FAAが737MAXの飛行再開を承認、大規模なソフトウェアアップグレード開始
アラン・ボイル著
インドネシアでのボーイング737MAXジェット機の悲惨な墜落事故が航空危機を引き起こしてから2年が経ち、連邦航空局は本日、数百機の737が再び飛行できるようにする道筋を示した。
しかし、それはすぐには実現できません。FAAがパイロット訓練手順の変更の実施状況を確認し、実施されるすべての修正を検証するには数ヶ月かかるでしょう。2019年3月にエチオピアで発生した2度目の墜落事故を受けて、737 MAXの全機は世界中で運航停止となっています。
「安全への取り組みはこれで終わりではありません」とFAA長官のスティーブ・ディクソン氏はCNBCに語った。「今後数週間、数ヶ月の間に、航空会社、FAA、そしてボーイングは多くの作業に取り組む必要があります。」
ボーイング民間航空機部門の社長兼CEO、スタン・ディール氏は、プレスリリースで、本日のFAA(連邦航空局)の指示は「重要な節目」であると述べたものの、まだ多くの課題が残されていることに同意した。「世界中の規制当局やお客様と協力し、この航空機を世界中で再び運航できるよう尽力していきます」とディール氏は述べた。
重要な修正にはハードウェアではなくソフトウェアが関係しており、その作業部分はアクチュエータのインストールというよりも Windows の更新プログラムのインストールに似ています。
数ヶ月にわたる調査の結果、墜落した機体の致命的な欠陥はソフトウェアに起因することが判明しました。次世代737 MAXの設計変更により、機体の空力特性が変化しました。ボーイング社は、パイロットの再訓練にかかるコストを削減し、手続きを簡素化するため、操縦特性向上システム(MCAS)と呼ばれるソフトウェア強化機能を追加しました。この強化機能により、737 MAXの操縦は従来の737機の操縦に近づきました。
MCASシステムは、737の飛行制御ソフトウェアを構成する数百万行のコードの中に埋め込まれた、わずか数行のコードだと言われています。しかし残念なことに、MCASは機体の迎角センサーに関連する不具合に対してソフトウェアを脆弱にしていました。2つの迎角センサーのうち1つが誤った値を示すと、自律システムが機体を制御困難な急降下状態に追い込む可能性がありました。調査官は、これが墜落事故の原因になったと述べています。
737 MAX機が運航停止中、ボーイングはソフトウェアの修正に取り組み、MCASシステムが両方のセンサーから異常信号が出た場合にのみ作動するようにした。その場合でも、システムは繰り返し作動するのではなく、一度だけ作動するようにした。その他の修正により、コンピューター間の相互チェックが強化された。
FAAが修正によってソフトウェアの問題が十分に解決され、パイロットが飛行中に発生するあらゆる問題に対処できるよう適切な訓練を受けていることを確認するのに数ヶ月かかりました。作業内容の審査過程で、新たな安全上の問題が浮上しました。例えば、審査チームは737 MAXの水平安定板に暴走を引き起こす可能性のある潜在的な故障状態を特定しました。
「737型機の2億時間の飛行運用中にこの症状が発生したことは一度もないが、このようなことが絶対に起こらないように新しいソフトウェアが開発され、テストされ、認証された」とボーイング社は飛行再開に関するFAQで述べた。
飛行ソフトウェアも修正され、パイロットの指示なしに自動操縦が解除される可能性を回避した。これは理論上のシナリオだが、実際には一度も起きたことはない。
FAAはまた、水平安定板制御システムの配線をより分離する変更も要求しています。「場合によっては、航空会社のお客様に代わってこの作業を行いますが、場合によっては、お客様自身で作業を行うために必要な技術文書と資料をすべて提供します」とボーイングは述べています。
今後は、ボーイングと航空会社がソフトウェアをインストールし、FAAによる電子的な修正の検証を受けることになります。また、配線の変更や、1年以上保管されていた機体を再び飛行可能な状態にするための詳細な整備手順も必要になります。
これらすべてには、Windows アップデートのインストールよりもはるかに長い時間がかかります。
「これは、フライトコントロールコンピューターソフトウェアとコックピットディスプレイシステムのソフトウェアの完全なソフトウェアロードインストールです」と、Leeham News ana Analysisのアナリスト、Bjorn Fehrm氏はGeekWireへの電子メールで語った。
セキュリティ上の理由から、インストールはワイヤレスでは行われません。エンジニアは各航空機に物理的にアクセスする必要があり、適切なコードを入力した後、ソフトウェアパッケージはデータストレージデバイスから手動で転送されると、フェールム氏は述べています。
「すべてのソフトウェアパッチをインストールし、これらが正しくロードされているかを確認し、FAAが要求する機体後部の配線の分離変更を行うには、合計で航空機1機あたり約500工数が必要です」と彼は述べた。
ボーイング社は、運航停止中の737-8型機と737-9型機800機以上のうち、半数強が未だ納入されずボーイング社に残っていると推定している。これらの機体の半数は来年末までに納入される予定で、残りの大半は2022年に納入される予定だ。
