圖為印尼獅航波音737 MAX 8客機。據報道，印尼獅航是波音公司737 MAX飛機的最大客戶之一
，正在考慮改用空客SE，計劃暫停與美國飛機製造商簽訂的現有訂單。圖片來源：視覺中國

最近波音飛機的墜落，嚴格說是人工智能影響人類的災難性事件，也是智能化係統功能失效的典型案例。

波音737MAX8是波音成熟度最高的機型，燃料消耗是同類機型的30%，但發動機更改導致飛機機頭容易抬高。因此，它使用了一個機動特性增強係統（MCAS），在飛機迎角過大時該係統會自動下調機頭以進入它設定的安全狀態。但從最近發生的事故來看，MCAS更像波音公司在737MAX8飛機上埋的炸彈。

獅航空難事故調查已有結論
，其直接原因是機頭左側攻角傳感器故障
，使MCAS錯誤地連續26次進入自殺式俯衝。獅航飛行員曾33次ci試shi圖tu拉la升sheng機ji頭tou，但dan最zui終zhong人ren工gong操cao作zuo沒mei能neng成cheng功gong糾jiu偏pian。埃ai塞sai俄e比bi亞ya航hang空kong空kong難nan事shi故gu調tiao查zha還hai在zai進jin行xing
，但dan從cong已yi經jing披pi露lu的de信xin息xi可ke以yi判pan斷duan

，飛fei機ji在zai起qi飛fei後hou

，連lian續xu出chu現xian了le爬pa升sheng和he下xia降jiang兩liang種zhong飛fei行xing姿zi態tai，飛fei行xing員yuan稱cheng無wu法fa控kong製zhi飛fei機ji，最zui後hou導dao致zhi墜zhui毀hui。

這兩起事故都是智能化係統功能錯誤導致的飛機失控，屬功能安全事故。

什麼是功能安全

功能安全是一門安全工程學科，專門研究複雜控製係統的功能失效避免。它的基礎標準是2000年發布的IEC61508。近20年來，針對各領域的安全相關係統，已經發展出一個標準族群。

功能安全主要從3個方向展開研究：預期功能安全、硬(ying)件(jian)隨(sui)機(ji)性(xing)失(shi)效(xiao)避(bi)免(mian)和(he)係(xi)統(tong)性(xing)失(shi)效(xiao)避(bi)免(mian)。其(qi)中(zhong)，預(yu)期(qi)功(gong)能(neng)安(an)全(quan)是(shi)係(xi)統(tong)性(xing)失(shi)效(xiao)的(de)一(yi)部(bu)分(fen)


，它(ta)要(yao)求(qiu)全(quan)麵(mian)識(shi)別(bie)受(shou)控(kong)設(she)備(bei)中(zhong)的(de)所(suo)有(you)危(wei)險(xian)，並(bing)把(ba)風(feng)險(xian)控(kong)製(zhi)在(zai)可(ke)容(rong)忍(ren)範(fan)圍(wei)之(zhi)內(nei)。一(yi)旦(dan)受(shou)控(kong)設(she)備(bei)中(zhong)包(bao)含(han)智(zhi)能(neng)化(hua)係(xi)統(tong)時(shi)就(jiu)極(ji)富(fu)挑(tiao)戰(zhan)——這也是目前麵臨的新問題。

硬件隨機性失效避免要求組成安全相關係統的硬件係統必須具有足夠的可靠性、足夠的容錯能力和診斷覆蓋率，係統性失效避免則要避免所有可能導致係統性失效的錯誤和故障，如軟件功能安全
、環境適應性、檢測到故障時的係統行為等。

功能安全標準規定了各種原則
、方法，是多個行業多年經驗的總結，對於提高複雜控製係統與保護係統執行功能的可靠性，具有十分重要的指導意義。

MCAS存在的功能安全問題

埃塞俄比亞航空和獅航墜機事故原因都聚焦在波音737MAX8飛機的MCAS上。MCAS是一個安全相關係統，從功能安全視角看
，它存在多個問題。

首先是設計缺陷
，體現在：第一，波音公司在加裝MCAS係統時，忽視了發動機更改會使飛機容易在大迎角飛行時失速，違背了本質安全原則；第二
，對MCAS係統的危險評估定為有害等級而不是災難級
，定級有誤，說明設計者對MCAS失效可能造成的後果嚴重性估計不足
，對這個係統的軟硬件都沒有配置足夠的魯棒性；第三，係統容錯能力不足，即使是有害等級，MCAS係統僅采集左側傳感器數據作為啟動條件也是不符合要求的
；第四，對安全關鍵部件（如攻角傳感器）的故障
，沒有診斷和報警；第五，出現死亡俯衝時，沒有明顯提示警告機組人員
；第六，波音公司的培訓資料從未提及該項功能
，也沒有任何特別的培訓課程。

其次是維護和操作問題。一個細節是
，獅航飛機空難前帶著這個故障飛行了4次之多，事故前一天還出現過機頭持續下壓的危險狀況
，直到飛行員關閉MCAS才安全降落。此外

，獅航的維修工作及程序未能解決涉事客機的問題
，而客機關鍵零件（攻角傳感器）的安裝及校準記錄不完整未受到重視。

最後是監管問題。波音737MAX8在美聯邦航空管理局進行新飛機的安全批準時
，為了加快進度，把該機型MCAS係xi統tong的de安an全quan評ping估gu交jiao給gei了le波bo音yin
，並bing要yao求qiu工gong程cheng師shi加jia快kuai檢jian查zha進jin度du。這zhe極ji大da降jiang低di了le監jian管guan的de力li度du和he有you效xiao性xing。同tong時shi，這zhe也ye違wei反fan了le功gong能neng安an全quan標biao準zhun的de規gui定ding
，“對於失效後會導致嚴重後果的安全相關係統，必須由獨立的第三方評估後給出合格與否的結論”。

此外，波音提交的報告數據與實際不符
，評估報告未發現MCAS的諸多設計缺陷，評估未要求飛行手冊上標注MCAS且未要求特別的培訓等
，都是監管上的紕漏。

功(gong)能(neng)安(an)全(quan)標(biao)準(zhun)要(yao)求(qiu)采(cai)用(yong)全(quan)生(sheng)命(ming)周(zhou)期(qi)來(lai)管(guan)理(li)安(an)全(quan)相(xiang)關(guan)係(xi)統(tong)，設(she)計(ji)者(zhe)有(you)責(ze)任(ren)設(she)計(ji)高(gao)安(an)全(quan)完(wan)整(zheng)性(xing)等(deng)級(ji)的(de)安(an)全(quan)相(xiang)關(guan)係(xi)統(tong)，維(wei)護(hu)者(zhe)有(you)責(ze)任(ren)維(wei)護(hu)安(an)全(quan)相(xiang)關(guan)係(xi)統(tong)，監(jian)管(guan)者(zhe)有(you)責(ze)任(ren)獨(du)立(li)評(ping)估(gu)安(an)全(quan)相(xiang)關(guan)係(xi)統(tong)的(de)功(gong)能(neng)安(an)全(quan)性(xing)能(neng)。但(dan)如(ru)果(guo)在(zai)設(she)計(ji)上(shang)存(cun)在(zai)本(ben)質(zhi)缺(que)陷(xian)，那(na)麼(me)僅(jin)靠(kao)維(wei)護(hu)難(nan)以(yi)提(ti)高(gao)安(an)全(quan)相(xiang)關(guan)係(xi)統(tong)執(zhi)行(xing)功(gong)能(neng)的(de)可(ke)靠(kao)性(xing)。設(she)計(ji)者(zhe)要(yao)考(kao)慮(lv)到(dao)維(wei)護(hu)者(zhe)和(he)使(shi)用(yong)者(zhe)的(de)能(neng)力(li)限(xian)製(zhi)。

新技術下複雜係統

麵臨更多安全挑戰

聯想到獅航飛行員努力奮鬥拉了33次(ci)機(ji)頭(tou)仍(reng)失(shi)敗(bai)墜(zhui)機(ji)，聽(ting)到(dao)埃(ai)塞(sai)俄(e)比(bi)亞(ya)航(hang)空(kong)的(de)飛(fei)行(xing)員(yuan)驚(jing)恐(kong)地(di)報(bao)告(gao)無(wu)法(fa)控(kong)製(zhi)飛(fei)機(ji)的(de)聲(sheng)音(yin)，所(suo)有(you)人(ren)都(dou)會(hui)心(xin)疼(teng)不(bu)已(yi)。我(wo)們(men)不(bu)禁(jin)要(yao)問(wen)，在(zai)智(zhi)能(neng)化(hua)時(shi)代(dai)，我(wo)們(men)應(ying)如(ru)何(he)趨(qu)利(li)避(bi)害(hai)？

從智能製造到人工智能

、從5G到工業互聯網，新的熱點層出不窮，新的技術不斷更新換代，智能化係統越來越複雜。互聯互通
、信息集成，要將係統所有邊界情況一網打盡是天方夜譚。這種情況下，無論是設計者還是監管部門都嚴重缺乏經驗，麵臨“你不知道自己不知道什麼”的困境。

我們批評波音自己對自己的係統進行評估
，但實際上，對於類似MCAS這樣的係統，監管部門的理解和評測能力很可能不足，也沒有相應的標準。對複雜的智能化係統進行功能安全評測一直是業內難題。

在智能化係統控製的飛機、自動駕駛汽車、現代化的工廠中，人的錯誤可能是導致事故的重要原因。比如2009年6月1日法航447墜zhui落luo事shi件jian中zhong，空kong速su管guan結jie冰bing導dao致zhi飛fei行xing控kong製zhi係xi統tong進jin入ru故gu障zhang模mo式shi

，副fu駕jia駛shi持chi續xu拉la杆gan的de錯cuo誤wu動dong作zuo導dao致zhi飛fei機ji失shi速su墜zhui落luo。在zai波bo音yin這zhe架jia飛fei機ji上shang，駕jia駛shi員yuan與yuMCAS一直在搶奪控製權，最終駕駛員失敗了。在危急時刻，該聽誰的？這需要針對每個功能進行認真研究。

另外，機器學習具有“黑箱”特質（不確定性），mianduixiangtongqingkuangshikenenghuichanshengbutongjieguo。shujucaijihexuexixitongdebuwanshan，yekenengdaozhiwuyidepianchaheshujushizhenwenti。yizidongjiashiqicheweili

，jiqixuexixunliandezidongjiashiqichehenyoukenengzaixuexilexiangguan“學習資料”之後，仍會選擇徑直撞向穿熒光綠色背心的建築工人。

因此，當我們推行智能化與人工智能技術時，必須同步研究功能安全。

為智能製造保駕護航

波音飛機墜機事件不是孤立的功能安全事故案例。近年來的特斯拉和優步自動駕駛汽車事故
、大眾汽車變速箱機電單元問題導致汽車失速事故
、遼寧鋼鐵廠鋼包控製係統功能失效事故、美國得州煉油廠因液位計失靈導致的爆炸事故等
，都是由於設備故障導致係統失控，最終發生嚴重事故。

麵對更新換代的新技術和“層出不窮”的de熱re點dian，我wo們men必bi須xu理li解jie風feng險xian埋mai藏zang在zai哪na裏li

，能neng夠gou識shi別bie出chu那na些xie未wei知zhi且qie不bu安an全quan的de部bu分fen，然ran後hou將jiang它ta們men的de風feng險xian控kong製zhi在zai可ke容rong忍ren範fan圍wei之zhi內nei
，對dui它ta們men進jin行xing區qu分fen
，拿na出chu化hua解jie風feng險xian的de方fang案an並bing對dui其qi進jin行xing驗yan證zheng。需xu要yao製zhi定ding標biao準zhun規gui範fan行xing業ye行xing為wei，比bi如ru

，製zhi定ding安an全quan標biao準zhun以yi規gui範fan數shu據ju采cai集ji和he學xue習xi係xi統tong的de開kai發fa行xing為wei
，從cong而er減jian少shao人ren工gong智zhi能neng係xi統tong無wu意yi的de偏pian差cha和he數shu據ju失shi真zhen問wen題ti。

埃ai塞sai俄e比bi亞ya航hang空kong和he獅shi航hang空kong難nan是shi巨ju大da的de悲bei劇ju
，所suo有you新xin技ji術shu失shi敗bai導dao致zhi的de事shi故gu都dou是shi人ren為wei的de災zai難nan。看kan到dao這zhe些xie災zai難nan，不bu禁jin對dui智zhi能neng化hua和he人ren工gong智zhi能neng等deng新xin技ji術shu心xin存cun敬jing畏wei。希xi望wang我wo們men能neng深shen入ru研yan究jiu功gong能neng安an全quan技ji術shu，用yong標biao準zhun和he法fa規gui來lai保bao障zhang新xin技ji術shu在zai安an全quan的de框kuang架jia內nei發fa展zhan。而er任ren何he一yi項xiang新xin技ji術shu，也ye隻zhi有you在zai解jie決jue了le安an全quan問wen題ti之zhi後hou
，才cai能neng真zhen正zheng為wei用yong戶hu所suo接jie受shou。

（作者係機械工業儀器儀表綜合技術經濟研究所副總工程師
、功能安全中心主任
，國家安全生產專家組成員，國際權威機構認證的功能安全專家。）