要約

この事例がリスクと説明責任のファイルに含まれる理由

ボーイング737 MAX の MCAS 危機は、設計、認証、訓練、委任、ヒューマンファクター、市場圧力、規制当局の信頼、航空会社の実装、乗客の安全の交差点に位置するため、リスクと説明責任のファイルに含まれる。安全クリティカルな自動化は通常のソフトウェア機能ではない。それは、コックピットで誰がリスクを負うのか、航空機が運航承認される前に誰がそのリスクを理解するのかを変える。自動化がセンサー入力に応じて飛行制御面を動かすことができる場合、設計前提、フォールトトレランス、パイロットの認識、訓練、規制当局の開示に関するエビデンスは、安全システムそのものの一部となる。

公開記録は異常に多い。NTSB 安全勧告報告書(https://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdf)は、意図しない MCAS 作動に対するパイロットの対応と関連するコックピット影響に関する前提に焦点を当てた。下院交通委員会報告書(https://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdf)は、Boeing と FAA の監督に関するより広範な失敗パターンを説明している。FAA 運航再開概要(https://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdf)は、運航停止機に使用された是正措置と審査プロセスを説明している。連邦官報の耐空性改善命令(https://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanes)は、運航前に是正措置を義務付ける公式規則である。DOJ 発表(https://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billion)は、FAA 航空機評価グループに関する Boeing の行為に関する刑事処分記録である。

したがって、説明責任の問いは抽象的なものではない。MCAS 設計前提、単一センサー依存、警報、パイロット作業負荷、認証委任、シミュレータおよび訓練要件、障害分析、マニュアル開示、規制当局の審査、航空会社のコンプライアンス、運航再開の証明を、誰が実質的に管理していたのか? Boeing は設計と内部エビデンスを管理していた。FAA は認証と監督権限を持っていた。航空会社は訓練実施と規制システム内での運航を管理していた。国際規制当局は自国の管轄区域内での受入または独立審査を管理していた。パイロットと乗客は、基礎となる設計と認証記録を検査する能力が最も低かった。

この事例がここに含まれるもう一つの理由は、修理が検証可能でなければならなかったからである。運航停止機種が運航を再開できるのは、規制当局と一般市民が是正を信頼できる場合のみである。その信頼はブランドの評判だけに依存することはできない。ソフトウェア変更、必要な場合の配線および表示措置、訓練改訂、運航手順、規制当局の審査、国際調整、継続的な運航監視に依存しなければならない。したがって、公開ファイルはエビデンスに関するものである。

墜落事故が自動化の前提を公の安全問題にした

ライオンエア610便は2018年10月29日に墜落し、エチオピア航空302便は2019年3月10日に墜落した。合わせて346人が死亡した。公式事故報告書と安全勧告は、MCAS、迎え角データ、パイロット作業負荷、警報、整備、訓練、認証の前提を公開記録の中心に据えた。本稿はそれらの公式事故報告書を置き換えるものではない。それらを用いて説明責任の問いを組み立てる。すなわち、なぜ安全クリティカルな自動化経路が、乗務員、航空会社、規制当局、乗客を後に再検討しなければならない前提にさらすような形で認証されたのか。

インドネシア KNKT 報告書(https://knkt.go.id/Repo/Files/Laporan/Penerbangan/2018/KNKT.18.10.35.04-Final-Report.pdf)およびエチオピア報告書(https://reports.aviation-safety.net/2019/20190310-0_B38M_ET-AVJ.pdf)は、事故固有の経過と調査結果を文書化しているため中心的なものである。NTSB 報告書(https://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdf)は、システム安全評価がパイロットの対応、複数の警報、実際のコックピットでの故障状態の現れ方をどのように考慮すべきかに焦点を当てた米国の安全勧告の枠組みを追加する。これらの情報源は異なる種類のエビデンスであるが、合わせて問題が単なるソフトウェアの欠陥だけではなかったことを示している。

安全クリティカルな自動化は、人間の行動に関する設計前提が理想的すぎると危険な形で失敗する。緊急時のパイロットは設計メモを読んでいるわけではない。乗務員は作業負荷、警報、機体挙動、記憶項目、チェックリスト、航空交通管制、驚愕効果、不完全な情報を管理している。安全評価が故障状態に対する迅速かつ正確なパイロット対応を前提とする場合、エビデンスは現実的な条件下でその前提を正当化しなければならない。NTSB の公開資料はその原則を可視化している。

説明責任の問いは、パイロットが訓練され有能であるべきかどうかではない。もちろんそうあるべきだ。説明責任の問いは、航空機の設計、マニュアル、訓練、警報、規制当局の評価が、パイロットに故障モードを認識して管理する公平かつタイムリーな方法を提供したかどうかである。自動化が誤った入力に基づいて機首下げ方向の昇降舵の動きを繰り返し命令できる場合、設計エビデンスはセンサー故障、警報提示、作業負荷、回復時間を考慮しなければならなかった。それはメーカーと規制当局の説明責任の問題であり、航空会社の訓練問題だけではない。

認証委任が信頼を制御面に変えた

737 MAX の事例は、認証委任が公的な問題となったため、説明責任ファイルにも含まれる。現代の航空機認証は、メーカー、規制当局、委任代表者、技術文書、構造化されたコンプライアンス証明に依存している。委任は複雑な航空システムにおいて効率的かつ必要であり得る。同時に信頼の境界を作り出す。規制当局はメーカーに挑戦するために十分に知っていなければならず、メーカーは規制当局が設計選択の安全影響を理解するために十分に開示しなければならない。

下院報告書(https://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdf)は、認証プロセス内の監督の失敗と圧力について直接的に述べている。DOT 特別委員会報告書(https://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdf)は、FAA の航空機認証と組織指定認可システムをレビューしている。合同当局技術審査報告書(https://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdf)は、認証、前提、情報フローに関する国際規制当局の視点を追加する。これらの情報源は、認証自体を説明責任の表面にしている。

支持される推論は、実質的な管理は分散されていたが、均等には分散されていなかったということである。Boeing は最も詳細な設計知識を持っていた。FAA は法的権限と認証責任を持っていた。委任された担当者は、独立性、能力、開示、エスカレーションに依存する構造の中で活動していた。航空会社とパイロットは結果として得られたマニュアル、訓練、運航承認に依存していた。乗客は直接的な管理なしに上記のすべてに依存していた。

公開記録は、外部の読者がすべてのエンジニアリングメール、すべての認証会議、すべてのシミュレーションラン、またはすべての内部安全評価バージョンを検査することを可能にしない。それらは部分的に未知のままである。しかし、公式報告書は、認証エビデンスが安全インフラとして扱われなければならないと言うのに十分である。エビデンスが不完全である場合、規制当局の認識が部分的である場合、または委任が独立した挑戦を弱める場合、リスクは欠けている証明を見ることができない人々に移転される。

MCAS は自動化の分類を危険なものにした

MCAS をめぐる説明責任の問題は、部分的には分類の問題である。自動化は、どのように記述され評価されるかに応じて、限定的な補強、パイロット支援機能、飛行制御則、操縦特性補正、訓練問題、または安全クリティカルシステムとして扱われる可能性がある。言葉は重要である。なぜなら、それらはハザード評価、冗長性要件、マニュアル内容、シミュレータ訓練、パイロットの認識、規制当局の精査、航空会社の運航手順に影響を与えるからである。

FAA 運航再開概要(https://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdf)は、運航停止後の是正措置(MCAS ロジックの変更やパイロット訓練要件を含む)を説明している。連邦官報 AD(https://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanes)は、運航前にソフトウェア更新、改訂された飛行制御コンピュータロジック、特定のシステムテスト、改訂された航空機飛行マニュアル運航手順、およびその他の措置を要求した。その修理記録は重要である。なぜなら、運航再開対応が MCAS および関連するフライトデッキへの影響を正式な是正を必要とするものとして扱ったことを示しているからである。

支持される推論は、事故前の分類が MCAS の実際の安全上の役割を過小評価していたということである。これは私的な意図について推測する必要はない。規制当局が航空機を運航停止にし、後に運航再開前に特定の是正措置を要求したという公的事実から導かれる。ある機能が2件の事故後にソフトウェア再設計、訓練改訂、規制当局義務付け手続きを必要とする場合、それは以前のコミュニケーションが限定的に見せていたかどうかにかかわらず、実際には安全クリティカルであった。

これは将来の自動化にとって重要である。設計者は、訓練負担、認証遅延、コスト、または顧客の抵抗を避けるために自動化を狭く記述することを好むかもしれない。規制当局は以前の分類ラベルに依存するかもしれない。航空会社は共通の型式評価と移行訓練の最小化を好むかもしれない。しかし、乗客はその機能を商業的な利便性ではなく、故障の結果によって評価される必要がある。737 MAX の事例は、分類の規律が安全ガバナンスの一部である理由を示している。

訓練とマニュアル開示は管理上の詳細ではなかった

訓練とマニュアルは下流の実装として扱われることがある。このケースでは、それらは中心的であった。システムが稀ではあるが重大な結果をもたらす状態で航空機の動きを命令できる場合、乗務員は使用可能な知識を必要とする。それはパイロットがソフトウェアのすべての行を暗記する必要があるという意味ではない。システムの挙動を認識し、正しい手順を適用し、航空機がなぜそのように振る舞っているのかを理解するのに十分な情報が必要であるという意味である。したがって、マニュアル開示と訓練は制御システムの一部である。

DOJ の2021年発表(https://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billion)は、Boeing が米国を欺く陰謀で起訴され、FAA 航空機評価グループに関連する deferred prosecution agreement に基づき25億ドル以上を支払うことに同意したと述べている。本稿はその情報源を公式刑事処分記録として使用する。すべての Boeing 従業員やすべての認証コミュニケーションに関する裏付けのない主張に拡張するものではない。注意すべき点は、訓練と評価情報が刑事処分記録に登場するほど重要になったということである。

下院調査と NTSB 報告書は、開示がなぜ重要かを示している。MCAS 情報がパイロットや航空会社に完全に可視化されていない場合、運航安全ケースは自動化経路を知らずに故障モードを診断することに依存する。規制当局の訓練評価者が十分に情報を得ていない場合、訓練決定自体が歪められる可能性がある。航空会社が不完全な理解を受け取った場合、訓練やリスク管理を適切に実施できない。乗客が認証の信頼に基づいて航空機に搭乗する場合、それらの情報ギャップの結果を負うことになる。

訓練はまた、世界的な公平性の問題である。航空会社は異なる規制システム、異なる訓練リソース、シミュレータへのアクセス、言語、運航環境で運営されている。訓練を最小化する認証アプローチはコストを削減し市場受け入れを加速させる可能性があるが、複雑性をコックピットに移転することもできる。事故後の公開記録はその移転を可視化した。

運航再開は評判のリセットではなく、エビデンスのプロセスだった

FAA の運航再開プロセスは、公的な修理メカニズムであったため中心的である。FAA 概要(https://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdf)は、FAA が Boeing の提案した変更をレビューし、設計、手順、訓練の措置を要求したことを説明している。AD(https://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanes)は、米国の運航者に対して特定の措置を法的に義務付けた。EASA の運航再開発表(https://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-service)およびトランスポート・カナダの運航再開指令(https://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-service)は、国際規制当局が米国の行動を唯一のエビデンスとして扱うのではなく、独自のプロセスを実施したことを示している。

説明責任ファイルは運航再開をマーケティングではなくエビデンスとして判断すべきである。関連する質問は具体的である。MCAS ロジックは何が変わったのか?修理後のシステムはセンサー入力をどのように使用したのか?どのようなフライトデッキ警報や手順が変わったのか?どのようなパイロット訓練が必要だったのか?どのような整備や配線チェックが必要だったのか?規制当局は修理をどのようにテストしたのか?航空会社はどのように実装したのか?保管されていた航空機はどのように準備されたのか?パイロットはどのように最新状態にされたのか?復帰後の新たな発見はどのように監視されたのか?

公開規制当局記録はこれらの質問の一部に高いレベルで答えている。すべてのテスト成果物、シミュレーションシナリオ、内部エンジニアリングワークペーパー、航空会社訓練完了記録、または国際規制当局の審議を開示しているわけではない。それらは残された未知の部分である。しかし、運航再開文書は企業の保証だけよりもはるかに強力な公開エビデンスである。それは安全クリティカルな自動化が要求する検証可能な修理の種類を示している。

教訓は、修理はシステムを変えなければならないということであり、単に物語を変えるだけではない。運航停止航空機は信頼が要求されたから復帰できるわけではない。規制当局、技術専門家、運航者が要求された変更とコンプライアンスエビデンスを指摘できるから復帰する。それが正常化と修理の違いである。

確認された事実、支持される推論、および未知の事項

確認された公的事実には、ライオンエア610便とエチオピア航空302便が墜落したこと、346人が死亡したこと、737 MAX が世界的に運航停止されたこと、公式調査と安全勧告が MCAS および関連する認証とヒューマンファクターの問題に対処したこと、FAA と国際規制当局が運航再開前に措置を要求したこと、DOJ が Boeing の FAA 航空機評価グループとのやり取りに関連して2021年に deferred prosecution agreement と金銭的罰則を発表したことが含まれる。

確認された公的事実にはまた、FAA が米国での運航前に是正措置を義務付ける耐空性改善命令を発行したこと、FAA が運航再開概要を公開したこと、NTSB が安全勧告を発行したこと、下院交通委員会が調査報告書を発行したこと、DOT 特別委員会が認証プロセスをレビューしたこと、合同当局技術審査が調査結果を発表したこと、EASA やトランスポート・カナダなどの国際規制当局が運航再開決定を公開したことが含まれる。

支持される推論には、MCAS 設計前提、迎え角センサー依存、パイロット作業負荷、訓練とマニュアル開示、認証委任、組織的压力、規制当局の情報フロー、航空会社の実装、運航再開エビデンスが中心的な説明責任の表面であったという結論が含まれる。この推論は公式の公開報告書と規制当局の行動から導かれる。私的な設計ファイルへのアクセスを必要としない。

未知の事項は残っている。公開情報源は、内部の Boeing 設計議論、すべての経営陣コミュニケーション、委任された認証決定、規制当局の審議、シミュレータデータセット、航空会社の訓練記録、犠牲者家族との通信、公式事故報告書以外の整備記録、または運航再開後の長期的な監視結果のすべてを明らかにしていない。公開情報源はまた、すべてのエンジニア、規制当局、管理者、航空会社、またはパイロットの意図や知識に関する包括的な主張を正当化するものではない。したがって、説明責任の主張は制度的かつエビデンスに基づくものであり、中傷的または推測的なものであってはならない。

ヒューマンファクターが安全ケースの中心だった

NTSB の公開勧告は、問題をヒューマンファクターの観点で組み立てているため重要である。タイムリーなパイロット対応を前提とする安全評価は、パイロットがストレス下で実際に何を見、聞き、感じ、理解するかを考慮しなければならない。MAX 事故では、コックピットへの影響には警報、機体挙動、作業負荷、故障経路を診断する課題が含まれていた。単独では管理可能に見える設計も、複数の手がかりが注意を競うとはるかに管理が難しくなる可能性がある。

ヒューマンファクターは、ソフトウェアやハードウェアよりもソフトであると扱われることがある。それは間違いである。安全クリティカルシステムでは、人間はシステム境界の一部である。自動化が乗務員による状態認識に依存する場合、設計エビデンスはその認識が現実的であることを証明しなければならない。手順が記憶に依存する場合、エビデンスはそれが作業負荷下で頑健であることを示さなければならない。警報がないか標準的でない場合、エビデンスは乗務員が何が起こっているかをどのように知るかを示さなければならない。訓練がシステムを省略する場合、エビデンスはなぜ省略が安全であるかを示さなければならない。

NTSB 報告書(https://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdf)と FAA 運航再開概要(https://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdf)は、一方が安全勧告の問題を枠組みし、他方が是正措置を枠組みするため、一緒に有用である。完全な説明責任ファイルは、これらの2つの層を接続するだろう。すなわち、どの前提が失敗したか、どの設計と訓練の変更がそれらを是正したか、規制当局が変更をどのようにテストしたか、航空会社が実装をどのように検証したか。

ヒューマンファクターはまた、将来のシステムに対する説明責任に影響を与える。航空機がより自動化され、より接続され、よりソフトウェア定義されるにつれて、パイロットの行動と自動化の動作の間の線はあまり可視的でなくなる可能性がある。乗務員が航空機がなぜそのように行動しているのかを説明できない場合、乗務員は唯一の安全バックストップではあり得ない。メーカーと規制当局は、自動化の動作が理解可能で、境界があり、回復可能であることを証明しなければならない。

委任は独立した挑戦なしでは機能しない

認証委任は本質的に無責任ではない。それは技術的複雑性と規制当局の作業負荷への実用的な対応である。しかし、委任は独立した挑戦を維持する場合にのみ説明責任を果たす。規制当局は重要な情報を受け取らなければならない。委任された担当者は懸念を提起できなければならない。メーカーはコスト、スケジュール、または市場目標が安全エビデンスを抑制することを許してはならない。監督システムは、機能の実際のリスクが初期分類を超えて成長したときに検出しなければならない。

DOT 特別委員会報告書(https://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdf)と JATR 報告書(https://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdf)は、1つのソフトウェア機能を超えて見ているため重要である。それらは認証構造、前提、情報フローがどのように機能すべきかを問うている。下院報告書は議会の調査結果と批判を追加する。これらの情報源は、純粋に技術的な物語よりも制度的説明責任を明確にしている。

独立した挑戦にはいくつかの実用的なテストがある。規制当局は MCAS の権限、作動条件、および故障結果について十分に知っていたか?委任された代表者は十分な独立性を持っていたか?安全評価は現実的な乗務員作業負荷を考慮したか?訓練評価者は正確な情報を受け取ったか?航空会社の顧客は十分な運航詳細を受け取ったか?国際規制当局は元の認証を信頼する理由があったか?スケジュールや商業目的が安全ケースを歪めたか?公式報告書はこれらの質問の多くに公開レベルで答えている。

未知の事項は依然として重要である。公開読者はすべての会議や主観的な動機を再構築することはできない。したがって、説明責任ファイルは公式の調査結果を超える主張を避けるべきである。それでも、委任システムが適切な公的信頼を生み出さず、レビューと修理を必要としたと言うことはできる。

犠牲者と乗客は最も権限の弱いステークホルダーである

リスクと説明責任の分析は、権力分布を可視化し続けるべきである。Boeing は航空機を設計し販売した。FAA は認証した。航空会社は購入し、訓練し、整備し、運航した。世界中の規制当局は受け入れ、運航停止し、レビューし、運航再開した。乗客と家族は MCAS アーキテクチャ、センサー入力設計、訓練範囲、認証委任、または運航再開基準を選択しなかった。彼らは最終的な結果を負った。

その不均衡は救済とエビデンスにとって重要である。犠牲者の家族は技術的な専門用語以上のものを必要としている。彼らは真実の公開記録、法的説明責任、安全変更、および同じ経路が再発しないことの証明を必要としている。乗客は、航空機型式が圧力ではなく独立したエビデンスを通じて運航再開したという確信を必要としている。乗務員はコックピットの現実を尊重する訓練と文書を必要としている。航空会社は運航に関連する自動化を隠さない認証とメーカー情報を必要としている。規制当局は懐疑心と技術的深さを支援するシステムを必要としている。

DOJ の解決、下院調査、事故報告書、FAA AD、運航再開文書、国際規制当局の行動はすべて、その公開エビデンスの一部である。それらのどれも単独では完全ではない。一緒になって、運輸安全の説明責任は多層的であること、すなわち調査、執行、認証修理、訓練修理、運航実装、長期的ガバナンスであることを示している。

この事例はまた、謝罪と補償が安全修理の代用にならない理由を示している。金銭的罰則と和解は法的説明責任に対処するかもしれない。それらは自動化が安全であることを証明するものではない。修理は設計、認証、訓練、監督において可視化されなければならない。それが検証可能な修理基準である。

企業ガバナンスと市場圧力はファイルに含まれる

Boeing の公開 SEC 提出書類は、航空宇宙製造、認証、安全、評判、訴訟、規制、運航リスクを含むビジネスとリスクのコンテキストを提供する。SEC 企業提出書類ブラウザ(https://www.sec.gov/edgar/browse/?CIK=12927&owner=exclude)および Boeing の年次報告書アクセスポイント(https://investors.boeing.com/investors/financial-reports/default.aspx)は、公開企業コンテキストとして有用であるが、事故報告書や規制当局の調査結果の代用にはならない。MCAS 危機は、製品信頼性、納入、顧客関係、規制当局の信頼、財務エクスポージャー、企業ガバナンスに影響を与えた。

市場圧力は重要である。なぜなら、航空機プログラムはコスト、スケジュール、顧客、競争上の制約の下で運営されるからである。企業は訓練の差を最小化し、共通性を維持し、納入遅延を回避し、航空会社の期待を満たす強いインセンティブを持つ可能性がある。これらのインセンティブは本質的に不適切ではない。それらが安全エビデンス、開示、または規制当局の評価に影響を与える場合に説明責任の問題になる。公的調査は、ビジネス圧力と安全決定の関係をより広範な記録の一部として繰り返し提起した。

本稿はすべての人が不適切な動機で行動したと主張すべきではない。安全ガバナンスは商業的圧力に耐えるように設計されなければならないと言うべきである。それは、独立した安全レビュー、規制当局の重要な情報へのアクセス、エンジニアのエスカレーション権限、前提の文書化、透明な訓練影響、安全文化の取締役会監督を意味する。安全クリティカルな製品企業では、ガバナンスは重要であるために十分に技術的でなければならない。

長期的な教訓は、安全文化はスローガンだけでは生きられないということである。それは決定記録に現れなければならない。システムの故障が人を死に至らしめる可能性がある場合、企業はハザード分析を誰が所有したか、誰が前提に挑戦したか、誰が訓練結果を承認したか、誰が規制当局に通知したか、誰が修理を検証したかを示せなければならない。そのエビデンスが欠けているか不完全である場合、信頼は獲得されない。

国際規制当局が修理をグローバルにした

737 MAX は米国の航空機プログラムだけではなかった。世界中の航空会社と乗客にサービスを提供し、運航停止はグローバルになった。したがって、国際規制当局は独自の説明責任義務を負っていた。彼らは FAA の作業を受け入れるか、追加レビューを実施するか、独自の条件を課すか、訓練変更を調整するか、自国の管轄区域内の航空会社や一般市民と通信するかを決定しなければならなかった。

EASA の運航再開発表(https://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-service)およびトランスポート・カナダの資料(https://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-service)は、国際当局が修理を単純なブランド保証として扱わなかったことを示している。彼らは独自の決定と条件を発行した。それは重要である。なぜなら、グローバル航空は相互信頼に依存しているが、相互信頼は独立した能力によって支えられなければならないからである。

合同当局技術審査報告書(https://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdf)も重要である。なぜなら、認証問題の管轄横断的レビューを反映しているからである。グローバルな修理プロセスは、1つの航空機型式だけでなく、規制当局が情報を交換し、前提に挑戦し、委任認証を処理する方法を改善すべきである。

国際実装レベルでは未知の事項が残っている。公開情報源は、すべての航空会社の訓練完了詳細、すべての規制当局の内部審議、または復帰後の運航報告を提供していない。しかし、公開された運航再開記録は、検証可能な修理がグローバルでなければならなかったことを示すのに十分である。グローバル航空機における安全クリティカルな自動化の故障は、1つの国内の物語だけでは修理できない。

耐久性のある修理が証明すべきこと

耐久性のある修理ファイルは、設計変更を証明すべきである。MCAS が以前に何をしていたか、後に何をしたか、どの入力を使用したか、権限がどのように制限されたか、繰り返し作動がどのように境界されたか、矛盾するセンサーデータがどのように処理されたか、警報がどのように提示されたか、システムが故障条件下でどのように動作したかを示すべきである。分析、シミュレーション、飛行試験、規制当局のレビューからのエビデンスを保存すべきである。

第二に、ヒューマンファクターの修理を証明すべきである。訓練変更、マニュアル変更、手順変更、シミュレーションシナリオ、パイロット認識基準、作業負荷分析、乗務員が現実的なストレス下で故障状態を管理できるエビデンスを示すべきである。理想的なパイロット対応だけでなく、実際のコックピット環境を考慮すべきである。

第三に、認証プロセスの修理を証明すべきである。規制当局がどのような情報を受け取ったか、委任された作業がどのようにレビューされたか、前提がどのように挑戦されたか、安全クリティカルな変更がどのようにエスカレーションされるか、商業的圧力が安全エビデンスからどのように分離されるかを示すべきである。DOT 特別委員会、JATR、下院報告書、FAA の行動は、このプロセス修理を中心的にしている。

第四に、航空会社の実装を証明すべきである。運航再開する各航空機は要求された変更を必要とした。各航空会社は承認された訓練と整備コンプライアンスを必要とした。各規制当局は監督のための経路を必要とした。一般市民は規制要件を見ることができるが、航空会社ごとの実装エビデンスはここで使用された情報源では完全には可視化されていない。それは正常な制限であるが、認識されるべきである。

最後に、継続的なガバナンスを証明すべきである。安全クリティカルな自動化の修理は運航停止が解除されたときに終了しない。監視、インシデント報告、サービス困難レビュー、パイロットフィードバック、規制当局の監査、前提を再検討する意欲を必要とする。新しいエビデンスが現れた場合、修理されたシステムは閉じたファイルではない。

エビデンスは設計を生み出したプログラム圧力よりも長持ちすべきである

737 MAX の事例が重要であり続ける1つの理由は、安全エビデンスが設計と認証中に存在したビジネス圧力よりも長持ちしなければならないことである。航空機プログラムは長期にわたり、高コストで、競争が激しく、技術的に複雑である。チームは納入目標、顧客期待、共通性目標、規制当局のスケジュール、サプライヤー依存、投資家の監視に直面する。これらの圧力はシステムが安全クリティカルであるために消えるわけではない。制御の問いは、エビデンスプロセスがそれらに抵抗できるかどうかである。

耐久性のあるエビデンスは、ハザードから前提、テスト、訓練、規制当局の認識へのトレースを示すだろう。システムが迎え角入力を使用する場合、ファイルはセンサーの不一致がどのように処理されるか、入力が間違っているときに何が起こるか、乗務員がどのように警告されるか、繰り返しコマンドがどのように境界されるか、どの手順が適用されるか、その手順が現実的な作業負荷の下でどのように検証されたかを示すべきである。認証決定が共通性や限定された訓練に依存する場合、ファイルはなぜ安全が許容可能であり続けるかを運航に関連する情報を隠さずに示すべきである。

下院報告書、DOT 特別委員会報告書、JATR 報告書、NTSB 勧告、FAA 運航再開資料、DOJ 解決はすべて、共通のガバナンス教訓を指し示している。すなわち、安全ケースは元の設計チーム以外の人々によって再構築可能でなければならない。後の調査者、規制当局、または航空会社の安全チームが、なぜ決定が下されたか、どのような情報が知られていたか、どの前提がテストされたかを再構築できない場合、組織は十分な説明責任エビデンスを保存していない。優れたエンジニアリング判断は痕跡を残さなければならない。

これは、ソフトウェアが馴染みのある航空機ファミリーの動作を変更する場合に特に重要である。馴染み深さは訓練負担と運航混乱を軽減できる。また、新しい自動化が新しい故障表面ではなく小さなバリエーションとして精神的にファイルされるリスクを生み出す可能性がある。エビデンスファイルは組織に、変更がマーケティング用語で小さいのか、安全結果用語で小さいのかを問うよう強制すべきである。それらは異なる質問である。

運航リスクは認証で終わらなかった

認証はゲートであるが、運航寿命の全体ではない。航空機が航空会社の運航に入ると、整備慣行、パイロット訓練、ディスパッチ圧力、報告システム、スペアパーツ、ソフトウェア更新、規制当局の監視、航空会社の安全文化のすべてが重要になる。設計上の欠陥は運航を通じて露呈する可能性がある。訓練のギャップは最初にライン飛行で可視化されるかもしれない。整備問題はコックピット自動化と相互作用する可能性がある。サービス困難報告は正式な調査よりも早くパターンを明らかにするかもしれない。

したがって、737 MAX の記録は元の認証決定を超えた運航リスクの次元を持っている。航空会社は運航再開変更を実装し、乗務員を訓練し、マニュアルを更新し、保管機を管理し、乗客と通信し、再開後のフリート挙動を監視する必要があった。規制当局はその実装を監督する必要があった。Boeing は運航者を支援し、調査結果に対応する必要があった。乗客はシステムが1回限りの承認ではなくエビデンスループとして機能することを必要としていた。

本稿はすべての航空会社の実装を評価すると主張するものではない。そのエビデンスはここで使用された情報源では完全には公開されていない。説明責任のポイントは構造的である。安全クリティカルな自動化は認証後にフィードバックループを必要とする。パイロットが混乱する挙動を報告する場合、整備士が再発する故障を見る場合、航空会社が明確化を要求する場合、または規制当局がサービスデータを受け取る場合、安全ケースは更新されるべきである。型式証明は将来のすべてのエビデンスが無関係であるという約束ではない。

したがって、実用的な修理基準は継続的である。航空機は義務付けられた是正を通じて運航再開したが、継続的な安全性はそれらの是正が意図したとおりに機能しているかどうかの監視に依存する。それにはフィールドデータ、パイロットフィードバック、訓練効果、整備調査結果、エビデンスがそれを正当化する場合にさらなる変更を要求する規制当局の意欲が含まれる。安全クリティカルな自動化にとって、運航データは修理記録の一部である。

運航エビデンスはまた、それに依存する人々にとって理解可能でなければならない。パイロットはすべての認証成果物を読む必要はないが、訓練とマニュアルは安全ケースをコックピットの認識と行動に翻訳すべきである。航空会社の安全チームはすべての独自設計記録を必要としないが、どの故障モードが変更されたか、どの整備信号が重要か、どのイベントがエスカレーションされるべきかを知るべきである。規制当局は各収益便を飛行しないが、フィールドエビデンスが承認された前提と一致するかどうかを監査できるべきである。その連鎖は技術的修理を運航上の信頼に変える。

弱いエビデンス連鎖のリスクは正常化である。航空機が運航再開すると、商業的压力は自然にシステムを日常業務に押しやる。日常業務は、修理が訓練、整備、報告、監督を通じて可視化され続ける場合にのみ健全である。教訓が歴史的な展示品ではなく運航の規律になる場合、組織は安全学習の成果を失いながら法的成果を保存するかもしれない。したがって、737 MAX の記録は設計の物語だけでなく、機関がテストし続けなければ、例外的な統制がどれほど早く日常的な書類作業になることができるかについての警告である。

耐久性のある説明責任テスト

ボーイング737 MAX MCAS の耐久性のある説明責任テストは、安全システムが制御が失敗したレベルで学習したかどうかである。教訓が1つのソフトウェア機能が変更されたことだけである場合、修理は狭すぎる。教訓に設計前提、ヒューマンファクター、認証委任、規制当局の情報フロー、訓練結果、国際的監視、コンプライアンスのエビデンスが含まれる場合、修理は公共のニーズに近い。

公開記録は冷静な結論を支持している。Boeing は設計と技術的エビデンスの多くを管理していた。FAA は米国の認証と運航再開権限を管理していた。国際規制当局は自国の受入と運航再開決定を管理していた。航空会社は実装と運航を管理していた。パイロットは飛行中の航空機を管理していたが、提供された知識と手順の範囲内でのみであった。乗客は技術的および規制上の選択のどれも管理していなかった。その管理分布が、説明責任が最前線の運航者だけでなく機関に焦点を当てなければならない理由である。

記録はまた、将来の自動化に対する明確な警告を支持している。安全クリティカルなソフトウェアは通常の製品ロジックで判断することはできない。それは故障結果、人間の認識、劣化運航、独立レビュー、訓練の可視性、修理の証明によって判断されなければならない。自動化がそのユーザーにとって見えにくいほど、運航前およびインシデント後のエビデンスはより厳格でなければならない。

737 MAX は規制当局義務付けの変更と国際レビューを通じて運航再開した。その復帰は説明責任ファイルを消去するものではない。それはファイルが保存しなければならないものを定義する。すなわち、事故、調査結果、是正措置、執行記録、認証の教訓、そして自動化が静かにリスクを乗務員と乗客に移転していないことを証明し続ける義務である。運輸安全において、信頼はブランド属性ではない。それは検証された制御である。