이집트항공 블랙박스가 점차 깨지고 있으며, 추락 사고는 완전 자동화된 비행 소프트웨어와 직접적으로 연관되어 있습니다.
Super Neuro에서
시나리오 설명:자동 조종은 항공 기술의 표준 기능입니다. 이 기술은 조종사가 장거리 비행과 비행 중 일상 업무를 완료하는 데 효과적으로 도움을 줄 수 있지만, 여전히 해결해야 할 문제가 많이 있습니다.
키워드:민간 항공 자동 조종 자동화
항공기의 자동 비행 제어는 1910년대 초에 등장하여 1930년대에 성숙되었습니다. 엔지니어들은 항공기의 승강타, 에일러론, 방향타를 자이로스코프와 고도계에 연결하여 항공기가 설정된 방향과 고도에 따라 비행할 수 있도록 했습니다.
항공기, 선박, 심지어 미사일과 우주선의 자동 주행(오토파일럿)은 현재로서는 비교적 간단하며, 운전자가 비교적 간단하고 반복적인 작업을 완료하는 데 도움이 됩니다. 자동차의 자동 주행과는 달리 실시간으로 도로 표면을 판단하고 경로를 계획하는 등 더욱 복잡한 기능이 필요합니다.
오늘날까지도 이 구조는 근본적으로 변하지 않았습니다. 비행기의 자동 조종 기능은 항공기가 설정된 궤적과 속도에 따라 비행할 수 있게 해줍니다. 즉, 항공기 자동 조종 장치가 대체됩니다.조종사는 계기 바늘을 보고 바늘이 설정된 값에서 벗어나면 고정된 동작에 따라 이를 교정합니다.작업.
항공기 자동 조종 기능은 조종사의 부담을 크게 줄여줍니다. 이를 통해 조종사는 항공기 상태, 기상 상황 등을 모니터링하는 등 다른 작업에 집중할 수 있습니다. 이륙 및 착륙, 지상 주행, 충돌 경고 등 복잡하고 정밀한 운전이 필요한 경우 조종사는 적절한 시기에 개입합니다.
모든 것은 보잉에서 시작되었습니다
2018년 10월, 인도네시아 라이언 에어 여객기가 실수로 바다에 추락했습니다. 그로부터 얼마 지나지 않아 올해 3월 10일 에티오피아 항공 여객기가 추락했습니다. 보잉 737-Max 8 여객기(737 Max 시리즈)는 5개월 사이에 2번의 대형 항공기 추락 사고를 일으켜 346명의 소중한 생명을 앗아갔습니다.
시간을 돌이켜보면, 지난 3년 동안 이 두 사건 외에도 심각한 항공 추락 사고가 여러 건 발생했습니다.
2018년 5월, 쿠바나 항공기가 추락하여 탑승객 113명 중 단 한 명만 살아남았습니다. 2017년 6월, 미얀마 미에이크에서 양곤으로 가던 군용기가 추락해 탑승객 122명이 전원 사망했습니다. 2016년 11월, 샤페코엔시 축구 클럽 선수들을 태운 라미아 항공편이 추락하여 탑승객 73명 중 2명만 살아남았습니다.
항공 사고는 큰 손실을 초래하지만, 데이터에 따르면 비행기는 훨씬 더 안전하지만 사고가 날 때마다 너무나 충격적입니다.미국 교통부의 통계에 따르면, 2007년부터 2016년까지 상업 항공 여행에서는 1조 마일당 평균 11명이 사망한 반면, 고속도로에서는 1조 마일당 7,864명이 사망했습니다.
그러나 불과 몇 달 사이에 보잉 항공기의 동일한 모델에서 두 건의 비극적인 사고가 발생하면서 이 항공기에 실제로 문제가 있다는 사실이 입증되었습니다. 보잉 역시 이 항공기의 전 세계 운항 중단을 곧 발표했습니다.
3월 17일, 보잉사가 위치한 시애틀의 지역 신문인 시애틀 타임스는 "잘못된 분석, 실패한 감독: 보잉과 FAA가 의심스러운 737 MAX 비행 제어 시스템을 인증한 방법"이라는 제목의 기사를 게재했습니다.현직 및 전직 FAA 엔지니어 여러 명과의 인터뷰 결과, 737 Max가 비행 안전 평가를 통과했을 당시 부적절한 운항이 있었다는 사실이 드러났습니다.
보고서에 따르면, 가장 큰 실수는 결국 양측의 부주의로 인해 발생했으며, 중요한 이유 중 하나는 불완전한 시스템이었습니다.
보잉의 새로운 자동 조종 소프트웨어에 치명적인 결함이 있을 수 있다
이번 사고에 대한 블랙박스 정보는 아직 분석 중이지만, 작년 인도네시아 항공기 추락 사고 이후 많은 세부 사항이 보잉 항공기에서 동일한 버그가 발견되었음을 지적하고 있으며, 공개된 세부 사항을 바탕으로 판단하건대 두 사고는 매우 유사합니다.
1968년에 출시된 보잉 737은 가장 성숙한 항공기 모델이며, 출시 이후 10,000대 이상이 판매된 세계에서 가장 많이 팔린 항공기입니다. 보잉 737 Max 시리즈는 또한 이 회사의 최신 주력 시리즈입니다.
경쟁력을 유지하기 위해 Max 8은 새로운 엔진을 사용합니다.이러한 목적을 위해 MCAS도 도입되었습니다. 정식 명칭은 기동 특성 증강 시스템(Maneuvering Characteristics Augmentation System)으로, 항공기의 안정성을 보조하는 데 사용됩니다. MCAS의 사업적 동기는 명확합니다. 항공기의 물리적 결함을 수정하려는 소프트웨어 패치이기 때문입니다.
MCAS는 백그라운드에서 실행되는 소프트웨어일 수 있습니다. 항공기의 기수가 위로 기울어지면, 시스템은 자동으로 꼬리를 작동시켜 항공기의 기수를 안전한 순항 궤도로 되돌리고, 조종사는 소프트웨어의 개입을 전혀 알아차리지 못할 것입니다.
MCAS 워크플로 다이어그램
항공기 불안정성을 해결하기 위해 소프트웨어를 사용하는 것은 새로운 일이 아니다. 더욱 진보된 전투기 중 다수는 더 큰 기동성을 보장하기 위해 안정성을 높이도록 설계되었습니다. 전투기 조종사는 또한 자신의 항공기의 특정 비행 특성을 예상하도록 훈련을 받습니다. 하지만 불친절한 점은 많은 Max 8 조종사가 MCAS 시스템의 존재를 알지 못했다는 것입니다. 어떤 사람들은 이렇게 말했습니다.
"소개 매뉴얼은 1,400페이지 분량인데, MCAS라는 것에 대한 언급은 단 한 페이지에만 나와 있습니다... 하지만 매뉴얼에는 그것이 무엇인지 설명이 없습니다..."
아마도 보잉사는 조종사가 시스템 정보에 주의를 기울일 필요가 없다고 생각했을 것입니다.MCAS 시스템의 목적은 737 Max 8이 이전 모델인 737 NG와 동일한 "운용 경험"을 제공하도록 하는 것입니다.이는 당시 보잉의 판매 포인트이기도 했습니다. "새로운 항공기를 구매하는 데는 추가 교육이 필요하지 않습니다."
취약성 추상화의 법칙
안전을 보장하는 그런 시스템이 왜 '살인자'가 되는 걸까?
소프트웨어 개발에는 "누수 추상화 법칙"이라고 하는 법칙이 있습니다. "모든 사소하지 않은 추상화는 어느 정도 누출이 가능합니다."
MCAS는 누출이 많은 추상화일 수 있습니다. 즉, 항공기가 겪을 불균형을 바로잡기 위해 리프 엔진 없이 기존 737 NG와 가상으로 동등한 것을 만들려고 시도하는 것입니다. 하지만 가상 머신을 추상화하는 것은 하나의 일이고, 물리적 현실을 추상화하려는 것은 전혀 다른 일입니다. 결국 두 경우 모두 무언가가 망가지게 됩니다.
그렇다면 MCAS는 추상화하려는 것이 실패할 때 어떻게 동작할까요? 조종사는 다음과 같이 보고했습니다.
"NG와 MAX에서는 조종력을 잃을 위험이 있을 때 조종간을 반대 방향으로 당겨 일시적으로 멈출 수 있습니다. 하지만 MCAS가 작동하면 전원을 차단해야만 멈출 수 있습니다."
737 Max 8 제어실
추상화에 구멍이 생긴 것에 대한 조종사의 대응은 추상화하려는 실제 상황과 매우 다를 수 있습니다. 센서에 결함이 있으면 센서를 끄고 상황과 항공기에 대한 이해를 바탕으로 올바른 결정을 내릴 수 있습니다.
하지만 항공기의 본질에 대한 이해가 현실이 아닌 가상일 경우 현실로 돌아갈 수 없습니다. 현실은 조종사의 이해를 넘어서며 잘못된 의사결정을 초래합니다. 현실 세계와 가상 세계의 매우 다른 점 중 하나는 종종 실행 취소 기능이 없다는 것입니다!
이러한 취약점은 항공기 자체가 자신의 의도를 입증할 때 발생합니다.
"EFS는 결코 자율적으로 작동하지 않지만, 610편에서 일어난 일과 같은 특정 상황에서는 MCAS가 자율적으로 작동할 수 있습니다."
그리고 이것도 있습니다: "조종사의 입력 없이 MCAS가 작동하고 플랩을 올린 수동 비행에서만 작동했습니다."
MCAS가 꺼져 있으면 조종사는 완전히 다른 항공기를 조종하게 됩니다.
MCAS 제어에는 이미 자율주행의 범위가 포함되었습니다. 기술자는 이를 5등급으로 평가할 수도 있습니다.
자율주행이 최종 지불자일까?
추락한 비행기의 블랙박스는 아직 조사 중이므로, 전적으로 MCAS의 잘못이라고 단정 지을 수 없습니다. 그렇다면 MCAS와 자동 비행은 어떤 관련이 있을까요?
자동차 운전 엔지니어 협회(SAE)는 6가지 레벨의 주행 자동화(SAE J3016)를 정의한 국제 표준을 가지고 있습니다. 이 프레임워크는 자동차 이외의 도메인에서 자동화 수준을 분류하는 데 사용됩니다. 자세한 분류는 다음과 같습니다.
레벨 0(수동 프로세스)
자동화는 전혀 없습니다.
레벨 1(참여 프로세스)
사용자는 각 자동화 작업의 수행이 시작되고 완료되는 과정을 이해합니다. 사용자는 작업이 올바르게 수행되지 않은 경우 해당 작업을 취소할 수 있습니다. 그러나 사용자는 작업을 올바르게 정렬할 책임이 있습니다.
레벨 2(다중 프로세스 참여)
사용자는 작업 조합의 시작과 완료를 알고 있습니다. 그러나 사용자는 작업의 올바른 순서에 대한 책임을 지지 않습니다.
레벨 3(무인 프로세스)
사용자는 예외적인 상황에서만 통지를 받으며 해당 조건에서 작업을 완료해야 합니다.
레벨 4(스마트 프로세스)
사용자는 자동화의 최종 목표를 정의할 책임이 있지만, 프로세스 실행의 모든 측면과 진행 중인 예외 상황 처리는 자동화를 통해 처리됩니다.
레벨 5(완전 자동화된 프로세스)
이는 더 이상 인간의 개입이 필요하지 않은 최종적이고 미래의 상태입니다. 물론, 이것이 최종 단계는 아닐 수도 있는데, 이는 프로세스가 스스로를 최적화하여 개선할 수 있다고 가정하지 않기 때문입니다.
레벨 6(자체 최적화 프로세스)
완전히 자동화되어 있으며, 인간의 개입이 필요 없고, 시간이 지남에 따라 스스로 개선될 수 있습니다.
일반적으로 오류가 발생하면 자동 조종 장치가 해제되고 조종사에게 제어권이 반환됩니다. 이는 레벨 3(무인 프로세스) 자동화로, 자동화가 어느 정도까지 운영되는지 명확합니다. 3단계에서는 조종사가 비정상적인 상황을 인지하고 항공기를 수동으로 제어합니다.
레벨 4(지능형 프로세스)에서는 조종사가 비정상적인 상황을 인식하고 자동화가 적절한 시기를 지정할 수 있습니다. 오늘날의 자율주행 자동차는 예를 들어 고속도로에서 날씨가 좋으면 스스로 주차하고 자율 주행을 할 수 있습니다. 이러한 기능에 자동화를 적용할지 여부는 운전자의 결정에 달려 있습니다.
항공기 자동 조종 장치도 레벨 4 자동화로 복잡도가 낮은 환경에서도 작동할 수 있습니다.
보잉 737 Max 8의 MCAS는 레벨 5 자동화와 유사합니다. 즉, 어떤 시나리오에서 실행할지 결정할 수 있는 권한을 가진 완전 자동화된 프로세스입니다.
엔진 성능을 제어하는 전자 장치와 마찬가지로 완전 자동화된 프로세스는 일반적으로 문제를 일으키지 않습니다.하지만 조종(또는 항공기 조종)에 관해서는 누가 통제권을 갖고 있는지에 대한 의문이 제기됩니다.
5단계 자동화에는 어떤 센서에 문제가 있는지 인식하고 부분적이고 관찰되지 않은 정보를 사용하여 문제를 해결할 수 있는 지능이 필요합니다. 하지만 현재의 기술 개발 수준은 이런 종류의 인공지능을 실현하기에 턱없이 부족합니다.
그 책임은 기술에 있는가, 아니면 그것을 설계한 사람들에게 있는가?
자동화의 발전이 이러한 재난의 주요 원인은 아니다. 주된 원인은 시스템의 자동화 개발이 인간의 운영과 제어를 더 안전하고 지능적으로 만들 수 있는지 여부에 있습니다.
간단히 말해, 보잉은 기술이 야심찬 추세에 발맞추지 못하는 상황에 직면해 있을 수 있습니다. 모든 소프트웨어의 복잡성이 동일하지 않기 때문입니다.
이는 테스트가 부족하여 소프트웨어 논리 오류가 발견된 간단한 문제가 아니며, 센서 및 장치 오류를 테스트하고 처리하는 간단한 문제도 아닙니다. 이는 위험한 해결책을 초래한 야심찬 과제를 완수하려는 시도입니다.
그럼에도 불구하고, 물리적 행동을 가상화하는 수단으로 소프트웨어 패치를 도입하면 의도치 않은 결과가 발생할 수 있습니다. 자동화가 처리할 수 없는 예상치 못한 상황을 해결하기 위해 비행 중에는 여전히 조종사가 있을 것입니다.하지만 MCAS는 환상과 같아서 조종사가 실제와 시뮬레이션을 구별하는 능력을 방해합니다.
2016년 1월 29일, 렌턴 시립 공항에서 최초로 이륙한 보잉 737 MAX, 스피릿 오브 렌턴
향후 검토에서는 규제 기관이 MCAS와 같은 시스템에 대해 다른 접근 방식을 취하고 다른 자동화 시스템과는 다르게 테스트할 것으로 예상됩니다.
이러한 제어 시스템은 레벨 5 자동화로 간주되어야 하며, 더욱 자세한 검토 기준이 적용되어야 합니다. 이렇게 해야만 피와 눈물이 줄어들 것입니다.
1803년, 영국의 엔지니어 트레비식은 증기 기관차를 발명했는데, 이 기관차는 레일 위로 운행할 수 있었고 말이 끄는 마차보다 훨씬 더 많은 화물을 운반할 수 있었습니다.
그러나 이 증기 기관차는 셀 수 없이 많은 사소한 문제점을 안고 있었고, 종종 사소한 고장도 잦았습니다. 일정 거리를 주행한 후에는 수리를 위해 멈춰야 했기 때문에 대부분의 사람들에게 받아들여지지 않았습니다. 심각한 사상자가 발생하는 전복 사고가 발생할 수도 있습니다.
마차 주인들은 자신들의 지위가 위협받고 있다고 느껴서 다양한 이유로 기차 진흥에 저항하기 위해 동맹을 결성했습니다.
그러나 수백 년이 흘렀고, 마차는 역사의 무대에서 사라졌으며, 기차는 장거리 운송의 가장 중요한 수단 중 하나가 되었습니다.
기술 발전에 대해 인내심을 갖고 신중하게 대처하는 것만이 우리가 할 수 있는 유일한 선택입니다.