圖為印尼獅航波音737 MAX 8客機。據報道，印尼獅航是波音公司737 MAX飛機的最大客戶之一，正在考慮改用空客SE，計劃暫停與美國飛機製造商簽訂的現有訂單。圖片來源：視覺中國

最近波音飛機的墜落
，嚴格說是人工智能影響人類的災難性事件，也是智能化係統功能失效的典型案例。

波音737MAX8是波音成熟度最高的機型
，燃料消耗是同類機型的30%，但發動機更改導致飛機機頭容易抬高。因此，它使用了一個機動特性增強係統（MCAS），在飛機迎角過大時該係統會自動下調機頭以進入它設定的安全狀態。但從最近發生的事故來看
，MCAS更像波音公司在737MAX8飛機上埋的炸彈。

獅航空難事故調查已有結論，其直接原因是機頭左側攻角傳感器故障，使MCAS錯誤地連續26次進入自殺式俯衝。獅航飛行員曾33次(ci)試(shi)圖(tu)拉(la)升(sheng)機(ji)頭(tou)
，但(dan)最(zui)終(zhong)人(ren)工(gong)操(cao)作(zuo)沒(mei)能(neng)成(cheng)功(gong)糾(jiu)偏(pian)。埃(ai)塞(sai)俄(e)比(bi)亞(ya)航(hang)空(kong)空(kong)難(nan)事(shi)故(gu)調(tiao)查(zha)還(hai)在(zai)進(jin)行(xing)，但(dan)從(cong)已(yi)經(jing)披(pi)露(lu)的(de)信(xin)息(xi)可(ke)以(yi)判(pan)斷(duan)，飛(fei)機(ji)在(zai)起(qi)飛(fei)後(hou)
，連(lian)續(xu)出(chu)現(xian)了(le)爬(pa)升(sheng)和(he)下(xia)降(jiang)兩(liang)種(zhong)飛(fei)行(xing)姿(zi)態(tai)
，飛(fei)行(xing)員(yuan)稱(cheng)無(wu)法(fa)控(kong)製(zhi)飛(fei)機(ji)，最(zui)後(hou)導(dao)致(zhi)墜(zhui)毀(hui)。

這兩起事故都是智能化係統功能錯誤導致的飛機失控

，屬功能安全事故。

什麼是功能安全

功能安全是一門安全工程學科
，專門研究複雜控製係統的功能失效避免。它的基礎標準是2000年發布的IEC61508。近20年來，針對各領域的安全相關係統

，已經發展出一個標準族群。

功能安全主要從3個方向展開研究：預期功能安全
、yingjiansuijixingshixiaobimianhexitongxingshixiaobimian。qizhong，yuqigongnenganquanshixitongxingshixiaodeyibufen
，tayaoqiuquanmianshibieshoukongshebeizhongdesuoyouweixian，bingbafengxiankongzhizaikerongrenfanweizhinei。yidanshoukongshebeizhongbaohanzhinenghuaxitongshijiujifutiaozhan——這也是目前麵臨的新問題。

硬件隨機性失效避免要求組成安全相關係統的硬件係統必須具有足夠的可靠性、足夠的容錯能力和診斷覆蓋率
，係統性失效避免則要避免所有可能導致係統性失效的錯誤和故障，如軟件功能安全、環境適應性
、檢測到故障時的係統行為等。

功能安全標準規定了各種原則、方法，是多個行業多年經驗的總結，對於提高複雜控製係統與保護係統執行功能的可靠性，具有十分重要的指導意義。

MCAS存在的功能安全問題

埃塞俄比亞航空和獅航墜機事故原因都聚焦在波音737MAX8飛機的MCAS上。MCAS是一個安全相關係統
，從功能安全視角看，它存在多個問題。

首先是設計缺陷，體現在：第一，波音公司在加裝MCAS係統時，忽視了發動機更改會使飛機容易在大迎角飛行時失速，違背了本質安全原則
；第二，對MCAS係統的危險評估定為有害等級而不是災難級
，定級有誤，說明設計者對MCAS失效可能造成的後果嚴重性估計不足
，對這個係統的軟硬件都沒有配置足夠的魯棒性
；第三，係統容錯能力不足，即使是有害等級
，MCAS係統僅采集左側傳感器數據作為啟動條件也是不符合要求的；第四
，對安全關鍵部件（如攻角傳感器）的故障，沒有診斷和報警；第五
，出現死亡俯衝時，沒有明顯提示警告機組人員
；第六，波音公司的培訓資料從未提及該項功能，也沒有任何特別的培訓課程。

其次是維護和操作問題。一個細節是，獅航飛機空難前帶著這個故障飛行了4次之多，事故前一天還出現過機頭持續下壓的危險狀況，直到飛行員關閉MCAS才安全降落。此外，獅航的維修工作及程序未能解決涉事客機的問題，而客機關鍵零件（攻角傳感器）的安裝及校準記錄不完整未受到重視。

最後是監管問題。波音737MAX8在美聯邦航空管理局進行新飛機的安全批準時，為了加快進度
，把該機型MCAS係(xi)統(tong)的(de)安(an)全(quan)評(ping)估(gu)交(jiao)給(gei)了(le)波(bo)音(yin)，並(bing)要(yao)求(qiu)工(gong)程(cheng)師(shi)加(jia)快(kuai)檢(jian)查(zha)進(jin)度(du)。這(zhe)極(ji)大(da)降(jiang)低(di)了(le)監(jian)管(guan)的(de)力(li)度(du)和(he)有(you)效(xiao)性(xing)。同(tong)時(shi)，這(zhe)也(ye)違(wei)反(fan)了(le)功(gong)能(neng)安(an)全(quan)標(biao)準(zhun)的(de)規(gui)定(ding)
，“對於失效後會導致嚴重後果的安全相關係統，必須由獨立的第三方評估後給出合格與否的結論”。

此外，波音提交的報告數據與實際不符，評估報告未發現MCAS的諸多設計缺陷
，評估未要求飛行手冊上標注MCAS且未要求特別的培訓等
，都是監管上的紕漏。

功gong能neng安an全quan標biao準zhun要yao求qiu采cai用yong全quan生sheng命ming周zhou期qi來lai管guan理li安an全quan相xiang關guan係xi統tong，設she計ji者zhe有you責ze任ren設she計ji高gao安an全quan完wan整zheng性xing等deng級ji的de安an全quan相xiang關guan係xi統tong，維wei護hu者zhe有you責ze任ren維wei護hu安an全quan相xiang關guan係xi統tong，監jian管guan者zhe有you責ze任ren獨du立li評ping估gu安an全quan相xiang關guan係xi統tong的de功gong能neng安an全quan性xing能neng。但dan如ru果guo在zai設she計ji上shang存cun在zai本ben質zhi缺que陷xian，那na麼me僅jin靠kao維wei護hu難nan以yi提ti高gao安an全quan相xiang關guan係xi統tong執zhi行xing功gong能neng的de可ke靠kao性xing。設she計ji者zhe要yao考kao慮lv到dao維wei護hu者zhe和he使shi用yong者zhe的de能neng力li限xian製zhi。

新技術下複雜係統

麵臨更多安全挑戰

聯想到獅航飛行員努力奮鬥拉了33次(ci)機(ji)頭(tou)仍(reng)失(shi)敗(bai)墜(zhui)機(ji)，聽(ting)到(dao)埃(ai)塞(sai)俄(e)比(bi)亞(ya)航(hang)空(kong)的(de)飛(fei)行(xing)員(yuan)驚(jing)恐(kong)地(di)報(bao)告(gao)無(wu)法(fa)控(kong)製(zhi)飛(fei)機(ji)的(de)聲(sheng)音(yin)，所(suo)有(you)人(ren)都(dou)會(hui)心(xin)疼(teng)不(bu)已(yi)。我(wo)們(men)不(bu)禁(jin)要(yao)問(wen)，在(zai)智(zhi)能(neng)化(hua)時(shi)代(dai)，我(wo)們(men)應(ying)如(ru)何(he)趨(qu)利(li)避(bi)害(hai)？

從智能製造到人工智能
、從5G到工業互聯網
，新的熱點層出不窮，新的技術不斷更新換代，智能化係統越來越複雜。互聯互通、信息集成，要將係統所有邊界情況一網打盡是天方夜譚。這種情況下，無論是設計者還是監管部門都嚴重缺乏經驗，麵臨“你不知道自己不知道什麼”的困境。

我們批評波音自己對自己的係統進行評估，但實際上，對於類似MCAS這樣的係統，監管部門的理解和評測能力很可能不足
，也沒有相應的標準。對複雜的智能化係統進行功能安全評測一直是業內難題。

在智能化係統控製的飛機
、自動駕駛汽車、現代化的工廠中
，人的錯誤可能是導致事故的重要原因。比如2009年6月1日法航447zhuiluoshijianzhong，kongsuguanjiebingdaozhifeixingkongzhixitongjinruguzhangmoshi，fujiashichixulagandecuowudongzuodaozhifeijishisuzhuiluo。zaiboyinzhejiafeijishang
，jiashiyuanyuMCAS一直在搶奪控製權
，最終駕駛員失敗了。在危急時刻，該聽誰的？這需要針對每個功能進行認真研究。

另外
，機器學習具有“黑箱”特質（不確定性），麵(mian)對(dui)相(xiang)同(tong)情(qing)況(kuang)時(shi)可(ke)能(neng)會(hui)產(chan)生(sheng)不(bu)同(tong)結(jie)果(guo)。數(shu)據(ju)采(cai)集(ji)和(he)學(xue)習(xi)係(xi)統(tong)的(de)不(bu)完(wan)善(shan)

，也(ye)可(ke)能(neng)導(dao)致(zhi)無(wu)意(yi)的(de)偏(pian)差(cha)和(he)數(shu)據(ju)失(shi)真(zhen)問(wen)題(ti)。以(yi)自(zi)動(dong)駕(jia)駛(shi)汽(qi)車(che)為(wei)例(li)
，機(ji)器(qi)學(xue)習(xi)訓(xun)練(lian)的(de)自(zi)動(dong)駕(jia)駛(shi)汽(qi)車(che)很(hen)有(you)可(ke)能(neng)在(zai)學(xue)習(xi)了(le)相(xiang)關(guan)“學習資料”之後，仍會選擇徑直撞向穿熒光綠色背心的建築工人。

因此，當我們推行智能化與人工智能技術時
，必須同步研究功能安全。

為智能製造保駕護航

波音飛機墜機事件不是孤立的功能安全事故案例。近年來的特斯拉和優步自動駕駛汽車事故、大眾汽車變速箱機電單元問題導致汽車失速事故、遼寧鋼鐵廠鋼包控製係統功能失效事故

、美國得州煉油廠因液位計失靈導致的爆炸事故等
，都是由於設備故障導致係統失控，最終發生嚴重事故。

麵對更新換代的新技術和“層出不窮”的de熱re點dian，我wo們men必bi須xu理li解jie風feng險xian埋mai藏zang在zai哪na裏li
，能neng夠gou識shi別bie出chu那na些xie未wei知zhi且qie不bu安an全quan的de部bu分fen，然ran後hou將jiang它ta們men的de風feng險xian控kong製zhi在zai可ke容rong忍ren範fan圍wei之zhi內nei，對dui它ta們men進jin行xing區qu分fen，拿na出chu化hua解jie風feng險xian的de方fang案an並bing對dui其qi進jin行xing驗yan證zheng。需xu要yao製zhi定ding標biao準zhun規gui範fan行xing業ye行xing為wei，比bi如ru，製zhi定ding安an全quan標biao準zhun以yi規gui範fan數shu據ju采cai集ji和he學xue習xi係xi統tong的de開kai發fa行xing為wei
，從cong而er減jian少shao人ren工gong智zhi能neng係xi統tong無wu意yi的de偏pian差cha和he數shu據ju失shi真zhen問wen題ti。

aisaiebiyahangkongheshihangkongnanshijudadebeiju，suoyouxinjishushibaidaozhideshigudoushirenweidezainan。kandaozhexiezainan，bujinduizhinenghuaherengongzhinengdengxinjishuxincunjingwei。xiwangwomennengshenruyanjiugongnenganquanjishu，yongbiaozhunhefaguilaibaozhangxinjishuzaianquandekuangjianeifazhan。errenheyixiangxinjishu，yezhiyouzaijiejueleanquanwentizhihou，cainengzhenzhengweiyonghusuojieshou。

（作者係機械工業儀器儀表綜合技術經濟研究所副總工程師、功能安全中心主任，國家安全生產專家組成員，國際權威機構認證的功能安全專家。）