當(dāng)飛機(jī)決定不再信任自己的剎車：空客A350不會(huì)告訴你的那行代碼

本篇信息密度較高。建議在安靜的環(huán)境下，用十分鐘時(shí)間，跟著邏輯走一遍。

剎車片完好。液壓管路完好。輪胎完好。跑道干燥。

一切硬件都處于正常工作范圍之內(nèi)。但飛機(jī)就是停不下來(lái)。

在我們的傳統(tǒng)認(rèn)知里， " 剎不住 " 這三個(gè)字通常意味著某個(gè)零件壞了 ——

剎車片磨穿了，液壓漏了，輪胎爆了。這是人對(duì) " 制動(dòng)失效 " 最本能的理解

一定是什么東西壞了。

但是在空客 A350 上，讓我們停不下來(lái)的，不是任何一個(gè) " 壞了 " 的零件。是兩組數(shù)據(jù)對(duì)不上。

來(lái)類比一下，你的 iPhone 里有一個(gè)微型慣性測(cè)量單元，行業(yè)術(shù)語(yǔ)叫 IMU 。它負(fù)責(zé)告訴手機(jī) "你現(xiàn)在是橫著還是豎著 " 。

屏幕旋轉(zhuǎn)、地圖導(dǎo)航、步數(shù)記錄，全部依賴這顆芯片提供的姿態(tài)數(shù)據(jù)。假如這顆芯片精神錯(cuò)亂了，給屏幕旋轉(zhuǎn)模塊傳了一個(gè)自相矛盾的信號(hào)， 比如同時(shí)說(shuō)你在橫屏和豎屏， iOS系統(tǒng) 會(huì)怎么處理？

它會(huì)直接鎖死屏幕旋轉(zhuǎn)。寧可不轉(zhuǎn)，也不亂轉(zhuǎn)。

手機(jī)里的IMU：當(dāng)數(shù)據(jù)互相矛盾時(shí)，系統(tǒng)會(huì)選擇“什么都不做”。

現(xiàn)在，把這個(gè)邏輯放大一萬(wàn)倍。把手機(jī)換成一架最大起飛重量 280 噸的寬體客機(jī)。把 "屏幕旋 轉(zhuǎn) " 換成 " 剎車 " 。

歡迎來(lái)到空客電傳飛控最深處的邏輯陷阱。

一、飛機(jī)的"小腦"

A350 的駕駛艙里沒(méi)有一根連接到剎車片的鋼纜。飛行員踩下腳蹬時(shí)，腳底接觸的是一塊傳感器薄片。它把你的踩踏力度轉(zhuǎn)化為一個(gè)電信號(hào)，發(fā)送給剎車控制系統(tǒng)。系統(tǒng)收到信號(hào)后，自行計(jì)算應(yīng)該施加多大的液壓壓力、分配到哪幾個(gè)輪子、保留多少防滑裕度，然后才指揮液壓作動(dòng)器去夾緊碳剎車盤(pán)。

從你的腳到實(shí)際制動(dòng)力之間，隔著一整套計(jì)算機(jī)。

這套計(jì)算機(jī)要正常工作，前提是它知道飛機(jī)現(xiàn)在的速度、姿態(tài)、加速度。這些最基礎(chǔ)的物理參數(shù)，由一個(gè)叫 ADIRU 的東西提供 —— 全稱" 大氣數(shù)據(jù)與慣性參考系統(tǒng) " （ Air Data Inertial Reference Unit ）。

ADIRU：飛機(jī)的“小腦”，負(fù)責(zé)提供姿態(tài)、速度、加速度等基礎(chǔ)數(shù)據(jù)。

ADIRU 不是 GPS 。 GPS 依賴衛(wèi)星信號(hào)，信號(hào)丟了就等于被蒙上了眼。 ADIRU 靠的是內(nèi)部的激光陀螺儀和加速度計(jì)，自主計(jì)算飛機(jī)在三維空間中的一切，像 俯仰角、滾轉(zhuǎn)角、航向、垂直速度、水平加速度。它相當(dāng)于人的小腦。

A350 裝了三套，完全獨(dú)立。編號(hào) IR1 、 IR2 、 IR3 。

裝三套不只是為了備份，更重要的目的是為了投票， 少數(shù)服從多數(shù)。

三個(gè)獨(dú)立的傳感器組，各自計(jì)算，各自進(jìn)行輸出。

飛控計(jì)算機(jī)拿到三組數(shù)據(jù)后進(jìn)行交叉比對(duì)：

如果兩組說(shuō)飛機(jī)在平飛，第三組如果說(shuō)飛機(jī)在倒飛，那第三組會(huì)被判定為故障并隔離。這叫"三余度表決"，航空電子學(xué)里最經(jīng)典的容錯(cuò)架構(gòu)。

ADIRU 的數(shù)據(jù)不僅同時(shí)喂給飛控和導(dǎo)航。它還沿著數(shù)據(jù)總線向下灌入一個(gè)我們可能想不到的子系統(tǒng)—— 剎車。

A350 的剎車控制單元需要知道飛機(jī)的地速和加速度，才能判斷輪子有沒(méi)有打滑、要不要松開(kāi)剎車。

剎車踩下去之后，輪子的轉(zhuǎn)速和飛機(jī)的實(shí)際地速之間如果出現(xiàn)偏差，說(shuō)明輪子在打滑，系統(tǒng)必須瞬間釋放那個(gè)輪子的制動(dòng)壓力，等它恢復(fù)抓地力再重新進(jìn)行施壓。整個(gè)過(guò)程在毫秒級(jí)別完成。

而 " 飛機(jī)的實(shí)際地速 " 這個(gè)關(guān)鍵參數(shù)，來(lái)自 ADIRU 。

一個(gè)姿態(tài)傳感器的數(shù)據(jù)質(zhì)量，直接決定了這 200 多噸的飛機(jī)能不能停下來(lái)。

三余度表決：三套系統(tǒng)互相“投票”，多數(shù)決定真相。

二、偏執(zhí)的校驗(yàn)

空客的工程師對(duì)數(shù)據(jù)質(zhì)量有一種近乎病態(tài)的潔癖。

在 A350 的剎車控制單元內(nèi)部，所有的計(jì)算都被分成兩條獨(dú)立的通道。一條叫 COM——Command ，指令通道，負(fù)責(zé)計(jì)算和下達(dá)制動(dòng)指令。

另一條叫 MON——Monitor ，監(jiān)控通道，用完全不同的代碼、獨(dú)立重新計(jì)算一遍同樣的結(jié)果。

COM / MON 雙通道：同一結(jié)果，兩套系統(tǒng)分別計(jì)算，再互相校驗(yàn)。

兩條通道持續(xù)交叉比對(duì)。每一個(gè)計(jì)算周期， COM 說(shuō) " 我算出來(lái)應(yīng)該施加 1000 PSI" ， MON 說(shuō) " 我獨(dú)立驗(yàn)算的結(jié)果也是 1000 PSI" ，數(shù)據(jù)一致，指令放行。如果 COM 說(shuō) 1200 ， MON 說(shuō) 800，這樣的情況 超過(guò)了預(yù)設(shè)的安全閾值， 系統(tǒng)就會(huì)立刻亮紅燈。

這個(gè)紅燈的后果不是 " 降級(jí)運(yùn)行 " ，不是 " 給飛行員彈個(gè)警告讓他們自己看著辦 " 。

是直接切斷（ cut off ）。

系統(tǒng)宣布這條通道 " 失效 " ，將控制權(quán)切換到冗余通道。如果冗余通道也出了同樣的問(wèn)題，那就繼續(xù)cut off，直到切到?jīng)]有可用的通道為止。

搞分布式系統(tǒng)的工程師看到這里應(yīng)該會(huì)覺(jué)得眼熟。這就是拜占庭容錯(cuò)的工業(yè)級(jí)實(shí)現(xiàn) —— 當(dāng)系統(tǒng)無(wú)法確定哪個(gè)節(jié)點(diǎn)在說(shuō)真話時(shí)，寧可停止服務(wù)，也不執(zhí)行一個(gè)可能是錯(cuò)的指令。

區(qū)別在于：你的微服務(wù)集群停服，用戶刷不出外賣頁(yè)面，罵兩句也就過(guò)去了。飛機(jī)的剎車停服， 200 多噸的飛機(jī)會(huì)用事實(shí)教你什么叫牛頓第一定律。

ADIRU 的內(nèi)部也有同樣的 COM/MON 校驗(yàn)。剎車控制單元接收 ADIRU 數(shù)據(jù)時(shí)，會(huì)同時(shí)檢查 ADIRU 自己的 COM 和 MON 是否一致。

這意味著一件事，如果 ADIRU 在某個(gè)特定時(shí)刻的數(shù)據(jù)重構(gòu)過(guò)程中， COM 和 MON 之間出現(xiàn)了哪怕非常短暫的不一致，這個(gè) " 不一致 " 會(huì)沿著數(shù)據(jù)總線像病毒一樣傳播 —— 從 ADIRU 擴(kuò)散到剎車控制單元，觸發(fā) BCU 的保護(hù)性切斷。

三、減重的代價(jià)

看到這，如果你理解了 COM/MON 的偏執(zhí)邏輯之后，還需要理解 A350 在硬件層面做的一個(gè)重大取舍。

A320 和 A330 裝了三套液壓系統(tǒng)，分別是 Green 、 Blue 、 Yellow 。

剎車用 Green 驅(qū)動(dòng)正常制動(dòng)， Yellow 驅(qū)動(dòng)備用制動(dòng)。即使 Green 完全掛了， Yellow 還在； Yellow 也掛了， Blue 還能給飛控面提供最低限度的操縱力。三層，層層兜底。

A350：從傳統(tǒng)集中液壓，逐漸轉(zhuǎn)向更分散的電液驅(qū)動(dòng)邏輯。

到A350這 砍掉了一套。

只剩 Green 和 Yellow 。第三套液壓的功能交給了分散部署的局部液壓驅(qū)動(dòng)裝置（ EHA ） —— 小型化的、裝在各個(gè)舵面旁邊的獨(dú)立液壓泵，哪個(gè)舵面需要就給哪個(gè)舵面供壓，不再鋪設(shè)貫穿全機(jī)的第三條液壓管路。

為什么砍？當(dāng)然是為了夢(mèng)想——減重。

一條貫穿 A350 那 65 米長(zhǎng)機(jī)身的液壓管路，加上液壓油、泵站、閥門(mén)、管路支架，重量以噸計(jì)。砍掉它，換成幾十個(gè)小型局部液壓驅(qū)動(dòng)裝置分散布置，總重量能省下幾百公斤。

省出來(lái)的重量變成了航程，變成了載客量，變成了運(yùn)營(yíng)經(jīng)濟(jì)性。每公斤省下來(lái)的都是money。

空客還把液壓工作壓力從傳統(tǒng)的 3000 PSI 拉到了 5000 PSI—— 壓力更高，管路就可以做到更細(xì)更輕，作動(dòng)器也更緊湊。

A380也是 用的同一套思路。兩套液壓， 5000 PSI 。

代價(jià)是冗余裕度天生比三套液壓少一層。三套的飛機(jī)壞一套還剩兩套交叉覆蓋，兩套的飛機(jī)壞了一套就只剩最后的底牌。

而 5000 PSI 的細(xì)管路一旦發(fā)生泄漏，液壓油的流失速度比 3000 PSI 的粗管路要快得多。

這是航空工程里永恒的交易：在安全裕度和商業(yè)競(jìng)爭(zhēng)力之間走鋼絲。

A350 不是簡(jiǎn)單地 " 少了一套液壓 "， 它是把一部分風(fēng)險(xiǎn)從油管里挪進(jìn)了數(shù)據(jù)鏈。管路輕了，系統(tǒng)聰明了，但故障的傳導(dǎo)路徑也從物理世界蔓延到了代碼世界。以前你怕的是一根管子漏油，現(xiàn)在你還得怕一組數(shù)據(jù)讓整套邏輯自我懷疑。

四、物理死局

把前面三塊拼圖拼在一起，基于公開(kāi)的系統(tǒng)架構(gòu)和已知的空客設(shè)計(jì)哲學(xué)，我們來(lái)推演一個(gè)純理論的場(chǎng)景， 不是復(fù)述某一起事故，而是拆解這套邏輯走到盡頭時(shí)的樣子。

一架 A350 在正常飛行中， 3 號(hào)慣性參考單元 IR3 出現(xiàn)了數(shù)據(jù)異常。駕駛艙彈出 NAV IR 3 FAULT 。機(jī)組按標(biāo)準(zhǔn)程序關(guān)閉 IR3 。操作本身沒(méi)有任何爭(zhēng)議， QRH （快速檢查單）上白紙黑字寫(xiě)著的處置步驟。

三余度變成雙余度。 IR1 和 IR2 繼續(xù)工作。飛機(jī)正常降落。到目前為止，一切都在 SOP 的范圍內(nèi)。

問(wèn)題出在落地之后。

現(xiàn)代客機(jī)的剎車，不只是“踩下去”這么簡(jiǎn)單。

IR3 被關(guān)閉后，系統(tǒng)需要在只剩兩套 ADIRU 的條件下進(jìn)行數(shù)據(jù)重構(gòu)。重構(gòu)過(guò)程中，剎車控制單元發(fā)現(xiàn)剩余 ADIRU 發(fā)送的 COM 數(shù)據(jù)與 MON 數(shù)據(jù)出現(xiàn)了不一致。

可能只是微秒級(jí)的時(shí)序偏差。可能是兩套 ADIRU 在重構(gòu)瞬間輸出了輕微不同步的加速度值。但對(duì)于那段偏執(zhí)到骨子里的 COM/MON 校驗(yàn)代碼來(lái)說(shuō)，不一致就是不一致。沒(méi)有 " 差不多行了 " 這個(gè)選項(xiàng)。

BCU 觸發(fā) Fail-Safe 。 BRAKES CTL 1+2 FAULT—— 兩套剎車控制單元同時(shí)告警。正常制動(dòng)，沒(méi)了。

如果故事到這里就結(jié)束，飛機(jī)還有一條退路：蓄壓器。

Green 和 Yellow 液壓系統(tǒng)各有一個(gè)高壓蓄壓器，預(yù)充了液壓能量，專門(mén)在液壓泵失效時(shí)提供備用制動(dòng)力。理論上，蓄壓器里的存量足夠飛機(jī)在地面剎停幾次。

但 COM/MON 校驗(yàn)的崩潰不是發(fā)生在液壓層面，而是發(fā)生在數(shù)據(jù)層面。底層的 ADIRU 數(shù)據(jù)鏈出了系統(tǒng)性問(wèn)題。蓄壓器的再充氣邏輯同樣依賴這條數(shù)據(jù)鏈?zhǔn)欠裾！?/p>

BRAKES G/Y ACCU REINFLATE FAULT—— 綠 / 黃蓄壓器再充氣故障。

正常剎車沒(méi)了。備用剎車的壓力也上不來(lái)。自動(dòng)剎車早就在第一輪告警中宣布失效。

碳剎車盤(pán)完好無(wú)損。 Safran 提供的碳纖維盤(pán)片沒(méi)有任何磨損。液壓管路里的油壓充沛。 5000 PSI 的 Green 和 Yellow 系統(tǒng)本身運(yùn)轉(zhuǎn)正常。但介于你的腳和那些完好剎車盤(pán)之間的計(jì)算機(jī)，因?yàn)閮山M數(shù)據(jù)對(duì)不上，攤手不干了。

一個(gè)純粹的 " 軟件潔癖 " 導(dǎo)致的物理癱瘓。

五、前世：印度洋上空的50.625度

ADIRU 數(shù)據(jù)污染引發(fā)的系統(tǒng)級(jí)災(zāi)難，空客家族已經(jīng)經(jīng)歷過(guò)一次。

2008 年 10 月 7 日。澳洲航空 QF72 ，空客 A330-303 ，新加坡飛珀斯。巡航高度約 11300 米。機(jī)長(zhǎng) Kevin Sullivan ，前美國(guó)海軍戰(zhàn)斗機(jī)飛行員。

12 時(shí) 40 分 26 秒， 1 號(hào) ADIRU 開(kāi)始發(fā)瘋。

這臺(tái)由諾斯羅普 · 格魯曼制造的 LTN-101 慣性參考單元，其 CPU 發(fā)生了一種非常罕見(jiàn)的硬件級(jí)錯(cuò)誤：它把一個(gè)代表 " 當(dāng)前高度 11280 米（ 37012 英尺） " 的二進(jìn)制數(shù)據(jù)，重新標(biāo)記成了 " 當(dāng)前迎角 " 字段。

11280 米對(duì)應(yīng)的二進(jìn)制值，被飛控計(jì)算機(jī)解讀為：迎角 50.625 度。

QF72事件：錯(cuò)誤數(shù)據(jù)觸發(fā)保護(hù)邏輯，飛機(jī)主動(dòng)俯沖。

50.625 度意味著什么？正常巡航的迎角大約 2 到 3 度。超過(guò) 15 度就進(jìn)入失速警戒區(qū)。

50 度 在飛控的代碼世界里，這意味著飛機(jī)已經(jīng)完全失速，正在以一種不可能的姿態(tài)失速。

飛控計(jì)算機(jī)沒(méi)有理由懷疑這個(gè)數(shù)據(jù)。 ADIRU 是小腦，是一切物理感知的源頭。小腦說(shuō)你在失速，飛控計(jì)算機(jī)就認(rèn)為你在失速。

高迎角保護(hù)程序啟動(dòng)。飛控向升降舵發(fā)出指令：推低機(jī)頭，改出失速。

12 時(shí) 42 分 27 秒。第一次俯沖。

飛機(jī)機(jī)頭下俯 8.4 度。機(jī)艙經(jīng)歷了 -0.8g 的負(fù)過(guò)載 —— 接近零重力。沒(méi)系安全帶的乘客被甩向了天花板，餐車騰空，行李艙蓋彈開(kāi)。兩秒內(nèi)掉了接近 200 米。

Sullivan 抓住側(cè)桿試圖拉起機(jī)頭。但飛控電腦認(rèn)為自己正在執(zhí)行一個(gè)正確的保護(hù)動(dòng)作， 你在失速，我正在救你，你為什么要拉桿？系統(tǒng)短暫地把 Sullivan 鎖在了控制回路之外。

12 時(shí) 45 分 08 秒。第二次俯沖。機(jī)頭下俯 3.5 度，掉落約 120 米。

兩次俯沖， 119 人受傷，其中 14 人重傷。

澳大利亞運(yùn)輸安全局 ATSB 事后花了三年調(diào)查。最終報(bào)告里有一行讓所有航電工程師脊背發(fā)涼的結(jié)論：

飛控計(jì)算機(jī)的軟件，沒(méi)有被設(shè)計(jì)來(lái)處理"以精確1.2秒間隔反復(fù)出現(xiàn)"的異常數(shù)據(jù)脈沖。

1.2 秒是飛控計(jì)算機(jī)在檢測(cè)到一次異常 AOA 數(shù)據(jù)后的記憶緩沖期。

正常情況下，一次孤立的異常值會(huì)被緩沖期覆蓋，系統(tǒng)用上一次的有效數(shù)據(jù)頂過(guò)去。但 LTN-101 的故障模式太會(huì)找自己的位置了， 它剛好以 1.2 秒的間隔連續(xù)輸出錯(cuò)誤數(shù)據(jù)。每一次偽造的 50.625 度迎角，精準(zhǔn)踩在緩沖期刷新的邊界上。系統(tǒng)來(lái)不及用舊數(shù)據(jù)覆蓋，新一波錯(cuò)誤數(shù)據(jù)就已經(jīng)涌進(jìn)來(lái)了。

這個(gè)時(shí)序上的巧合，在工程師編寫(xiě)代碼的那一天，試問(wèn)有誰(shuí)能想到呢。

空客在事后給 A330 和 A340 機(jī)隊(duì)發(fā)布了軟件更新，增強(qiáng)了異常 AOA 數(shù)據(jù)的過(guò)濾能力。 LTN-101 硬件層面的根本原因，至今沒(méi)有被完全復(fù)現(xiàn)。 ATSB 在報(bào)告中給了它一個(gè)定性：黑天鵝。

六、同一個(gè)恐懼的兩張面孔

A330 和 A350 不是同一款飛機(jī)，出的也不是同一種毛病。但是它們的底層邏輯一模一樣：

當(dāng)飛機(jī)越來(lái)越依賴數(shù)據(jù)，而數(shù)據(jù)本身也會(huì)撒謊時(shí)，系統(tǒng)會(huì)怎么辦？

空客的電傳飛控哲學(xué)從 1984 年 A320 首飛起就定了調(diào)：系統(tǒng)比人聰明，系統(tǒng)替人兜底。

這套哲學(xué)經(jīng)過(guò) A330 、 A340 、 A380 ，一路傳到 A350 ，底層架構(gòu)從未重寫(xiě)。 COM/MON 雙通道校驗(yàn)、 ADIRU 三余度表決、 Fail-Safe 保護(hù)性關(guān)閉 —— 這些基因在空客的每一款電傳飛機(jī)里都能找到。

QF72 的飛控電腦做了一件事：基于被污染的數(shù)據(jù)，執(zhí)行了正確的保護(hù)程序。數(shù)據(jù)說(shuō)你在失速，保護(hù)程序就替你改出失速。保護(hù)本身沒(méi)錯(cuò)，錯(cuò)的只是前提。

A350 的剎車 BCU 走向了同一類結(jié)局，只是方向相反：基于 " 不可信 " 的數(shù)據(jù)判定，執(zhí)行了正確的保護(hù)性關(guān)閉。

COM 和 MON 對(duì)不上， BCU 就切斷制動(dòng)。切斷其實(shí)本身沒(méi)錯(cuò)，錯(cuò)的同樣是前提 ——ADIRU 在數(shù)據(jù)重構(gòu)過(guò)程中出現(xiàn)了短暫的不同步，而這個(gè)短暫的不同步被 COM/MON 邏輯當(dāng)成了不可容忍的系統(tǒng)性故障。

只不過(guò) QF72 的系統(tǒng)選擇了 " 主動(dòng)出手 "， 基于假數(shù)據(jù)猛推機(jī)頭；而 A350 的剎車選擇了 " 撒手不管 "， 既然數(shù)據(jù)不可信，那我就什么都不做。

一個(gè)是誤殺，一個(gè)是見(jiàn)死不救。底層邏輯是同一個(gè)：

當(dāng)保護(hù)機(jī)制建立在一個(gè)會(huì)撒謊的數(shù)據(jù)源之上時(shí)，保護(hù)本身就變成了武器。

七、踏板之下

在空客的駕駛艙里踩剎車，腳底的觸感是均勻的、恒定的、人工模擬出來(lái)的輕微阻力感。

我們踩下去，傳感器薄片把信號(hào)發(fā)出去，然后等系統(tǒng)回應(yīng)。你不知道液壓在不在工作，不知道蓄壓器還剩多少壓力，不知道防滑系統(tǒng)有沒(méi)有介入。

踏板給你的反饋和系統(tǒng)的真實(shí)狀態(tài)之間，隔著一個(gè)中間傳話人。

你說(shuō) " 我要減速 " ，中間傳話人把你的意思轉(zhuǎn)譯成 " 在當(dāng)前速度、載荷、跑道摩擦系數(shù)下，施加多大的制動(dòng)壓力，同時(shí)保持多少防滑裕度 " 。

這層轉(zhuǎn)譯通常情況下還是精確的。但當(dāng)中間傳話人本身陷入了 COM/MON 數(shù)據(jù)矛盾的邏輯死循環(huán)，它就會(huì)沉默。

你的腳還在踩，踏板的阻力感還在（因?yàn)槟鞘侨斯つM的，和真實(shí)液壓狀態(tài)無(wú)關(guān)），但剎車盤(pán)那頭，什么都沒(méi)有發(fā)生。

波音 737 的駕駛艙又是另一個(gè)世界。

腳蹬的動(dòng)作通過(guò)機(jī)械傳動(dòng)和剎車計(jì)量機(jī)構(gòu)，直接傳進(jìn)液壓制動(dòng)系統(tǒng)。中間當(dāng)然也有防滑、自動(dòng)剎車和液壓控制邏輯，但飛行員腳底得到的反饋，不是純粹模擬出來(lái)的 "腳 感 " 。

踏板的阻力是真實(shí)的液壓反推力，踩到底的時(shí)候，你的小腿肌肉能感知到系統(tǒng)正在以多大的力度夾緊剎車盤(pán)。

波音甚至在低制動(dòng)力區(qū)間加了一個(gè) " 剎車閥力感增強(qiáng)器 "—— 在你剛開(kāi)始輕踩的時(shí)候主動(dòng)增加踏板阻力，提前告訴你 " 剎車已經(jīng)在工作了 " 。

這是為了彌補(bǔ)人類在低壓區(qū)間感知遲鈍的生理缺陷，用一個(gè)純機(jī)械的小伎倆給飛行員喂了一顆定心丸。

787 走了另一條路：全電剎車。

電動(dòng)馬達(dá)驅(qū)動(dòng)滾珠絲杠，直接夾緊碳剎車盤(pán)，連液壓管路都不往輪艙里鋪。但波音在踏板上依然保留了偏重的人工力感反饋，讓從 737 和 777 轉(zhuǎn)機(jī)型過(guò)來(lái)的飛行員不至于踩得太輕， 波音的飛行員被訓(xùn)練成 " 緊急時(shí)踩到底 " ，這種肌肉記憶不能因?yàn)閾Q了一款電傳飛機(jī)就丟掉。

反看A350 和 A380 的電傳踏板，輕觸即可。空客飛行員被訓(xùn)練成 " 精確施壓 " ，讓系統(tǒng)去計(jì)算最優(yōu)的制動(dòng)分配。

兩種設(shè)計(jì)哲學(xué)沒(méi)有對(duì)錯(cuò)， 空客的精確消除了人的粗暴操作的風(fēng)險(xiǎn)，波音的力感保留了人類對(duì)系統(tǒng)狀態(tài)最原始的感知通道。

但是當(dāng)系統(tǒng)悄無(wú)聲息地 " 罷工 " 時(shí)，空客飛行員的腳底感覺(jué)不到任何變化。踏板的阻力還是那個(gè)阻力，因?yàn)槟莻€(gè)阻力從來(lái)就和真實(shí)的制動(dòng)力無(wú)關(guān)。

波音飛行員踩到底如果沒(méi)反應(yīng)，腳底傳回來(lái)的那股不對(duì)勁，至少會(huì)多給他一個(gè)原始的判斷反饋，這是出大事了。

機(jī)械反饋 vs 電傳模擬：兩種完全不同的飛行哲學(xué)。

八、結(jié)尾

COM/MON 校驗(yàn)在飛行員毫不知情的情況下，悄悄過(guò)濾掉了成千上萬(wàn)次微小的數(shù)據(jù)偏差。 Fail-Safe 在故障發(fā)生的瞬間切斷了可能導(dǎo)致災(zāi)難的錯(cuò)誤指令。

這套體系在 99.9999% 的時(shí)間里，是一座精密到讓人窒息的安全堡壘。

但它有一個(gè)寫(xiě)在基因里的盲區(qū)：

它假設(shè)自己接收到的數(shù)據(jù)，經(jīng)過(guò)足夠?qū)訑?shù)的校驗(yàn)之后，就是真的。它相信只要COM和MON一致，指令就可以執(zhí)行。它相信只要COM和MON不一致，切斷就是正確的。

這個(gè)信仰在 QF72 的 11300 米高空被撕開(kāi)了一道口子， COM 和 MON 都一致地選擇相信了一個(gè)偽造的 50.625 度迎角，然后保持一致地命令飛機(jī)俯沖。

而在地面上，同一套 COM/MON 邏輯可能因?yàn)?ADIRU 數(shù)據(jù)重構(gòu)過(guò)程中的短暫失步，一致地判定 " 數(shù)據(jù)不可信 " ，然后一致地切斷所有制動(dòng)。

一個(gè)在天上，讓飛機(jī)俯沖。一個(gè)在地上，讓飛機(jī)不肯剎車。看起來(lái)八竿子打不著，但都指向同一件事，這套系統(tǒng)不是突然變笨了，是它太相信自己那套判斷流程了。

空客四十年來(lái)一直在給電傳系統(tǒng)做加法。更多的傳感器、更復(fù)雜的表決、更嚴(yán)格的 Fail-Safe 閾值、更多層的 COM/MON 交叉校驗(yàn)。每加一層都讓系統(tǒng)在面對(duì)已知故障時(shí)更加堅(jiān)不可摧。

但是所有這些冗余，都建立在同一種架構(gòu)哲學(xué)之上。同樣的 COM/MON 邏輯、同樣的 Fail-Safe 切斷策略、同樣的 ADIRU 數(shù)據(jù)依賴鏈路。

當(dāng)一個(gè)足夠刁鉆的故障模式 ——

一個(gè)工程師在寫(xiě)代碼那天沒(méi)有想到過(guò)的1.2秒間隔，一次數(shù)據(jù)重構(gòu)期間的微秒級(jí)失步，穿透了這套設(shè)計(jì)哲學(xué)本身，所有的冗余會(huì)在同一個(gè)瞬間、以同一種方式、集體失效。

行業(yè)術(shù)語(yǔ)管這個(gè)叫共模故障。

共模故障：當(dāng)所有冗余建立在同一邏輯之上。

通常它指的是同一個(gè)批次的硬件、同一份代碼里的同一個(gè) bug 。

但空客面對(duì)的這種共模故障更高維一些，不是某一行代碼的錯(cuò)，是整套安全哲學(xué)在特定邊界條件下的邏輯自洽性崩塌。

我們沒(méi)法用 " 再加一層冗余 " 來(lái)修復(fù)它。因?yàn)槲覀兗拥哪菍尤哂啵玫倪€是同一套東西。

就像一個(gè)偏執(zhí)固執(zhí)的審計(jì)員雇了一個(gè)助手來(lái)監(jiān)督自己， 助手和他用的是同一本教材當(dāng)標(biāo)準(zhǔn)。

關(guān)于「飛機(jī)的賬本」：拆飛機(jī)、拆系統(tǒng)、偶爾說(shuō)說(shuō)人。

往期系列：

麥道三部曲 ——

空客 A380 四部曲 ——

下一篇大概率聊點(diǎn)輕松一些的。最近航空圈還有通航圈有些有意思的事。

這類文章寫(xiě)起來(lái)費(fèi)時(shí)間，讀起來(lái)也比較費(fèi)腦子。如果你身邊有搞系統(tǒng)工程或者飛行的朋友，丟給他看看， 要么他會(huì)覺(jué)得你很專業(yè)，要么他會(huì)來(lái)找你吵架。不管哪種，都挺有意思。

點(diǎn)贊、推薦、轉(zhuǎn)發(fā)，就是對(duì)這類內(nèi)容最好的支持。