自動化装置の欠陥で B737-MAX 廃棄か!?

29 12月 2019

自動車業界では、自動化自動化と大勢が合唱しています。確かに自動運転の「文化」になれば交通事故は劇的に減少するでしょう。でも、自動化を進める上では色々な問題が横たわっています。

そして、運航環境が全く違う「飛行機の自動化」と「自動車の自動化」は次元の違うお話しです。

みなさん、もしハンドルを切った方向にクルマが向かなかったらどうしますか? そりゃ慌てまくりますよね。それが、世界のベストセラー機ボーイングB737MAX(熟成ハイテク機 第4世代機)で発生しました。

また1994年に発生した名古屋空港中華航空(ダイナスティ)エアバスA300-600R(初期のハイテク機)墜落事故は、まったく似たような原因によるものです。

ボーイングB737MAX(B737-8)      エアバスA300-600R

画像出典:wikipedia

これね、自動化と深~い関係があるのです。2019年現在の自動化システムというのは、何かあったら必ず「人間が最終責任」をとらされるようになっています。

このため、本来、操縦(飛行機)でも運転(自動車)でもオペレーターが何かの操作をした場合、自動装置は「必ず」解除(OFF)されなければなりません。これ大原則です。これ大事なところです。

然るにB737MAXの事故はどうだったのか:

ライオン・エア(インドネシア)610便墜落事故

事故機のPK-LQP

就航してから17か月後の2018年10月29日、インドネシアのジャワ海上でライオンエアー610便(ボーイング737MAX 8型機、PK-LQP)が離陸後約10分で墜落、乗客乗員189名全員が死亡した。

飛行データの解析によれば、2つあるAoA(アングル オブ アタック=上昇角度)センサーのうち1つが故障により誤った角度を示していた。これにより、MCASが機首が上がりすぎていると判断して下降操作を行い、上昇操作を行っていたパイロットとせめぎ合いになる形で墜落した

!パイロットの操縦操作とせめぎあい!? つまり上昇しようとするパイロットと降下しようとするコンピューターとが争ったっちゅうことでしょ!

エチオピア航空302便墜落事故

事故機のET-AVJ

610便の墜落事故の悲劇から5ヶ月半後の2019年3月10日、エチオピアのアディスアベバ ぼれ国際空港より離陸したエチオピア航空302便(ボーイング737MAX 8型機、ET-AVJ)が、離陸後約6分で墜落し、乗客乗員157名全員が死亡した。

ボーイング737MAXは、半年を経ない間に2回の大事故を起こし、それも、どちらも共に乗員乗客全員死亡という大惨事となり、合わせて346名の人命が失われた。なお、両機の犠牲者の国籍は36ヶ国に及ぶ。その上、2つの事故の経緯があまりに酷似していたため、ボーイング737MAXの安全性が強く疑われることになった。

2019年4月4日、暫定報告書が提出され、その中で、操縦士がライオン・エアの墜落事故の後にFAA(米国連邦航空庁)が発表したMCAS(Maneuvering Characteristics Augmentation System)が異常を起こした時の対処方法を行なったにも関わらず、墜落したという事が報告された。(以上Wikipedia より)

B737という飛行機は、比較的短距離を飛行する国内線向け飛行機です。このため1日に何回も離着陸するために飛行中にブレーキを冷やす必要があって格納扉がついていません。しかも、胴体が太くて着陸装置が短いため、地上にいるときはかなり不格好です。これが事故のきっかけでした。

画像出典:wikipedia 左:B737-100   右:飛行中の主脚格納部付近

B737MAX(B737-8)は、経済性の追求と乗客数の増加のための胴体のストレッチ(長胴化)を行ってきました。B737-100は1967年から生産開始され2019年まで52年もの間続いてきた機体です。B737-100ではエンジンが大変細く、エンジンポッドと地面のクリアランスが十分確保されています。しかし、B737-400辺りからエンジンの大型化が進み、クリアランスが十分とれないため、エンジンポッドをオムスビ型にしたりして苦労してきました。B737MAXでは、さらに大きなエンジンを搭載したため、オムスビ型にしたくらいでは到底追いつかないくらいになりました。そこで、エンジン全体を前方にせり出させた上、エンジンパイロンを長くして上方にあげました。これが飛行特性に大きな難題を投げかけました。

ピッチアップ(機首上げ)し易い機体になってしまったのです。

画像出典:wikipedia

機体の重心より前方(エンジンナセル)で揚力が発生すると、当然機体全体がピッチアップ(機首上げ)となります。これを放置すると離陸時などに機首上げし過ぎて失速します。それを自動装置で抑え込もうとしたのが上記のMCAS(Maneuvering Characteristics Augmentation System)です。

でもこれって欠陥機じゃないですか?

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

中華航空(台湾)のA300-600Rの場合:

事例名称 名古屋空港で中華航空140便エアバスA300-600Rが着陸に失敗炎上
代表図
事例発生日付 1994年04月26日
事例発生地 愛知県西春日井郡豊山町
事例発生場所 名古屋空港
事例概要 名古屋空港に着陸しようとしていた中華航空140便(エアバスA300-600R)はアウターマーカー通過、着陸態勢に入った。自動操縦装置がゴー・アラウンド・モードになり、パイロットによる操縦輪の操作とオートマチック・フライト・システム(AFS)の作動が相反しトリマブル・ホリゾンタル・スタビライザー(THS)がアウト・オブ・トリム状況に陥り、パイロットが懸命に機首を下げようとする意図に反してコンピュータに制御された水平尾翼が機首上げの方向に反発し続けたため失速、墜落炎上した。乗員乗客264名が死亡し、7名が重傷を負う大事故となった。自動操縦と手動操縦の二つの系統の制御コンフリクトが、この重大事故の根源をなすもので、人間とコンピュータのどちらの命令が優先されるかが焦点となる。この事故の2年前から、エアバス機の自動・手動操縦の”逆作用”が原因となった機首急上昇のトラブルが、A300で2件、A310で1件発生。自動操縦中に上下の手動操縦を行うと危険なことは、マニュアルに記され、警告されていたが徹底されなかったため、中華航空ではAFSの手動が優先されるソフトの改修が実施されていなかった。
事象 名古屋空港に着陸しようとしていた中華航空140便 (エアバスA300-600R)はアウターマーカー通過。副操縦士が操縦して手動で着陸態勢に入った。順調に下降を続けていたが、5.5km前でゴー・アラウンド(着陸やりなおし GA)モードに入り水平飛行に入った。機長は、副操縦士に3回警告したが、ゴー・アラウンド・モードを解除できぬまま着陸の操作を続けた。
副操縦士は操縦桿を押して水平尾翼の昇降舵を下げ舵にすることで高度を下げようとし、また、ゴー・アラウンド・モード時に、自動の着陸モードに入力すれば、本来の着陸高度にコンピュータが誘導してくれると考え、自動操縦装置を作動させた。コンピュータのゴー・アラウンド・モードは解除されておらず、自動操縦では上昇姿勢を維持する状態で、操縦士が操縦桿を押して機首下げ操縦を続けるほど、コンピュータはこの動きに反発し、水平尾翼前部の水平安定板は機首上げ方向に限界まで移動。機長が操縦を代わったが通常の着陸高度まで戻れなかったため、ゴー・アラウンドを決意。水平安定板の上げ舵状態に気付かぬままゴー・レバーを入れたため、推力アップして機体が急上昇し失速、尾翼から墜落し炎上した。乗員乗客264名死亡、7名重傷の大惨事となった。
経過 図1を参照
1) 名古屋空港に着陸しようとしていた事故機は20時12分19秒にアウターマーカー通過、着陸態勢に入った.
2) 同機は手動操作で正常にILS進入を続けていたが、20時14分05秒に副操縦士が誤ってゴー・レバー(着陸やりなおしや離陸開始時に、推力を最大にするために使うレバー )を作動させたためゴー・アラウンド・(着陸やりなおし)モードとなって推力が増加した。機長は副操縦士に対しゴー・レバーを作動させた旨を注意し、「それを解除して」と指示した。推力を増加させた同機は正規の経路から浮上した。
3) 機長は副操縦士に対し、高くなった降下経路を修正するように指示し、副操縦士は機長の指示により操縦輪を機首下げ方向に操作した。また自動着陸モードを使用しようとし、オートパイロット(自動操縦装置)を作動させた。しかしゴー・レバーが入っていたため、自動操縦装置がゴー・アラウンド・モードになり、水平尾翼(安定板)は副操縦士の機首下げの動作に反発して、機首上げの方向へと急速に動いた。これは自動操縦のコンピュータがあくまでもゴー・アラウンドを遂行しようとしたためである。機長は繰り返し副操縦士に降下を指示し、副操縦士はこれに従った。副操縦士は操縦輪を押し続け、水平安定板は上昇姿勢を維持するために、機首上げ方向に限界まで移動した。14分50秒頃オートパイロットを切った。
4) 機体は機首上げを起こし、仰角を増大させた。このため失速防止装置アルファ・フロアが作動、14分57秒すぎエンジンの推力が一気に増大し、機体をさらに機首上げに回転させた。15分03秒に機長が操縦を代わったが、推力を増した機体は、機首角を10度以上に持ち上げた。
5) 着陸をあきらめた機長は15分14秒頃、着陸をやりなおすことを管制官に通報した。
6) しかしながら、水平尾翼が機首上げ状態になっていたため、エンジン推力増大とともに機体は急上昇、機首角は最大53度にまで達し、ついに失速し墜落した(15分45秒頃)。
原因 ゴー・アラウンド・モードを解除しなかった(あるいは出来なかった)ために、オートパイロットを起動したとき、機体は上昇経路を(維持する姿勢を)とろうとした。そこで操縦輪を押したため トリマブル・ホリゾンタル・スタビライザーが、アウト・オブ・トリム状態に陥り、水平尾翼が極端な機首上げの方向になり、失速墜落した。
1. 技術的原因
◆自動操縦と手動操縦の二つの系統の制御コンフリクト
◆自動着陸やゴー・アラウンド・モードの際、コンピュータの命令が優先される設計
パイロットによる操縦輪の操作とオートマチィックフライトシステムの作動が相反し、パイロットが懸命に機首を下げようとする意図に反して、コンピュータに制御された水平尾翼が機首上げの方向に反発し続けたため
◆二つの系統の制御が同時に入力されていることをパイロットにしらせるための警報装置が装備されていなかった。技術偏重、考え落とし
2.人的原因
◆ 副操縦士が誤ってゴー・レバーを作動させた。このことはゴー・レバーがスラスト・レバーの通常操作中に誤って作動してしまう可能性のある機構であるという技術的な側面もある。
◆ 乗員がオートマチィックフライトシステムをよく理解していなかった。マニュアル認識不足、 システム理解の不十分
◆ 緊急異常時のストレスの高い条件下における、人間の思考力の制限による、限られた時間内での対応の困難性
機長がオートパイロットをエンゲージされていることの認識がなかったか、手動でオートパイロットをオーバーライドできると思った。副操縦士はモード変更できないこと、操縦桿が重く意図通りに反応しないことを機長に正確に報告しなかった。機長は指示したことが確実に実施されていたかを確認していなかった。機長、副操縦士の役割分担が逆転していた。
3.組織的原因
◆ エアバス社の同型機には、1991年までにパイロットによる操縦輪の操作とオートマチィックフライトシステムの作動が相反し、トリマブル・ホリゾンタル・スタビライザーが、アウト・オブ・トリム状態となり、パイロットはそれらに係る状況を正確に認識する間もなく、急激に変化する機体姿勢に対応しなければならない事件が3件発生していた。
このため1993年,エアバス社は,自動操縦によるゴー・アラウンド・モード時に手動操作が行われた場合は、自動操縦が切れて手動が優先されるよう、同型機のコンピュータソフト改修を航空会社に推奨した。各航空会社からのフライトコンピュータにおける受入体制が9月に整った(事の重要性からみて時期的に速かではなかった)。
◆ 事故機については改修の計画はあったが実施されていなかった。中華航空公司ではこの改修を緊急性がないものと判断し、フライトコンピュータの修理の際に実施することにしていた。中華航空公司の安全意識の不足。
◆ この改修についてエアバス社から。各航空会社へは命令としてではなく、推奨として発行されたこと。また技術的背景の説明が詳細明確に述べられておらず、再発防止の対策を遅らせた。エアバス社の自分勝手な判断であった。
対処 1. 事故後運輸省は直ちに航空事故調査委員会(竹内和之委員長)を結成、調査を開始し事故後2週間を経た5月10日、フライトレコーダーとボイスレコーダーの解析をもとに、調査の経過報告を公表した。
2. 台湾民用航空当局は、中華航空公司に対し、5月3日に、早急にフライトコンピュータについてエアバス社の改修内容の実施を指示、5月7日に、A300-600R型機の操縦者について強化訓練および再評価を指示すると共に、その計画書を提示することを求めた。
3. 中華航空公司は、フライトコンピュータの改修作業を9月7日までに完了、操縦士全員の技能再チェックを実施、A300-600R型機の操縦士については、台湾民用航空局の担当官が立ち会って実施した。また所有する全機に対し、フライト・コントロール・システムおよびオートパイロット・システムについて特別点検を5月31日までに実施した。
4. エアバス・インダストリー社は、5月5日A300/A310およびA300-600型機の各オペレータに対して、オートパイロットが着陸またはゴー・アラウンド・モードにあるときに、操縦士がオートパイロットに抗してエレベータ(昇降舵)を動かした場合の注意事項を通知した。12月13日、コンピュータソフト改修の適用を推奨から命令に改訂した。
5. 運輸省航空局は、5月10日事故機と同型式の航空機を使用する日本エアシステム社に対し、アプローチ中、オートパイロットの選択モード確認の励行、ゴー・アラウンド・モード解除する操作手順の徹底、オートパイロットの使用などに関して、エアバス式A300-600型機運用規定のCAUTION事項に対する徹底など、「運用規定に定められれた自動操縦システムの操作手順の徹底等について」を指導し、その措置についての報告を求めた。
対策 1.すべての飛行フェーズにおいて自動操縦装置をディスコネクトできるためのコンピュータソフト改修(手動の命令が優先される設計)
2.緊急、異常時におけるパイロットの対応や、人間の認知過程を考慮したオートマチィックフライトシステム
3.乗員の教育訓練充実・強化
(1) アドバンスト・テクノロジー機のデザインコンセプトの理解、オペレーションコンセプトの確立
(2) オートマチィックフライトシステムに関する理解、教育訓練充実
(3) コックピット・リソース・マネジメント(CRM)訓練
知識化 1) 航空機は最終的にパイロットの意図と決心により操縦されるものであり、パイロットの操縦を優先させるべき。自動化がどんなに進んでも、最終的にはコンピュータより、人間を優先すべきである。
2) 自動化装置を操作するには自動化システムの完全な理解が不可欠である。
3) ハイテク航空機のパイロットは、「正確な手順の実施者」から「的確なシステムの管理者」と役割が変わる。自動化装置を操作するには「的確なシステムの管理者」としての役割が要求される。
4) 緊急時でも認識できる警報装置が必要である。
背景 事故機 エアバスA300-600R はエアバスインダストリ社の開発した双発の大型旅客機で、最新鋭の機器を設置したハイテク旅客機で、アドバンスト・テクノロジー機と呼称される。飛行中はコンピュータによる自動操縦で、二人パイロット制、着陸の際も技術的には自動着陸できることになっているが、普通着陸時には手動に切り替えられる。アドバンスト・テクノロジー機は、数年間の慎重な計画のもとに、かつてのヒューマンエラーを改善するためにいかに新しい技術を駆使するかが検討され、1.操作の単純化 2.冗長性の向上 3.信頼性の向上 4.自動化の採用 5.警報装置の減少と改善 6.緊急時操作量の減少 等の設計上の目的を達成しようとしていた。
また1993年、NASAのBillingsは、今後の人間を中心とした航空機の自動化に関して、以下のようなガイドラインを挙げていた。
1.人間は飛行および航空管制の常に管理者でなければならない。自動化は管理の選択範囲を改善するための援助をしなければならない。
2.作業者は、常に関与していなくてはならない。自動化は、よりよく、より適時の情報を提供する援助をしなければならない。
3.作業者は、より有効な情報を与えられなければならない。自動化は、その行為や意図の表出を改善する援助をしなければならない。
4.作業者は、予測される問題に、より良く対応しなければならない。自動化は、その傾向を監視し、的確な意思決定を支援しなければならない。
5.作業者は、彼らのために装備されている自動化を理解していなければならない。設計者は、単純で、直感的な自動化を作り出す支援をしなければならない。
6.作業者は、有効なリソースのすべてを管理、利用しなければならない。正しくデザインされ、使用されることにより、自動化はもっとも有用なリソースとなる。
このようなガイドラインは、従来のマン・マシン・インターフェイスとは、質的に異なるマン・マシン・インターフェイスの出現に対応しなければならないことを意味するし、インターフェイスの位置が、人間の認知レベルに入り込み、さらにマン・マシン・コミニケーションの必要性を指摘していた。
よもやま話 本来ハイテク機はミスを冒しやすい人間の弱点をカバーし、人為的ミスを根絶するために開発されたもの、たとえ人間がミスを冒してもそのミスを帳消しにして安全を確保するのがハイテク機の思想である。しかし、この機種のようにゴー・アラウンド・モードや、自動着陸の際、コンピュータの命令が常に優先されると言う設計そのものに問題はなかったのか。
着陸やりなおしという時間的に切迫した重大な意図の変化を確実に、安全に実施させようとする一連のプログラムが強固に組立てられていることは、この機種の設計上の考え方であると言えるが、航空機は最終的にパイロットの意図と決心により操縦されるものであるから、パイロットと機体が操縦面で正反対の動きをすることはあってはならないことである。パイロットの操縦を優先させるべきものであつた。ハイテク機の飛行が多くなるにつれて、ハイテク機特有の事故が増加している。これらははすでに自動化が進んできた1970年代から発生しはじめていた。これら事故を教訓として、世界の民間航空において自動化と安全の問題が大きく論議されている。
自動化のもたらす航空事故の共通点として次のようなものが挙げられているが、
1.状況認識力の低下または喪失
2.システム理解の不十分
3.技量や熟練度の低下
4.誤信号によるエラー
5.単調、退屈に陥って生ずるエラー
6.危険に対する警戒心の低下
7.仕事のやり甲斐の喪失
8.精神的ワークロードの増加
今回の事故は、まさしくこれらの指摘どおりの点が大きな要因となっている。
そして、アドバンスト・テクノロジー機の採用に伴って、パイロットの役割は、かつての「正確な手順の実施者」から「的確なシステムの管理者」へと大きく変化したともいわれている。
このような役割の変化に対応するために1970年代に米国航空宇宙局のエーメス研究所が中心になって航空安全におけるヒューマンファクタの研究が精力的に実施され、コックピット・リソース・マネージメント(CRM)訓練が各航空会社によって採用されるようになった。
この訓練は操縦室内のクルーの飛行運用に関する最良の協力態勢を引き出すための人間関係改善を目途として実施されるもので、その教育成果をシミュレータで実際の場合に適用して確認するライン・オリエンテッドフライト・トレーニング訓練もあわせて実施される。
このような訓練は世界の主要な航空会社で実施されており、その成果があがりつつある。
また、急速な技術の進歩と航空機の発達は、今後すべての航空機がハイテク化されることであろうし、このことは航空機だけでなくすべての装置産業や家庭用機器などについても同じ傾向をとってくるであろう。しかし、いかにハイテク化が進んできても、それは人間のために役立つものでなければならないし、人間が使うものでなければならない。少なくとも人間に危害を与え、事故を発生させ、人の生命を奪うものであってはならない。中華航空機事故はこのような面から高度技術システムの発展と人間との関わり合いにおける安全のあり方に示唆を与えるものである。
シナリオ
主シナリオ 誤判断、誤認知、価値観不良、安全意識不良、使用、保守・修理、破損、破壊・損傷、身体的被害、死亡
情報源 加藤寛一郎著:航空機事故次はなにが起こる
航空機事故調査報告書:中華航空公司所属エアバス・インダストリー式A300B4-622R型B1816名古屋空港 平成6年4月26日
Security 1994-7:中華航空事故に思う、黒田勲
負傷者数 7
マルチメディアファイル 図1.中華航空140便飛行状況
分野 機械
データ作成者 張田吉昭 (有限会社フローネット)
中尾政之 (東京大学工学部附属総合試験所総合研究プロジェクト・連携工学プロジェクト)

表出典:失敗事例研究

という事故でした。これも偶発的に着陸復行モードに入ってしまったのにパイロットが自動装置の解除ができないまま、パイロットの操縦と自動装置が格闘する結果となり、自動装置が勝手過大な機首上げから失速墜落となったものです。

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

みなさん、飛行機の世界では、自動化システムが問題となって多くの人が亡くなりました。自動化システムは100%信用できるものではありません。これは自動車の世界での自動化に警鐘を鳴らすものです。

踏み間違い事故を自動化した電子装置で防止しようとすることは、あまり効果がない方法なのです。

B737MAXだってそんなに大きなエンジンを無理して搭載する必要があったのでしょうか?

わたしが研究しているHMI ヒューマン・マシン・インターフェイスからの解決法が一番だと思います。

ペダル踏み間違い防止には:

自動装置はあまり役に立たないです!

コメントする

お名前・メールアドレス・コメントは必須です。
メールアドレスは公開されません。

トラックバックURL