エチオピア航空のブラックボックスは徐々に亀裂が入り、墜落の原因は完全自動飛行ソフトウェアに直接あった
見出し
情報
Dao Wei
超神経質で
シーンの説明:自動操縦は航空技術の標準機能であり、パイロットと効果的に連携して長距離飛行や飛行中の日常的な操作を行うことができますが、解決すべき問題はまだ多くあります。
キーワード:民間航空の自動運転オートメーション
航空機の自動操縦は 1910 年代にはすでに登場し、1930 年代に成熟しました。技術者は航空機のエレベーター、エルロン、舵をジャイロスコープと高度計に接続し、航空機が設定された方向と高度で飛行できるようにしました。
航空機、船舶、さらにはミサイルや宇宙船の自動操縦は現在比較的単純であり、パイロットが比較的単純で反復的なタスクを完了するのを支援します。リアルタイムで路面を判断し、経路を計画するなど、より複雑な機能が必要な自動車の自動運転(オートドライブ)とは異なります。
現在に至るまで、この構造は基本的に変わっていません。航空機の自動操縦により、航空機は設定された軌道と速度に従って飛行できます。つまり、航空機の自動運転が代替となります。「パイロットは計器の指針を見て、指針が設定値からずれている場合は、決められた動作に従って修正します。」手術。
航空機の自動操縦はパイロットの負担を大幅に軽減します。これにより、パイロットは航空機の状態や気象状況などの監視など、他の作業に集中できるようになります。離着陸、地上走行、衝突警報など、複雑かつ正確な運転が要求される場合、パイロットがタイムリーに介入します。
すべてはボーイングから始まった
2018年10月、インドネシアのライオンエア旅客機が誤って海に墜落し、その後間もなく、今年3月10日にはエチオピア航空の旅客機ボーイング737-Max 8旅客機(737 Maxシリーズ)が5か月間に2回墜落した。 . 大規模な航空事故により 346 人の尊い命が奪われました。
さらに遡って、過去 3 年間で、この 2 件以外にも重大な航空事故がいくつか発生しています。
2018年5月にはクバナ航空が墜落し、113人のうち1人だけが生き残った。2017年6月にはミャンマーのミェイクからヤンゴンに向かっていた軍用機が墜落し、乗っていた122人全員が死亡した。スリランカのサッカークラブの選手を乗せた飛行機が墜落し、乗客乗員73人のうち生存者は2人だけだった。
航空事故は多大な損失をもたらしますが、データは飛行機の方がはるかに安全であることを示していますが、どの事故も衝撃的すぎます。米国運輸省の統計によると、2007 年から 2016 年までの商用航空旅行では 1 兆マイルあたりの死亡者数はわずか 11 人だったのに対し、高速道路では 1 兆マイルあたり 7,864 人が死亡しました。
しかし、わずか数か月以内に同じモデルのボーイング社製航空機で 2 つの悲劇が発生し、この航空機に実際に問題があったことが証明され、ボーイング社はすぐにこの航空機の全世界的な運航停止を発表しました。
ボーイング社が拠点を置くシアトルの地元紙シアトル・タイムズは3月17日、「欠陥のある分析、失敗した監督:ボーイング社とFAAは問題のある737 MAX飛行制御システムをどのように認定したか」という記事を掲載した。 737 MAX 飛行制御システム)、FAAの現・元技術者数名への聞き取りを通じて、737MAXが飛行安全性評価に合格した際に不適切な運航があったことが指摘された。
報告書では、両当事者の怠慢が最終的に重大なミスにつながったとし、その重要な原因の一つが不完全なシステムだったとしている。
ボーイングの新しい自動運転ソフトウェアには致命的な欠陥がある可能性がある
昨年のインドネシア航空事故以来、この事故のブラックボックス情報はまだ分析中ですが、多くの詳細がボーイング機の同じバグを指摘しており、公表された詳細から判断すると、2つの事故は非常に似ています。
ボーイング 737 航空機は 1968 年に発売されました。比較的成熟した航空機モデルであり、設立以来 10,000 機以上を販売した世界で最も売れている航空機です。ボーイング 737 Max シリーズは、同社の最新の主力シリーズでもあります。
十分な競争力を維持するために、Max 8 は新しいエンジンを使用しています。MCAS もこの目的のために立ち上げられました。正式名称は操縦特性拡張システムで、航空機の安定性を補助するために使用されます。 MCAS の背後にあるビジネス上の動機は明らかであり、これは航空機の物理的な欠陥を修正しようとするソフトウェア パッチです。
MCAS はバックグラウンドで実行できるソフトウェアです。飛行機の機首が上向きに傾くと、システムは自動的に尾翼を作動させ、パイロットがソフトウェアの介入に気づくことなく、飛行機の機首を引き戻し、安全な巡航軌道に戻します。
MCAS ワークフロー図
ソフトウェアを使用して航空機の不安定性に対処することは新しいことではありません。より高度な戦闘機の多くは、より優れた機動性を確保するために不安定になるように設計されています。戦闘機のパイロットは、航空機の特殊な飛行特性を予測するように訓練も受けています。しかし、不親切なのは、多くの Max 8 パイロットが MCAS システムの存在を知らされていなかったことです。誰かがこう言いました。
「入門マニュアルは 1,400 ページありますが、いわゆる MCAS について言及しているのは 1 ページだけです...しかし、マニュアルにはそれが何であるかについては説明されていません...」
おそらくボーイングは、パイロットがシステムの情報に注意を払う必要はないと考えているのだろう。なぜなら、MCAS システムの目的は、737 Max 8 が前モデルの 737 NG と同じ「操作体験」を生み出せるようにすることだからです。これは当時のボーイング社のセールスポイントでもあり、「新しい航空機を購入するのに追加の訓練は必要ない」というものでした。
抜け穴の抽象化ルール
安全を確保するシステムがなぜ「殺人者」になってしまうのか?
ソフトウェア開発には「抽象的脆弱性の法則」と呼ばれるルールがあります。 「すべての非自明な抽象化は、ある程度、リーキーです。 (すべての非自明な抽象化は、ある程度、リーキーです。)」
MCAS はそのような抜け穴の抽象化である可能性があります。つまり、航空機が遭遇する不均衡の問題を修正するために、Leap エンジンを搭載しない従来の 737 NG の仮想同等品を作成しようとします。しかし、仮想マシンを抽象化することと、物理的な現実を抽象化しようとすることはまったく別のことです。どちらの場合でも、最終的には何かが壊れます。
それでは、抽象化しようとして失敗した場合、MCAS はどのように動作するのでしょうか?パイロットのレポートでは次のように述べられています。
「NGやMAXでは暴走傾向にある場合、コントロールコラムを逆方向に引くことで一時的に止めることができますが、MCASが作動した場合は電源を切ることでしか止めることができません。」
737 Max 8 コントロール ルーム
抽象化の脆弱性に対するパイロットの反応は、抽象化しようとしている実際の状況とは大きく異なる場合があります。センサーに欠陥がある場合は、センサーをオフにし、状況と航空機を理解して正しい決定を下すことができます。
しかし、航空機の性質の理解が現実ではなく仮想である場合、現実に戻ることはできません。現実はパイロットの理解の外にあるため、誤った判断を引き起こす原因となります。現実と仮想世界のまったく異なる点の 1 つは、多くの場合、元に戻す機能がないことです。
この脆弱性は、航空機自体がその意図を明らかにしたときに発生します。
「EFSは決して自律的に行動することはありませんが、610便で起こったことのように、場合によってはMCASが自動的に起動する可能性があります。」
そしてこれは、「MCASはパイロットの入力なしで作動し、手動のフラップ飛行でのみ動作します。」
MCAS がオフになっている場合、パイロットはまったく異なる航空機を操縦していることに気づきます。
MCAS制御はすでに自動運転の領域にまで及んでいる。技術者によってレベル 5 と評価されることもあります。
自動運転車が最後の買い手となるでしょうか?
墜落した飛行機のブラックボックスはまだ調査中であるため、それが完全にMCASのせいであるとは断定できません。では、MCASと自動飛行の間にはどのような関係があるのでしょうか?
Society of Automation Engineers (SAE) は、運転自動化の 6 つのレベルを定義する国際標準 (SAE J3016) を持っています。このフレームワークは、自動車以外の分野で自動化レベルを分類するために使用されます。詳しい分類は以下の通りです。
レベル 0 (手動プロセス)
自動化は一切ありません。
レベル 1 (参加プロセス)
ユーザーは、各自動化タスクの実行の開始と完了を理解します。タスクが正しく実行されなかった場合、ユーザーはタスクを元に戻すことができます。ただし、ユーザーはタスクを正しく順序付ける責任があります。
レベル2(複数の工程に参加)
ユーザーはタスク ポートフォリオの開始と完了を理解します。ただし、ユーザーはタスクを正しく順序付けする責任を負いません。
レベル 3 (無人プロセス)
ユーザーは特別な場合にのみ通知され、これらの条件に従って作業を完了する必要があります。
レベル 4 (スマートプロセス)
ユーザーは自動化の最終目標を定義する責任がありますが、プロセスの実行と飛行中の異常な状態の処理のすべての側面は自動化によって処理されます。
レベル 5 (完全に自動化されたプロセス)
これは、プロセスにおいて人間が不要になる最終的な将来の状態です。もちろん、プロセスが改善のためにそれ自体を最適化できることを前提としていないため、これが最終レベルではない可能性があります。
レベル 6 (自己最適化プロセス)
完全に自動化されており、人間の関与は必要なく、時間の経過とともに改善されます。
通常、エラーが発生すると、オートパイロットが解除され、制御がパイロットに戻ります。これはレベル 3 (無人プロセス) 自動化であり、自動化が実行される範囲が明確に定義されています。レベル 3 では、パイロットは異常な状況に気づき、航空機を手動で制御します。
レベル 4 (インテリジェント プロセス) では、パイロットは異常な状況を特定し、いつ自動化が適用されるかを指定できます。たとえば、今日の自動運転車は、天候が良好な場合には高速道路を自律走行できます。これらの機能を自動化するかどうかはドライバーが決定します。
航空機の自動操縦もレベル 4 の自動化であり、複雑さの低い環境に参加できます。
ボーイングの 737 Max 8 の MCAS はレベル 5 の自動化に似ています。つまり、これは完全に自動化されたプロセスであり、どのようなシナリオで実行するかを決定する権利があります。
エンジンのパフォーマンスを制御する電子機器と同様、完全に自動化されたプロセスでは通常、問題は発生しません。しかし、操縦(または航空機の操縦)となると、誰が制御権を持っているのかという問題が生じます。
レベル 5 の自動化には、どのセンサーに欠陥があるかを特定できるインテリジェンスと、部分的な未観測の情報を使用して問題を回避するインテリジェンスが必要です。しかし、現在の技術開発状況では、この種の人工知能の知能を実現することはできません。
責任はテクノロジーにあるのでしょうか、それともテクノロジーの設計者にあるのでしょうか?
これらの災害の主な原因は自動化の発展ではありません。主な理由は、システムの自動化の発展によって人間の操作と制御がより安全かつスマートになるかどうかです。
つまり、ボーイングが直面しているのは、すべてのソフトウェアが同じように作られているわけではないため、テクノロジーが野心に追いついていないということかもしれない。
これは、単にテストが不十分でソフトウェア ロジック エラーが発生したという問題や、単にテストしてセンサーやデバイスの障害に対処しただけの問題ではなく、危険な解決策につながる野心的なタスクを完了しようとする試みです。
いずれにしても、物理的な動作を仮想化する手段としてソフトウェア パッチを導入すると、予期せぬ結果が生じる可能性があります。航海中にはパイロットも同行し、自動化では対応できない予期せぬ事態をパイロットが解決できることを期待している。しかし、MCAS は幻想のようなもので、現実とシミュレーションを区別するパイロットの能力を妨げます。
レントン スピリットと呼ばれるボーイング 737 MAX が、2016 年 1 月 29 日にレントン市営空港から初めて離陸しました。
規制当局は、将来の評価において、MCAS のようなシステムに対して、他の自動処理およびテスト方法とはまったく異なるアプローチをとることが予想されます。
このような制御システムはレベル 5 の自動化とみなされるべきであり、より詳細な審査基準の対象となる必要があります。 このようにしてのみ、流血と涙は少なくなります。
1803 年、英国の技術者トレビシックは、レールの上を走行でき、馬車よりもはるかに多くの貨物を運ぶことができる蒸気機関車を建造しました。
しかし、この蒸気機関車には小さなトラブルが多発し、一定距離を歩くと修理のために停止する必要があったため、ほとんどの人に受け入れられませんでした。横転事故が発生し、重大な死傷者が発生する可能性もあります。
馬車の所有者は自分たちの地位が挑戦されていると感じ、さまざまな理由から列車の導入に抵抗するために同盟を結んだ。
しかし、数百年が経過し、馬車は歴史の舞台から遠ざかり、鉄道は長距離輸送の最も重要な手段の一つとなりました。
忍耐強く慎重に技術開発を進めることが私たちの唯一の選択肢です。