Boeing 737-8の制御則はなぜ機体を墜落させたか – ライオン・エア610便墜落事故

日紀

10月の終わりに、インドネシアでLion Airの飛行機が堕ちた。飛行機が落ちること自体はそれほど珍しい話ではないが、これがピカピカの新しい機体であり、設計自体も最新であった。最新の飛行機が落ちるということは、運行初期に起こる不具合の一環である可能性がある。そういう点で興味があったので、しばらくこのニュースを追っていた。その日にADS-Bの速度・高度のデータを見てみたら、どうも最後一気にダイブしているのが気になった。

先日、インドネシアの事故調査委員会からPreliminary Reportが出された。このレポートが出される前から、Seattle Timesを含むいくつかのメディアが独自に調査をしており、またFAAからは緊急のADが出ており、だんだんと当日何が起こったのかが明らかになっていた。原因は次のようである。

  • 当該機のAoAセンサは故障しており、左右大きく違った出力を出していたこと
  • 当該機の制御則は、ある条件下において自動的に水平尾翼を動かし、機首を下げる機能が制御則にあったこと
  • 上記AoAセンサ故障によって大きなAoA信号が上記制御則に入力され、その結果断続的に機体はダイブした

Preliminary Reportに載っている当該機の飛行時歴を下記に載せる。Seatte Timesの記事にはより詳しい時歴が掲載されている。

 

なぜBoeing 737-8の制御則はこの機能を持っていたのか

Boeing 737のオリジナルの設計はかなり古い。一番はじめの737シリーズが飛んだのは1967年である。そこから改良に改良を重ね、一番新しいシリーズが737-7/-8/-9/-10である。初飛行は2016年であり、最新鋭のエンジン(CFM LEAP-1B)を積むことで燃費を向上させた。この新しいエンジンを搭載することで、機体の飛行特性が少し変わった。

エンジンが大きくなり、地上にいる場合の地上からのクリアランスを確保するため、エンジンを上に上げ、さらに主翼の前側に出した。これによりナセルが前側に伸び、また大きくなった。このナセルが、高迎角時に機体の機首上げモーメントを増やす要因となる。その帰結として、あるひとつの法律(Regulations)が満たせなくなった。具体的には、下記のRegulationsである。

14 CFR 25.201 Stall Demonstration
(d) The airplane is considered stalled when the behavior of the airplane gives the pilot a clear and distinctive indication of an acceptable nature that the airplane is stalled. Acceptable indications of a stall, occurring either individually or in combination, are—
(1) A nose-down pitch that cannot be readily arrested;
(2) Buffeting, of a magnitude and severity that is a strong and effective deterrent to further speed reduction; or
(3) The pitch control reaches the aft stop and no further increase in pitch attitude occurs when the control is held full aft for a short time before recovery is initiated.

または、下記のRegulationsである。

14 CFR 25.203 Stall Characteristics
(a) It must be possible to produce and to correct roll and yaw by unreversed use of the aileron and rudder controls, up to the time the airplane is stalled. No abnormal nose-up pitching may occur. The longitudinal control force must be positive up to and throughout the stall. In addition, it must be possible to promptly prevent stalling and to recover from a stall by normal use of the controls.

基本的に、旅客機をエアラインで運行するためには、機体の設計として、上記の14 CFR 25.201(d)に記載のあるAcceptable indications of stallの3つのうちどれかまたはその組み合わせを実証しなくてはならない。その条件とは、(1)容易に制御できないような機首下げ、(2)それ以上の減速を妨げるような十分に強いバフェット、(3)操縦桿最後方位置まで達し、さらなるピッチ増加がない場合である。また25.203(a)では、異常な機首上げは起こってはならず、操縦桿操縦力はStallの間中常に正でなくてはならないと規定している。また、操縦桿によってStallを防げなければならない。

737-8(事故機)は以前の737と比べ高迎角時の機首上げモーメントが増えたことにより、上記いずれかまたは両方のRegulationsが満たせなくなったと思われる。想像では、いままでの737のStallは(1)の機首下げの要件で決まっていたが、今回の新エンジンの搭載により機首下げが十分ではなくなったのであろう。Regulationsを満たせない飛行機は旅客機としてお墨付き(Certification)を得られない。そこで問題を解決するためこの機能が導入された。

この制御則の機能(Maneuvering Characteristics Automation System (MCAS))とはどのようなものか

簡単にいえば、上記の14 CFR 25.201(d)(1)または25.201(d)(3)のAcceptable Indication of Stallsを満たすため、ある条件下で水平尾翼を自動的に動かし、機首下げを作り出す機能である。この機能は、迎角・迎角角速度・高度・Mach数に応じて、搭載されたいるコンピュータが水平尾翼を動かすコマンドを送る。これによって、高迎角条件になった場合に、人工的に機首下げを作り出すことができる。ここで、人工的と書いているのは、もともとの737は空力的に、水平尾翼を動かすことなくStallしていたことと対比した。

飛行機の操縦は難しいようでいて単純で、基本的には機首を上げるには操縦桿を引けばよいし、機首を下げるには操縦桿を押せばよい。たとえば後者の操縦桿押しをパイロットがすると、水平尾翼後方についているエレベータが動き、機首下げのモーメントを発生させる。これとは別に、多くの旅客機では水平尾翼全体が動く仕組みがついている。水平尾翼全体を動かすには、操縦桿についているスイッチか、パイロットの脇にあるスイッチを使う。

このMCASがあると、パイロットが操縦桿を引き続けて機首が上がり、減速し、迎角が上がった場合に、水平尾翼が自動で機首下げを作り出してくれる。つまりは、MCASとパイロットの操縦桿は機首下げと機首上げという逆方向のモーメントを作り出す。ブレーキをかけながらアクセルを踏んでいるような感じである。ただ、MCASは操縦桿に打ち勝てるように設計されていたはず(StallのRegulationsに適合させるため)。操縦桿に打ち勝つモーメントを作ることで、Stallを実証する目的があったからだ。

今回の事故では何が問題だったか

こどもを含む200人近い人々が犠牲になった今回の事故から学べることは何か。どうやったらその犠牲を無駄死にではなく尊い犠牲とできるか。思いつく問題点は下記。

  • なぜセンサが壊れたまま機体は送り出されたのか
  • なぜパイロットは水平尾翼の自動作動による繰り返される”死のダイブ”を止められなかったのか
  • なぜAoAセンサ故障に耐えられるシステムではなかったのか

最大の問題は、言うまでもなく、1番のAoAセンサが故障したまま送り出されたことだろう。AoAセンサは非常に重要な機器であり欠くことができない。この観点で何が問題だったのか、今後どうすれば防げるかはいずれ最終報告書に載るだろう。

2番目の問題に関し、Preliminary Reportに記載されていた話によれば、事故フライトのひとつ前のフライトでも同様の問題が発生しており、その際にはパイロットは水平尾翼のCUTOUTスイッチを使って、水平尾翼が動かないように対処した。こうすることで、パイロットは常に操縦桿を使って操縦しなければならなくなるが、勝手に機体姿勢が変わることを防げ、安全に飛行できる。事故フライトでも同じことをやればよかったのだが、すべてのパイロットがそのように良い判断をできるわけではない。事故フライトではAoAセンサ故障のため、離陸時から常に失速警報が作動し、操縦桿は震え続けていた。

さらに、Preliminary Reportによれば、最終的には操縦桿を動かしても片側のエレベータしか動かなくなっており、MCASにはとても勝てない状況となっている。この状態になると手の施しようがない。

3番目の問題点が個人的には重要に思える。AoAセンサ故障のまま機体が送り出されることは起きうるし、パイロットは必ずしも完璧ではない。機体としては、もしAoAセンサが故障しても問題なく飛べればよかった。AoAセンサ故障を検知したらMCASを自動的にオフにするとか、AoAセンサが一系統故障してもいいように予備用の何か別のセンサまたは信号を用意しておくとか。この点に関しては次のRegulationsがある。

14 CFR 25.1309 Equipment, systems, and installations.
(b) The airplane systems and associated components, considered separately and in relation to other systems, must be designed so that—
(1) The occurrence of any failure condition which would prevent the continued safe flight and landing of the airplane is extremely improbable

継続した飛行及び着陸を妨げるような故障の確率は、”Extremely Improbable”でなくてはならない。”Extremely Improbable”は確率で言えば10^-9のことである。今回のAoAセンサ故障は10^-9以下の低い確率とは考えにくいにもかかわらず、”継続した飛行及び着陸”ができなかった。故障率を下げるか、故障しても問題なく飛行できるようにする必要があるように思える。どのようにしてこのRegulationsに対して適合性を証明したのかはわからないが、今後Boeingはこの事故を念頭において設計変更をするかもしれない。または、FAA(連邦航空局)からそのような要求が出るかもしれない。

続編の記事はこちら。

737-8のMCASの設計変更はどのようなものになるのか – エチオピア航空 302便墜落事故
エチオピア航空の737-8が墜ちた。これを受けて、737-8のMCASの制御則を設計変更するという話がFAAやBoeingなどから公式にリリースされた。いくつかのメディア記事やプレスリリースを読んだ結果、だいたいの設計の変更の内容を理解でき

コメント

  1. […] 、737-8のMCASの制御則を設計変更するという話がFAAやBoeingなどから公式にリリースされた。前回の記事に加えて、いくつかのメディア記事やプレスリリースを読んだ結果、だいたいの内容は […]

  2. […] この事故の原因は過去の記事((1) Lion Air, (2) Ethiopian Airlines)にまとめたので興味があればどうぞ。 […]