在波音737 MAX飛機(jī)第二次墜毀后，包括中國(guó)、美國(guó)在內(nèi)的大多數(shù)國(guó)家都已經(jīng)命令航空公司停止使用該飛機(jī)。在過(guò)去的五個(gè)月內(nèi)，兩架飛機(jī)失事共造成350多人死亡，這在現(xiàn)代是前所未有的，目前的共識(shí)是：新的 737 MAX是罪魁禍?zhǔn)住?/p>

據(jù)報(bào)道，五個(gè)月前的獅子航空空難是由于飛行員不知道如何解除飛機(jī)的自動(dòng)軟件程序造成的，該程序不斷迫使飛機(jī)的機(jī)頭下降，因?yàn)樗噲D補(bǔ)償從故障傳感器獲取的信息。這是每個(gè)人的自動(dòng)化噩夢(mèng)：人類無(wú)法從專注于完成任務(wù)的機(jī)器上奪取控制權(quán)——這一過(guò)程將導(dǎo)致機(jī)上每個(gè)人的死亡。

那我為什么要寫(xiě)這個(gè)？畢竟，這是一個(gè)以物聯(lián)網(wǎng)為主的資訊平臺(tái)，而且飛機(jī)也沒(méi)有連接到互聯(lián)網(wǎng)。然而，它們依賴復(fù)雜的軟件系統(tǒng)和傳感器來(lái)實(shí)現(xiàn)流程自動(dòng)化。不過(guò)，飛機(jī)最終可能會(huì)連接到互聯(lián)網(wǎng)，而且，今天的許多連網(wǎng)設(shè)備最終也將達(dá)到波音飛機(jī)的自動(dòng)化水平。

我最感興趣的是，我們可以從這些災(zāi)難中學(xué)到什么，因?yàn)槲覀兊谋O(jiān)管機(jī)構(gòu)試圖弄清楚如何在日常連網(wǎng)產(chǎn)品中處理日益增長(zhǎng)的復(fù)雜軟件和自動(dòng)化水平，例如，許多人利用這個(gè)新聞譴責(zé)自動(dòng)駕駛汽車的安全性。但是幾十年來(lái)，飛機(jī)一直通過(guò)電腦控制系統(tǒng)飛行——這意味著飛機(jī)本身承擔(dān)了大部分的飛行任務(wù)，而飛行員必須手動(dòng)控制飛機(jī)才能真正駕駛它們。

這里的災(zāi)難實(shí)際上不是因?yàn)樽詣?dòng)駕駛系統(tǒng)，或許是因?yàn)楸O(jiān)管制度——允許航空公司在不需要飛行員再培訓(xùn)的情況下進(jìn)行大規(guī)模系統(tǒng)更新。以波音737 MAX為例，新設(shè)計(jì)的發(fā)動(dòng)機(jī)比以前的737機(jī)型更靠近飛機(jī)前部，而且也更大。為了彌補(bǔ)這一點(diǎn)，波音公司的工程師們安裝了一種稱為機(jī)動(dòng)特性增強(qiáng)系統(tǒng)（MCAS）的自動(dòng)化軟件系統(tǒng)，該系統(tǒng)依靠傳感器來(lái)告訴飛機(jī)機(jī)頭是否過(guò)高，然后MCAS系統(tǒng)會(huì)調(diào)整飛機(jī)，使其向下傾斜。

在獅子航空公司的飛行中，傳感器發(fā)送的錯(cuò)誤數(shù)據(jù)不斷告訴MCAS系統(tǒng)降低機(jī)頭。但是由于機(jī)頭是平行的，所以飛機(jī)一直向下傾斜，而每次飛行員將機(jī)頭向上調(diào)整，系統(tǒng)就會(huì)將機(jī)頭向下拉， 直至系統(tǒng)接管。由于《紐約時(shí)報(bào)》的深度報(bào)道，我們知道在獅子航空公司飛機(jī)墜毀之前，這種情況發(fā)生了24次。

飛行員似乎不知道如何在新的自動(dòng)系統(tǒng)上解除自動(dòng)駕駛儀，該系統(tǒng)本身正在試圖補(bǔ)償新的發(fā)動(dòng)機(jī)，它甚至沒(méi)有記錄在飛行手冊(cè)中。飛行員在生死攸關(guān)情況下，不知道如何接管系統(tǒng)并自己駕駛飛機(jī)。

有許多因素導(dǎo)致了獅子航空公司的飛機(jī)墜入大海，并造成189人死亡。調(diào)查結(jié)束后，波音公司表示將準(zhǔn)備軟件更新。但是五個(gè)月后，另一架波音737 MAX墜毀了——業(yè)內(nèi)觀察人士看到了與獅航類似的模式。該飛機(jī)的軟件更新也未發(fā)布。據(jù)波音公司和聯(lián)邦航空局官員向新聞界發(fā)表的聲明稱，該項(xiàng)目因政府關(guān)門(mén)而推遲，部分原因是在關(guān)門(mén)期間，聯(lián)邦官員認(rèn)為該項(xiàng)目的工作并不重要。

下個(gè)月發(fā)布的更新應(yīng)該會(huì)有所幫助。波音公司表示，它將依靠來(lái)自多個(gè)傳感器的數(shù)據(jù)，而不是單個(gè)傳感器，這將減少傳感器損壞或讀數(shù)不良的影響。但是發(fā)布一個(gè)新的基于軟件的自動(dòng)駕駛系統(tǒng)，幾乎沒(méi)有對(duì)飛行員進(jìn)行培訓(xùn)，似乎是聯(lián)邦航空局不應(yīng)該允許的疏忽，因?yàn)檐浖潞妥詣?dòng)化系統(tǒng)可以改變產(chǎn)品的功能。應(yīng)該有一個(gè)嚴(yán)格的更新測(cè)試期和嚴(yán)格的培訓(xùn)期，以告知用戶如何處理更新。

而不僅僅是在航空業(yè)。撇開(kāi)波音的挑戰(zhàn)不談，我時(shí)不時(shí)被特斯拉的軟件變化搞迷糊，到目前為止，任何讓我感到驚訝的變化都還僅限于用戶界面，但軟件更新也可以改變汽車的工作方式。

醫(yī)療器械行業(yè)正在與食品和藥品管理局（FDA）合作，為這類更新和培訓(xùn)建立良好模式。FDA一直非常積極地制定醫(yī)療設(shè)備軟件更新標(biāo)準(zhǔn)，部分原因是它希望鼓勵(lì)醫(yī)療設(shè)備公司在出現(xiàn)問(wèn)題之前修補(bǔ)安全漏洞（在最壞的情況下，會(huì)殺死患者）。該機(jī)構(gòu)制定更新指南的另一個(gè)原因是為了讓醫(yī)療設(shè)備制造商知道在設(shè)備發(fā)布之前和之后會(huì)發(fā)生什么。FDA充分意識(shí)到軟件在其所監(jiān)控產(chǎn)品的物理安全和功能方面發(fā)揮著越來(lái)越重要的作用。

我們需要讓所有監(jiān)管機(jī)構(gòu)理解這一聯(lián)系，并調(diào)整其規(guī)則，以確保軟件更新和自動(dòng)化系統(tǒng)在安全關(guān)鍵領(lǐng)域得到應(yīng)有的審查。他們還需要確保當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，政府和制造商能夠迅速解決問(wèn)題。