本連載の第163回で、ボーイング737MAXが新たに導入したMCAS(Maneuvering Characteristics Augmentation System)について解説した。その後、
ボーイングがMCAS(Maneuvering Characteristics Augmentation System)のソフトウェア修正について発表したので、その内容について解説する。
MCASの何が問題と認識されたのか?
まず、
第163回で書いたことと重複するが、
MCASに関してどういう問題がある、と認識されたのかを、かいつまんで説明する。
MCASは、空力的な要因による過剰なピッチアップ(機首上げ)と迎角(AoA : Angle of Attack)の増大、そしてそれに起因する失速の発生を、自動的に抑制するシステムである。ピッチアップが発生する可能性がある条件がそろった時に自動的に作動して、水平尾翼の取付角を変化させることで機首を下げる仕組みになっている。
ところが、迎角を検出するAoAセンサーに問題があり、実際には問題ない迎角であるにもかかわらず、間違ったデータを送ると、どうなるか。MCASはそれに基づいて水平尾翼の取付角を変化させて、機首下げの力を発生させてしまう可能性がある、との指摘がなされている。
そこでボーイングがとった対策は、MCASのソフトウェアを修正するというもの。そのポイントは以下の3点。
機首の左右に付いているAoAセンサーからのデータを比較して、フラップが収納状態で、かつ左右のAoAセンサーから来るデータが5.5度以上食い違っていた場には、MCASは作動しない。また、パイロットに対しては、AoAセンサーの食い違いに関する警告をディスプレイに表示する。
MCASが作動した時でも、その動作範囲を限定する。具体的には、パイロットが操縦桿を引いて機首下げ操作を相殺できる範囲でのみ、MACSによる自動補正を実施する。そして、パイロットはいつでもMCASによる自動補正をオーバーライドできる。
MCASが作動して迎角を減らし、機体を通常の姿勢に戻した時点で、MCASは作動を停止する。つまり、過剰な機首下げに陥る可能性を防ぐ動作になる。
AoAセンサーに限ったことではないが、センサーなどの機器が1つしかないと、それが故障した時に致命的な事態につながる可能性がある。同じ機器を複数装備すれば、片方が故障しても他方が健全な状態で生き残る可能性がある。
AoAセンサーを機首の左右に1つずつ取り付けている場合に、その両方が同じように故障して、かつ、同じように間違った値を出す可能性は、片方が故障して間違った値を出す可能性よりも大幅に低いだろう。そこで、左右のAoAセンサーから得られる値が食い違った時はエラーが起きていると判断するようにする。
実は、737MAXにはオプション機能として、2つのAoAセンサーから送られてきたデータを表示する機能と、2つのAoAセンサーから読み取ったデータが一致しない場合に警告を発する機能(AoA Disagree Alert)の設定があった。しかしオプション機能だから、カスタマーが「要らない」と判断すれば、これらの機能は載らない。
われわれがクルマを買う時は、価格を考慮に入れながら、オプション品やオプション機能の要否を判断しているが、それは航空機でも同じ。オプション機能をつければ機体の価格は上がるから、コスト抑制のためになしで済ませる、という判断も成立し得る。逆に、アメリカン航空やサウスウエスト航空のように、これらのオプション機能を備えた事例もある。
先に挙げたMCASのソフトウェア修正のうち、1番目は実質的にAoA Disagree Alertの機能と同じことをしている、と言える。
こうした、自動化システムの動作に関する修正を迅速に行えるのはソフトウェア制御の利点だろう。しかし、ソフトウェアはハードウェア以上に、入念にテストを行わないと不具合を見過ごす可能性がある。
パイロットがいつでもオーバーライドできることの重要性
先に挙げたMCASのソフトウェア修正のうち、2番目はどういう話か。
辞書を引くと、overrideには「くつがえす」「無効化する」という意味がある。737MAXのソフトウェア修正でいうところのオーバーライドとは、自動化システムによる操作よりもボーイング、パイロットによる手動操作を優先的に扱うという意味になる。
つまり、MCASによる自動的な水平尾翼取付角変更操作と、それによってもたらされる機首下げ)よりも、パイロットが操縦桿を引いて昇降舵を動かす操作と、それによってもたらされる機首上げを優先させるという話である。
つまり、MCASの動作を解除する際に、まずスイッチ操作によって自動トリム調整を無効化するのでは、操作に手間がかかる上に咄嗟の対応が難しくなる。操縦桿を引くだけでオーバーライドできるほうが、咄嗟の操作を確実に行えるのは理解しやすいだろう。
しばらく前、本連載の第130回で「自動化できる場面でも、『最後の安全弁』として人間が監視していて、必要とあらば直ちに介入できるようにすることが求められる」と書いた。MCASのソフトウェア修正では、その通りの動作を盛り込むことになったといえる。
なお、737MAXオペレーターの1つであるサウスウエスト航空では、MCASの不具合に起因すると見られるトラブルが8件発生していたが、オートパイロットを解除して手動操縦に切り替えて、無事に対処できたと報じられている。同社の運航乗務員は、MCASの不具合を「運航時の注意事項」として承知しているとのことで、それが功を奏した形だ。
身近なところで、自動化システムによる操作を人為的に打ち消す場面というと、クルマのクルーズコントロールがある。どの車種でも同じだが、クルーズコントロールによる定速制御機能は、ブレーキペダルを踏むだけで解除される。
なにか、前方でまずい事態が起きていると認識して急に止めなければならなくなった時に、いちいちスイッチ操作でクルーズコントロールを解除してからブレーキを踏むようになっていたのでは、間に合わない可能性があるし、そもそも反射的な対応が難しい。
その点、ブレーキペダルを踏むだけで解除する仕組みであれば、反射的に対応しやすいし、「クルマを止めたい」という考えとも一致しているから不自然さがない。
意図的に操縦桿を引くと、MCASによる機首下げをオーバーライドできる、という動作にも似たところがある。