自动化安全功能如何演变成一场灾难
2018年至2019年间,两架波音 737 MAX 客机在几个月内相继坠毁,调查人员发现这些事故的一个共同点指向飞机的飞行控制软件。一个旨在帮助飞机适应不同形状发动机的系统——机动特性增强系统(MCAS)——在开发后期经过了重新设计,使其行为变得更加强势,且关键的是,它仅依赖于单一的迎角传感器。这些变化移除了多层保护,使机组人员面临一种快速且混乱的失效模式,而他们并未接受过识别或应对这种模式的培训。
MCAS:它的设计初衷
在更大、更靠前安装的发动机改变了气动特性后,MCAS 的引入是为了让 MAX 的操控感与早期的 737 型号保持一致。它的名义任务并不复杂:当某些条件表明机头可能过度上仰时,MCAS 会微调水平安定面使其略微低头,以保持飞行员操控的一致性。在其最初的构想中,它应该是细微的且很少运行。
系统如何改变——以及为何这至关重要
在开发过程中,波音扩大了 MCAS 的作用。最终实施的版本比早期草案激活更频繁,并能施加更大的安定面输入,且其设计被设定为对单一迎角传感器的数据做出反应,而非交叉核对多个来源。在狮子航空(Lion Air)和埃塞俄比亚航空(Ethiopian Airlines)的两起事故中,错误的迎角数据触发了持续的低头指令,飞行员虽极力对抗,但未能及时挽回。从保守的冗余设计转向更激进的单传感器实施,是导致失败的决定性因素。
为什么将 MCAS 称为“人工智能”具有误导性——以及为何这个标签依然重要
在媒体和公众讨论中,这些坠机事故有时被归类为“人工智能”的失败。这种简写虽然诱人但不准确。MCAS rural并不是一个通过数据进行自我训练的机器学习模型;它是确定性的飞行控制逻辑:根据特定的传感器输入执行编码规则。然而,其危险性与人们担忧的不透明人工智能系统相同——对最终用户和监管机构隐藏的自动化行为,以设计者未能完全预见的方式与现实世界的杂乱信号发生交互。
将 MCAS 仅标记为“自动化”可能会淡化设计选择——特别是围绕透明度、冗余和人机交互的选择——是如何将一个保护性功能转变为安全隐患的。这些飞行事故表明,即使是非学习型算法也需要严谨的安全工程,以及我们现在对其他领域人工智能系统所要求的同类可追溯需求和独立测试。
组织和监管失败放大了技术缺陷
技术选择并非凭空产生。多项审查和听证会发现,监管、沟通和企业文化方面的问题放大了风险。随着 MCAS 的演进,监管机构并不总是能获得其全部细节;飞行员手册最初省略了这一功能;而关于 MCAS 很少激活的假设减少了飞行员应对该情况的培训。这些体制性的崩溃将一个工程错误演变成了公共安全危机。
波音和监管机构实施的补救措施
在 MAX 机队停飞后,波音和航空管理部门要求进行软件和运行方面的更改。修改后的设计限制了 MCAS,使其仅在两个迎角传感器一致时才起作用,限制其在每次事件中仅激活一次,并减弱了配平输入的幅度。在获准恢复服务前,监管机构还收紧了对文档记录、飞行员培训和独立验证的要求。这些改变解决了直接的失效模式,但并未消除危机所暴露的更广泛的治理问题。
对更广泛的人工智能和自动化讨论的启示
MAX 的故事对于任何大规模部署自动化的人来说都是一个警示读本。四个教训尤为突出:
这些是人工智能伦理和安全领域熟悉的论调,但 737 MAX 的案例表明它们并非抽象。在安全关键型系统中,出错的代价是即刻且致命的。
接下来的讨论方向
技术修复已使 MAX 在更严格的条件下恢复服务,但这一事件仍是在受监管行业中如何管理自动化的反面典型。对于决策者和工程师来说,当务之急是将教训转化为可执行的标准:自动化决策系统更清晰的认证路径、重大设计变更的强制报告,以及减少制造商与认证机构之间利益冲突的体制结构。
对于记者和公众来说,这也是一个关于术语准确性的提醒。“人工智能”能吸引眼球,但 MAX 案例的根本问题并非机器学习意义上的人工智能——而是激进的自动化、缺乏透明度和削弱安全实践的结合。将这种结合视为工程和治理挑战,能为我们提供一条更有效的路径来防止悲剧重演。
结论
737 MAX 灾难并非不可避免。它们是特定设计决策、未加核实的假设和制度性失败的结果。随着自动化和人工智能推向更多领域,MAX 案例应作为一个深刻的警示:更安全的系统并非源于对一段代码的信心,而是源于保守的设计、与用户的清晰沟通、独立审查和强有力的监管。这些不是技术细节,而是公共安全的前提条件。
Comments
No comments yet. Be the first!