埃航空难后,我们应如何监管自动化?

在波音737 MAX飞机第二次坠毁后，包括中国、美国在内的大多数国家都已经命令航空公司停止使用该飞机。在过去的五个月内，两架飞机失事共造成350多人死亡，这在现代是前所未有的，目前的共识是：新的 737 MAX是罪魁祸首。

据报道，五个月前的狮子航空空难是由于飞行员不知道如何解除飞机的自动软件程序造成的，该程序不断迫使飞机的机头下降，因为它试图补偿从故障传感器获取的信息。这是每个人的自动化噩梦：人类无法从专注于完成任务的机器上夺取控制权——这一过程将导致机上每个人的死亡。

那我为什么要写这个？毕竟，这是一个以物联网为主的资讯平台，而且飞机也没有连接到互联网。然而，它们依赖复杂的软件系统和传感器来实现流程自动化。不过，飞机最终可能会连接到互联网，而且，今天的许多连网设备最终也将达到波音飞机的自动化水平。

我最感兴趣的是，我们可以从这些灾难中学到什么，因为我们的监管机构试图弄清楚如何在日常连网产品中处理日益增长的复杂软件和自动化水平，例如，许多人利用这个新闻谴责自动驾驶汽车的安全性。但是几十年来，飞机一直通过电脑控制系统飞行——这意味着飞机本身承担了大部分的飞行任务，而飞行员必须手动控制飞机才能真正驾驶它们。

这里的灾难实际上不是因为自动驾驶系统，或许是因为监管制度——允许航空公司在不需要飞行员再培训的情况下进行大规模系统更新。以波音737 MAX为例，新设计的发动机比以前的737机型更靠近飞机前部，而且也更大。为了弥补这一点，波音公司的工程师们安装了一种称为机动特性增强系统（MCAS）的自动化软件系统，该系统依靠传感器来告诉飞机机头是否过高，然后MCAS系统会调整飞机，使其向下倾斜。

在狮子航空公司的飞行中，传感器发送的错误数据不断告诉MCAS系统降低机头。但是由于机头是平行的，所以飞机一直向下倾斜，而每次飞行员将机头向上调整，系统就会将机头向下拉， 直至系统接管。由于《纽约时报》的深度报道，我们知道在狮子航空公司飞机坠毁之前，这种情况发生了24次。

飞行员似乎不知道如何在新的自动系统上解除自动驾驶仪，该系统本身正在试图补偿新的发动机，它甚至没有记录在飞行手册中。飞行员在生死攸关情况下，不知道如何接管系统并自己驾驶飞机。

有许多因素导致了狮子航空公司的飞机坠入大海，并造成189人死亡。调查结束后，波音公司表示将准备软件更新。但是五个月后，另一架波音737 MAX坠毁了——业内观察人士看到了与狮航类似的模式。该飞机的软件更新也未发布。据波音公司和联邦航空局官员向新闻界发表的声明称，该项目因政府关门而推迟，部分原因是在关门期间，联邦官员认为该项目的工作并不重要。

下个月发布的更新应该会有所帮助。波音公司表示，它将依靠来自多个传感器的数据，而不是单个传感器，这将减少传感器损坏或读数不良的影响。但是发布一个新的基于软件的自动驾驶系统，几乎没有对飞行员进行培训，似乎是联邦航空局不应该允许的疏忽，因为软件更新和自动化系统可以改变产品的功能。应该有一个严格的更新测试期和严格的培训期，以告知用户如何处理更新。

而不仅仅是在航空业。撇开波音的挑战不谈，我时不时被特斯拉的软件变化搞迷糊，到目前为止，任何让我感到惊讶的变化都还仅限于用户界面，但软件更新也可以改变汽车的工作方式。

医疗器械行业正在与食品和药品管理局（FDA）合作，为这类更新和培训建立良好模式。FDA一直非常积极地制定医疗设备软件更新标准，部分原因是它希望鼓励医疗设备公司在出现问题之前修补安全漏洞（在最坏的情况下，会杀死患者）。该机构制定更新指南的另一个原因是为了让医疗设备制造商知道在设备发布之前和之后会发生什么。FDA充分意识到软件在其所监控产品的物理安全和功能方面发挥着越来越重要的作用。

我们需要让所有监管机构理解这一联系，并调整其规则，以确保软件更新和自动化系统在安全关键领域得到应有的审查。他们还需要确保当发现问题时，政府和制造商能够迅速解决问题。