波音软件原来是用这个语言写的

【波士顿双语网讯】去年10月份狮航事故后,波音表示正在进行软件修复,以降低风险。“Boeing is working on a software fix, according to industry and government officials, that would likely mitigate risks. On Saturday, the company went further than before in spelling out dangers pilots can face if they misinterpret or respond too slowly to counter automated commands.”


从技术角度来说,这是个很容易修正的低级错误。全球几百架运行着的波音737 MAX 8/9等着打这个补丁。然而,这个修复被拖延了好几个月,直到埃航事故发生。延误的原因,其中之一是联邦官员和波音公司安全专家对于需要进行多大改动,有意见分歧。波音公司认为更新这个BUG 很简单,减少下压幅度就行。而联邦官员认为 189 条人命是大事情,必须大改,确保单个传感器错误信号不会触发MCAS系统。波音公司的飞行控制软件大多是用Ada语言写的,很多人可能都没有听说过吧,这到底是一个怎样的编程语言呢?




在Ada文档中的最佳案例上,有一个案例表明波音777上的软件99%是用Ada完成的,其中制动系统完全用Ada来完成。Ada语言最早是针对嵌入式和实时系统设计的,属于1980 年代的编程语言,也是美国军方的专用计算机语言。但之后并没有被普及,甚至可以说 Ada 在“平民层”的推广很糟糕。一个普遍的关于欧洲空间局阿丽亚娜5型运载火箭失败的说法是,因为Ada语言在编译过程的检查失败导致的。那么我们就产生了一个疑问,外包企业中,如何搜集到合适数量的精通Ada的程序员呢?

Ada语言介绍

Ada语言最早是针对嵌入式和实时系统设计的,并且在现今依然在这些方面广泛使用。Ada95版,是由INTERMETRICS公司的塔克·塔夫特于1992到1995年间设计的,当时主要是希望改进对于系统、数字、财务软件编程的支持。Ada语言的重要特征就是其嵌入式风格,模块化设计,编译检查,平行处理,异常处理及泛型编程。Ada在1995年加入了对面向对象设计的支持,包括动态分配等。Ada的编译检查主要是针对没有分配的内存读写的保护,堆栈溢出错误,单个错误空闲,队列读写错误以及其他可以避免的小问题。这些检查可以在为增加效率的情况下被取消,但是在编译的时候他们却能带来很高的效率。同样它也包括对程序的严正的设置。因为这些原因,它被广泛应用于一些非常重要的系统中,例如航空电子学,武器及航天飞行器的操作系统中。

Ada is an internationally standardized (ISO) programming language designed for long-lived, high-reliability, embedded real-time systems, embodying sound software engineering features for both sequential and concurrent applications while also providing facilities for low-level programming. The most recent version of the language, Ada 2012, includes features for contract-based programming (such as subprogram pre- and postconditions) that embed low-level requirements in the source code where they can be verified either dynamically with run-time checks or at compile time with appropriate tool support.




软件外包对质量的影响

从求职网站 前雇员对波音公司的评价中,除了抱怨 Ada 不好用,我们还得到了好几条令人惊讶的信息:波音公司没有技术面试。采购软件可能需要非常长时间。被多人抱怨技术过时,“使用古老的技术,该公司根本不重视升级或现代化工程,因为这些不能直接帮助他们销售飞机”。管理层不懂IT技术,脱节明显,甚至有的视工程技术人员为累赘。

对于安全要求严格的航空软件,波音要求每个需求都能追溯到相应的代码行。反之亦然。也就是说每行代码发生变化,必须能追溯到软件的设计文档。但是狮航事故后,媒体披露航空公司的管理层和飞行员并不知道飞机上还有这么一套辅助系统。APA 航空发言人 Dennis Tajer 曾表示,MCAS 系统的细节“对我们而言是新信息”,“我们的手册中没有提到它”。而且该航空还没有相应模拟器,驾驶员从旧的737 NG 驾驶舱到新的 737 MAX,只在 iPad 上进行了一小时训练。

波音公司在2010年曾发布了1000份裁员通知,而这些被裁减的人大部分在IT部门。该公司当时拥有 158,500 名员工,其中包括 18,000 名工程和技术人员,但他们计划是削减 10,000 个工作岗位。一位前波音软件工程师在 2015 年表示,企业将裁掉90% 经过了熟练培训的员工,用“外包”来代替他们,从而缩减开支。据《经济时代》报道,2015 这一年,波音公司给印度的外包业务翻了一番,达到了5亿美元。

软件外包是一个需要发包方和承包方高度协作的过程。服务周期长、可变因素多,这使得公司在软件外包过程中面临重大风险。787型飞机计划 70% 使用外包,最终导致了延期三年还交付不了,波音表示:“我们同时在技术、工具和供应链上做了太多改变,超出了我们的管理能力“。




“软件故障”导致5个月内两起空难

2017年10月,一架波音 737 Max 8喷气式客机撞向印度尼西亚的爪哇海,造成189名乘客和机组人员死亡。调查人员称该飞机的飞行控制软件出现“故障”。今年3月10日,埃塞俄比亚航空公司一架波音 737 MAX 8 客机在飞往肯尼亚首都内罗毕途中坠毁。飞机上载有149名乘客和8名机组人员。两次飞机出事的事故症状非常类似,所以有理由怀疑埃航这架飞机发生了同样的“软件故障”。

在经历了两次空难之后,波音公司承诺,最迟在下个月,针对全球所有波音737 Max型飞机进行软件更新。在狮航事故记录和波音发布的分析里,失事前几分钟,由于高攻角传感器(AOA)错误数据传给了飞控系统,导致飞机在正常情况下开始不断下压机头。飞行员在11分钟内连续手动拉升20余次终告失败,坠海罹难。

这个自动控制下压机头的系统,名叫MCAS,意为自动纠正失速系统,这是波音737 MAX 的一种操纵辅助系统。它有几个特点:发现失速后,程序只相信主传感器,不与备份传感器核实。(同样的情况空客的飞机则会交给飞行员处理。)一旦相信,不通知飞行员,直接操纵机翼。飞行员手动操作后,仍旧会每五秒自动执行,让飞行员不得不与飞机较劲。