人間莫測，BUG永生

嗷嗷胡

十多年前，波音面臨著一個兩難抉擇：被空客最新的A320NEO搶走了大筆訂單，是重新設計一款新機型與之對抗，還是在737的基礎上繼續(xù)改進？

重新設計新機，要大量投入，尤其是耗時以十年計，其間全球份額如何變化無人能料；繼續(xù)改進737，要面對半個世紀前原始設計的局限，而人家A320可是1988年才出生的。

讓天平往后者傾斜的最后一顆砝碼是飛行員適應問題，全新機型需要航司重新培訓飛行員，而繼續(xù)改進737可以讓大批現(xiàn)有737型號的飛行員快速擴展到新機型。

為了跟空客競爭，波音需為737更換大號發(fā)動機。然而737誕生之初從未考慮50年后的需求，天生“小短腿”起落架，發(fā)動機直徑再大就要擦地了。為此波音將發(fā)動機吊艙前移，規(guī)避了翼下高度不足。

發(fā)動機前移了，大號發(fā)動機能放下了，但整架飛機重心前移，這增加了飛機抬頭失速的風險。于是波音繼續(xù)打補丁，增加了一個叫MCAS的電子程序，在飛機抬頭可能失速時，MCAS會自動將機頭向下壓。

環(huán)環(huán)相扣，天意弄人。

要讓現(xiàn)役飛行員對新機很好適應，波音繼續(xù)改進737而非研發(fā)新型號；要讓半個世紀前的設計能適應大號新發(fā)動機，波音改了737的結構和程序；又正是為了讓新機更容易上手，MCAS程序沒有被放入飛行員訓練流程。

這就是著名的波音737 MAX8災難。飛機可能因為一些細小故障誤判失速，這本不是什么大事，然而這會激活并啟動737 MAX8新增的，但飛行員根本不知其存在的MCAS自動程序。手忙腳亂之中便機毀人亡，兩次。

在真正出事并被確認是由于設計缺陷引發(fā)事故之前，你去問任何一個波音的工程師，他都會告訴你“飛行安全是重中之重，制造商會有一套套流程以及各種備用措施冗余設計來確保安全無虞”。

今年的大新聞，潮州特斯拉失控案曝出時，很多人也是這樣搬出汽車制動系統(tǒng)、電子系統(tǒng)中的一系列冗余程序備份設計，以掉書袋的方式來斷定“剎車失靈車輛失控絕無可能”。

別誤會，本胡完全無意加入這場以個人信息資源根本不可能得出有效結果的討論；一篇千八百字的專欄對于任何有價值的、正經(jīng)嚴肅的討論也完全不夠，當個摘要都不夠。

我只是想說：“做足了安全設計”和“依然可能存在缺陷”之間，完全不矛盾。前者是主觀能動范圍內(nèi)做到最好，后者是天有不測風云凡人孰能無過；前者是盡人事，后者是聽天命。

這是很簡單的道理，真正出問題之前，人們當然自認萬無一失，尤其是自己參與其中的話—不然你早就去修改了不是嗎，你當然會覺得不可能出錯。

我一直關注的某汽修博主也講述過類似的故事，某車型使用的電子剎車助力部件，因為芯片清潔沒有管理好，有極小概率偶發(fā)失效，既難以發(fā)覺，也很難復現(xiàn)。當然，這個原因是事后才查明的。

而在這個原因被查出之前，它的設計者乃至同行們從任何一個角度去揣摩去剖析去復盤，都自然是發(fā)自肺腑的“我們方方面面都考慮到了怎么可能出問題呢”，然而這又能說明得了什么呢？

連NASA的航天飛機都可能因為未曾考慮到的設計缺陷而從天上掉下來，在只有幾篇語焉不詳?shù)膱蟮啦稍L的情況下，我們又憑什么認定一輛汽車絕不可能出錯呢？

永遠敬畏犯錯的可能，因為BUG永生。