土耳其航班 1951

有一段时间没写关于空难调查的 blog 了，倒不是前段时间没看，而是看的一部分似乎 yt 上找不到相关的段子，然后身体有些不适，就没有继续前面的更新。今天正好在 YT 上看见了一集，里面的一句话让我有感而发，遂记录在这里

其实，事故本身并不复杂，一架波音 737-800 客机在降落的时候碰到了诡异的组合，一般 ILS 引导降落的时候都是从下方进入引导区域，但是这个机场比较特殊，一般使用 slam dunk 降落技术，即从 ILS 引导区域的上方进入，这就要求飞机有一段减速并且高度急剧下降的过程。然而这架 1951 航班有经验的机长正好在为 first officer 做 training，飞机的高度读数一直有问题。通常飞机有一个根据气压获得高度的高度计，同时还有一个向下发射雷达信号根据返回信号时间获得距离的高度计。这次出问题的是后者，这玩意一直读数为 -8 表示飞机已经降落到地面了，很奇怪的是飞机明明还在天上（为啥不跟其他的高度数据做 cross check），于是这玩意一直触发警报，机长只好时不时的静音（他已经意识到这个读数是错误的）。可是更诡异的是，这个数据会影响飞机的 auto throttle（自动油门），在飞机对齐跑道的过程中，由于这个错误的数据导致飞机进入了 retard 模式，这个模式是在飞机降落的最后阶段才应该激活的，这时油门会被降到空转，也会将机头稍微翘起。但是由于这时飞机正在进行 slam dunk，本来也是会导致降低空速和高度的阶段，这导致机舱内三个飞行员都没有注意到亮起的 retard 模式提示灯，等到飞机高度到了 500ft，失速警报响起的时候机长尝试轰油门挽救为时已晚。

事故发生后，调查人员注意到这类高度计事故还很频繁（这很明显算是波音的锅），但是之前的飞行员大概都注意到了飞机进入了 retard 模式，所以果断的接管油门关闭 auto throttle，避免了失速，结果波音认为这种问题不会导致严重的事故，最后在这样一个特殊的环境下，没有人注意到而最终机毁人亡。

片子里提到了这样一个飞机制造的哲学，那就是当越来越多的自动化功能加入到飞机这么一个复杂的系统里之后，人和自动化如何互相影响。从某种逻辑上来说，自动化不是为了取代飞行员，而是帮助飞行员更好地完成工作，所以从这个角度上来说如果自动化导致了问题（比如这里的 auto throttle 在错误的数据影响下导致飞机的失速），这并没有“帮助”飞行员，违背了自动化的初衷。片里提到了波音和空客在这个问题上的分歧，波音的哲学是应该提供信息让飞行员做判断而空客却更加激进让自动化的程序避免出现问题的操作。很显然在这个事故里，波音的哲学并没有很好的被执行，retard 模式被错误打开也并没有很明确的提示飞行员，而仅仅依靠飞行员自身的注意力（碰巧这里可能飞行员并没有）。

换工作之后，新领导们提到在房地产行业里，我们要做的事情并不是为了取代 agent，而是为了让他们更有效率的完成他们的事情。从这个角度，设计飞行自动化程序跟我们的工作有异曲同工之处，软件是为了人服务，而在软件犯错的时候应该提供足够的信息乃至警告。也许我们的工作并不像航空领域是生与死的区别，但是却是软件好与不好的决定性因素之一。

最后想说一句的是，也许汽车是一个比飞机“简单”很多的机器，但是航空领域这么多年也并没有提出要去掉飞行员（pilotless plane）而这两年不知道为啥无人驾驶却吵的特别凶。飞机飞行的航线一般有严格的要求，而汽车在路上可要宽松非常多，法规、临时的路况比起天上巡航状况下要复杂更多，为什么倒是这个领域先要实现 driveless car 呢？航空公司没有车厂有钱？还是开车比开飞机容易（开车的驾照容易拿）？

东航 583 航班事故

1993 年 4 月 6 日，一架飞往美国的 MD-11 飞行途中出现了急剧的俯仰导致多人受伤，两人死亡，最终飞机迫降处理伤员。这就是当年著名的的东航 583 航班。之所以这里提到这起事故，是因为在 MU5735 事故之后很多人提到了这起往事，事故本身其实没有想象中那么复杂，不管是中方还是美方最终就事故原因的调查是达成了一致的共识（参看这里）。

… 飞到白令海二逼副驾驶端盒饭肘子碰到襟翼把手，于是飞机在万米高空放襟翼，磕死两人重伤几十人，直到机长爬回驾驶舱，才稳住。迫降俄罗斯机场被拒，美军开放空军基地，战士们排队打着手电组成跑到灯，迫降成功，东航宣布事故原因遇到强气流！这个故事告诉我们，美国人是善良的，俄罗斯是王八蛋，还有二逼真的是会害死所有人。

这段话是导致我去阅读飞机事故调查报告的重要原因。让我心生怀疑的当然是最后一句，非常明显的“带节奏”，特别在当前这个敏感的时间，国内的互联网乌烟瘴气，人家大国角力，物理的战争发生在乌克兰，但是无形的舆论战争已经蔓延到了各个地方。我无意偏袒任意一方，但是我也不想被别有用心的人煽动，罔顾事实。下面摘录事故分析文章里面提到的几个细节

• “In the end, after China and the United States negotiated through diplomatic channels, the US Department of Defense (Pentagon) agreed to MU-583 out of humanitarian considerations. ” 美国的军事基地当然不是想停就停，这是外交努力之后的结果。从这一点上不管怎么样是需要感谢美国国防部批准了迫降的请求。
• “after a successful emergency landing. Due to the need of confidentiality, Shemiya Air Force Base did not turn on the lights. Instead, three hundred US soldiers stationed at the base were used. Divided into two rows and stood on both sides of the runway holding bright flashlights to guide the landing of the passenger plane.”300 人站跑道两边，仅仅为了基地的秘密性感觉美国人还是不大把士兵的命当命啊，可能军事部门的想法跟民事部门差异还是巨大的。文章里提到了天气糟糕，也说了迫降成功机组人员的努力是关键，这种风险下让人靠近跑道。。。也许那个时候中国的卫星还看不到他家基地？但是现在可能就不这么想了。
• “The investigators determined that Douglas Aircraft Company’s design of the flap/slat control handle was flawed, making it easy to be touched by mistake and causing the slat to be lowered during the cruise phase. ”这一点还是很客观的，事实上因为这个设计缺陷导致了不止一起事故。片面的指责 copilot 是二货，是有很大的误导性的。
• “MD-11 pilots lack of accidental recovery training during the cruise phase; the captain’s operation is interfered with by the aircraft stall alarm system; passengers’ lack of attention to the use of seat belts.” 这段话也没有回避东航本身的问题，对飞行员的训练不够完整。

好到此为止，通篇报道中根本没有俄罗斯的影子，为什么会有人这样煽动大家呢？我继续调查了一下，发现了一篇非专业人士的报道（原链接可能已经被删掉了吧，作者或者描述的对象是亲历事故的乘客，另外一个链接），原文大约是  2013 年 7 月羊城晚报上刊登的回忆录性质的文章。这个里面有几点可能是造成这些“带节奏”的人显得言之凿凿的原因吧：

• “一直没有声音的广播突然传出机长的紧急通知：” 飞机遇到特大气流，损失正在评估、检查和处理，请大家配合，忍耐一下。正在联系准备迫降。” ”机组人员为了稳定乘客是不会说飞机哪里出了故障什么的，因为那样做只会引起更大的恐慌，这也是他们平时训练要求的标准操作。根据这个说法来指责东航“宣布事故原因”绝对是误导大家：第一这不是“东航”给的说法，也不是“事故原因”
• “机长告诉大家，和较近的刚解体的苏联联系不上，而且当时那里混乱，不能保证药品，所以不准备到那儿，正在和其他地方联系迫降。”说明机长本身也只是试探性的尝试，可能联系过俄罗斯方面，但是对方也并没有应答，因此不存在拒绝一说的感觉。这架飞机是飞往美国的，机组人员可以用英文沟通不假，如果真的是去联系俄罗斯军事基地，对方很可能不会说英文（可以参看空中浩劫某一集），听不懂也很正常。
• 机长其实很清楚处理伤员还是在美国那边比较方便。两篇报道里面都提到了。

至此，一个空难的前因后果已经被调查人员理清多年，盖棺定论。然而竟然还是可以被一些别有用心的人利用，发到网络上面带偏节奏，输出一些不理性的观点。大家千万要注意，遇到“输出观点”的人一定要小心，也许他说的十句话八句都是真的，但是只要有两句是假的就可以让你上道，而你为了辨别出来这两句话的真伪，可能需要花费非常大的功夫。这是为什么呢？因为人家在这方面是“专业”的或者乃是“职业”的，而你我只是互联网上消磨点时间，收集一点朋友间茶饭之余的谈资，传递这些“观点”风险很大，建议大家只传递事实，回避未经权威证实的观点。

UA 585 航班

一直想聊一下这起著名的空难调查，UA 585 航班坠机后经过近十年的调查（2001 年），才终于诊断出 root cause。YT 上有完整的 Mayday Air Disasters 的剧集。

这个事故发生（1991 年）以后，前期经过了 21 个月的调查并没有获得准确的归因。而三年后（1994 年） USAir 427 航班发生了一个几乎镜像的事故，两次事故一共死掉了 25 + 132 人。即便认识到了两起事故的相似性，这样仍然没有能够找到根本原因。幸运的是当同样的问题第三次（1996 年）发生在 Eastwind Airline 513 航班身上，而飞行员神奇的将飞机完好无损带回机场，这时 427 航班的调查还在进行。由于飞行员存活了下来，这让 NTSB 得调查人员得以确认当时的情况（无法控制 rudder）。需要知道，这三架都是 737 机型（200 以后的型号），这算是当时最热门的机型，如果听任继续发展，很可能造成更多的死伤。

但是当年调查 585 航班的时候，调查人员怀疑过天气（rotor wind），也怀疑过飞行员（当时的第一官员似乎试图操作飞机，但实际情况是飞机因此掉落下来的更快，所以有阴谋论说他是故意的），等等。而且似乎当时实验室对 PCU 进行了测试一切良好。而且后面两起事故，尽管大家仍然怀疑 PCU 却一样的无法证实 PCU 会阻塞。而最终 NTSB 机缘巧合通过 thermal shock test 发现控制 rudder 的 PCU 阀门在极冷情况遇到高温的液压油导致阻塞乃至导致反向反应（即 rudder 接受指令向左却实际向右），最终揭秘了造成 UA 585 航班这起十年前的事故的根本原因。

如果我们仅仅从飞机当时的航行路径以及飞行员的操作就断言他心怀不轨，急于给出一个结论，那么这只会造成更多的人死于同样的原因。FAA 在事故调查结果出炉以后要求替换掉 PCU 的阀门，同时要求加强飞行员处理这类事故的训练（猜测可能要求飞行员摇晃一下操纵杆，看看反向操作是不是有效？）。

之所以写这篇，还有一个原因也是 MU5735 的事故发生以后很快一些媒体，传言开始满天飞。从某个角度来说，东航这架飞机也是 737（但是是更新换代之后的 800 系列），飞机也是在短短 10+s 突然坠落。我们不应该根据这个航行路线 + 一些个人职业发展的起伏来恶意的推测事故的原因，当时 585 航班的第一官员就没有受到如此的谴责。我们应该静候调查结果的出炉。585 航班的调查经历了 10 年时间，而我们才处于事故发生不到一个月的时刻，为什么不可以让调查飞一会，找到真正的原因，让飞行变得更加安全呢？