兩次慘痛空難后再看波音的軟件化之路:它曾滿載榮光�����,如今備受質(zhì)疑���。 3 月 10 日,埃塞俄比亞航空公司一架波音 737 MAX 8 客機(jī)在飛往肯尼亞途中墜毀�����。機(jī)上有 149 名乘客和 8 名機(jī)組成員,無(wú)人生還�����。
據(jù)報(bào)道����,此次失事的是一架全新的波音飛機(jī),四個(gè)月前才交付給該航空公司���。這是波音 737 MAX 8 半年內(nèi)出現(xiàn)的第二起嚴(yán)重事故�����。(第一起為 2018 年 10 月 29 日印尼獅航的墜落事件����,189 人罹難)目前中國(guó)大陸共有 96 架該機(jī)型飛機(jī)正在運(yùn)營(yíng)�����,中國(guó)民航局今天表示���,為確保中國(guó)民航飛行安全���,囯內(nèi)暫停該機(jī)型的商業(yè)運(yùn)行�����。
一年多前���,波音公司還是傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型的杰出代表,其軟件化發(fā)展得到工業(yè)互聯(lián)網(wǎng)領(lǐng)域的一致認(rèn)可���。但短短半年時(shí)間����,同一機(jī)型兩次空難����,其中一次的失事原因已明確為軟件設(shè)計(jì)缺陷�����。這樣慘痛的后果����,軟件化是不是要“背鍋”����?更有人無(wú)奈戲言:波音真把自己當(dāng)互聯(lián)網(wǎng)企業(yè)了����,讓用戶去試 bug。
波音的數(shù)字化轉(zhuǎn)型�����,還有參考意義嗎���?
傷痛之余�����,我們?nèi)孕鑿?fù)盤(pán)兩次墜機(jī)的原因���。
回顧第一起墜落事件,調(diào)查人員發(fā)現(xiàn)�����,失事飛機(jī)的迎角傳感器“數(shù)據(jù)錯(cuò)誤”觸發(fā)“防失速”自動(dòng)操作���,導(dǎo)致機(jī)頭不斷下壓�����,飛行員 多次手動(dòng)拉升未果����,飛機(jī)最終墜海。
這個(gè)自動(dòng)控制下壓機(jī)頭的系統(tǒng)�����,名叫 MCAS�����,意為自動(dòng)糾正失速系統(tǒng)���。波音 737 MAX 在設(shè)計(jì)上配備了更粗大更省油的發(fā)動(dòng)機(jī),而這也使得飛機(jī)容易在大迎角飛行失速����。為此,波音設(shè)計(jì)師就為 737 MAX 開(kāi)發(fā)了 MCAS����。這是波音 737 MAX 的一種操縱輔助系統(tǒng)����,其設(shè)計(jì)初衷是����,如果機(jī)身上的傳感器檢測(cè)到高速失速的情況,即使在沒(méi)有飛行員輸入信號(hào)的情況下���,該系統(tǒng)將強(qiáng)制將飛機(jī)的機(jī)頭向下推�����。
MCAS 系統(tǒng)工作示意圖
但在獅航空難事件中���,該系統(tǒng)接收到了錯(cuò)誤數(shù)據(jù),導(dǎo)致飛機(jī)在正常情況下開(kāi)始不斷下壓機(jī)頭�����,飛行員在 11 分鐘內(nèi)連續(xù)手動(dòng)拉升 20 余次終告失敗�����,墜海罹難。
獅航空難發(fā)生后�����,國(guó)內(nèi)資深機(jī)長(zhǎng)陳建國(guó)表示:“獅航空難是飛機(jī)信號(hào)系統(tǒng)接收到一個(gè)假信號(hào)����,信號(hào)顯示飛機(jī)‘抬頭’,所以控制系統(tǒng)持續(xù)給出了‘低頭’的指令�����。機(jī)組與控制系統(tǒng)搏斗很長(zhǎng)時(shí)間���,最終發(fā)生事故�����?����!?/p>
根據(jù)波音公司對(duì)飛行員的培訓(xùn),發(fā)現(xiàn)該系統(tǒng)程序有 4 個(gè)特點(diǎn):
發(fā)現(xiàn)失速后�����,程序只相信主傳感器,不與備份傳感器核實(shí)���。(同樣的情況空客的飛機(jī)則會(huì)交給飛行員處理�����。)
一旦相信����,不通知飛行員����,直接操縱機(jī)翼。
飛行員手動(dòng)操作后�����,仍舊會(huì)每五秒自動(dòng)執(zhí)行����,讓飛行員不得不與飛機(jī)較勁。
程序開(kāi)關(guān)非常隱蔽。
業(yè)內(nèi)人士指出:“因?yàn)?MCAS 系統(tǒng)����,737 MAX 飛機(jī)可能在計(jì)算機(jī)控制下執(zhí)行長(zhǎng)達(dá) 10 秒的非指令性低頭,單靠駕駛桿操作很難拉住���。而如果飛行員并不清楚這一切���,那么就可能變成飛機(jī)俯沖 - 人工向上配平 - 飛機(jī)繼續(xù)俯沖的搏斗,飛行員的勝算并不大���?����!?/p>
空難發(fā)生后�����,波音公司更新了 737 MAX 飛行操作手冊(cè)�����,指導(dǎo)飛行員如何應(yīng)對(duì)“迎角傳感器數(shù)據(jù)錯(cuò)誤”�����,報(bào)導(dǎo)稱波音考慮慮修改軟件設(shè)置:自動(dòng)系統(tǒng)觸發(fā)后�����,一旦機(jī)組人員對(duì)設(shè)置作“反向”操作���,即可關(guān)閉 MCAS 的“自動(dòng)下壓機(jī)頭”功能。但這一“軟件升級(jí)”并沒(méi)有得到官方的確認(rèn)����。
本次埃塞俄比亞航空空難的具體官方報(bào)告還未公布,從目前已有的消息來(lái)看:這架飛機(jī)失事前����,最大地速達(dá)到 383 海里每小時(shí),超過(guò)了飛機(jī)正常的飛行速度����。該機(jī)起飛經(jīng)歷后反反復(fù)復(fù)爬升下降,下降爬升的過(guò)程���,高度 7000~8600 英尺之間�����,最大地速達(dá)到 383 海里每小時(shí)���,超過(guò)了飛機(jī)正常的飛行速度�����。該數(shù)據(jù)與獅航的全球第一架 737MAX 空難有些相似�����,都可以歸結(jié)為 LOC—空中失控���。具體原因還需要更多的數(shù)據(jù)來(lái)分析。
兩次慘痛空難過(guò)后���,回過(guò)頭來(lái)再看看波音的軟件化道路:它曾滿載榮光�����,如今備受質(zhì)疑����。
2012 年,由通用電氣發(fā)起���,思科���、IBM、英特爾等 80 多家公司成立了工業(yè)互聯(lián)網(wǎng)聯(lián)盟���,試圖重新定義制造業(yè)的未來(lái),這其中的一員����,就有波音公司。
波音公司是全球最大的航天航空器造商���。每天����,數(shù)以千計(jì)的波音客機(jī)從全球各地機(jī)場(chǎng)起降����,將旅客運(yùn)送至目的地。舉個(gè)例子����,波音 787 夢(mèng)想客機(jī)飛行一次就會(huì)產(chǎn)生多達(dá) 1TB 的數(shù)據(jù)����,每年數(shù)百架 787 夢(mèng)想客機(jī)飛行數(shù)千次���,產(chǎn)生的數(shù)據(jù)使得波音公司坐擁了一座數(shù)據(jù)金礦�����。
面對(duì)如此海量的數(shù)據(jù)�����,這家 100 多年歷史的公司意識(shí)到����,需要重新思考軟件方法����,才能充分利用所有這些數(shù)據(jù)來(lái)改進(jìn)各種職能。波音公司的核心競(jìng)爭(zhēng)力并非工廠和生產(chǎn)線�����,而是其 7000 多種軟件。波音研發(fā)設(shè)計(jì)涉及 8000 多款軟件�����,其中 1000 多款為通用軟件�����,可以通過(guò)市場(chǎng)購(gòu)買(mǎi)獲得���,剩余的 7000 多種軟件為波音自行開(kāi)發(fā),代表著其核心競(jìng)爭(zhēng)力�����。
利用大數(shù)據(jù)預(yù)測(cè)飛行故障
波音與卡耐基梅隆大學(xué)合作建立了一個(gè)“航空數(shù)據(jù)分析實(shí)驗(yàn)室”���,期望利用 AI 和大數(shù)據(jù)技術(shù)對(duì)波音飛機(jī)進(jìn)行全面升級(jí)���。這次合作的初衷是,讓人類更好地理解和利用航空工業(yè)中每天產(chǎn)生的巨量數(shù)據(jù)����,用機(jī)器學(xué)習(xí)的方法來(lái)優(yōu)化波音飛機(jī)的運(yùn)行����,用大數(shù)據(jù)來(lái)指導(dǎo)設(shè)計(jì)����、建造和運(yùn)營(yíng)。
一架飛機(jī)上往往有數(shù)千個(gè)傳感器�����,每條航線每次飛行產(chǎn)生的海量數(shù)據(jù)�����,通過(guò) AI�����、大數(shù)據(jù)技術(shù)快速鎖定有效數(shù)據(jù)���,讓飛機(jī)在起飛前有能力預(yù)判潛在風(fēng)險(xiǎn)���,從而得以進(jìn)行定點(diǎn)檢查和零部件替換,降低風(fēng)險(xiǎn)。
2017 年 12 月���,在 Pivotal 舉辦的的 SpringOne Platform 大會(huì)上�����,波音公司 CIO 辦公室執(zhí)行主任 Niki Allen�����,分享了她負(fù)責(zé)主導(dǎo)的波音公司軟件開(kāi)發(fā)方法轉(zhuǎn)型的演講����。以下做簡(jiǎn)要摘錄�����。
從傳統(tǒng)企業(yè)到軟件驅(qū)動(dòng)���,波音的數(shù)字化轉(zhuǎn)型總結(jié)起來(lái)就是 3 個(gè)“E”法則:參與(Engagement)、卓越(Excellence)和支持(Enablement)�����。
參與: 第一個(gè)挑戰(zhàn)是讓你的開(kāi)發(fā)人員,IT 人員���,業(yè)務(wù)領(lǐng)導(dǎo)人和高級(jí)管理人員 ���,對(duì)轉(zhuǎn)型過(guò)程和帶來(lái)的成效感興趣并激動(dòng)不已。 如果沒(méi)有積極參與�����,轉(zhuǎn)型的效果就可能會(huì)大打折扣 ���,這需要 IT 采用新的思維模式���。除了內(nèi)部新鮮血液,波音公司還與 Pivotal 等外部組織建立強(qiáng)大的合作關(guān)系����,共同推進(jìn)。
卓越: 執(zhí)行的質(zhì)量�����。 實(shí)現(xiàn)卓越的執(zhí)行要求團(tuán)隊(duì)的每個(gè)成員都致力于自己的工作����,并與同事合作�����。鼓勵(lì)團(tuán)隊(duì)成員傾聽(tīng)并相互學(xué)習(xí)����,并與同事分享他們的知識(shí)�����。
支持: 前兩個(gè) E 的執(zhí)行會(huì)引出第三個(gè) E:支持 (Enablement)����。但要支持企業(yè)發(fā)展,還需要企業(yè)自身投入到轉(zhuǎn)型工作中�����。否則����,這些工作將無(wú)法產(chǎn)生預(yù)期的效果����。
建立數(shù)字化轉(zhuǎn)型環(huán)境
波音公司將其數(shù)字工廠稱為 DTE(數(shù)字轉(zhuǎn)型環(huán)境) �����。DTE 包括應(yīng)用程序開(kāi)發(fā)和運(yùn)行平臺(tái) Pivotal Cloud Foundry 以及平臺(tái)運(yùn)行的底層硬件���,還包括開(kāi)發(fā)團(tuán)隊(duì)的新工作流程,以充分利用平臺(tái)的云原生能力�����。這些包括支持持續(xù)集成和開(kāi)發(fā)����,這使得波音的應(yīng)用團(tuán)隊(duì)能夠快速測(cè)試和部署新軟件到生產(chǎn)環(huán)境,獲得用戶的反饋意見(jiàn)�����,并反復(fù)持續(xù)改進(jìn)軟件����。
通過(guò)數(shù)字軟件化轉(zhuǎn)型,波音公司極大地提升了數(shù)據(jù)的利用率與生產(chǎn)效率���。但這樣的數(shù)字化轉(zhuǎn)型帶來(lái)的也不全是好消息���,不斷進(jìn)化的智能化����、自動(dòng)化技術(shù)�����,也帶來(lái)了一些思考和問(wèn)題:當(dāng)軟件系統(tǒng)出現(xiàn)故障或者對(duì)于飛行狀況判斷失誤時(shí)�����,如何規(guī)避風(fēng)險(xiǎn)����?人工何時(shí)介入?
技術(shù)發(fā)展的自動(dòng)化悖論
雖然現(xiàn)代汽車(chē)的自動(dòng)駕駛系統(tǒng)仍然處在很初級(jí)的階段�����,但在航空領(lǐng)域���,自動(dòng)駕駛系統(tǒng)早已大行其道�����,飛機(jī)的自動(dòng)駕駛系統(tǒng)����,會(huì)根據(jù)預(yù)先設(shè)定好的航路����,全程駕駛飛機(jī),甚至完成降落�����,飛行員反而成為了輔助存在����。在這種情況下,很容易會(huì)造成一種“自動(dòng)化悖論”:
自動(dòng)化不但操作簡(jiǎn)單����,而且可以自動(dòng)糾錯(cuò),哪怕操作者不夠?qū)I(yè)都能夠正常工作很長(zhǎng)時(shí)間���,他的不足被自動(dòng)化完美掩蓋�����,很可能一輩子都不會(huì)被同行發(fā)現(xiàn)���。
即便是老手�����,由于系統(tǒng)不需要他們手工作業(yè)���,原有的操作技能也會(huì)因?yàn)槭栌诰毩?xí)而退化。
自動(dòng)化系統(tǒng)往往在異常情況下失效�����,或者以發(fā)生異常的形式失效���,如果操作者技巧不夠熟練是無(wú)法應(yīng)付這些突發(fā)狀況的����。
這種悖論不僅發(fā)生在飛機(jī)自動(dòng)駕駛系統(tǒng)里�����,也出現(xiàn)在如運(yùn)維自動(dòng)化、自動(dòng)化港口���、自動(dòng)駕駛汽車(chē)等領(lǐng)域里,我們過(guò)去討論的大多是如何提升自動(dòng)化水平���,甚至做到無(wú)人值守����,但是�����,現(xiàn)在我們有必要嚴(yán)肅的討論一下如何防止自動(dòng)化悖論了����。
