2018-12-04(平成30年) 松尾芳郎
図1:(Wikipedia) 10月29日、インドネシア・ジャカルタ空港を離陸した直後、海面に墜落したライオンエアのボーイング737 MAX 8と同型機の写真。インドネシアの事故調査委員会の中間報告によると、自動失速防止装置(MCAS)が誤作動をしたのが直接の原因。前日にも同種トラブルが発生したがパイロットがシステムの接続スイッチを切り、無事に目的地に着陸した。
(注)ボーイング737 MAX 8は737 NB (Next Generation) の後継として開発された狭胴型機で、就航は2017年5月から。エンジンは新しいCFM Leap-1Bに換装、ウイングレットがスプリット型に変更され、機体側も多少変っている。系列機にはMAX 7、MAX 9、MAX 10、があり、受注は4,700機を超えているが、引渡しは240機程度。
(注)ライオンエアはインドネシアのジャカルタ(Jakarta)が本拠の低価格航空(LCC)、国内国際で一日630便を運航している。エアバスA320系列機を234機、ボーイング737系列機を230機発注するなど大量購入で知られている。737 MAXではMAX 8を10機受領済み、MAX 9を190機、MAX10を50機発注している。かつて欧州航空当局から安全性、定時制に問題ありとして域内飛行を禁じられたが、その後解除された。
去る10月29日、インドネシアのLCC ライオンエアB-737 MAX 8型機JT610便が墜落、189名が死亡した事故があったが、その原因が明らかになってきた。
事故機のパイロットは、離陸前のタキシー中に重要な計器「迎え角(AOA)」センサーの読みに異常があることに気付いていた。
そして離陸直後に機長側の操縦コラム(操縦舵輪)が、失速が近くなると警告として作動する振動を始めてた。
高度3,000 ft (約1,000 m) で主翼のフラップを引っ込めると直ぐに、新しくB-737 MAX型機に装備されたMCASと呼ぶ新しい失速防止装置(anti-stall flight-control system) が作動し、操縦舵輪を機首下げ方向に押した。両パイロットは操縦舵輪を保持しようと試みたが、墜落までの10分間に26回も機首下げ圧力が加わり、遂に墜落した。
この事は、同機から回収された“ブラック・ボックス”と呼ばれるオレンジ色の“フライト・レコーダー”を解読して明らかになったもので、11月22日にインドネシアの交通安全委員会(NTSC) から同国の議会に報告された。
“フライト・レコーダー”によると、「パイロットの機首上げ指令(操縦舵輪を引く力)」、「MCASの機首下げ指令(操縦舵輪を押す力)」、「操縦舵輪の位置」、「機体の迎え角(AOA)センサーの値」、「フラップの位置」等を時系列で示し、タキシー中から離陸、上昇、墜落までの11分間の経緯を正確に示している。
新設の“失速防止装置(anti-stall flight- control system)”は、パイロットの力に抗し、墜落するまでの10分間に26回も繰り返し“機首下げ指令”を出し続けていた。
事故の原因となったのは次の3点としている;—
- ボーイングが737 MAXに取付けた「MCAS」/「失速防止装置(anti-stall flight- control system)」の設計上の問題、およびそのシステムについてのエアラインに対する説明不足。
- ライオンエア・パイロットのシステムに対する理解の不足、特にシステム故障の際のシステム遮断の方法。
- ライオンエアの整備が前便で生じていた「迎え角センサー(AOA=angle of attack sensors) の不具合を修理せずに出発させたこと
図2:(Indonesian Safety Regulators, black box flight recorder data / Mark Nowlin / The Seattle Times) フライト・レコーダーの記録。上から;—「パイロットの機首上げ指令」すなわち操縦舵輪を手前に引く力の記録、「MCASの機首下げ指令」すなわち失速防止システムによる操縦舵輪を押す力の記録、「操縦舵輪の位置」すなわち2つの相反する力の繰り返しで操縦舵輪の動く様子、「迎え角(AOA)センサーの示度」すなわち左右の食い違う値の様子、などが記録されている。
「失速防止システム(Anti-stall system)」が引き金
ボーイングのフライト・コントロール部門のエンジニアで、現在はアビオニクス&衛星通信のコンサルタントをしているピーター・レム(Peter Lemme)氏は、このグラフを詳細に検討し次のように述べている;—
ボーイングが開発した“MCAS”と呼ぶ新しい失速防止装置“(Maneuvering Characteristics Augmentation System) / (操縦特性増強システム)”が、フラップが収納されると直ぐに作動し始め、これが事故の引き金となった。
さらに主翼と空気流の角度を測る迎え角(AOA)センサーが誤った値をフライト・コンピューターに伝えていた。迎え角(AOA)センサーは2個あり機首の両側に付いているが、この場合左右で20度の差があり、機体が水平の状態にある地上タキシー中でも異なる値を示していた。2個のセンサーの片方(左側)は明らかに間違った値を示していた。
飛行中、フライト・コンピューターは片側の迎え角(AOA)センサーの値だけを使うようになっている。この場合、コンピューターは迎え角が高い方の値を使い、直ぐに失速に入ると判断し、回復のためMCASに機首下げの指令を出した。
MCASが機首下げ指令を出し操縦舵輪が前に押される度に、キャプテンは(多分舵輪のサム・スイッチを使って)操縦舵輪を手前に引き戻す操作を繰り返していた。しかしその度毎にMCASは設計通りに水平尾翼のスイーベル(swivel)に機首下げの指示を出し続けた。
フライト・レコーダーには、MCASの機首下げ指令は21回繰り返されたことが示されている。やがてキャプテンは操作を副操縦士に委ねたが、その後MCASはもう2回機首下げ指令を出している、しかしここではパイロットは機首上げ操作をしていない。
ここら辺りで水平尾翼は作動範囲の限界に達し、キャプテンは再び操縦舵輪を握り力一杯引き戻し機首上げを試みた。しかし遅すぎ、同機は時速500 mph (約800 km/hr)で海面に突入した。
前日にも同じことが起きていた
同じ機体のフライト・レコーダーの記録には、前日の飛行で同じような事が起きていた事を示しているが、この時には事故にならなかった。
この時も離陸前から2つの迎え角(AOA)センサーの示度が不揃いで、離陸時にキャプテンの操縦舵輪は失速警報を示す振動を始めた。そしてフラップを収納するとMCASが作動し機首下げ操作が始まった。
パイロットは、最初のうちはJT610便と同じく操縦舵輪の機首上げ操作で対抗したが、12回ほど繰り返し数分後に、ペデスタル上にあるMCAS用の2重スイッチを切り、“自動機首下げ”指令を解除した。
それ以後は“自動機首下げ“は起こらず平穏なフライトを続け、目的地に無事到着した。
まだ海中からボイス・レコーダーが回収されていないので、JT610の乗員が何故“自動で水平尾翼が動き機首が下がる”ことに気付かなかったのか、判らない。
操縦席の横には水平尾翼トリム・ホイール(stabilizer trim wheel)と呼ぶ大きなホイールがある、これを回すと水平尾翼のスイーベル(swivels /回転軸) が動き水平尾翼の迎え角を早く動かせる。尾翼が指示をしていないのに動く“暴走(runaway stabilizer) ”の場合には、トリム・ホイール操作をするようマニュアルに記述がある。
しかしパイロットは、操縦舵輪の振動(ステイック・シェイカー/ stick shakerと云う)、計器盤の大型画面に表示される迎え角(AOA)の相違を示す警告、それに伴う機速(IAS)、高度(ALT)の誤指示などに気を取られ、この措置が出来なかったと思われる。
システムの誤作動に対抗して25回も機首上げを試みたパイロットの心境は誰にも判らない。この事故は回避できた事故だが、ヒューマン・ファクターが深く関わっている。
ボーイングの設計ミスか?
パイロットが部分的に事故原因に関わっているとしても、ボーイングのMCASシステムの設計にミスがあったのではないかとの疑念は拭えない。
上述で明らかなように、事故は片方の迎え角(AOA)センサーの故障から始まった。いわゆる“故障の起点(single point of failure)”である。これが事故の引き金になったことは間違いない。
飛行機の設計では、この最初の故障が次の故障を引き起こし、それがまた次の故障に伝播する“故障の起点/引き金(single point of failure)” は絶対に避けなくてはならない。特にその故障が最終的に”危険(hazardous)” あるいは”破滅的な故障(catastrophic failure)“になり得る場合においては特に重要である。
(注)1985年8月JAL123便の御巣鷹山墜落事故でも同じような“故障の起点/引き金”が想起される。起点はその7年前に行われたAOGチームによる圧力隔壁の修理ミスだったが、事故当日修理箇所が疲労破壊し圧力隔壁が破れた。これで客室与圧空気の圧力で垂直尾翼が破れ、ここに配置されていた4系統の油圧パイプが破断、油圧漏れで機能を喪失、操縦不能に陥った。これを教訓に、垂直尾翼底部に蓋をする、油圧システムに遮断弁を設ける、などの改善が行われた。改善策は事後の機体に広く適用され同種事故の再発を防いでいる。
パイロットが危険から脱出する際の措置を考えてみよう。エンジン故障時訓練を受けたパイロットは、直ぐに代替空港を探し安全に着陸する手順を知っている。しかし訓練を受けていないと採るべき措置が判らず直ぐに墜落に至る。つまりパイロットの適切な対応は、安全システムの部分を担っている。
737 MAXにMCASシステムを搭載する際に、ボーイングのエンジニアは次のように裁定を下した筈だ。すなわち“迎え角(AOA)センサーの故障は「危険(hazardous)」にはなり得るが、2重の遮断スイッチを切ればMACSの接続を遮断できるので「破滅的な故障(catastrophic failure)」には繋がらない”。
型式証明のための航空機システム解析では、”危険(hazardous)”が起きる確率は1000万分の1以下に抑えること、また、”破滅的な故障(catastrophic failure)”の起きる確率は10億分の1以下にすることになっている。
しかし、システム設計とは別に、ボーイングは、パイロットに新システムが関係する安全に関わる情報をどれほど伝えていたか、が問題となる。
アメリカン航空の機長で全米パイロット協会(APA=Allied Pilot Association)の通信委員会委員長を務めるデニス・タジャー(Dennis Tajer)氏は次のように話している。「当該パイロットは、幾重もの安全システムの“一つの層”を担うべく懸命に任務を遂行した。しかしマニュアルにはMACSシステムについての記述はなかった。」
「我々パイロットは安全システムの一部分である。しかし(ボーイングは)航空機のシステムについての情報を与えてくれなかった。ボーイングは、パイロットは二次的な安全システムと認識しているが、自分達の判断で情報を提供しなかった。」
「ライオンエアの今回のMCAS故障問題は、システムに関する知識不足で発生したもので、丁度飛行中にエンジン故障に遭遇し、対処方法を知らずに墜落した事故と同じケースだと言える」。「エンジンについてはマニュアルに詳しく書かれており、我々は十分にシステムの内容を把握している」。
737 MAXを使っているアメリカン航空とサウスウエスト航空のパイロットは、今回の事故まではMCAS/自動失速防止システムについて全く訓練を受けていなかった。
サウスウエスト航空パイロット協会議長のジョン・ウイークス(Jon Weaks)機長は語っている;「搭載したMCASが事故に直結するなんて思っても見なかった。またMCASについての情報もなかったしマニュアルにも記載がなかった。今になってボーイングとFAAは[システムは予期した作動をしないこともある]と警告している。」
11月6日にボーイングは、737 MAXを運航する全航空会社に警告通報(warning bulletin)を出した。内容は「MCASが不具合になった場合の接続解除の方法」。次の日にFAAは全航空会社に対し「ボーイングが発行した警告通報を遵守するよう」非常耐空性改善通報(emergency airworthiness directive)を出している。
アメリカン航空パイロット協会安全委員会委員長マイク・ミッチェルス(Mike Michaelis)機長は、10日に自社のパイロットに対し“まだアメリカンの737フライト・マニュアルにもボーイングのFCOM(Flight Crew Operation Manual)にも記載がないが、MCASについてボーイングが出した警告通報を守るよう”異例の通知を出した。
「その後FAA(連邦航空局)から本件に関する“耐空性改善通報(AD)”が発行されたので、今では全世界の737 MAXパイロットがこのシステムについて十分な知識を持つようになった。」
ソフトウエアの改定
前述した元ボーイング・エンジニアのピーター・レム(Peter Lemme)氏は、この墜落事故でMCASシステムの設計は再検討することになろう、と話している。彼の見解では、「設計エンジニアは、AOAセンサーの故障の影響を無視したのではなく、その場合パイロットがMCAS切断のスイッチをオフしてくれる筈、と思い込んでいた」ようだ。そして次のように続けている。
「MCASは、元々機体が通常では起こり得ない異常な状態、つまり、極端かつ急激な傾斜角(バンク角)での旋回飛行で大きな”G”が加わり失速しそうになる状態を想定し、失速を防ぐ目的で作られたシステムである。
システムは機体の迎え角(AOA)センサーの示す値で作動するが、適正な判断をするには第2のインプットも必要ではないか。そして地上タキシー中のAOA相互の値の異常を感知するロジックも挿入した方が良い。これらは簡単なソフトの改定で容易に行える。」
不十本な整備
フライト・データから解る最後の点はライオンエアの整備手法である。インドネシア当局NTSCの報告には次のように記載されている;—「事故機の整備記録では、JT610便の3日前つまり4フライト前から速度(IAS)と高度(ALT)の指示値に問題があった。」
整備記録には色々な整備作業が記入されていたが、速度(IAS)と高度(ALT)に関わるものはなく、処置が先送りされていた。そして事故の2日前、10月27日に迎え角(AOA)センサーの片方が交換された。
翌28日、JT610便の前日、パイロットは整備技師からAOAセンサーを交換し試験したと報告を受けた。しかしこれまで述べたように、28日のフライトでも依然として解決していなかった。
ライオンエアの安全記録は極めて芳しくない、コスト削減のため整備費を抑えて運営している。故障の措置は先送りせずに早急に解決することで、パイロットの負担を軽減できる。
「この機体、ボ—イング737 MAX 機番「PK—LQP」は、故障の修復をしないまま何度も飛行に供された。これがパイロットの負担を増し、遂には彼等の対処能力を超える事態となった」とは前記レム氏の結論である。
結び
本稿は、米国シアトル・タイムス(The Seattle Times) に、同社の航空宇宙記者(Seattle times Aerospace Reporter)「ドミニク・ゲイツ(Dominic Gates)」氏が掲載した記事を基に紹介したものである。ゲイツ氏は2003年以来同社の航空宇宙記者として活躍し、その造詣の深さで知られている。
我国ではクオリティー・ペーパーとされるN紙が11月29日に本件を報じているが、内容は簡単で、一読してどこに原因があり、対策をどうするかについて、直ぐには理解できない紙面になっている。日米両国の航空に関する理解の差を象徴しているように感じた。
—以上—
本稿作成の参考にした主な記事は次の通り。
The Seattle Times November 13, 2018 “U.S. pilots flying 737 MAX weren’t told about new automatic systems change linked to Lion Air Crash” by Dominic Gates
The Seattle Times November 28, 2018 “Pilots struggled against Boing’s 737 MAX control system on doomed Lion Air flight” by Dominic Gates
MRO Network.com Nov. 28, 2018 “Lion Air Boeing MAX Crash Report Details Auto-Trim Issues” by Adrian Schofield