talep ettiğimiz izlenebilir gereksinimler ve bağımsız testlerin aynısını gerektirdiğini ortaya koyuyor.

Organizasyonel ve düzenleyici başarısızlıklar teknik kusurları şiddetlendirdi

Teknik seçimler bir boşlukta gerçekleşmedi. Birden fazla inceleme ve duruşma; denetim, iletişim ve kurumsal kültürdeki sorunların riski artırdığını ortaya koydu. Düzenleyici kurumlara MCAS evrildikçe her zaman tüm ayrıntılar sunulmadı; pilot el kitaplarında başlangıçta bu özelliğe yer verilmedi ve MCAS'in nadiren devreye gireceği yönündeki varsayımlar, pilotların bu durum gerçekleştiğinde nasıl tepki verecekleri konusundaki eğitimlerini azalttı. Bu kurumsal aksaklıklar, bir mühendislik hatasını bir kamu güvenliği krizine dönüştürdü.

Boeing ve düzenleyicilerin uyguladığı düzeltmeler

MAX filosunun yere indirilmesinin ardından, Boeing ve havacılık otoriteleri yazılım ve operasyonel değişiklikler talep etti. Revize edilen tasarım MCAS'i sınırlıyor; böylece sistem yalnızca her iki hücum açısı sensörü de mutabık kaldığında hareket ediyor, olay başına tek bir aktivasyonla kısıtlanıyor ve trim komutlarının büyüklüğünü dengeliyor. Düzenleyiciler ayrıca uçağın hizmete dönmesine izin verilmeden önce dokümantasyon, pilot eğitimi ve bağımsız doğrulama gereksinimlerini sıkılaştırdı. Bu değişiklikler doğrudan arıza modlarını ele aldı ancak krizin ortaya çıkardığı daha geniş yönetişim sorularını ortadan kaldırmadı.

Daha geniş YZ ve otomasyon tartışmaları için dersler

MAX hikayesi, geniş ölçekte otomasyon uygulayan herkes için uyarıcı bir kılavuz niteliğindedir. Dört ders öne çıkıyor:

Bunlar YZ etiği ve güvenliği çevrelerinde tanıdık söylemlerdir, ancak 737 MAX bunların soyut olmadığını gösteriyor. Güvenlik açısından kritik sistemlerde, bunları yanlış yapmanın bedeli anında ve geri dönülemezdir.

Tartışmanın bundan sonraki yönü

Teknik düzeltmeler MAX'i daha sıkı koşullar altında hizmete döndürdü, ancak bu olay düzenlenen endüstrilerde otomasyonun nasıl yönetilmemesi gerektiği konusunda bir mihenk taşı olmaya devam ediyor. Politika yapıcılar ve mühendisler için zorunluluk, dersleri uygulanabilir standartlara dönüştürmektir: otomatik karar sistemleri için daha net sertifikasyon süreçleri, önemli tasarım değişikliklerinin zorunlu raporlanması ve üreticiler ile sertifika verenler arasındaki çıkar çatışmalarını azaltan kurumsal yapılar.

Gazeteciler ve kamuoyu için bu aynı zamanda terimler konusunda kesin olma gerekliliğini hatırlatıyor. "YZ" manşetleri süslüyor, ancak MAX vakasındaki temel sorun makine öğrenimi anlamında yapay zeka değildi; bu, agresif otomasyon, zayıf şeffaflık ve zayıflamış güvenlik uygulamalarının bir kombinasyonuydu. Bu kombinasyonu bir mühendislik ve yönetişim zorluğu olarak ele almak, tekrarları önlemek için bize daha üretken bir yol sunar.

Sonuç

737 MAX felaketleri kaçınılmaz değildi. Bunlar belirli tasarım kararlarının, denetlenmeyen varsayımların ve kurumsal başarısızlıkların sonucuydu. Otomasyon ve YZ daha fazla alana yayıldıkça, MAX vakası çarpıcı bir örnek olarak durmalıdır: Daha güvenli sistemler bir kod parçasına duyulan güvenden değil; muhafazakar tasarımdan, kullanıcılarla net iletişimden, bağımsız incelemeden ve sağlam düzenleyici denetimden doğar. Bunlar teknik teferruatlar değil, kamu güvenliğinin önkoşullarıdır.

Tags

flight control systems human machine interaction safety critical automation sensor redundancy
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q MCAS'in 737 MAX uçaklarındaki görevi neydi?
A MCAS, MAX uçaklarının daha büyük ve öne monte edilmiş motorlardan kaynaklanan değişen aerodinamik özelliklerle başa çıkmasına yardımcı olmak için tasarlanmıştı. Temel görevi, sensörler burnun çok fazla yukarı kalkabileceğini işaret ettiğinde yatay stabilizeyi hafifçe aşağı doğru trimleyerek, kumanda özelliklerini önceki 737 modelleriyle tutarlı tutmaktı. Başlangıçtaki konseptinde, sistemin müdahalesinin hafif olması ve nadiren devreye girmesi amaçlanmıştı.
Q MCAS nasıl değişti ve bu neden önemliydi?
A Geliştirme sürecinde Boeing, MCAS'in rolünü genişleterek daha sık devreye girmesini ve daha büyük stabilize girdileri uygulamasını sağladı; ayrıca sistem, birden fazla kaynağı çapraz kontrol etmek yerine tek bir hücum açısı (AoA) sensöründen gelen verilere güvenecek şekilde yapılandırıldı. Hatalı AoA verileri, pilotların karşı koymaya çalıştığı ancak zamanında alt edemediği tekrarlayan burun aşağı komutlarını tetikledi.
Q MCAS bir yapay zeka mıydı?
A MCAS bir makine öğrenimi modeli değildi; belirli sensör girdilerine göre hareket etmek üzere kodlanmış kurallara sahip deterministik bir uçuş kontrol mantığıydı. Yine de, pilotların ve denetleyicilerin öngöremeyebileceği otonom davranışlar hakkındaki endişeleri artırarak, şeffaf olmayan yapay zeka sistemlerine yönelik korkuları yansıtmaktadır. MCAS'i sadece otomasyon olarak etiketlemek; şeffaflık, yedeklilik ve insan-makine etkileşimi etrafındaki tasarım tercihlerinin önemini gölgeleyebilir.
Q MAX uçaklarının yere indirilmesinden sonra hangi düzeltmeler uygulandı?
A Yere indirilme kararının ardından yapılan yazılım değişiklikleri, MCAS'in yalnızca her iki hücum açısı sensörü de hemfikir olduğunda devreye girmesini sağladı, olay başına tek bir aktivasyonla sınırlandırıldı ve trim girdi miktarını azalttı. Denetleyici kurumlar, hizmete dönüş onayı öncesinde dokümantasyonu, pilot eğitimini ve bağımsız doğrulamayı sıkılaştırdı. Bu adımlar doğrudan hata modlarını ele aldı ancak yönetişim sorularını tam olarak çözmedi.
Q MAX vakası, yapay zeka ve otomasyon için daha geniş kapsamlı hangi dersleri sunuyor?
A Dört ders öne çıkıyor: Güvenlik açısından kritik sistemlerde hata yapmanın bedeli ani ve nihai olur; yönetişim, alınan dersleri uygulanabilir standartlara dönüştürmelidir; otonom karar sistemleri için daha net sertifikasyon yolları ve temel tasarım değişikliklerinin zorunlu raporlanması gereklidir; ve kurumsal yapılar, üreticiler ile denetleyiciler arasındaki çıkar çatışmalarını azaltmalıdır.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!