ブログ:航空安全の13戒

※この記事は2019年3月29日に公開されたAFuzion社CEO、Vance Hilderman氏の記事の翻訳です。
原文 https://www.linkedin.com/pulse/13-unlucky-commandments-aviation-safety-vance-hilderman/?published=t

航空安全の13戒

航空エンジニアの仲間たちへ
私は最近の航空業界のヘッドラインについて、AFuzionのシニアエンジニアリングスタッフと話し合っていましたが、全会一致したことがあります。それは過去6ヶ月間が今後100年間にわたって話題になる歴史的な転換点だという事です。物理の授業と、共鳴周波数による安全の必要性を強調したタコマ橋の失敗の映像を覚えていますか?それがわからない場合、あなたはエンジニアではないか、その日は授業を欠席したのでしょう。同様に私たちはモーゼが受け取った10の戒めについて聞いたことがあります…さて、あなたは「AFuzionの航空安全の13戒2020」があることを知っていますか?

モーセの時には時代はもっと単純でしたが航空技術の世界ははるかに複雑なので13戒が必要です。私たち航空業界の素晴らしい孫たちは2019年について100年後も話し合うでしょう。そうです、これらはボーイング737 MAXの災害に向けられるものであり、これら13戒からどのように学び、適用することができるかに向けられています。 タコマ橋の災害後に橋の設計が変更されたように、航空機の安全性、設計、および監督は、今日から永遠に変更されます。 うまくいけば、の話ですが。 それは私たち全員がこれらの戒めを理解し適用した場合に限ります。そのためにここで、現在と将来のすべての航空エンジニアのためにまとめました:今後100年間のために…

航空安全の13戒

1. 開発保証レベル(DAL)指定については必須のARP4761に従ってください。FAAとEASAに提供された安全性評価では、737 MAX のMCASが水平安定板を0.6度だけ調整すると示していましたが、飛行試験中にエアフレーマーが2.5度の調整を2回繰り返し、 結果として5度の変更が行われたので、根本的な設計異常となり安全へ大きな影響が出ます。そのような場合は、FHA(Functional Hazard Assessment)の更新とDALの再評価が必要になります。この場合は元々指定され承認されたDAL B (1 x 10—7)またはDAL C (1 x 10—5)ではなく、DAL「A (1 x 10—9)」ということになるでしょう。覚えておいてください:米国連邦規則14類(14CFR)25.1309は任意ではありません。この失敗は「安全性評価を継続的に更新する戒め」に違反しました。

2. クリティカルなシステムには冗長性が必須です。 故障により飛行機が墜落して人命に関わるならば開発保証レベルはAであり、乗客の人命に関わる場合はレベルBです。 レベルAおよびBの場合、必要な信頼性は冗長性によって満たされます。 737 MAXには(冗長性の為)2つのセンサーが装備されていましたが、MCASは1つのセンサーのみを積極的に使用していたため、「冗長性の戒め」に違反していました。

3. システム要件については、必須のARP4754Aプロセスに従ってください。 ソフトウェアは、事前に要求されたシステム要件と同程度に優れています。 これらのシステム要件には、ARP4754Aに準拠したFHAおよびPSSA(Preliminary System Safety Assessment)からの安全要件および派生要件が含まれていなければなりません。 これには、迎角センサーの起動テスト、冗長化、およびパイロットの表示/認識の要件が含まれます。 737 MAXシステム要件はこの戒めを守れなかったため、そのソフトウェアが破綻しました。 不足しているシステム要件に対処するためのソフトウェアのパッチ適用(変更)は、壊れた「システムの戒め」の別の形態です。

4. 両方のAOA(Angle-Of-Attack)センサーおよびミスマッチをテストするために、起動時に連続および起動時組み込みテスト(BIT)の両方を実装します。 センサーの角度出力がわずかなキャリブレーション値(1〜2度)以上異なる場合は、両方のセンサーをMCASの無効化で無効にしてパイロットに通知するか、代わりにMCASシステムの真のDAL A FHA指定に適合する様に3センサー投票設計を使用する必要があります。 これらを考慮しないことは、「ARP4754Aの継続的な安全更新の戒め」の明らかな違反です。

5. 必須のシステムSystem Safety Assessment(SSA)ARP4754A / 4761 FMEAおよびMTBFの計算に従って、AOAセンサーの信頼性がDAL Aはもちろん、DAL Bにも不十分であることを確認してください。 この結果を使用して設計を更新し、更新されたPSSAに適用します。したがって、アクティブなセンサー冗長性が要求されます。 これを怠ると、「ARP4761 FMEA / MTBF検証の戒め」に違反します。

6. AOA(Angle-of-Attack)センサーとミスマッチの両方をテストするために、起動時にビルトインテスト(BIT)を実装します。 飛行機がまだタキシングしている間にアクティブなライオン・エアのセンサーが20度オフになっていたことを示す証拠がMCASシステムの無効化やパイロット通知に積極的に使用されていませんでした。 これは、「ARP4754A由来の安全要件の戒め」に違反しています。

7. MCASアクティベーションを明示的にパイロットへ通知する事を含む、航空機の安全条件に必須の表示に関する規則に従ってください。フライトデータレコーダーによって明らかにされた様に、何が起こっているのかを判断するために操作マニュアルを急いで見ているパイロットが数秒のうちに亡くなりました。AOAセンサーの故障が飛行機を地表に急落させたためです。737 MAXのパイロットはMCASシステム起動について知らされていなかったことは明らかです。 ボーイングは以前、パイロットが一次制御を行使するよりも、更に自動化されたアビオニクスアプローチを有した航空機を展開する記録を持っていました。 どちらのアプローチも可能ですが、パイロットインコマンド戦略(歴史的なボーイングおよび737 MAXトレーニングプロトコル)では、737 MAXのパイロットにMCASの有効化を通知する必要があります。 しかしその通知はされておらず、そして、結果として生じるクラッシュは「パイロットの状況認識を促進する戒め」に違反することから生じます。

8. New AircraftのためのNew Aircraft Certの規則に従ってください。 737 MAX航空機の改訂時、新しく重いエンジンが重心を大きく変更し、それを補うために新しいシステム(MCAS)を必要とする場合、これは大きな設計変更です。 737 MAXの失速確率を軽減するために全く新しいシステムを追加することは良いことですが、より高度な再認定基準必須と、重要な手続き上および操作上の手動更新によるパイロットの再訓練を必要条件とする新しい設計をもたらします。 マイナーアップデートによる重大な変更をこっそりと行うことは、「認定透明性の戒め」に違反します。

9. パイロットの作業負荷と状況認識が航空安全事故の唯一の主因です。私の個人的なパイロット・グラウンドスクールトレーニングでは、パイロットの手順と状況認識がトレーニングの主な焦点でした。必須のARP4761 FHAプロセスでは、パイロットの作業負荷を評価する必要があります。 737 MAXの災害は両方とも最初の上昇時の離陸の数分後と比較的低い高度で発生しました。航空安全とパイロットの認識のための危険性の高い地域です。 ARP4761では、飛行段階とパイロットの作業負荷を考慮する事を要求しています。 737 MAXとMCAS FHAの間にこれが適切に実行されたならば、MCASシステムの応答はパイロットに警告しながら同時に自動水平安定板の偏向角を減らしたはずです。覚えておいて下さい、離陸後航空機がまだ登っている時の自動降下開始は明らかに問題があります – 地面(水)からわずか40秒しか離れていなかったのです。この失敗は、「FHAの飛行段階とパイロットの作業負荷の検討の戒め」に違反しました。

10. 認証を独立させる:利益主導の動機に満ちた組織設計承認(ODA)を増やすのではなく、FAAまたは第三者(独立指定技術者)の監督と積極的な関与を維持して下さい。 これにはより多くのFAA作業と資金が必要です(信じてください、年間のFAA資金調達ゲームは航空業界の笑い物です。) 特に監督の欠如が「独立した認証の戒め」に違反していることについて不平を言っている上級FAA職員に聞いてください。

11. AOAセンサーに平均故障間期間(MTBF)10 – 5(DAL Bの場合は10 – 7)を指定する必須ARP4761システム安全性評価を適用して下さい。 スクリーニングを介してAOA製造業者のMTBF計算を確認し、機体インテグレータで再テストします。 737 MAXのセンサーは、新しい航空機で2つの別々の故障を経験するべきではありませんでした。 このようなセンサーの信頼性の低さは、「スクリーニングとテストによるMTBFの想定故障率の証明の戒め」に違反しています。

12. 物事をシンプルに保つ:航空機は平均的なパイロットのために設計されています。最高の(軍事訓練された)パイロットのためではありません。 操縦桿の更新、モーターのカットオフ、トリム調整を介して、パイロットにシステムの変更を強制的に行わせることは愚かです(前日のフライトでのライオン・エアのルーティンがジャンプシートでの乗り心地を妨げます)。 代わりに、パイロット用のクイックアクセスを無効にし、「MCAS有効化 – 続行または無効化?」をプライマリフライトディスプレイに表示するだけにして下さい。 さもなければ私達は「平均的パイロットのためにそれを単純にしておく戒め」に違反します。

13. 飛行機が日曜日(Lion Air)に墜落したとき、問題を解決することなしに、翌日月曜日に安全飛行の許可は与えられません。 以上。 航空安全は根本原因分析に基づいて構築されており、根本原因を見つけることができない場合は、それを分析することはできません。 これは「バカにならないで。以上。戒め」に違反します。

以上が航空安全の13戒です。興味深いことに、これらの戒めは寛容です:737MAXの事故がこれらの戒めの1つだけ、7つだけ、または12つだけに違反していたのであれば、2つの墜落を防ぐことができたと思います。 しかし、13のうち13戒が破られたとき、赦しを求める時が来ました – 遡って予防措置を学んだ後に限られますが。 結局のところ、許可を要求することは許しを請うことよりもよっぽど優れているためです。

執筆者のメモ:AFuzionは通常、「Applying ARP4754A」白書と「Applying ARP4761」白書をそれぞれ50ドルで販売しています。 しかし、世界の航空安全のために、これら2つの論文は誰からでも2019年4月30日まで(*1)無料でダウンロードできます。www.afuzion.comのWhitepaperページにアクセスしてください。 ここから無料でダウンロード:AFuzion Incの航空安全性評価用紙(ARP4761 / A)はここをクリック
*1訳者注:無料ダウンロードはブログ日本語版公開に合わせて期間を延長しています。