我的书签
添加书签
移除书签第十四章 航空运输
族特征
我们在舒适和安全的条件下以比 100 年前快 100 倍的速度在天空飞行, 并往往能在细心的乘务员的照顾下,在指定的日子里到达目的地,这是一个真正的奇迹,但我们当中很少有人会对此多加思索。据报道,人类开始飞行是一两千年前的事,那时没有物质享受,死亡率是 50%。根据传说,代达罗斯活了下来,可他那鲁莽的儿子伊卡洛斯却丢了性命。我们经历了很长的历史。为了明确态度,看一下 1909 年 11 月《美国评论之评论》中的一篇绝妙的文章,它赞扬了航空业的最新成就,接着说道:
这些就是过去两年的成就。这确实是个不可思议的记录,甚至远远超过了飞行迷们的期望。然而,任何一位严肃和公正的观察家都看到,尽管这些飞行表演非常杰出,但它们并不能证明对这种新型迷人玩具的过分要求是正当的——它确实是玩具,至少在目前的发展阶段是如此。在它能为普通的运动员使用并与汽车一样成为公认的娱乐手段之前还有根长的路要走。这篇文章接着揭露了对飞行提出的所有的愚蠢的要求,特别是也许可以用于战争的要求。当时的预见就是如此。
目前商用喷气式飞机的乘客死亡率大约是每 10 亿乘客英里有 1 人,比
汽车乘客的平均死亡率低 10 倍,比专用航空飞机的死亡率低 100 倍。根据大型商业航空公司对乘客登上飞机以后死亡的可能性进行衡量的安全记录,在过去 50 年中这种安全性提高了 200 倍,在非航班飞行中也有相应的改善。在同一时期内,机动车旅行每英里的死亡率降低了不到五分之四。(作者首先应承认他当了 40 多年的专用航空飞行员,对飞行很有感情,这也许会使他带着有色眼镜看问题,他将努力不使这一点影响他的客观性。但他在这方面做得如何应由读者来判断。)不管怎样,商业飞行确实是远距离旅行的所有途径中最安全的一种。
尽管这些统计数字是正确的,但专用航空的死亡率每年相差很大,这取决于是否发生了事故。 1980 年的定期航班中没有发生造成死亡的事故;而1979 年则发生了迄今最严重的国内飞行事故(芝加哥 DC-10 坠毁,275 人死亡)。 1982 年死亡 233 人;而 1984 年死亡 4 人,1985 年死亡 197 人,1986
年则是 3 人。每年总共有 700 多万次飞行,运输了 4 亿人次的乘客,每人次
平均飞行 1000 英里,尽管很容易求出死亡率的平均数,而且这也是我们所做的。但任何一年都可能发生一次大事故,也可能什么事故也不会发生,也可能发生几次事故——这是统计的性质。发生事故以后,就有人要求提高安全水准,而不发生事故时,我们认为这理所当然,并抱怨航空食品。
如果发生商用飞机事故,就会造成许多人死亡,国此会引起公众注意, 人们会误以为航空事故的发生率较高。涉及罕见事件的平均数很难具体化, 但我们仍然必须对风险作出量的估计。1988 年提交给总统的一份报告开头就说,“委员会一致认为国家的航空运输系统是安全的”,这立即给人们带来一个错觉,认为安全就像厨房的龙头,或是开着,或是关上了。它并不是龙头,而它却和许多真正的厨房龙头一样泄漏。问题的关键在于它泄漏多少。凯尔文勋爵说过,“若你可以衡量你所说的事,并用数字表达,那么你确实对它有所了解”,那些说某样东西安全或不安全的人是在偷懒,这也包括总
统委员会。
尽管专用航空系统的事故发生率要高得多(包括飞行和往返线要好一些),但所有的飞行从过去到现在都越来越安全。对促进安全起作用的是方程的各个组成部分:飞机的设计、建造和维修;引擎可靠性的提高;电子设备的大幅度改进使飞行操作在恶劣的气候条件下都很容易,连平庸的飞行员也能应付(因此阻碍了优胜劣汰的法则的实施,至少是在飞行员中);飞行高度的增加;天气预报的改善;对风险来源的持续学习过程;以及其他许多因素。只有空中交通控制系统在过去几十年中一直未变,它只是在用新的技术去做它一直在做的事,虽然效率更高,管理的飞机数量增大。所以该系统总是像濒临绝境似地运行着。
空中交通控制系统有一个基本目标:使处于控制的飞机不相互撞击。它不负责防止飞机撞击山头或地面,或用尽燃料,或无意地翻跟头——这些是飞行员的责任。该系统属联邦航空局并由其经营管理,联邦航空局(在管制机构中是独一无二的)既负责管理和发展航空业,同时又经营它所管制的系统,它用其雇员干这些事。联邦航空局现在是运输部的一部分,但正在采取步骤——前面提到的航空安全委员会建议的——恢复其早期的独立地位。目前的这种安排既具有历史意义,又很古怪。
我们应该看一看数字。联邦航空局大约有 5 万名全日制雇员,年预算消
费约 50 亿美元。它控制着大约 70 万有执照的飞行员的生活,其中 15 万名飞
行员持有商用飞行执照,8 万名飞行员拥有航班运输级别。全美国大约有 20
万架正在使用的各种型号飞机,其中 3000 架是由航空公司经营的喷气式飞
机。定期航班所运载的乘客是专用航空的 3 倍,而飞行次数是后者的十分之一,运载旅客的距离较远,速度较快,也更加安全,但目的地较少。全国共有 1 万多个机场,其中约有 400 个是用于定期航班,其余大部分都用于专用航空。这是一个设备和人员的丰富和复杂的混合。
联邦航空局的工作总是劳动密集型的,地面控制员对正在飞行的一架飞机负责(条件是飞行正处于控制之下——大多数专用航空航班,即大多数航班并不处于管制之下),随着飞行的继续,又把责任移交给下一位控制员。飞行员都认为管理员对正在飞行的飞行员的指示是咨询性质的,而真正负责和指挥的是飞行员。这就意味着帮助联邦航空局在控制员犯错误时逃避法律责任。任何一名飞行员都会迅速了解他与控制员的关系的实质,即控制员在操纵演出。公平地讲,控制员都能周到、出色地完成自己的工作,是一群具有献身精神的人。
飞行的基本规则一直是看见和被看见,这一规则适用于天气较好,有可能根据目视飞航规则飞行的时候,而在天气不好时,则使用仪器飞航规则。只有在像高海拔或靠近大机场这样一些特殊的情况下,联邦航空局才成为飞行戏剧中一个活跃的角色,其历史性任务是在能见度较低以及看见和被看见规则无法实施时防止飞机在空中相撞。事实上,航空公司的飞机总是依据仪器飞航计划飞行的,不管天气和能见度如何。因此,飞行总是处于积极控制之下。航空公司很久以前就开始采取这种作法,其目的是给控制系统增加负担,从而迫使联邦航空局雇用更多的控制员,提供更多的服务。这种作法果真奏效。当然,即使在执行仪器飞航计划时,也要求飞行员在能见度允许的情况下保持目视监视。飞行员们工作的勤奋程度不一样。
到 1980 年,共有 27,000 名控制员为联邦航空局工作,在全美国为飞行
在天空的平均 700 架航班飞机和 4 倍于此的专用航空飞机服务。这些数字在不同的地点和时间各有不同。大多数专用航空飞机通常不按仪器飞航规则飞行,大多数专用航空飞行员甚至受过这种训练,不具备这种能力,因此,即使是 5 班倒,仍有好几名值勤的控制员在为一架飞机服务。虽然除了飞行跟踪外还有其他一些职责,但这仍为衡量劳动密集型组织的一种方法。
1981 年,控制员工会组织了一次非法的罢工,总统谴责了这次罢工并解雇了罢工的控制员,控制员的人数下降到 17,000 人。这为迅速实施计划使控制系统现代化和改善技术与人员的比率提供了黄金机会,但这个机会丧失了;控制员的人数目前正在恢复。
在那些长期为航空安全工作的工程师当中,联邦航空局早就有着技术落后的名声。人们都知道好挖苦的人认为其动机在于保住控制员的饭碗,而其他人则认为这只是出于惯性。不管原因如何,最近的每一次主要研究——研究进行了许多次——得出的结论都是,联邦航空局的设施远远落后于现有的技术水平,而其改进速度非常慢,与技术水平的差距越来越大。这些问题不能通过雇用更多的控制员来解决,而资金也不是问题,航空信托基金有着丰富的未派上用途的资金。议员们也乘飞机,他们急切地支持控制系统的任何改进,只要发生的变化不会威胁他们在华盛顿机场附近停车的特权。(停车似乎是人类的一个较强的需求之一。一所大学的一位前任校长在别人让他描述一下自己的工作时说,他的工作是为校友提供橄榄球,为大学生提供性生活,为教职员工提供停车点。)
联邦航空局对于控制员的作用有着先入之见,一个简单的衡量手段—— 联邦航空局的高级管事都是前控制员,因为该系统中没有其他的提升途径—
—体现在工资级别中,技术员最高的工资级别,在政府级别中是 12 级(1988 年大约是 42,000 美元);而控制员则是 14 级(1988 年大约是 6 万美元), 退休安排也有类似的倾斜。
到现在为止我们还没提到雷达系统,进场系统,通讯系统,计算机系统等等,因此对于技术惯性的判断也许过于急躁。所有这些技术在空中交通控制系统中都有自己的位置,但没有一个系统接近于现代技术的能力。举一个例子,在大部分商业电视节目和私人电话早已由卫星传送的时期——卫星中继站避开了由地球球体形状造成的问题——联邦航空局没有认真的卫星计划。相反,每一架飞机在国内飞越一二百英里之后,其控制员就更换了一位, 无线电频率也随之改变,就像 40 年前一样。为在不同的控制中心之间进行协调,使用了详尽的程序,联邦航空局及其控制员在这方面的工作值得称赞。
为这一切服务的导航和通讯系统惊人地错综复杂,而该系统居然能够使用,更是令人吃惊。主要的设施包括 1000 多件分离的甚高频导航设备(是
40 年前采用的那种),另外大约 1000 种较低频率的信标(其历史远远长于
40 年,实际上现在已不太使用),25 个中央空中航道交通控制中心(航线交
通的所有改组、计算和协调在此进行),大约有 700 座控制塔指挥飞机进出机场,1000 多件设备的着陆系统(同样落后于现代技术 40 年,但它却是有效和可靠的,它也是替换的候补对象),几千个无线电台,在 1000 种频率上运行,许许多多的雷达(当然是过时的)向系统提供信息,许许多多计算机
(同样可悲地古老,快要散架子了,并正在由稍稍不过时些的机器代替), 以及一批其他设备。它们全由成千上万的控制员主持。所有的无线电和雷达设施都在地面上,因此受到视线的限制,在国土上根据仪器飞行规则进行的
飞行就是在这个由提供帮助的电子设备和人员组成的迷宫中找出一条路。 结果,整个系统运行得很不错,但怎么会是这样的呢?毕竟人不应该与
成功吵架,而应该努力去了解成功。我们首先可以问一下天空中到底有多挤。平均来说,在任何时间,天空中共有 1100 架航班飞机(1986 年的数据,
它还在增加),3300 架专用航空飞机(也是 1986 年的数据,它在减少)。如果加上几百架往返和空中出租飞机,总数就约达 5000 架。飞机的分配很不均衡,东部的飞机比西部的多,低空飞行的飞机比高空飞行的多,白天的飞机比晚上多,在好天气飞行的比坏天气的多;而我们需要的是平均数。由于美国大陆的面积超过 300 万平方英里,如果飞机平均分布的话,每架飞机可
占有 600 平方英里的空间,它们当然广泛地分布在从地面到几万英尺海拔的不同高度,因此飞机不会擦翼而过,即使没有一个飞行员向外看。当然,在天气好的时候,飞行员是应该向外看的,90%以上的时间天气是好的。这就是空中环境,除非靠近繁忙的大机场和在东部的其他一些地区,这些地方的天空确确实实布满了飞机。在那里,特别是在天气坏的时候,航空训练团系统就可以挣饭吃了。然而,平均来说,控制员对于防止飞行中的相撞并没有起太大的作用,因为通常地天空中并不太拥挤。
事实上,避免相撞的问题由于控制系统的存在而加剧。尽管天空很大, 我们生活的世界是三维空间,通常要求处于控制之下的飞机在相当于 1000 英尺的倍数的高度飞行,例如 1 万英尺,28,000 英尺,等等。因此,它们挤在某些具体的高度,相撞的可能性增加了。此外,它们通常还须要在专门的航道飞行(空中公路),这也造成飞机的拥挤。这背后的推论是知道每一架飞机的具体位置的控制员可以使飞机适当地分散。这在大多数情况下都行之有效,但航道的开辟使它更加困难。控制系统把所有的飞机集中到一起, 使其易于跟踪,然后更加努力地防止飞机相撞。
除非在大机场附近,随意的飞行也能达到相同的效果。
技术的进步很缓慢,而程序变化并不太慢,因为它们只需要一个信号, 而且它们几乎总是由联邦航空局控制下的空域的扩展区构成,空域被分成惊人的碎片。
1987 年,一架墨西哥航空公司的班机在洛杉矶国际机场附近的一小块处
于控制之下的空域中与一架小飞机相撞,这块空域刚好有 1000 英尺厚,海拔
在 6000 英尺和 7000 英尺之间,它的上、下、北面、西南面和东面都是不受控制的空域。它的形状相当于一个馅饼,两架飞机的空中导航辅助设备都无法确定对方是否处于这一空域之中。(地图上标得很明确,但如果导航无线电设备不能确定边界,它毫无用处。与安大略的信标接通联系可确定一条边界,与锡尔滩信标接通无线电联系又可以确定一条边界,与洛杉矶接通无线电联系可以确定第三条边界。没有人能有这么多富余的无线电频道。此外, 通常的作法是把无线电设备和注意力集中到降落在正确的机场上的无聊的事务上。)这并不能为处于控制之下的空域中的飞行员辩解,但确实提供了部分解释。这是一块被不受控制的天空所包围的受控制的空域,它的形状奇特。对于航班飞机来说,这并不是问题;控制员告诉飞行员往哪儿飞。由于他被引进这一禁区,他并不需要知道他是否处于禁区之中一控制员知道他在哪里。这种复杂的天空分区在所有的大机场附近都存在,被称作终点控制区。洛杉矶终点控制区有 12 块这种形状奇特的空域,每一块都有自己的海拔限制。
联邦航空局对这一事故的反应是进一步限制空域,使其更加复杂,扩大被控制的空间(其中包括把终点控制区的最高点从 7000 英尺提高到 12,500 英尺,尽管事故是在 7000 英尺下发生的)。它接着关闭了现有的航道(终点控制区的所谓目视飞航规则走廊),而开始设置这些航道就是为了避免这种事故。这一惊慌失措的反应明显具有反作用,联邦航空局不得不撤销了最后这一措施。当时的局长作这一后退值得赞扬,尽管他一开始的轻率行动并不值得称赞,保持其他那些鲁莽的变革也不值得称赞。联邦航空局的反应与事故的根源几乎无关,但却满足了一种长期的扩大控制空域的渴望。就洛杉矶而言,许多安全专家长期以来一直建议用另一种手段代替通过东面的进场走廊的空域管制。(由于太平洋在西边,因此来自那个方向的飞机较少。)不幸的是,尽管这一安排也许比复杂的终点控制区更安全,但它却减少而不是增加了控制之下的空域,因此在联邦航空局的管理阶层没有引起兴趣。许多管制机构确实认为增加控制是增加安全的同义语。公平地讲,他们并不总是错的。
航空安全的状况很好,但并不只是因为管制。对航空公司来说,真正对此起了作用的因素是他们自己认识到乘飞机的公众对偶然的事故非常敏感, 如果事故太多,经营状况就很糟糕。飞行员们也知道每次飞行他们自己的生命和生涯都处于危险之中,因此他们总的来讲是一个具有安全意识的专业团体。飞行是分布着几个惊慌时刻的长时间的无聊旅程这句老话仍然正确。全国运输安全委员会估计在商用班机的致命事故中有 43%是由飞行员的错误造成的。
对安全起到作用的第二个因素是全国运输安全委员会本身。一架飞机是一个复杂的装置,会受到意料之内和意料之外的压力,飞行员也是如此。没有一位工程师能坐在图板前凭空设计出一架安全、稳固、全天候、耐错误的飞机。也没有人醒来就想象出飞机能在其中运行的整套通讯、雷达、照明、跑道、信号等等复杂的系统。同样也不可能发明出恰好适用于培训飞行员、工程师、技术员、维修人员的方案,更不用说控制员了。所有这些都必须从经验中学习。
今天的飞机从理论上讲与 80 年前的飞机并无不同,那是写本章开始引用的那篇文章的时候。引擎,结构,飞行理论知识,控制系统等等发生了巨大的变化,但对于地球以外的观察家来说,其相同点比不同点更能给人留下深刻的印象。这并没有什么错——它提供了一个学习的机会。前面引用过桑培亚那的话,即不能记住过去的人一定会重复过去;事故的发生尤其如此。围绕着运输事故的许多活动是确定指责的对象,而全国运输安全委员会的调查是针对从错误中吸取教训,其调查结果不能用于诉讼。
全国运输安全委员会并不一直是独立的,它创立于 1966 年,由运输部控
制它的预算。它从 1975 年开始真正的独立,那时人们才认识到预算控制是事实上的控制。你从电视中得知发生一次大的飞机事故时,报道通常会包括联邦调查人员正在赶赴现场这样的陈述,接着你会听到事故的“可能起因”被确定为飞行员的错误,或在恶劣的气象条件中飞行,或燃料用尽引起发动机失灵,等等。这些信息来自全国运输安全委员会。
全国运输安全委员会不是一个管制组织,没有业务责任。它提出建议, 而管制机构——在航空业是联邦航空局——对其提出的建议可以接受也可以拒绝。尽管有时该委员会被政治化了(其成员由总统任命),但它仍被广泛
认为是有实力和公正的。其报告当然是进行诚实的实地调查的样板。
全国运输安全委员会的中心职能——它还具有其他职能——是迫使航空系统从经验中学习。确定每一个事故的根本原因,从而提出建议,减少它再次发生的可能性。建议也许会涉及规则的改变,飞机的修改或检查,飞机员或非飞行人员培训的改善和调整,航空手册的修改,或者只是警告当心某些事情。该委员会的独立性至关重要,以防止对任何事故当事人的忠诚。即使从世上最诚实和最良好的心意出发,对联邦航空局——设计师、检查员、监督员、空中交通管制系统操作员报有期望也是太过分的。联邦航空局也许对事故的发生有一定的作用。
因此,在一段时间里调查出技术和系统出了什么毛病是可能的,认识到它有时会失灵,但不让它一次又一次地以同样方式失灵。从长远来看,这使弱点得到了弥补,而这一过程又带来了极其稳固的航空安全体制,它以系统的方式从经验中吸取力量。这是个值得学习的榜样。每个组织都会告诉你它从经验中学习,但人们从经验中得知这些声明是可疑的。我们已经引用过桑塔亚那的话,现在该引用帕特里克·亨利的话了,他说,“从过去判断未来是我所知道的唯一判断未来的方式。”
但独立性有好处也有坏处,由于调查者全国运输安全委员会独立于操作者联邦航空局,这距离有效性还有一步之差。如果联邦航空局不同意全国运输安全委员会的结论或建议,委员会只能通过劝说或对外公开来施加影响。然而,在独立之前,不太令人愉快的结论更容易被塞到地毯底下。考虑一下著名的 Dc-10 的行李舱门的事故。
Dc-10 型飞机和其他大型客机一样,其机身被纵向分为两大部分。旅客在上面,行李在下面。客舱的地板就是行李舱的顶。地板还支撑着连接飞机座舱和尾部的许多飞行和引擎控制线。(DC-10 机翼上有两个引擎,垂直尾翼有一个引擎。)行李舱是密封的,其压力应与客舱大致相等。随着飞机的升高,外部的压力减少,但为了乘客的舒适和安全,要求内部的压力下降不要那么快,通常的作法是把机舱的压力保持在海平面的水平,即使是在海拔很高的地方。因此行李舱与客舱压力相同,都比外面的压力大,中间有一层地板隔开。不管哪一个舱失去压力,都会给地板造成重压。地面人员在飞行之前必须关闭并锁上行李舱门,而机组人员则关照乘客舱门。如果有什么错误,飞行座舱的指示灯会有报告。
1972 年初,美洲航空公司的一架 DC-10 飞机离开底特律前往布法罗。在升高到 12,000 英尺的高度时,行李舱门突然被吹掉了,导致行李舱迅速减压,由于客舱的气压大于行李舱的气压,两舱中间的地板弯曲了。这损害了一些重要的控制系统,导致较大的失控。幸运的是飞机载量很小,失控是部分的,飞行员还能够把飞机飞回底特律。飞机遭到严重损坏,但没有人死亡。
当然全国运输安全委员会进行了全面调查,结论是行李舱门的门锁装置设计欠佳,门锁可以用力撞上,而门却并没有锁好。门锁装置的细节不重要, 但需要指出的是关上的门可以使飞机座舱的警告灯熄灭。尽管地面人员注意到门很难关,他们显然不会介意使用力气,事故也就不可避免了。机组人员根本不知道门没有锁好。
对于应该采取什么措施,全国运输安全委员会和联邦航空局之间爆发了一场大战。安全委员会建议联邦航空局要求修改门锁装置,使得舱门在未锁的情况下不可能关上。他们还建议在客舱和行李舱之间设置通风孔,避免引
起飞机结构损害的压力差异。详细介绍涉及的人没什么意义,尽管后来发生的事件把黑帽子与白帽子*区分开来。联邦航空局拒绝要求飞机作重大的修改,而命令在 DC-10 上装一个小窗户,这样地面人员从外面可以看见门锁, 从而保证把锁锁好。
1974 年,即两年以后,土耳其航空公司的一架 DC-10 从巴黎起飞,当它升高到海拔 12,000 英尺的高度时,行李舱门被吹掉了,这次飞机载满了旅客,地板的坍塌更完全,因而导致了飞机失控。这是历史上最严重的空难, 死亡 346 人。除了结果不同,它与上一次事故几乎一样,而且是完全可以预防的。检查窗是安装了,但显然没有人告诉地面人员去使用这个窗户。而且窗户离地面很远,本来用起来就很不方便。
现在所有的 DC-10 飞机都得到了适当的修改。 1975 年议会使得全国运输安全委员会成为一个完全独立的机构,但那时它已失去了一些最优秀的人才。独立有其优点,特别是强制吸取教训,公牛也许需要被抵伤。
*美国旱用西部片中,坏人戴黑帽子,好人戴白帽子。(译注)
小 飞 机 “小飞机”一词有时被认为是专用航空的同义词,但它并不是。出版令
人兴奋的杂志的出版商用他们的私人 DC-9 型飞机到处旅行时,就是专用航空部分,因为它处于航空工业以外。大部分专用航空飞机实际上很小,运载旅客不到 12 人,最常见的是运载乘客 2 人或 4 人。双人座的飞机常常用于培训,
4 人座的飞机则是社区的载重马。在当地的机场遛达一圈,任何人都会相信这一点。
全国这样的飞机超过 20 万架,我们已经说过它们构成了 90%以上的起飞和降落,而运载的旅客比航班飞机少得多,距离也较短。尽管人们广泛认为这种飞行许多是为了好玩(人们称之为“云雀”),但联邦航空局只把其中的 6%定为“娱乐性”的。它包括各种各样的飞机,由各不相同的人出于不同的原因驾驶,适于归为“其他”一类。
最好的专用航空飞机装备着与大多数商用飞机一样的先进仪器和设备, 而装备最次的也许限于一个罗盘,一个高度计,一个飞行速度指示器。撒农药并不需要太多的设备,而喷撒农药的飞机通常并不飞进大机场。
飞行员的技术参差不齐。在 70 万名持有驾驶执照的飞行员中(只有 4 万名是妇女) ,25 万人持有允许他们在坏天气飞行的级别证书。几乎所有商业飞行员都有这种级别证书,而 30 万名私人飞行员中却只有十分之一有级
别证书。如果数字相加不符合总数的话,是因为总飞行员人数还包括 15 万名学员飞行员,他们也许在导师的监督下飞行,但不运载乘客。
专用航空是一个比商业航空复杂得多的混合体。事故发生率高得甚至像机动车。死亡人数最近几年急剧下降,1987 年降到 800 人以下,但部分原因是飞行时数也下降了。
对于专用航空的致命事故起因的详细统计分析由全国运输安全委员会公布,但很难找到有用的概括性结论。 1987 年发生 426 起致命事故,死亡 788
人,而事故的起因则有 426 种。对这些事故进行分类的可能性要大于进行分析的可能性,尽管任何分析也许会导致命令对同样型号的其他飞机进行某种修改。在这方面的程序与商用航空一样。其区别在于商用航空事故的发生率
较低,而死亡人数较多,调查进行得更为彻底,其本身就构成了一个独特的教训。
从全国运输安全委员会所使用的大范围分类可得出某种启示。它列出一个叫做“第一发生”的事件,即在事故顺序中的第一个事件。主要的原因是飞行中失控以及在飞行中遇到坏天气。没有一个原因会涉及另一架飞机或空中交通控制系统,而这两个原因都是完全可以避免的。这在安全委员会所确定的可能原因中得到体现,他们把飞行员列为造成 90%专用航空致命事故的因素,而恶劣气候则促成了 35%的事故。第二大类是“杂项”,这一类没多大帮助。飞行员在恶劣条件中作出了错误的处理,遇到了他们没有能力应付的天气,错误(回想起来是这样)的决策,以及总的来说糟糕的判断——这些因素造成了致命的事故。
但在这些事故中酒精或年轻人不像在汽车事故中那样成为主要原因,尽管有时也涉及到酒精问题。但它不像在公路上那样是主要影响因素。同样, 发生致命事故的飞行员的年龄分布从 30 岁到 55 岁平均分配,小于 30 岁和大
于 55 岁的人数则减少。这并不是因为不允许年轻人开飞机——学员飞行员获
得执照的年龄要求是 16 岁,而获得正式飞行员执照的年龄要求是 17 岁——而是因为年轻人得到汽车要比得到飞机容易。毫无疑问也存在着社会因素。也不是发生致命事故的飞行员一定缺乏经验。掌握操纵器达几千小时的
飞行员也会遇到他们无法处理的情况。当然,在有了 100 小时的飞行经验后有一段时间,飞行员认为自己已知道一切应知道的事,但如果他在第一次遇到使他感到自己能力有限的紧急情况中生存下来的话,他就会成为一个更加优秀和更加谦虚的飞行员。同样的道理,在第二次世界大战中战死的战斗机飞行员有一半是首次执行战斗任务的。
不必再作补充了。大部分专用航空死亡原因不在于技术、飞机或空中交通控制系统,而在于人。大飞机的情况往往也是如此。
大飞机
空中交通控制系统的服务对象是大多数美国人所熟悉的大飞机。大飞机约有 3000 架,航空公司的经济学要求这些飞机有四分之一的时间在空中飞行。在空中的时间越长越好,因为飞机在地面上停着影响了资金的周转,且没有收入。正如我们开始时所说的,控制系统提供的主要服务是使飞机分散, 特别是在天气坏的情况下。在天气好时,大多数飞行员在大多数时间里都处于警觉状态。然而,在高海拔的地方有一些松懈和自满,所有的飞机都处于完全的控制之下,分布在不同的海拔,而且飞机毕竟不是太多,在空中相撞极为罕见。航班事故,和专用航空事故一样,常常是由于飞行员的错误。当然,很难进行概括,因为航班事故极少,每一个事故都是特例,且本身都是一个复杂的故事。
很少有一个事故是一次单独的事件。一架飞机在空中航行,机上人员无忧无虑,十分高兴,然后灾难没有警告地突然降临,这种情况很少发生。对根本原因作的详细研究总是表明事故已在酝酿发生,它已通过先发生的一些小的故障或其他方式发出了信号,回头想想这些事故都是可以预防的。回头想是一种很好的手段,但你事先确实需要它时,它总是不在。在查出事故的主要原因是飞行员的失误时,这往往意味着飞行员对一些异常情况处理不
当,不管是机械的小故障或大故障,或是天气,或是任何一种他通常能够轻易应付的十几种挑战。人为失误也包括维修人员和其他辅助人员,其集体努力构成一次安全飞行。飞行员被期望应付一切剩下的问题,他是许多环节中的最后一环。他的培训就是处理异常情况——任何笨蛋都能学会在正常情况下驾驶现代化飞机。
飞机和其他安全因素非常重要的系统往往依赖于跨越一切技术的某些普遍安全原则。第一个原则是多余——大部分重要部件有两套或三套,因此有一套失灵不会损坏整个系统。这就是航班飞机有两个或两个以上引擎的一个原因,这样设计是为了在失去一个引擎时飞机还可以飞。飞行员定期练习引擎失灵程序。设备有两套,无线电也有两套,甚至飞行员也有两位,从而使得飞机能抵抗所谓的单套失灵。一位飞行员声称在飞行中所有的引擎都失灵了(在多引擎飞机上)时,其他大部分飞行员都会认为他犯了错误,或是没有燃料了。在双引擎飞机上容易犯的错误是,一个引擎失灵了,而关闭了的却是那个好的引擎。要知道哪个引擎失灵并不总是很容易。但这种令人难堪的错误并不常见,多余设备为保证飞机安全经过了很长的历程。
如果某个部件不能有两套,联邦航空局的飞机设计标准要求其夫灵的可能性“极其渺小”,尽管用概率解释这一要求很不明确。例如,现代飞机上的右翼只有一套,因此它们必须极其可靠,而事实上飞行中的结构失灵很罕见。
第二个在设计中普遍存在的安全原则叫作纵深防御。在某一设备失灵时,应该有某种备用系统以另一种方式提供同样的功能,或至少提供一个脱离失灵引起的困境的途径。如果正常的方法失灵了,总有另一种降低起落架的方法,有一些机动和电力泵。如果所有的无线电通讯都中断,雷达脉冲转发器可提供有限的通讯。在自动驾驶仪失灵时,飞行员实际上是记得如何驾驶飞机的。
、这些原则结合起来,再加上较为保守的设计,使得大的商用飞机成为非常安全的机器。这在记载中有体现。(当然,保守会导致假的安全改善的幻觉,第十章中曾强调了这一点。)
尽管不是惯例,人们还是可以对飞机作概率风险分析(第五章中描述过),从而迅速了解富余设备的提供和单套失灵的预防,再加上纵深防御, 使得计算出来的失灵概率非常低。人们也可得知剩下的风险处在最难以进行概率风险分析的领域,这就是所谓的同一原因失灵,这在第五章中也曾提到。对某些事件或人为行为将破坏一架设计完善的飞机上的所有复杂的富余设备和纵深防御的概率进行预测非常困难,接近于不可能,但经验表明这种情况确实会发生。这里有一个著名的例子。只是纯粹出于运气才没有人丧生。
通常人们都认为两个引擎比一个引擎好,尽管有一些持异议者指出这使得一个引擎在飞行中失灵的机会增加一倍,要是有三个或四个引擎将会好得多。任何一个引擎失灵的概率是已知的,而两个引擎各自独立地失灵的概率也可以计算出来,该数字确实很小,但独立是关键词,而且这种情况确实会发生。
1983 年 5 月 5 日,一架洛克黑德 L-1011 型飞机(三个引擎)正在作从迈阿密到巴哈马群岛的短程飞行,机组人员注意到一个引擎的油压下降,因此关闭了这个引擎。这是防止引擎损坏的一个正确步骤,因为依靠任何两个引擎飞机都完全可以飞行。(汽车中的油压灯变亮时,我们也应该关闭引擎。)
机长决定飞回迈阿密,因为那里的地面设施较好,这也是一个合理的决定。15 分钟以后,当他们改变航程预计平静返回时,另一个引擎失灵了,5 分钟后,最后一个引擎也失灵了。这使得飞机像滑翔机那样运作,而它并不是为此设计的。他们在水上,没有动力,正在下降,真是遇到了麻烦。
在 5000 英尺左右,在使 162 名乘客准备好在海上紧急迫降后,机组人员重新发动了第一个失灵的引擎,这个引擎勉强维持到返回迈阿密。这是个幸福的结局,但一架现代化飞机上三个各自独立的引擎怎么会一个接一个地失灵呢?这种事件的通常原因被委婉地称作管理不当——燃料用尽,这是飞行员的严重失误——然而这次事件并非这样,飞机机组人员完全没有失误。
这三个引擎用尽了油,不是燃料。怎么会发生这种事?——它们各自拥有独立的油库,起飞前都检查过。当然这就是问题所在了,因为它们是被检查过的。每当某样东西被检查过,就有可能使它比检查前更加糟糕。这种飞机的定期维修的一部分无论在过去还是现在都是定期清除磁片探测器,即油管内安装的小磁片。它们被放在那里是为了吸引和抓住任何游动的钢片,这将会显示出引擎的过度磨损和损坏。装置这些磁片是为了安全的原因,每个磁片上都有两个 O 型的环,防止漏油,不幸的是,O 型环只有装上才能起作用,而这三个探测磁片都没有安装 O 型环,因此三个引擎都漏油,最后失灵。这是一个典型的同一原因故障,其共同原因在于使用同一批维修人员。这种失误很容易防止,不要让同一批维修人员检查一个有富余设备的系统中的两套设备。然而,这造成了日程安排问题,在实际中很少能做到这样。
在这个例子中,整个故事更让人灰心,这个问题一直需要得到人们的重视。在发生这一事件的一年半以前,这种引擎的漏油已发生过 12 例,其中 9 例导致引擎的关闭,而 5 例是因为安装磁片探测器时没有装上 O 型环。联邦航空局检查人员是知道这一点的,但没有想到有一天这种情况会在同一架飞机上的三个引擎上同时发生。他们只满足于告诉航空公司更加谨慎一点,而没有改变维修工作方法。
在下一部分中我们将讨论一些更加著名的 O 型环,但故事仍然属于没有认真对待早些时候发生的故障。我们似乎认为自己的生活受着魔法的保护, 当然相反的事实堵住了我们的嘴。
所有的致命飞机事故,以及许多不致命的事故都受到全国运输安全委员会的认真对待,从而得到一份有关导致事故发生的情形、事件发生的顺序以及事故的主要起因的详细报告。没有一个例外,上文所写的情况的依据就是安全委员会的报告。这些报告意在尽可能以不太痛苦的方式从经验中学习, 向社会提出建议。了解航空安全的复杂性的最好办法是读几份这样的报告。
宇宙飞船
严格地讲,宇宙飞船并不属于航空安全这一章节——太空中几乎没有空气——但其安全问题很自然地随着前面的叙述而来。支持太空计划的工业同样支持航空业,而工程师们则称自己为宇航工程师。技术大部分相同。设计太空飞行器所遇到的挑战要比飞机更加严峻,而安全问题的处理则更加笨拙,费用较大,飞行器也较少。总的来说,二者的相似之处证明把飞机和宇宙飞船相提并论是有道理的。
在 1986 年 1 月挑战者号的灾难之前,美国已执行了 24 次航天飞机的轨
道飞行任务,以及相应数目的航天飞机前飞行,其中有些远远脱离了地球的轨道。整整 19 年前发射台上发生了一次致命的事故,杀死了 3 名字航员,但飞行中没有任何人员死亡。飞行中当然存在着一些问题,故障,甚至还有戏剧性事件,但仅此而已。这是一个奇迹般的记录,苏联人干得和我们差不多好。是这一个成功的记录,不可避免地导致了安全系统的自满,而这种自满就是挑战者号事件的根源,它也是下一次事故的根源,尽管著名的 O 型环是悲剧的角色,自满则是幕后的恶魔。
轨道中的第一个物体人造卫星是由苏联人于 1957 年发射的,接着是一条
叫做拉卡的狗进入轨道,最后是 1961 年尤里·加加林的第一次载人轨道飞
行。(也许当时不到 10 岁的人不记得这些了,那部分人占现在人口的一半以上。)美国并没有落后很远,一年以后,约翰·格伦(现在的格伦参议员) 进入了地球的轨道。从 1957 年到 60 年代初,美国陷于一种学术恐慌之中, 害怕我们在技术方面的主动性输给了苏联人。每个人、每件事都受到了指责, 特别是我们的教育体制。“遇到麻烦或处于怀疑之中时,就转着圈跑,尖声大叫”,这条口号流行于全国。很自然全国调动一切资源来“追赶”,1961 年,肯尼迪总统宣布了在 60 年代末把人送上月球并使其安全返回的计划。由此产生了阿波罗计划。重复这段历史是因为它体现了当时促成太空计划的全国性紧迫意识和献身意识。
登月计划很成功,首次登月行动按计划在 1969 年 7 月实施。在以后的三
年半时间里,又进行了 5 次登月和安全返回的行动,其中包括一次戏剧性的失败,飞行员绕着月球转了几圈,然后返回了地球,从那以后再没有人返回月球。苏联人从未试过。不管出于什么原因,我们从那时起一直集中于使用无人飞行器探索太阳系,只在地球轨道上使用宇航员。许多人甚至对这一点也感到奇怪,因为他们在这类飞行中的职责并不都是只有人才能够履行的。这并不是令人振奋的 60 年代所设想的后果,1967 年 2 月,登月之前两
年多,总统科学咨询委员会颁布了一份题为“阿波罗后太空计划”的富有影响力的报告,勾画了阿波罗计划(预期的)成功以后的太空探测计划。这个计划包括扩大人对月球的探测,发展有人居住的太空站,以及雄心勃勃的载人探索行星计划。所有这些都是空想,但体现了使我们竭尽全力的热情。没有一次计划被付诸实施,使用宇航员完成航天飞行任务没有什么可探测的。宇航员是一群杰出的人,适宜于太空探测,而不应履行司机的职责。
总统科学咨询委员会的报告也建议“航空航天局研究采用一个重视计划的目标而不是实现目标的手段的规划和决策体制的优势。”现在这仍然是一个很好的建议,但它不是本书的主题。在太空中增加人的存在是一件好事—
—有这样做的明确原因就更好。1989 年初,国家航空和航天局宣布它将不去分散注意力,以便“专心致志地证实航天飞机系统进行安全可靠运行的能力。”不幸的是,这同样是一个手段,不是目的——手段又一次变成了目的。爱因斯坦曾这样描述他所处的时代,“手段的完善和目的的混淆似乎是我们时代的特点。”如今越变越不离其宗了。
阿波罗飞行器是飞机工业的产品,飞机工业被变形成太空工业,其现有的最佳技能被用来创立太空工业。设计、证明和测试过程与飞机设计中使用的一样,并作了适当的修正以适应新的用途。一切都进行得很好。
对使用创新的风险估计技巧例如概率风险估计作过一些早期的努力,但计算出来的发射成功的概率对于计划管理人来说没什么用处。人具有同情心
——对宇航员说,成功的机会是三比一,因此发射获得批准,这有什么好处呢?而算出的数字比这还糟。因此对安全的量的估测的唯一可能的方法失去了,如今仍不存在。在飞机工业中你可以把它抛在一边,因为飞机很多,飞行次数也很多,所以经验本身就可以有足够的成功和失败来指明方向。阿波罗计划共有 12 次飞行,全部成功的飞行经验几乎不能体现真正的安全状况。就像一个玩俄罗斯轮盘赌的人,如果每一次成功使你更加确信你肯定不会死,你就是自欺欺人,并将为此付出代价。
因此,当国家航空和航天局从阿波罗时期走向航天飞机时代时,两个普遍性的安全问题潜入了航天系统。第一(这样说有些痛苦)是民族热情消退, 伺样,一流天才参与航天计划的动力也减少了。这并不仅仅就航空和航天局而言——创新计划也有自然的寿命。一开始开辟新的领域时,能见度很高, 个人也可获得很高的成就和满足感——那时,为计划所吸引的人的素质是全国最好的。一个国家拥有的最珍贵的商品是素质良好的人。指出有一半美国人的智力低于平均水平很容易引起听众的强烈反应,但从定义上来讲这是正确的(照语言纯正癖者的话来讲,低于中值)。这不是社会性评价,而是无可争辩的数学事实。能力较强的人更少,当计划失去其方向时,本来就很少的这些人参与或继续坚持航天计划的刺激力也减少了。
人们广泛认为当国家航空和航天局从阿波罗计划转向航天飞机时发生了这种状况。除了这个问题以外,美国作为一个国家其数学和科学落后于世界其他地区。1988 年,教育测试局进行了一次研究,对来自美国、其他一些国家以及加拿大四个省的 8 年级学生进行了科学和数学测试。当然,美国绝对是最后一名。教育危机是真实的,而且具有破坏性。
不是每个人都超过平均水平,适应这一事实似乎很困难。我在许多委员会工作过,这些委员会中有人建议(总是为了解决一些问题)不管怎样应该让负责某样工作的人显得比实际更聪明。这样的建议没什么好处。有一次我在一个空军军官培训和教育水准委员会当主席,得知 90%的空军军官被定为“远远超过平均水准”,尽管这在数学上是不可能的。(其他部门就不能比这儿好。)有一次我听见一位著名的律师说,在发生三英里岛事故后,核工业的问题在于拥有核反应堆的公用事业公司低于平均水平的太多。当有人提醒这位律师,不管我们作怎样的努力,总会有一个最次的公用事业公司,律师回答说,在这个行业中,我们付不起这一代价。对每一个班级来说,总有一个分数最低的学生,半数的学生会低于中等水平。这样说也许很蠢,但只有 10%的学生处于最高的 10%的水平。缺少素质极好的人员来做重要和创新计划的工作,这一简单的事实似乎是我们没有勇气面对的。它打击了优越感, 理应如此。
当一个计划,像 60 年代的太空计划,一直很成功时,这种转化造成的损害特别大。这培育了自满情绪,以及一种受到魔法保护的感觉。这种感觉从来不是公开的,总是被激烈地否认,但它几乎是无法避免的。没有通过事故真正展示风险,因此很容易认为事故不可能发生,而以此居功则更加容易。很少有人会说计划是在借来的时间进行的,因为过去曾有巨人的贡献。有时这不是真实,但在大多数情况下是真实的。甚至在阿波罗时代结束之前,1961 年大火在发射台上夺去三名字航员的生命时,就有证据表明国家航空和航天局对其安全计划管理不当。议会当时为航空和航天局创立了一个新的安全咨询委员会,以抵销该机构中已产生的自满情绪,而航空和航天局不想要这个
委员会,罗杰斯(总统任命)委员会有关挑战者号灾难的报告中有一章题为“沉默的安全计划”。这个题目已不言自明,但出于我不能理解的原因,这似乎并没有让那些当事人难堪,他们认为自己无可责难。
艾伦·威尔达沃夫斯基强调,所有的生物机体在其环境中需要一定水准的风险,以免它们越来越放任自流,脱离实际,最后无法应付挑战。计划也是如此。
最后,在处理罕有事故时,有两种手段可以推迟不可避免的事(除了不言而喻的那些,例如细致的工程、测试、设计、维修、培训、操作、质量控制)。一个手段是采取系统和有力的努力从经验中学习,而不是把不愉快的经历扫到地毯下面。全国运输安全委员会负责把这一积极因素带入飞机安全的改善中——而航空和航天局则没有相应的机构。这种方法也被拒绝,据说每人都有责任从经验中学习,这只不过是没有人有此责任的另一种说法。挑战者号的灾难中失灵的致命的 O 型环以前失灵过许多次,由于没有造成灾难,人们便得出了简单的结论,这样的失灵在“经验基础之内”,因此是可以接受的。自满问题还没有在航空和航天局得到解决,也许要等到下一次悲剧发生。
了解罕见事故的第二大手段是分析,具体地说是概率风险估计。第五章中描述过,它是一个系统的程序,把已知的所有部件失灵率、系统相互作用和人为失误集中到一起,对事故发生的概率作出预测,它并不完善,但比意守丹田要好得多。特别是计算出来的概率结果总是有限的,这对那些愿意在心中认为事故不可能发生的人会产生有益的效果。由于概率是真正有限的, 不是零,事故是会发生的,唯一重要的问题是什么时候发生。这对那些负有安全责任的人来说是种良好的思想状态。概率是自满情绪的自然克星。
在阿波罗计划早期,航空和航天局被认为是全国使用概率风险估计的先驱,但其计算出的失败概率令人不快地高,这种方法就被取消了。(砍掉带来坏消息的信使的头。)因此,正如里查德·费曼(我们时代最可靠的天才之一)在他的《你在乎什么别人想什么》一书中所说,航空和航天局的工程师们可能认为坚固的火箭助推器失灵的可能性几乎没有,尽管有大量的统计证据表明这种火箭失灵的机会有几个百分点。航空和航天局还有一种莫名其妙的反对以数量表示风险估计的思维方式(本人由于提出这一建议而被逐出教门),但凶事已有预兆。人们只能希望不要一定等到发生新的可怕事故时才迫使风险管理体制得到改进。回忆一下,风险估计与风险管理并不同,但却是监督管理的有效性的基本手段。
这一节集中讨论航空和航天局的风险管理体制,因为这是问题所在,技术是具有挑战性的,但它也是可以管理的,而为了保证安全对这一技术的管理没有跟上。
挑战者号事故在记忆中还很清晰,回忆事件发生的顺序没有意义。O 型环可能失灵,特别是在天冷时,这些早期的警告被合理的解释,对此表示关切的人被告知忘掉自己是工程师,像管理人员那样行事;论证的重担落在谨慎的人身上,而不是落在鲁莽的人身上;航空和航天局高层管理部门甚至根本不知道发生了什么事。因此七位原本不一定会死的人死了。航空和航天局管理层对太空飞行的明显风险视而不见,这已在早些时候得以体现,它愿意运载平民乘客,参议员,众议员,沙特王储,而在这次致命的飞行中甚至运载了一名学校老师。整个故事在罗杰斯委员会的报告中得到了很好的阐述。
报告详细地说明了在这里所作的许多一般性概括的证实信息。费曼的对传统观念进行攻击的书很值得一读,其中一半的内容都是描述他作为罗杰斯委员会成员(显然是一位让人不愉快的成员)的经历。如果能在本节结束时说美国第一次丧失宇航员的震动导致了航空和航天局风险处理方法的极大改善, 那将是很好的一件事,但这不符合事实。航空和航天局的大部分人都认为罗杰斯委员会的报告极端不公平。但它是公平的。
