不僅僅是戰(zhàn)斗機，民用客機軟件的重要性和作用也呈現(xiàn)出日益上升的趨勢。韓國在20 世紀70 年代首次引進的波音747 所用軟件由40 萬行代碼寫成，1995 年引進的波音777 軟件則達到了400 萬行，最新型的波音787（Dreamliner）的內部軟件由650 萬行代碼寫成。民用客機對軟件的使用越來越頻繁，但奇怪的是，至今還沒有軟件造成的民用客機事故。大部分民用客機事故都是駕駛員失誤或飛機系統(tǒng)不完備、設備不良等造成的，但這些原因引發(fā)的事故中，假如軟件正常運轉，有一些事故是完全可以避免的。

關島慘案：大韓航空801 次航班

查找飛機失事的相關資料不難發(fā)現(xiàn)，歷史上最嚴重的飛機失事案例中，韓國的大韓航空榜上有名。當然，這并不是說大韓航空的飛行事故頻繁。但至少在目前為止發(fā)生過的所有空難中，大韓航空的兩起事故使它一度站到了全世界的風口浪尖。第一次是在庫頁島上空被蘇聯(lián)戰(zhàn)斗機擊落的大韓航空007 次航班；第二次則是在著名的療養(yǎng)勝地——關島，準備著陸的大韓航空801 次航班墜毀。這兩次事故都排在史上最嚴重的空難前10 名或前20 名，比較有代表性。

這兩次事故中，在關島發(fā)生的這起大韓航空801 次航班的失事主要是由駕駛員的判斷失誤造成的。但是，假如軟件能起到應有作用的話，就可以挽回225 條人命了。

墜毀前的記錄

1997 年8 月6 日，韓國時間晚8 時22 分，一架波音747-300 飛機從金浦國際機場起飛。想到就要在關島度假，237 名乘客無不懷著激動的心情登上了這架大韓航空801 次航班。起飛后約4 小時，當?shù)貢r間凌晨1 時11 分（韓國時間12 時11 分），機長開始和副機長、飛航工程師進行著陸簡報，也就是機長向副機長和飛航工程師說明著陸相關的必要信息。這次簡報中，機長曾提及，關島國際機場（正式名稱為 Antonio B. Won Pat 國際機場，本書中稱“關島國際機場”）的下滑道（GlideSlopA）信標出現(xiàn)故障。

結束簡報后，1 時13 分，副機長向塔臺工作人員通報，飛機已經(jīng)下降到2600 英尺，同時開始降低飛行高度。著陸貌似進行得還算順利。飛機繼續(xù)向關島國際機場的跑道靠近，1 時39 分55 秒（墜毀前2 分31秒），近地警告系統(tǒng)感知故障并發(fā)出信號，駕駛艙立即陷入一片慌亂。

[+]查看原圖

A下滑道：幫助飛機安全著陸的電子設備。該設備的定向電波會發(fā)射到機場跑道前方，飛機接收到這些電波后，就能以適當?shù)南陆到嵌冗M入跑道。它和定位器（Localizer）一樣，都是儀表著陸必需的設備。

01:39:55 飛航機械師：“下滑道沒問題嗎？下滑道？”

01:39:56 機長：“是的，是的，沒問題。”

01:39:57 飛航機械師：“唉，所以……”

01:39:58 不明：“你是讓我看一下下滑道有沒有問題嗎？”

01:39:59 不明：“下滑道怎么出來了？”

01:40:00 副機長：“無法使用（Not Usable）。”

當時，塔臺人員已明確告知機組人員儀表著陸系統(tǒng)中的下滑道信標出現(xiàn)故障，機組人員進行著陸簡報時也確認了這一內容。如果當時機組人員向塔臺方面重新確認信號內容，問題就能得到解決，但并沒有人這樣做。后經(jīng)調查得知，地面上的無線電之類的設備發(fā)出的電波被誤認為下滑道的電波。

[+]查看原圖

這時，機長和副機長做出了令人無法理解的舉動。下滑道出現(xiàn)故障的時候，飛機應該分級下降（如圖16-3 所示），但他們當時卻讓飛機持續(xù)下降。1 時41 分11 秒（墜毀前1 分15 秒），大韓航空801 次航班從2000 英尺（約600 米）持續(xù)下降到1440 英尺。按照相關規(guī)定，距離機場跑道20 千米（11 海里A）到9.3 千米（5 海里）的范圍內，高度均不可低于2000 英尺。但大韓航空801 次航班位于13 千米（7 海里）處時，高度已經(jīng)低于2000 英尺。

A雖然并非國際標準，但“海里”是航空、海洋領域廣泛使用的距離單位。NM是NauticalMile的縮寫，中文譯為“海里”。另外，表示輪船或飛機速度的“節(jié)”（knot）指的就是每小時行駛的海里數(shù)。

本可以阻止的事故

大韓航空801 次航班墜毀之前，曾經(jīng)至少有兩次機會可以阻止這次事故的發(fā)生。

第一次機會是確認外指點標（Outer marker）。外指點標設置在距離跑道一段距離的位置，它會向上空垂直發(fā)射電波。飛機駕駛員經(jīng)過外指點標上空時會接收到該信號，以確認當前高度。但后來檢查黑匣子的駕駛艙錄音記錄時發(fā)現(xiàn)，當時沒有任何人確認外指點標的信號。假如確認了飛行高度，就能知道當時正處于低于規(guī)定高度2000 英尺的位置，也就可以避免悲劇發(fā)生了。

避免事故發(fā)生的最后一次機會是墜機之前。當時，機組人員正專心準備飛機降落。墜毀前12 秒， GPWS（Ground Proximity WarningSystem，近地警告系統(tǒng)）響起警報。

01:42:14 GPWS ：“最低高度，最低高度?！保╩inimums, minimums）

這是GPWS 向駕駛員發(fā)出的最低高度警報，但機長、副機長、飛航機械師均未采取任何應對措施。3 秒后，GPWS 機械的播報聲又響了起來。

01:42:17 GPWS ：“快速下降。”（sink rate）

01:42:18 副機長：“可以快速下降！”（sink rate OK!）

“sink rate”是GPWS 發(fā)出的飛機正在快速下降的警報。對此，副機長給出了“可以快速下降”的回答。但下一秒，副機長聽到飛航機械師說出“現(xiàn)在距離地面只剩下200 英尺（約60 米）”的時候，曾勸機長放棄著陸（missed approach）。

但機長并沒有立即放棄著陸。如果發(fā)現(xiàn)機長的決定是明顯錯誤的，副機長可以強行駕駛。遺憾的是，副機長并沒有這么做。

01:42:21 飛航機械師：“看不到啊?！保w機墜毀前6.22 秒）

01:42:21 副機長：“看不到。放棄著陸！”

01:42:22 飛航機械師：“復飛?！?/p>

飛機墜毀前6.22 秒，距離地面已不到60 米，但飛航機械師依然無法看到關島機場的跑道。副機長也一樣，他再次向機長建議放棄著陸。飛航機械師也建議機長復飛（Go Around，無法安全著陸或錯誤靠近跑道的情況下，著陸過程中重新上升高度，之后再著陸），但機長的判斷卻和副機長以及飛航機械師的判斷都不一樣，他并沒有馬上復飛。

直到飛機墜毀前3.7 秒，機長終于承認著陸失敗。他立刻解除了自動飛行模式，試圖使飛機上升。但是，想讓重達幾百噸的波音747 飛機重新上升并沒有那么容易。高度在持續(xù)下降，GPWS 也幾乎同時發(fā)出高度警報。

01:42:24.05 GPWS ：“100 英尺?！?/p>

01:42:24.84 GPWS ：“50 英尺?！?/p>

01:42:25.19 GPWS ：“40 英尺?！?/p>

01:42:25.50 GPWS ：“30 英尺?！?/p>

01:42:25.78 GPWS ：“20 英尺。”

01:42:25.78（ 撞擊聲）

01:42:32.52 錄音終止

盡管駕駛員極力想讓飛機回升，但最終沒能戰(zhàn)勝波音747 的慣性。結果，沒能重新上升高度的大韓航空801 次航班撞上了關島國際機場前面的尼米茲山。

假如軟件發(fā)揮了應有的作用

假如當初機場的軟件能發(fā)揮應有的作用，那么除了前面提到的兩次可以避免事故發(fā)生的機會之外，說不定還能有一次機會——關島機場的最低安全高度警報系統(tǒng)（Minimum Safe Altitude Warning，以下簡稱MSAW）。MSAW 在靠近機場的飛機低于正常高度時，向塔臺人員發(fā)出視覺和聽覺警報。問題是，當時關島國際機場的MSAW 處于異常狀態(tài)。

原因是MSAW 的軟件存在問題。關島機場的MSAW 系統(tǒng)曾經(jīng)發(fā)出過多次虛假警報，飛機明明處于正常高度，系統(tǒng)卻提示危險。1994 年秋，關島機場的塔臺工作人員向美國聯(lián)邦航空管理局（FAA，F(xiàn)ederalAviation Administration）表達了對MSAW 系統(tǒng)虛假警報等問題的不滿。為此，F(xiàn)AA 修復了關島機場的MSAW 軟件，并于1995 年2 月重新投入使用。但是，修復后的軟件存在致命漏洞。

說起來非?？尚?，修復后的MSAW 只能在以關島雷達為中心、半徑100~101.8 千米（54~55 海里）的僅1.8 千米（1 海里）范圍內發(fā)揮作用。這段區(qū)域距離關島較遠，是一段海域，飛機根本不可能在此區(qū)域低空飛行，所以MSAW 幾近于一件廢物。也正因如此，事故發(fā)生時，位于關島雷達半徑100 千米以內的大韓航空801 次航班雖然低于安全高度，但沒有引發(fā)任何警報。

假如MSAW 當時能發(fā)揮應有的作用，大韓航空801 次航班撞到尼米茲山之前的64 秒，塔臺人員就能知道飛機低于安全高度。但是，MSAW 沒有發(fā)出任何警報，能阻止慘案發(fā)生的一次決定性的機會就這樣錯過了。

[+]查看原圖

美國航空965 次航班

1995 年12 月20 日，美國東部標準時間晚9 時45 分左右，美國航空965 次航班在哥倫比亞卡利國際機場（正式名稱為 Alfonso BonillaAragon 國際機場，本書中簡稱為“卡利國際機場”）附近的山上墜毀。這次事故造成159 人喪生，4 人重傷。

當天下午，美國航空965 次航班在美國邁阿密機場等待起飛。預定的起飛時間是16 時40 分，但由于美國東北部遭遇颶風襲擊，部分航班延誤，這些航班上的一些乘客需要轉乘965 次航班。因為等待這些乘客和他們的行李，直到17 時14 分（比預定時間晚34 分鐘）才完成起飛準備。但是，并非完成起飛準備就能起飛。當時是西方最長的假期——圣誕節(jié)連休，邁阿密機場擠滿了起降的機群。為此，965 次航班在地面又等待了1 小時21 分，之后才從邁阿密機場起飛，朝著目的地——哥倫比亞卡利國際機場出發(fā)。起飛時間是18 時35 分，比預定出發(fā)時間晚了大約2 小時。

雖然出發(fā)得有點晚，但飛行過程還算順利。965 次航班使用的是當時最新的機型——波音757，事先在電腦中輸入航線，飛機即可沿航線自動飛行。起飛后約3 小時，21 時30 分左右，965 次航班到達哥倫比亞卡利國際機場附近上空。

[+]查看原圖

卡利機場左右兩邊都是高山，正好位于較長的山谷地形中（如圖16-7 所示，顏色越深表示海拔高度越高）。因此，制定航線時，使965次航班從機場北側直接著陸，或者飛過機場后掉頭，在機場南側著陸。像其他機場一樣，卡利機場也設有幫助飛機安全著陸的無線電導航系統(tǒng)（VOR）。波音757 上安裝的計算機系統(tǒng)接收到VOR 發(fā)射的信號后，可以使飛機安全著陸。

當時，965 次航班要想在卡利機場降落，應依次通過機場北側約66千米處的TULUA 無線電導航系統(tǒng)和約17 千米處的ROZO 無線電導航系統(tǒng)。飛過卡利國際機場后，在機場南側的CALI 無線電導航系統(tǒng)附近掉頭，最后在機場南部著陸。

[+]查看原圖

開始出錯

美國航空965 次航班到達距離卡利國際機場北側約100 千米時，首次與卡利塔臺進行了通信。

[21:34:40 ~ 21:34:57 通信內容]

機長：“卡利塔臺，我是美國航空965 次航班?！?/p>

塔臺：“美國航空965 次航班，歡迎你，請講。”

機長：“美國航空965 次航班正從23 000 英尺下降到20 000 英尺?！?/p>

塔臺：“距離卡利（機場）還有多遠？”

機長：“63 英里（約116.6 千米）。”

好奇怪??！按理說塔臺應該通過雷達了解965 次航班的準確位置，但它反而需要詢問965 次航班的當前位置。其實，卡利國際機場存在很大問題。1992 年，哥倫比亞反政府游擊隊炸毀了卡利國際機場的雷達系統(tǒng)。因此，塔臺無法掌握進入機場的飛機的飛行位置，必須與飛機進行無線通信才能獲知。這也是為什么塔臺會詢問美國航空965 次航班的位置。

[21:34:59 ~ 21:35:27 通信內容]

塔臺：“知道了。美國航空965 次航班，要去卡利的話，需要下降并保持在15 000 英尺高度。高度儀3002……請在TULUA 報告?！?/p>

（“roger, is cleared to Cali VOR, uh, descend and maintain one, fivethousand feet. altimeter three zero zero two.... no delay expect for approach.report uh, Tulua VOR.”）

機長：“知道了。確認卡利方向，在TULUA 報告。高度15 000 英尺，高度儀3002，全部正確嗎？”（“OK, understood. cleared direct to CaliVOR. uh, report Tulua and altitude one five, that’s fifteen thousand threezero.. zero.. two. is that all correct sir?”）

塔臺：“對?！?/p>

這是飛機降落前和塔臺人員的一段正常通信內容。不過特別的是，卡利國際機場的塔臺人員完全不了解965 次航班的位置，所以為進行有效管制，他們要求飛機經(jīng)過Tulua VOR 時向自己報告（“請在TULUA報告”）。但是在這里，機長犯下了第一個錯誤。由于和塔臺人員的英語溝通出現(xiàn)問題，機長將“ cleared to Cali VOR”理解為“立即飛向CALIVOR”。為此，機長在飛行管理系統(tǒng)（Flight Management System，以下簡稱FMS）中將飛行路線變更為朝向CALI VOR（如圖16-9 所示）。這次飛行路線的變更程度不是很大，所以不存在太大問題。但路線變更導致之前飛行路線上的VOR（TULUA、ROZO）的數(shù)據(jù)都被清零，駕駛員面前的導航屏幕上的TULUA 和ROZO 無線電導航也消失了。就在此時，飛機飛過了此前塔臺人員囑咐經(jīng)過時一定要通報的TULUA VOR。

21 時36 分31 秒，卡利國際機場塔臺詢問965 次航班機長，是否要取消原定在01 號跑道著陸的計劃，改為在19 號跑道降落。

塔臺：“風力較小。是否要在19 號跑道著陸？”

飛機之前的飛行路線是在機場南側的VOR 掉頭，迂回一周后在機場著陸，但在機場北側著陸可以節(jié)約一部分時間。當時已經(jīng)比預計抵達時間晚點了2 小時，965 次航班的駕駛員應該想盡可能早一點降落，所以不可能拒絕這個提議。機長和副機長簡單溝通后，向塔臺表達了這層意思。塔臺之后告訴飛機，經(jīng)過ROZO VOR 后進入19 號跑道。同時又強調了一遍，經(jīng)過TULUA VOR 時要報告。

[+]查看原圖

雖然塔臺反復稱，經(jīng)過TULUA VOR 時要報告，但機長已經(jīng)將FMS 的TULUA VOR 清零，而且飛機已經(jīng)飛過了。因此，駕駛艙內的人當時根本就不知道TULUA VOR 在什么位置。機長決定：與其艱難地尋找TULUA VOR，還不如向ROZO VOR 飛行。于是，他向塔臺詢問是否可以立即向ROZO VOR 飛行。

機長：“可以直接飛向ROZO 嗎？”

塔臺：“先去ROZO，再從19 號跑道進入。風力較小?！?/p>

機長：“從ROZO 到19 號跑道。明白?！?/p>

塔臺：“經(jīng)過TULUA 時請報告。”

由于沒有雷達，塔臺一直無法掌握965 次航班的具體位置，只能再一次要求飛機經(jīng)過TULUA VOR 時進行報告。但是，965 次航班早已飛過TULUA VOR，而且機長腦中也早就沒有意識到需要報告了。

機長和副機長當即改變飛機的飛行高度和路線，向著ROZO VOR飛去。更改降落路線后，距離卡利國際機場北側39 千米處就應該完成從20 000 英尺（約6096 米）到5000 英尺（約1524 米）的下降。因此，駕駛員打開了減速板（speed break），開始急速下降。965 次航班墜毀之前，減速板一直處于打開狀態(tài)。

[+]查看原圖

965 次航班急速下降的過程中，駕駛員將著陸表中ROZO VOR 的識別碼“R”原封不動地輸入FMS，表示將飛往ROZO。駕駛員輸入“R”后，F(xiàn)MS 的數(shù)據(jù)庫就給出了12 個可供選擇的地點，地點列表是按照現(xiàn)在距離飛機的最近距離順序排列的。駕駛員認為距離現(xiàn)位置最近的應該是ROZO VOR，所以選擇了列表中的第一項。但是，駕駛員實際選擇的根本不是ROZO VOR，地點列表中根本就沒有ROZO 這一項。當時排在最前面的并非ROZO，而是距離卡利東側大約150 英里的哥倫比亞首都波哥大附近的ROMEO VOR。

[+]查看原圖

原來，雖然駕駛員手中的著陸表上的ROZO 識別碼是“R”，但FMS 數(shù)據(jù)庫中存儲的ROZO 信標臺的識別碼是“ROZO”，而非“R”。也就是說，駕駛員只有輸入“ROZO”（而非圖表上的“R”）才能向ROZO VOR 飛行。尤其是ROMEO VOR 和ROZO VOR 的頻率一致，即使弄混了也很難發(fā)現(xiàn)。錯誤就這么發(fā)生了。

駕駛員在FMS 中選擇ROMEO VOR 為目的地后，在自動操作系統(tǒng)的指揮下，飛機開始慢慢向左回旋，向ROMEO 飛去。按照美國航空的規(guī)定，通過FMS 改變航線時，駕駛員之間要相互確認，但965 次航班的機長和副機長卻省略了這一步。由于要降落到5000 英尺高度，飛機一直在快速下降。當時飛機正向著錯誤的方向飛行，但改變航線的駕駛員們卻一味相信飛機的自動操作系統(tǒng)，沒有注意實際的飛行方向。很快，965 次航班就進入了卡利國際機場兩側險峻的山區(qū)。

飛機從15 000 英尺（4572 米）高度持續(xù)下降時，卡利國際機場的塔臺再次詢問了965 次航班的當前位置。如果有雷達就可以及時警告965 次航班，他們正沿著錯誤的路線飛行，也就可以阻止事故發(fā)生。而965 次航班接收到卡利機場的無線電信號后，才發(fā)現(xiàn)飛機正沿著錯誤的方向飛行。

[+]查看原圖

“我們現(xiàn)在在哪？”

機長和副機長都慌了神，他們根本不清楚現(xiàn)在所處的位置和飛機飛行的朝向。不過，既然已經(jīng)知道飛機正沿著錯誤的方向飛行，那就先取消向ROMEO 的自動飛行，修正FMS，使飛機向CALI VOR 前進。飛機又開始向右轉。當時，美國航空965 次航班的高度是13 000 英尺，每分鐘下降2700 英尺。

駕駛員仍然處于混亂狀態(tài)。飛機很快就下降到10 000 英尺。駕駛員決定向ROZO VOR 飛行，于是再次更改航線。但當前位置和ROZOVOR 中間有一座高山。當時沒有月光，一片漆黑，駕駛員沒有發(fā)現(xiàn)前方有山。

[+]查看原圖

[+]查看原圖

駕駛員發(fā)現(xiàn)前方有山時，飛機已經(jīng)下降到了9000 英尺。飛機撞山前12 秒，GPWS 機械的播報聲在駕駛艙內響起。

21:41:15 GPWS ：“撞地，撞地，嗶——嗶——”（Terrain, terrain,whoop, whoop…）

警報表示飛機有可能撞地，一座大山開始慢慢出現(xiàn)在駕駛員眼前。機長大吃一驚，馬上解除了自動操作程序，然后將操縱桿拉到最大限度，使飛機上升。但由于太晚才發(fā)現(xiàn)前方有山，GPWS 的警報也不夠及時，而且之前為了減速，減速板也處于打開狀態(tài)，所以飛機一時無法獲得足夠的動力。最終，965 次航班沒能越過山峰，墜毀在卡利國際機場東北部的山頂。

[+]查看原圖

部分責任在于軟件

965 次航班墜毀造成159 人遇難，另有4 人奇跡般地生還。這是波音757 的飛行史上造成人員傷亡規(guī)模最大的一次空難。

另外，這也是自1988 年泛美航空爆炸事故（恐怖爆炸襲擊造成270 人遇難）以來，美國的主要航空公司遇難人數(shù)最多的一次事故?？针y發(fā)生后，美國航空將965 次航班更名為921 次航班，同時將ROZOVOR 的名字改為PALMA， 將識別碼“R” 更改為PALMA 的縮寫“PL”。

除了人員傷亡，這次空難給整個航空業(yè)也帶來了不小的震撼：裝有最尖端飛行系統(tǒng)的波音757 竟然撞到了山上。雖然責任主要在于駕駛員沒有確認航線，但軟件錯誤在本次空難中也難辭其咎。

波音757 飛行系統(tǒng)的供貨商是霍尼韋爾公司，負責該系統(tǒng)軟件的是杰普森?桑德森公司。遇難者遺屬向美國航空提起訴訟的同時，美國航空也向這兩家公司提起訴訟，認為二者對965 次航班空難負有部分責任。

最終判決，美國航空負60% 的責任，霍尼韋爾公司和杰普森公司分別負10% 和30% 的責任。

閱讀原文