软件开发人员如何看待波音737 Max灾难

本文仅代表作者个人观点，不代表作者的立场亚博真人yabo.at或者IEEE。

我当过飞行员从事软件开发30年，从事软件开发40多年。我写过大量关于航空和软件工程的文章。现在是时候把两者一起写了。

波音737 Max则是如此出现在新闻里因为两起事故，几乎是接连发生而且涉及全新的飞机。在一个最依赖于完全控制和完全安全的表象的行业，这两起事故构成了你所能得到的最接近生存风险的风险。尽管在过去几十年里，客机乘客死亡率有所下降，但这一成就并不是自满的理由。

737最早出现在1967年，当时我才3岁。当时它是一种小型飞机，发动机较小，系统相对简单。航空公司(特别是西南)喜欢它，因为它简单、可靠和灵活。更不用说它可以由两名驾驶人员驾驶，而不是以前的三到四名驾驶人员，这使得它大大节省了成本。多年来，市场和技术力量将737推向了更大的版本，电子和机械的复杂性也越来越高。无论如何，这并不是737所独有的。对于制造飞机的行业和购买飞机的客户来说，飞机都是巨大的资本投资，它们都经历了类似的增长过程。

这些市场和技术力量大多站在经济方面，而不是安全方面。他们联手无情地打压业内所谓的“客运里程费用——一个座位从一个地方飞到另一个地方的成本。

这很大程度上与引擎本身有关。原则卡诺效率也就是说，热机的体积越大，温度越高，效率就越高。对于喷气发动机和电锯发动机来说都是如此。

就这么简单。使发动机每单位功率使用更少燃料
的最有效方法是使它更大。这就是为什么莱康明O-360发动机在我赛斯纳有餐盘大小的活塞。这就是为什么
船用柴油发动机有三层楼高。这就是为什么波音公司想把巨大的CFM国际LEAP发动机安装在其最新版本的737上。

只有一个小问题:最初的737有(以今天的标准)微型发动机，很容易就能清除机翼下的地面。随着737的增长，安装了更大的发动机，发动机和地面之间的间隙开始变得有点……嗯，紧张。

各种黑客(我们在软件业中这样称呼它们)被开发出来。最引人注目的变化之一是将发动机进气道的形状从圆形改为椭圆形，以便更好地清除地面。

对于737 Max，情况变得非常危急。最初的737发动机的风扇直径(发动机进气叶片的直径)只有100厘米(40英寸);计划为737 Max设计的尺寸为176厘米。这是一个中心线的差距远远超过30厘米(一英尺)，你不能“椭圆”进气口足够悬挂在机翼下的新发动机而不刮擦地面。

解决方案是将发动机向上延伸，并在机翼的前方。然而，这样做也意味着发动机推力的中心线发生了变化。现在，当飞行员对发动机施加动力时，飞机会有明显的“向上仰”倾向，即抬起机头。

迎角是机翼与机翼上方气流的夹角。想象一下在高速公路上把手伸出车窗外。如果你的手是水平的，你的攻角就小;如果你的手向上翘起，你的攻角就很大。当迎角足够大时，机翼进入所谓的空气动力学失速。当你把手伸出窗外时，你也会有同样的感觉:当你旋转你的手时，你的手臂越来越想像翅膀一样向上移动，直到你的手失速，这时你的手臂想要向下砸在车门上。

因此，当飞行员“猛击”(我儿子喜欢这么说)时，飞机倾斜的倾向增加了飞机失速的风险。如果飞机飞行缓慢，这种情况尤其有可能发生。

更糟糕的是，由于发动机舱在机翼前面很远，而且很大，功率的增加会使它们产生升力，特别是在大迎角时。所以机舱使问题变得更糟。

我再说一遍:在737 Max中，发动机舱本身可以在大迎角下作为机翼产生升力。而且它们产生的升力远远超过了机翼的升力中心，这意味着短舱会导致737 Max在大迎角时发生倾斜更高的攻角。这是最糟糕的空气动力学渎职行为。

在飞机上，随着功率的变化而发生俯仰变化是很常见的。就连我的小塞斯纳飞机在通电时也会翘起来。飞行员为这个问题接受训练，也已经习惯了。然而，安全监管机构所允许的和飞行员所能忍受的都是有限的。

然而，随着攻角的增加，音调的变化完全是另一回事。在任何情况下，接近气动失速的飞机都不能有进一步进入失速的倾向。这就是所谓的“动态不稳定性”，唯一表现出这种特征的飞机——战斗机——也装有弹射座椅。

航空界的每个人都想要一架飞行尽可能简单自然的飞机。这意味着情况不应该有明显的变化，不应该有明显的滚转，不应该有明显的俯仰变化，当飞行员增加动力，降低襟翼或伸展起落架时什么都没有。

机身和硬件应该在第一次就做好，不需要很多额外的花里胡哨来预测飞行。这是航空佳能从莱特兄弟第一次在基蒂霍克飞行开始。

显然，737 Max在动力应用和本已很高的迎角下，调得有点太过舒适了。它违反了最古老的航空准则，也可能违反了美国联邦航空管理局的认证标准。但是，波音公司并没有回到图纸上，把机身硬件弄对(下文将详细介绍)，而是依靠一种叫做“机动特性增强系统”(MCAS)的东西。

波音对硬件问题的解决方案是软件。

我将在另一篇文章中讨论航空词汇的公司化，但让我们只说另一个术语可能是“飞行员撞击时防止失速的廉价方法”，或CWTPASWTPPI系统。嗯。也许MCAS更好，毕竟。

MCAS当然比大规模改装机身以适应更大的发动机便宜得多。这样的机身修改意味着更长的起落架(当起落架缩回时可能无法装入机身)，以及更多的东西翼二面角(向上弯曲)，等等。所有这些硬件的改变都将非常昂贵。

更糟糕的是，这些变化可能足够广泛，不仅要求FAA重新认证737，还要求波音制造一种全新的飞机。现在我们在讨论真正的钱，对于制造商和制造商的客户都是如此。

这是因为的737 Max的主要卖点是它只是一架737，任何驾驶过其他737的飞行员都可以驾驶737 Max，无需昂贵的培训，无需重新认证，无需其他类型的评级。航空公司——西南航空就是一个突出的例子——倾向于使用一种“标准”飞机。他们希望有一架飞机，所有的飞行员都能驾驶，因为这样飞行员和飞机都可以替代，最大限度地提高灵活性，最大限度地降低成本。

这一切都归结于钱，在这种情况下，MCAS是波音及其客户保持资金流向正确方向的方式。必须坚持737 Max在飞行特性和系统上与任何其他737飞机没有任何不同，这是737 Max机队可替代性的关键。这可能也是为什么关于MCAS系统的文档被保密的原因。

如果对飞机的操作手册或飞行员培训做了太明显的改动，就会有人——可能是飞行员——插话说:“嘿。它看起来不再像737了。”然后钱就会流向错误的方向。

正如我所解释的，你可以做你自己的攻角实验，只要把你的手伸出车窗并旋转它。事实证明，复杂的飞机在机械上相当于窗外的一只手:迎角传感器．

你可能在登机时注意到这个传感器。通常有两个，一个在飞机的两侧，通常就在飞行员的窗户下面。不要把它们和皮托管管子(我们稍后会讲到)。迎角传感器看起来像风向标，而皮托管看起来亚博排列五投注网站像管子。

迎角传感器看起来像风向标，因为它亚博排列五投注网站们就是这样。它们是机械的手，可以根据攻角的变化而旋转。

空托管测量的是空气对飞机的“压力”，而迎角传感器测量的是空气从哪个方向来。亚博排列五投注网站因为空托管测量空气压力，所以它们被用来确定飞机在空气中的速度。迎角传感器测量飞机相对于空气的方向。亚博排列五投注网站

有两组攻角传感器和两组空速管，机身两侧各一组。亚博排列五投注网站正常的使用方法是让飞行员一侧的设备给飞行员一侧的仪器供电，副驾驶一侧的设备给副驾驶一侧的仪器供电。这给仪器提供了一种自然冗余的状态，可以很容易地由任一飞行员进行交叉检查。如果副驾驶认为他的空速指示器出了问题，他可以查看飞行员的空速指示器，看看它是否正常。如果不是，飞行员和副驾驶就会进行一些分类，以确定哪些仪器是亵渎的，哪些是神圣的。

很久以前有一个笑话，说未来的飞机会自动飞行，而驾驶舱里只有一个飞行员和一条狗。飞行员的工作是让乘客感到舒服，因为有人在前面。这只狗的任务是，如果飞行员试图碰任何东西，就咬他。

在737上，波音公司不仅在仪表和传感器上安装了必要的冗余，还包括冗余飞行计算机——一个在飞行员一侧，另一个在副驾驶一侧。亚博排列五投注网站飞行计算机可以做很多事情，但它们的主要工作是在接到命令时驾驶飞机，并确保人类飞行员在驾驶时没有任何错误。后者被称为“信封保护”。

我们就叫它它的名字吧:咬人的狗。

让我们回顾一下MCAS的工作:当系统认为飞机可能超过攻角限制时，它会将机头向下推;这样做是为了避免空气动力学失速。波音将MCAS安装到737 Max中，是因为更大的发动机及其位置使737 Max比以前的737型号更容易失速。

当MCAS感知到迎角过高时，它会命令飞机的整流系统(使飞机上升或下降的系统)降低机头。它还有其他功能:通过波音公司所谓的“电梯感觉计算机”(Elevator Feel Computer)，它间接地将飞行员的控制柱(飞行员拉或推以提高或降低机头的东西)向下推。

在737 Max上，就像大多数现代客机和大多数现代汽车一样，一切都由计算机监控，如果不是由计算机直接控制的话。在许多情况下，在飞行员的控制装置和机翼、方向舵上的东西之间并没有实际的机械连接(电缆、推力管、液压管线)，这些东西实际上是让飞机移动的。而且，即使有机械连接，也要由计算机来确定飞行员是否做出了正确的决策(又是那条咬人的狗)。

但同样重要的是，飞行员能得到关于飞行情况的物理反馈。在过去，当电缆将飞行员的控制装置与飞行表面连接起来时，如果飞机调整好了要下降，你就必须用力拉升。如果飞机准备好了要上升，你就得使劲地推。有了计算机的监督，控制就失去了自然的感觉。在737 Max中，没有真正的“自然感觉”。

没错，737确实采用了冗余液压系统，这些系统确实将飞行员的操纵动作与副翼和飞机其他部件的动作联系起来。但这些液压系统功能强大，无法从作用在副翼上的空气动力直接反馈给飞行员。只有一种人为的感觉，一种电脑想让飞行员感受到的感觉。有时候，感觉也不太好。

由于MCAS系统认为飞机即将失速，当飞行计算机调整飞机下降时，一组马达和千斤顶将飞行员的控制柱向前推进。原来电梯感觉电脑可以把一个很多事实上，如此大的力，一个人类飞行员很快就会筋疲力尽，试图把柱子拉回来，试图告诉计算机，这真的，真的不应该发生。

事实上，不让飞行员通过拉回柱子来重新获得控制是一个明确的设计决策。因为如果飞行员可以在MCAS说应该下降的时候把机头拉起来，为什么还要有MCAS呢?

MCAS在飞行管理计算机中实现，即使在自动驾驶仪关闭时，当飞行员认为他们正在驾驶飞机时也是如此。在飞行管理计算机和人类飞行员争夺谁负责的战斗中，计算机会咬人，直到他们放弃并(字面上)死亡。

最后，有必要对MCAS系统的存在保密，以免有人说，“嘿，这不是你父亲的737，”银行账户开始受损。

飞行管理计算机是一台计算机。这意味着它并没有装满铝制钻头、电缆、燃料管道或所有其他航空设备。它充满了代码行。这就是事情变得危险的地方。

这几行代码毫无疑问是由人们在管理者的指导下创造出来的。这些编码员和他们的经理都不像那些在工厂车间里铆接机翼、设计控制轭和安装起落架的人那样了解航空世界的特定文化和风俗。这些人有几十年的制度记忆，知道过去什么有效，什么无效。搞软件的人则不然。

在737 Max中，同时只有一台飞行管理计算机处于活动状态，要么是飞行员的计算机，要么是副驾驶的计算机。主动计算机接收输入只有来自飞机自身一侧的亚博排列五投注网站传感器。

当两台计算机意见不一致时，驾驶舱内的人的解决方案是
通过控制面板查看
其他仪器在说什么，然后整理出来。在波音系统中，飞行
管理计算机不会“通过
查看”其他仪器。它
只相信站在自己一边的仪器。它不是老派的。它是现代。它的软件。

这意味着，如果某个特定的迎角传感器出了问题——这在从一个极端环境切换到另一个极端环境的机器中经常发生，一直在振动和摇晃——飞行管理计算机就会相信它。

更糟糕的是。还有其他一些仪器可以用来直接或间接地确定像迎角这样的东西，比如皮托管，人工视界等等。所有这些都将由人类飞行员进行交叉检查，以快速诊断出有故障的迎角传感器。

在紧要关头，人类飞行员只需从挡风玻璃向外看一眼，就能直观地、直接地确认，飞机没有倾斜到危险的位置。这是最终的检查，应该直接到飞行员的最终主权。不幸的是，MCAS目前的实施否认了这一主权。它使飞行员无法对眼前的情况做出反应。

就像自恋型人格障碍患者一样，MCAS对飞行员进行了欺骗。结果对每个人都不好。“抬起鼻子，哈尔。”“对不起，戴夫，恐怕我不能那样做。”

在MCAS系统中，飞行管理计算机对任何其他证明它是错误的证据都是视而不见的，包括飞行员亲眼所见，以及当他拼命试图拉回正在咬死他和他的乘客的机器人控制柱时所做的事情。

在过去，美国联邦航空局雇佣了大批航空工程师。这些联邦航空局的工作人员与飞机制造商并肩工作，以确定飞机是安全的，可以被认证为适航。

随着飞机变得越来越复杂，联邦航空局支付的费用与飞机制造商支付的费用之间的差距越来越大，越来越多的工程师从公共部门转向私营部门。很快，联邦航空局内部就没有能力确定某架飞机的设计和制造是否安全。所以联邦航空局对飞机制造商说:“你们为什么不让你们的人告诉我们你们的设计是否安全?”

飞机制造商说:“听起来不错。”联邦航空局说:“跟乔打个招呼，我们很想念他。”

“指定工程代表”(DER)的概念由此诞生。der是受雇于飞机制造商、发动机制造商和软件开发人员的人，他们向联邦航空局证明一切正常。

这并不是听起来那么险恶的利益冲突。飞机失事对任何人都没有好处。这个行业绝对依赖公众的信任，每一次崩溃都是对这个行业的生存威胁。没有制造商会雇佣只会用铅笔抽打文件的程序员。然而，另一方面，经过漫长的一天，在一些软件人员的保证之后，他们可能只是相信他们的话，事情会没事的。

令人惊讶的是，为737 Max编写MCAS软件的人似乎甚至没有提出在计算机判断即将失速时使用多个输入的可能性，包括相反的迎角传感器。作为软件开发兄弟会的终身成员，我不知道是缺乏经验、傲慢或缺乏文化理解的有毒组合导致了这个错误。

但我知道这预示着一个更深层次的问题。为原始MCAS系统编写代码的人显然远远超出了他们的能力范围，而且他们不知道这一点。他们怎么能实施软件修复，更不用说让我们相信其他的飞行管理软件是可靠的了?

所以波音生产了一个动态不稳定的机身，737 Max。这是第一次大打击。波音随后试图用软件系统掩盖737的动态不稳定性。第2次大打击。最后，该软件依赖于以容易出错而闻名的系统(攻角指示器)，而且似乎没有包括甚至基本的条款来交叉检查攻角传感器与其他传感器，甚至其他攻角传感器的输出。亚博排列五投注网站第三次大打击。

以上这些都不应该通过审查。以上任何一项都不应该通过最初级的工程人员的“OK”铅笔，更不用说DER了。

这不是一个大打击。这是政治、社会、经济和技术上的罪过。

巧合的是，在第一次737 Max飞机坠毁和最近一次737飞机坠毁之间的时间范围内，我有机会在我自己的飞机上升级并安装了一个全新的数字自动驾驶仪。我有一架1979年的塞斯纳172，这是历史上最常见的飞机，至少从产量来看是这样。它最初的认证时间也比737早了大约十年(1955年对1967年)。

我的新自动驾驶仪由几个非常现代化的组件组成，包括冗余飞行计算机(两台Garmin g5)和一个复杂的通信“总线”(控制器区域网络总线)，它可以让所有不同的组件相互通信，而不管它们位于飞机的哪个位置。CAN总线源自汽车“线控驱动”技术，但在用途和形式上与连接737 Max组件的各种ARINC总线非常相似。

我的自动驾驶仪还包括电动俯仰调节。这意味着它可以对我的172进行与飞行计算机和MCAS系统对737 Max相同类型的配置更改。在第一次737 Max飞机坠毁后的安装过程中，我记得我对一个朋友说，我没有忘记，我可能会增加一个类似导致狮航坠机的危险。

最后，我的新自动驾驶仪还实现了“包络保护”，包络是飞机性能限制的图形。如果我的塞斯纳是不尽管是在自动驾驶系统下飞行，但系统会不断监控飞机，以确保我不会让飞机失速、倒转或其他一系列事情。是的，它有自己的“咬狗”模式。

正如你所看到的，我的2万美元的自动驾驶仪和每架737飞机上数百万美元的自动驾驶仪之间的相似之处是直接、切实和相关的。那么，区别在哪里呢?

首先，安装自动驾驶仪需要一份“补充型号证书”(STC)的文件。这意味着自动驾驶仪制造商和美国联邦航空局都认为，我1979年的塞斯纳172带着(Garmin)自动驾驶仪，与飞机从装配线上下线时的样子有很大不同不再是原来的塞斯纳172这是一架完全不同的飞机。

除了现在携带一个新的(补充的)飞机型号证书(和认证)，我的172需要在飞机上携带大量的新文件，以飞机操作手册的修订和补充的形式。你可以猜到，大多数附录都是围绕着自动驾驶系统。

任何驾驶飞机的人都必须研究和理解这份文件中特别值得注意的是，对自动驾驶系统的各种解释，包括对平顺控制系统的指挥和包络保护。

有关于如何检测系统故障的说明以及如何立即关闭系统。关闭系统意味着拉动自动驾驶仪断路器;如何做到这一点的说明遍布整个文档，反复。每一个驾驶我的飞机的飞行员都会深深地意识到这一点不和其他172一样。

这是想要驾驶我的飞机的飞行员被告知的内容和飞行员乘坐737 Max飞机时被告知的内容之间的巨大差异。

另一个区别是我的系统和737 Max的自动驾驶系统之间的区别。所有CAN总线互连的组件都在不断地进行人类飞行员所做的那种仪器交叉检查，而737 Max中的MCAS系统显然没有。例如，自动驾驶仪本身有一个独立的姿态平台，用于检查来自G5飞行计算机的姿态信息。如果出现分歧，系统就会离线，并提醒飞行员她现在正在手动飞行。它不会将机头指向地面，以为飞机要失速了。

最大的区别可能是飞行员控制两架飞机上的电脑所需要的体力。在我的172中，仍然有电缆连接着控制和飞行表面。我要按压的东西，电脑也要按压——它的力量远不如我的强大。因此，即使计算机认为我的飞机即将失速，但实际上并没有，我也可以轻松克服计算机。

在我的塞斯纳里，人类每次都能赢得意志之战。这曾经是每架波音飞机的设计理念，也是他们用来对抗他们的主要竞争对手空中客车的设计理念，后者有着不同的理念。但波音公司似乎悄悄地改变了人机交互的理念，就像他们悄悄地改变了飞机操作手册一样。

737 Max的传奇故事不仅教会我们技术的局限性和复杂性的风险，还教会我们真正的优先事项。今天，安全不是第一位的——钱是第一位的，在这方面，安全的唯一效用是帮助保持钱的到来。这个问题正变得越来越严重，因为我们的设备越来越被一种太容易操作的东西所主导:软件。

硬件缺陷，无论是引擎放在飞机上错误的位置，还是o型环它们遇冷易碎，是出了名的难修复。我说的辛苦是指昂贵。另一方面，软件缺陷很容易修复，而且成本很低。你所需要做的就是发布一个更新并发布一个补丁。更重要的是，我们已经训练消费者认为这是正常的，无论是我的桌面操作系统的更新，还是在我睡觉时自动发布到我的特斯拉上的补丁。

早在上世纪90年代，我就写过一篇文章，比较了那个时代奔腾(Pentium)处理器的相对复杂性(以芯片上的晶体管数量表示)和Windows操作系统的相对复杂性(以代码行数表示)。我发现奔腾处理器和同时代的Windows操作系统的复杂性大致相当。

那时候早期的奔腾受到了所谓的FDIV错误．它只影响了一小部分奔腾用户。Windows也受到类似缺陷的影响，同样只影响了部分用户。

但对两家公司的影响却大不相同。Windows通过定期的软件更新来解决它的小缺陷，而英特尔在1994年召回了有(轻微)缺陷的处理器。该公司为此花费了4.75亿美元——相当于今天的8亿多美元。

我相信相对容易的软件更新——更不用说缺乏有形的成本——已经在软件工程社区中产生了一种文化上的懒惰。此外，由于我们创造的越来越多的硬件是由软件监控和控制的，这种文化上的懒惰现在正在蔓延到硬件工程中——就像建造飞机一样。现在很少有人考虑在一开始就保证设计的正确性和简便性，因为之后很容易修正你做错的地方。

每当我的特斯拉、塞斯纳飞机上的Garmin飞行电脑、Nest恒温器和家里的电视进行软件更新时，我就会想起，这些东西出厂时都是不完整的——因为它们的建造者意识到它们不必是完整的。这项工作可以在未来的任何时候通过软件更新来完成。

波音公司正在这个过程中为737 Max飞行控制系统推出一系列软件更新，包括MCAS。我不知道，但我怀疑这些更新将集中在两件事上:

1. 让软件“交叉检查”系统指标，就像人类飞行员那样。也就是说，如果一个迎角指示器说飞机即将失速，但另一个指示器说不是这样，至少不要判断把机头往下推到泥土里，也许可以让一两个飞行员知道你收到了相互矛盾的信号。
2. 放弃“先拍，后问”的设计理念——也就是说，要考虑多种输入。

在我的一生中，我不知道为什么这两个基本的航空设计考虑因素，这是一种思维模式的基石，一直服务于这个行业，直到现在，最初的MCAS设计没有一部分。而且，当它们没有被发现时，我不知道或不理解DER过程的哪一部分未能捕捉到基本的设计缺陷。

但我怀疑，这一切都与波音最初希望在737上安装更大发动机、避免将这些更大发动机的成本内化的原因相同——换句话说，是为了做每个孩子都被教导的不可能的事情:获得免费午餐。

对简单的强调来自于查尔斯Perrow他是耶鲁大学的社会学家，1984年出版的《正常事故:与高风险技术共存这本书的标题就说明了一切。Perrow认为，在任何非常复杂的系统中，系统故障都是正常的结果，这些系统的组件是“紧密绑定”的，这意味着一个组件的行为立即控制着另一个组件的行为。尽管这些失败可能看起来是由一个或另一个错误的部分或实践引起的，但它们必须被视为系统本身固有的。他们是“正常的”失败。

这个问题在旨在增强或改善安全性的系统中表现得最为明显。每一次增加，每一次复杂性的增加，最终都会导致回报率的下降，最终导致负回报。试图修补然后重新修补这样一个系统，试图使它更安全，最终可能会使它更不安全。

这就是古老的工程学公理“Keep it simple, stupid”(KISS)及其在航空领域的对应原则的根源:简化，然后增加轻盈。”

美国联邦航空局艾森豪威尔时代的原始认证要求是对简单性的证明:飞机不应该随着发动机功率的变化而出现明显的俯仰变化。这一要求是在飞行员手中的控制装置与飞机的飞行表面之间有直接联系时提出的。正因为如此，这个要求——当它被写出来的时候——正确地在机身本身的设计上强加了一个简单的原则。现在，软件站在人与机器之间，似乎没有人确切地知道发生了什么。事情变得太复杂了，难以理解。

我无法将737 Max和挑战者号航天飞机的相似之处从我的脑海中抹去。挑战者号事故是另一个教科书式的正常故障案例，它的发生不是因为人们没有遵守规则，而是因为他们遵守了规则。在挑战者号案例中，规则规定他们必须在发射前召开会议以确定飞行准备情况。它并没有说，推迟发射的政治考虑不能成为这些会议的重要投入。对输入进行了权衡，遵循了流程，并达成了多数共识。7人死亡。

在737 Max的案例中，也遵循了这些规则。规则说你不能在动力变化上有一个大的俯仰，制造商的员工，一个DER，可以签署任何你提出的，以防止在动力变化上的俯仰变化。规则并没有说DER不能在决策过程中考虑业务因素。346人死亡。

MCAS最初是为了提高安全性而添加的，但现在它杀死的人可能比它本来可以拯救的要多。它不需要用更复杂、更多软件来“修复”。它需要被完全移除。

一个早期版本这篇文章被引用于EE倍．

编者注:这篇报道于4月21日更新，以澄清MCAS通过“电梯感觉计算机”推动客机的机头。