为追赶空客 FAA将安全认证外包给波音自己( 八 ) 原标题：为追

在极端情况下，特别是当飞机处于倾斜下降螺旋时，激活MCAS被归类为“危险故障” ，这意味着它可能对少数乘客造成严重或致命伤害，但仍比“灾难性故障”低一个级别，后者代表飞机损失大量人员遇难。

曾参与MAX认证工作的前波音飞行控制工程师说，一架飞机上的系统是否可以依赖一个传感器输入，还是说必须有两个传感器输入，都由系统安全分析中的危险评估分类所决定。

他称，几乎所有商用飞机上的设备，包括各种传感器，都非常可靠足以应对“重大故障”要求，即故障概率必须小于十万分之一。因此，这类系统一般允许只靠单个输入传感器。

但是，当评估严重等级上升时， “危险性损害”等级所要求的概率更为严格，为一千万分之一，那么通常必须至少有两个单独输入渠道，以防止其中一个出现故障。

令莱姆感到不解的是，波音的系统安全分析评估将MCAS的故障定位“危险”等级，但系统触发是通过单一传感器所读取的。

和所有的737机型一样， Max机型实际上也有两个传感器，分别位于机身两侧、靠近驾驶舱的位置。但是MCAS的设计目的却是只从其中一个传感器上读取数据。

莱姆认为，波音本可以设计一个系统来比较两个传感器的读数，如果其中一个故障，系统就会显示出来；或者也可以设计成，飞机起飞前、在地面滑行时检查攻角数值是否准确，此时攻角数值应为零。 “他们本可以设计一个双渠道系统，或者也可以测试地面上的攻角数值” ， “但我不知道他们为什么没有这么做。 ”

根据初步调查报告中提供的黑匣子数据显示，两个传感器的读数不仅在整个飞行过程中相差20度，而且飞机起飞前在地面滑行时也相差20度。

为追赶空客 FAA将安全认证外包给波音自己( 八 )