本文來自微信公眾號：底線思維，作者：張仲麟，題圖來自：視覺中國

12月1日，空客中國發布聲明，在中國民航局的指導下，國內各航司已于11月30日前完成全部受影響A320系列飛機的軟件降級或相關防護改裝，確保所有航班運營平穩正常。

事情還要從11月28日說起，當天空客針對其A320系列客機發布了一次全球范圍的召回通知，要求對約6000架在役A320飛機進行緊急修改。這個數量約占全球A320系列機隊一半的規模，是空客有史以來規模最大的召回行動，而其中涉及到我國的A320系列客機數量約有1000架左右。

如此大面積的召回，和一次意外有關。10月底，捷藍航空的A320在一次飛行中，突然不受控地向下俯沖下降高度幾百英尺，把所有人給嚇了一跳。而一個月后，空客調查清楚了這次意外俯沖的原因，并啟動了召回行動以彌補漏洞，而這次召回的罪魁禍首，就是高懸在空中的太陽。

太陽與飛機

民航機在萬米高空飛行時，會受到比地面高得多的宇宙射線和太陽高能粒子輻射，這是因為大氣層在高空變薄，對宇宙輻射的屏蔽作用顯著降低。在典型的35000英尺巡航高度，宇宙射線輻射強度約是地面水平的100倍，因此飛機上遭受輻射比地面高是有科學依據的。而當出現太陽耀斑等活躍現象時，太陽高能粒子的密度還會進一步增加，使得輻射量大幅增加。

對于精密的現代電子設備來說，過強的高能粒子輻射并不是一個好事，輕則元器件壽命縮短，重則數據錯誤產生bug。也因此，飛機上的電子設備往往都需要滿足航空級標準，使用高可靠、抗輻射等級的電子元件和容錯架構以應對高空輻射帶來的影響。例如，采用容錯架構（三余度投票機制）、ECC校驗存儲器和異常檢測/校正算法等，以盡量降低單粒子事件對電子系統的影響。

盡管航空制造業已經充分考慮了高空輻射對飛機的不利影響，但往往還是會有一些極端情況的發生，比如這次捷藍航空的突然下降事件。

這里首先介紹下捷藍航空是如何在太陽影響下突然失控俯沖的。

太陽高能粒子在穿透飛機并擊中航空電子元件時，可能會引發單粒子翻轉現象。簡單來說，電腦系統內存中儲存的數據是由無數的0和1組成，而高能粒子穿透時攜帶的能量，很可能把某個字節從0變成了1。眾所周知，電腦指令就是由一串數據，也即一長串0和1所組成。所以理論上如果運氣夠好（或者夠糟糕），高能粒子導致的數據翻轉現象會構成一條錯誤指令，并被電腦所錯誤執行。也因此針對這種情況，在加強電子設備的防輻射防護之外，還要使用軟件進行校驗，將這種錯誤數據剔除出去。

而捷藍航空的A320就比較不巧，先是撞上太陽進入活躍高峰期高能粒子大幅增加，而它的升降舵與副翼計算機（ELAC）使用的軟件是最新的L104版本。為了提升性能表現，L104版本軟件在數據校對這塊又弱了點。于是就成了經典的瑞士乳酪模型，太陽高能粒子引發的數據錯誤穿透了軟件校驗，并通過ELAC執行在飛機的舵面上，最終導致飛機突然向下俯沖。

你看，飛機的電子設備雖然采用了航空級的設計與器件，但在極端情況下還是遇到了問題。雖然捷藍航空遭遇的情況往往屬于“偶發事件、無法復現、觀察使用”，但空客方面還真查出了原因，那自然還是得消除下事故癥候，免得別的飛機因為同樣原因出了意外，畢竟空客不是波音。歐洲航空安全局的緊急指令顯示，這一問題如果不修正，最糟糕的情況下飛機可能發生不受控的升降舵偏轉，從而可能做出超出結構極限的過載動作。

飛機也要OTA？

正如前文所說，空客A320的ELAC（升降舵與副翼計算機）在L104軟件版本中，對太陽高能粒子引發的單粒子翻轉數據錯誤防護存在不足。那么要解決問題無非兩種途徑：硬件與軟件。

硬件方面的方案就是把原來的ELAC給換掉。但這個方案的問題在于短時間內沒有那么多部件可以供六千多架A320更換，更別說航材調配以及更換成本會很高，非常不經濟。而這一極端情況下才會出現的漏洞，也沒到必須要立即更換硬件的地步。空客方面證實，本次事件中問題出在軟件上，硬件本身符合規格要求。

而軟件方面的方案則是將ELAC的軟件進行回滾。太陽粒子引發的單粒子翻轉之所以和軟件版本掛鉤，正是因為軟件容錯設計在防范此類隨機錯誤中扮演關鍵角色。新軟件版本在提升性能的同時，卻中無意間削弱了排除錯誤數據的能力，才使得以往或可被平穩處理的輻射干擾直接影響了控制指令輸出。

也因此，空客給的方案是從較新的L104回滾到上一個更穩定的L103版本。可見“萬事不決重裝電腦”這一電腦維修界的真理在航空業也一樣適用。軟件方案不需要更換硬件，并且操作快速迅捷，基本屬于有手有設備就行，而且也能解決問題。最終空客的A320召回方案就是：對A320進行全球范圍的軟件回滾“升級”。

這種方案在如今的新能源汽車中也頗為常見。看似動不動幾十萬輛汽車召回，但其實都是一個OTA軟件升級就搞定了。而A320也是一樣，每架飛機平均耗時兩個小時就能完成“OTA升級”，然后可以照常恢復飛行。

但是還有一些少量A320老型號由于兼容性問題，無法回滾到指定的L103版本，那就只能更換ELAC硬件了。好在這些老A320數量并不多，只有幾百架，對空客來說還算應付得過來，對這些停場等硬件OTA的A320進行特急配送。而更換硬件本質也是為了能運行要求的軟件版本（L103）。

穩如泰山的中國民航

由于A320系列在全球民航機隊中舉足輕重，此次大規模召回不可避免對各地航班運行造成沖擊。歐洲航空安全局EASA和美國FAA幾乎同步頒布緊急適航指令，要求相關飛機在完成軟件修復/硬件更換前不得載客飛行。

消息發布時，恰逢美國感恩節旺季，各大航司被迫在極短時間內安排維護窗口升級軟件，一時間航班延誤和取消的風險陡增。所幸修復操作相對簡便迅速（多數只需數小時），航空公司紛紛連夜行動，使得實際航班中斷程度比初期擔憂的要小。但日本和澳大利亞航司受到了較大影響，取消了一定數量的航班。

作為A320系列飛機的重要市場，中國民航機隊擁有A320近2000架，占據半壁江山。如此龐大的機隊理應在本次召回中首當其沖。然而值得慶幸的是，中國民航的航班運行幾乎未受到明顯影響。

這一成績的取得，首先歸功于各方協同、高效響應的機制。歐洲EASA在11月28日深夜發布緊急適航指令后，中國民航局（CAAC）迅速啟動評估程序，并通過適航指令轉發的形式，將空客的改裝要求同步傳達給國內航司。空客積極配合民航局，第一時間向國內24家運營A320系列的航空公司下達了緊急運營通告并提供技術支持。

而各航司則連夜調配維修資源，利用航班過夜整備時間對飛機進行更新。由于此時正處于淡季，11月底并非國內航空出行高峰，再加上航空公司內部機型調配得當，因此即便短暫停飛部分A320，也未出現航班大面積延誤或取消，平穩度過這一次大規模OTA。

從空客發布緊急運行通告到完成全部OTA，用時不足48小時。這正體現出民航局和中國航司對安全隱患零容忍、不過夜的嚴肅態度。可以說，中國民航通過一次成功的實戰，展現了應對全球機型適航突發事件的組織能力和執行力：信息通暢、決策果斷、行動迅速，從而將對旅客的影響降至最低。

而對商飛C919來說，本次空客A320大規模OTA事件也是個極好的警示和學習。這起事件能平穩結束，證明了高效的售后服務體系是民機競爭力的關鍵。C919不僅要造得好，更要建立起類似此次中國民航展示出的快速響應與航材保障機制，確保在面對突發適航指令時能迅速消化風險，最大程度保障機隊的持續安全運營，從而完成從“產品成功”向“商業成功”的跨越。

本文來自微信公眾號：底線思維，作者：張仲麟