从丰田暴走到空客俯冲:一颗来自太空的粒子,如何扒掉了6000架A320的防弹衣
2026-06-05 22:38:01未知 作者:徽声在线
上一期我们分析了ES-SAN号A320的故事,五台飞控计算机因为看到了不同的世界而互相否决、集体自我关闭。那件事的本质是保护过度:保镖们太敏感,朝对方开了枪。
「飞机的账本」这一期,讲一个方向完全相反的故事。同样是A320,同样是ELAC飞控计算机,但这一次不是保镖互相否定,而是保镖们看到了同一份伪造的情报,一起把冒牌老板送上了车。更要命的是,事后所有人都说:“都怪这可恨的老天爷。”
图1:A320 的飞控系统不是一台电脑,而是一组计算机互相配合、互相监督。上一期的问题是它们互相否定;这一期的问题,是它们一起信了同一份假情报。
01
墨西哥湾上空的四秒钟
2025年10月30日下午,一架捷蓝航空(JetBlue)的空客A320-232,注册号N605JB,正在飞坎昆到纽瓦克的JetBlue 1230航班。
万米高空(约35000英尺),墨西哥湾上空,晴空万里。客舱里该吃吃、该睡睡。驾驶舱里,也是再正常不过的一次巡航。
然后飞机猛地一沉。
没有任何预警,没有气流颠簸。天气好得不能再好。飞机就是毫无征兆地向下俯冲了大约4到5秒,掉了将近30米(约100英尺)的高度。没系安全带的乘客和空乘被重重甩向了天花板,客舱里顿时一片混乱。
从目前公开信息看,自动驾驶并没有像传统失控事故那样立刻退出。它先是跟着一条错误的飞控指令把机头压了下去,持续了几秒钟,随后飞机又回到了原来的轨迹上。
紧接着机组宣布紧急状态,航班备降坦帕(佛罗里达州)。其中22人受伤,18名乘客和4名空乘,好在都不是致命伤。
NTSB(美国国家运输安全委员会)随即介入调查。两台ELAC计算机被拆下来,送往法国的Thales工厂进行拆解分析。
一个月后,问题大致指向了ELAC软件。
随后空客向全球所有A320机队运营商发出了AOT(All Operators Telex,全运营商通报),编号A27N022-25。
EASA(欧洲航空安全局)紧跟着发出了紧急适航指令AD 2025-0268-E,FAA也同步发布了AD 2025-24-51。
这道指令下得还是很重的:凡是用了ELAC B型硬件,软件又是L104标准的A319/A320/A321在下一次飞行之前,必须将ELAC软件从L104降级回L103+。这里没有任何商量余地,只开了一个小口子,最多允许飞3段空机调机,不能载客,不能飞ETOPS(延程双发运行),只能用来把飞机挪到能修的基地去。
这一波操作让全球大约6000架A320系列飞机受影响。这个规模的飞控系统安全行动,空客几十年的历史上从来没有过。
适航指令生效的那天,是2025年11月29日,美国感恩节假期最忙的那几天。
图2:ELAC 、 SEC 、 FAC 共同构成 A320 电传飞控的核心。它们本来是“多一道保险”,但这一次,保险本身也被错误数据骗了。
02
银行账户里的那颗粒子
要理解这次事故的根本原因,需要先理解一个物理现象。它听起来像科幻电影,但实际上每天都在发生,叫位翻转,也叫比特翻转(Single Event Upset,简称SEU)。
拿银行账户来打个比方。在我们平时的计算机内部,我们的账户余额被存储为一串0和1。比如数字6,在二进制里是0110。
现在,一颗来自太空的高能粒子穿透了芯片外壳,击中了存储这个“0”的那个晶体管。这颗粒子可能就是一颗宇宙射线撞击大气层后产生的二次中子。它在半导体里沉积的能量足以把那个0翻转成1。0110变成了1110。我们的余额从6变成了14。
这就是比特翻转。
图3:ESA 发布的 Single Event Effect 示意图:高能粒子穿过半导体材料时,会在芯片内部沉积电荷,从而让存储单元里的 0 和 1 发生翻转。
不是芯片坏了,也不是代码有bug,就是一颗粒子从物理层面篡改了存储在芯片里的数据。等这颗粒子飞走之后,芯片本身完好无损,下一次写入可以正常覆盖。问题出在中间这几毫秒,或者几秒钟。数据已经错了,下一次正常写入还没输入。在这段时间里,如果没有额外的校验机制,所有读取这个地址的程序都会拿到错误的数值,而且会把它当成是真的。
在地面,这种事确实会发生。但是概率极低。到了万米高空,这类粒子的数量大约是地面的300倍。
地球大气层相当于是一面巨大的辐射盾牌。宇宙射线中的高能质子和阿尔法粒子撞上大气层中的氮和氧原子核,会产生粒子级联反应,大量次级粒子像瀑布一样向下倾泻。
图4:高能粒子击中半导体后,会产生电子 — 空穴对,形成瞬态电流脉冲。对芯片来说,这一下就可能足够把一个比特翻过去。
其中最麻烦的是高能中子,特指能量大于10兆电子伏特的那些。它们不带电、不受电磁场偏转、穿透力极强。一颗高能中子击中硅芯片里的硅原子核,会发生核散裂反应,当场在芯片内部炸出一堆高电荷密度的反冲离子。正是这些反冲离子沉积的电荷,把存储单元里的0翻成了1。
在海平面上,每平方厘米每小时大约有20颗高能中子飞过。到12000米里的高空(差不多40000英尺),这个数会变成大约6000颗。这个数值来自国际标准IEC 62396使用的参考模型,在波音辐射效应实验室的Normand模型和日本原子能机构的EXPACS大气通量计算程序中都可以实现复现。
更让人害怕的是,这粒子通量还跟纬度有关。地球磁场在赤道附近最强,能偏转掉大部分宇宙射线,不过越往极地走,磁场越弱,就会允许更多粒子穿透。
一条伦敦飞洛杉矶的极地航线,在同一高度上的中子通量可以是赤道航线的2到5倍。
所以,航电工程师从来就是知道这件事的。比特翻转不是什么新发现。
IEC 62396标准(英文名 Process Management for Avionics – Atmospheric Radiation Effects,《航空电子设备大气辐射效应过程管理》)从2005年就开始发布,分成五个部分,专门规定了航电设备具体该怎么去评估辐射风险、怎么去测试、怎么来做防护。EASA在2018年1月发布了认证备忘录CM-AS-004,要求所有新型号认证和重大航电改装都必须针对SEU进行专门评估。
行业内最基本的一道防线,叫做EDAC(Error Detection And Correction,错误检测与纠正),也经常被叫做ECC。
原理不是很复杂,每次往内存里写一个32位的数据,硬件会自动多算7个校验位,一起存下来。总共39位。
读数据的时候,硬件再算一遍校验位,拿它和原来存下来的校验位对一下。如果发现某一位被翻了,校验码能精确定位到是哪一位,硬件在CPU还没反应过来的时间里就悄悄改回去了。CPU拿到的永远是正确的数据,它甚至不知道刚才有一颗中子来过。
这叫SEC-DED,即单比特纠错、双比特检错。遇到单个比特被翻转,它能自动纠正;同一个数据字里同时翻了两个比特,它能发现(但实际纠不回来)。
这里打个比方:我们的身份证号,最后一位是校验码,是前17位数字按一套公式算出来的。如果有人篡改了中间某一位,用同一套公式重新算一遍,校验码就对不上了。EDAC的原理跟这个一样,只不过它不仅能发现错误,还能当场纠正。没有EDAC的内存?那就像一串没有校验码的数字,改了哪一位都看不出来。
对于DAL-A级别的航电系统(飞控计算机就是最高等级的DAL-A,意味着故障可能导致灾难性后果),认证要求失效率低于每飞行小时 10⁻⁹。要达到这个标准,光靠EDAC还不够,还需要硬件冗余(多台计算机)、异构设计(不同芯片、不同代码)、交叉比对(COM/MON双通道)等多层防护的叠加。
图5:A320 的飞控冗余,不只是“多装几台电脑”。 ELAC 、 SEC 和液压系统之间互相分工,真正形成的是一张控制网络。
换句话说,整个行业早就知道宇宙射线会造成比特翻转,也早就有了成熟的防护手段。这不是什么科幻设定,这是最基础的设定了。
那问题来了:比特翻转这个威胁,行业已经防了几十年。为什么到2025年,它突然得手了?
03
L104——好心办了坏事
我们来细细说,这个答案藏在一个叫"Safety Beyond Standard"(超越标准的安全)的升级计划里。
空客的A320从1988年首飞到现在,飞控计算机的软件已经是迭代了无数个版本。
ELAC的软件标准从最早的L84一路走到L93、L97+、L98、L99、L103+,每一代都在修补旧问题,再往里加一点新保护。其中L97+是一个关键节点,2015年EASA发布了适航指令AD 2015-0088,强制全球机队升级到L97+标准,主要是为了增强迎角(AOA)传感器堵塞的检测能力。
到了L104,空客的野心更大了。他们想把已经服役快40年的A320飞控系统拉到接近A350的安全水平。目标很明确,降低LOC-I(Loss of Control In-flight,飞行中失控)的风险。LOC-I是商业航空致命事故的头号杀手,空客想在老机型上也加上更多的保护网。
L104新增的核心功能叫PALAL(Pitch Attitude Limitation in Alternate Law),备用法则下的正俯仰姿态限制。
图6:升降舵指令不是从驾驶杆直接通到舵面,而是先进入飞控计算机,再由计算机决定该给液压伺服什么指令, L104 的问题,就藏在这条链路里。
这里来先说一下背景。A320的飞控有三级降级:正常法则、备用法则、直接法则。正常法则下,飞机有完整的包线保护,飞行员想把机头拉到危险角度,计算机不让。
如果一旦降级到备用法则(比如丢了两台ELAC或者传感器故障),很多保护就没了。PALAL的作用,就是在备用法则下也保留一道俯仰姿态的限制,防止飞行员在系统降级的情况下一杆拉到底,把飞机给直接拉进失速了。
除了PALAL,L104还做了另一件重要的事:让飞控保护在更多复杂故障场景下也别轻易掉线。
在以前的软件版本里,如果两台FAC(飞行增稳计算机)同时挂了,或者两个偏航阻尼器同时失效,包线保护会直接消失。L104修改了逻辑,让这些场景下保护仍然在线,虽然效率打了折扣,但是至少还有兜底在。
这些改进本身没有问题。PALAL和增强的故障保护,都算是实打实的安全升级。空客通过SB A320-27-1305/1306(CEO机型)和SB A320-27-1307(NEO机型)在全球机队中推行这些升级。
但是新功能塞进去的时候,旧的防护被削弱了。
ELAC B型硬件的处理器性能并不宽裕。
从早期的摩托罗拉68010一路演进,虽然硬件已经更新换代(据事后调查的报道,当前的ELAC B可能使用了90纳米SOI工艺的处理器,Thales没有公开确认具体型号),但对于一台需要在毫秒级别实时计算飞控律的计算机来说,算力始终是稀缺资源。
要在这点算力里塞进PALAL和新的保护逻辑,原来的代码路径就需要动。问题也出在这里,代码重构之后,升降舵指令处理路径上的某些防护逻辑,至少没有像L103+那样有效拦住辐射引起的数据损坏。
公开的适航指令和AOT只确认了一件事:
L104在辐射暴露下"可能出现数据损坏,导致无指令升降舵偏转"。但它具体是怎么没挡住的,官方文件没有把问题定位到某一段代码、某一条路径上。
不过,多方独立的技术来源,包括航空业内人士论坛上的航电工程师讨论、一些专业科技媒体的技术分析、以及事故后的行业推演,都指向了同一个方向:
Thales在重构L104代码时,可能为了给新功能腾出运算周期,削弱了部分EDAC(错误检测与纠正)相关的检查逻辑。
综合多方技术分析,L104的退化大致集中在三个方向:
第一,合理性校验松了。比如一个在当前飞行状态下根本不可能的升降舵偏转量,L103+会直接拒绝,L104可能就放过去了。
第二,关键数据的交叉验证被简化了。以前的版本可能读两次取一致值,新版本可能只读一次就用。
第三,安全滤网没覆盖到新代码。那些用来捕捉数据突变的速率限制滤波器或范围校验,没有延伸到L104新增的代码路径上。
这些具体细节还要等NTSB和EASA后续公开材料确认。
但根据这些都指向的是新功能加进来了,但旧防线没有跟上步伐。
回到COM/MON架构。
A320每台飞控计算机内部有两个通道:COM(指令通道)负责算,MON(监控通道)负责盯。两个通道用不同的硬件和软件独立计算,只要结果对不上,MON就切断COM,整台计算机下线。
上一期ES-SAN事件里,COM和MON因为各自的时钟精度不同,在1.02秒的边界上采到了不同的数据,一个说飞机在天上,一个说飞机在地上。结论不一致,MON判定COM有问题,直接切断。五台计算机发生连锁反应,接连退出。
只是L104事件揭示了COM/MON架构的另一个盲区,一个方向完全相悖的盲区。
问题很可能出在COM/MON比对之前的某个数据层。如果被篡改的数据已经进入了两个通道共同信任的输入路径,COM和MON就尴尬了,它们不是算得不一样,而是拿着同一份错误的前提,各自独立地算出了同一个错误的结论。
MON一比对:"COM算的和我算的一样。"没问题,放行。
于是一条被宇宙射线篡改过的升降舵指令,堂而皇之地通过了COM/MON的双重校验,被发送到液压伺服阀,驱动升降舵偏转,飞机俯冲了30米(约100英尺)。
上一期是保镖们看到了不同的情报,朝对方开枪,结果把自己人全干掉了。
这一期是保镖们看了同一份伪造的情报,一起把冒牌boss送上了车。
ES-SAN的教训是保护流程太敏感,会自相残杀。
L104的教训是:保护流程的眼睛被蒙上了,它就连最明显的假货都认不出来。
而蒙住它眼睛的那只手,刚好是空客自己去为了塞进一个为了提高安全性的新功能。
图7:电传飞控最怕的,不是没有保护,而是保护机制以为自己看见了真相。复杂系统一旦信错了输入,后面的每一步都可能显得“正常”。
04
罪魁祸首是太阳?
空客AOT和EASA适航指令里,是这么写原因的:
"调查发现,ELAC B型软件标准L104在暴露于强烈太阳辐射时,可能出现数据损坏,导致升降舵发生无指令偏转。在最坏情况下,这可能导致超出飞机结构承受能力的载荷。"
关键词是强烈太阳辐射。
听起来像一场罕见的天气灾难,好像那天太阳真的朝地球来了一波狠的,连钢筋铁骨的飞控计算机都扛不住了。
就顺手查了一下NOAA(美国国家海洋和大气管理局)公开的空间天气数据。
2025年10月30日,地磁暴级别:G1。
图8:NOAA对G1级地磁暴的说明:主要影响区域在地磁纬度60度以北,可能带来弱电网波动、轻微卫星运行影响,以及高纬度极光。它是五级地磁暴量表里最低一级,远不是“极端空间天气”。
G1是什么概念?NOAA的地磁暴量表从G1到G5,G1是最弱的。
相当于地震震级里的微震,杯子都不会晃一下。Kp指数(衡量地磁扰动强度的标准指标)当天峰值是5,刚刚够到G1的门槛。太阳风速度峰值每秒586公里,属于中等偏高但远非极端。
当天有一次大型太阳爆发倒是真的。不过那次爆发发生在太阳的背面,不是面朝地球来的。
有人可能注意到,ESA(欧洲航天局)曾发表评论说,那段时期的太阳活动是"近20年来最显著的"。但是仔细查对日期会发现,ESA的这个描述指的是2025年11月的一系列太阳活动,不是10月30日事发那天。
这里还有一层反直觉的科学事实,值得好好讲一下。
很多人以为太阳活动越剧烈,飞机在高空吃到的宇宙辐射就越强。实际上,对于稳态背景辐射来说,情况是刚好相反的。
宇宙射线的主要来源不是太阳,而是银河系深处的超新星爆发和其他高能天体事件。这些银河宇宙射线(GCR)才是高空电子设备面临的日常辐射背景。
正是它们的次级粒子(特别是高能中子),在万米高空形成了那个300倍于地面的中子通量浴场。
太阳在活跃期发出的太阳风更强、磁场更紊乱。这个增强的太阳磁场会像一面膨胀的盾牌,把银河宇宙射线偏转出去,减少它们到达地球的数量。这个效应在物理学上叫Forbush减少效应(Forbush Decrease)。在太阳活动高峰期,地球附近的银河宇宙射线通量比太阳活动低谷期低20%到30%。
2025年正处于太阳周期25的极大期附近。也就是说,当年的稳态中子通量,反而偏低。
当然,太阳活动高峰期确实会带来另一种风险,叫太阳高能粒子事件(SEP),也叫地面增强事件(GLE)。
这是太阳耀斑和日冕物质抛射直接喷射的高能质子。最极端的GLE事件可以在极地高空瞬间把辐射量提升100到1000倍。但这种事件是屈指可数的,自1942年以来全球只记录了大约70次左右,而且10月30日当天并没有发生GLE。
现在来总结一下:
当天的地磁暴级别是G1,五级量表里最低的
大型太阳爆发在太阳背面,不是朝地球来的
2025年处于太阳极大期,稳态宇宙射线通量反而偏低
当天没有GLE事件
如果公开的空间天气数据没有漏掉更严重的局地粒子事件,那结论就更有意思了:按照IEC 62396标准认证的航电系统,设计要求能承受远比G1恶劣得多的辐射环境。不是那天的辐射环境特别离谱,而是L104这条防线在本不该被打穿的环境下被打穿了。
换句话说,问题不在天上飞来了一颗子弹,问题在于防弹衣没有挡住一颗它本该挡住的子弹。
航空业内论坛上,一线飞行员和航电工程师的主流观点高度一致:
"宇宙射线每天都在打。A320这些旧版本在类似辐射环境下跑了这么多年,没闹出这种事。问题不在子弹,是有人把我们的防弹衣脱掉了。”
一位亚太地区业内资深人士,在私下的交流中说得更直白一点:
"归因天灾就能撇清保险责任。Thales推辞,空客配合,EASA点头。说火灾是雷劈的没错,但你把避雷针拆了这件事难道不提?"
他还提到一个细节,波音原厂零件的包装盒里,发票背面印着标准免责条款。排在第一条的不是产品缺陷,不是材料疲劳,而是Act of God(不可抗力因素/天灾),第二条是War(战争及相关冲突),然后才是天气。最后一条兜底:"其他一切不可预估的状况。"
这不是个别公司的做法,这是行业惯例。当"Act of God"总是被放在免责条款最醒目的位置,我们就该明白:"天灾"在工程事故叙事里,从来不只是一个气象学术语,它也是一张很好用的责任缓冲垫。
05
甩锅三重奏
JetBlue事件之后,三方说的话,都把边界画得很清楚。
Thales(ELAC的制造商,前身是Thomson-CSF)的立场很清楚,一个字都没多说:硬件完全符合空客规格。L104中受影响的功能,也就是PALAL和新的保护逻辑,"不在Thales的直接责任范围内。"
说白了PALAL是空客设计的飞控律功能,空客把规格书交给我们,我们在硬件平台上帮你实现。飞控律怎么算,不是我们定的。你自己设计的功能出了问题,别来找我。
空客的立场则小心地把焦点引向了环境因素:"强烈太阳辐射"导致数据损坏。这句话的精妙之处在于,它没有指名任何一方的设计缺陷,而是把责任推给了一个无法被起诉的被告:太阳。动作上空客是负责的,主导了全球的AOT和修复行动;但话术上始终没有承认软件存在缺陷。
ESA这边更像是提供了一个容易被误读的背景板。ESA太空天气服务中心确实讨论了那段时期的太阳活动,称其"近20年来最显著"。但那说的是11月11日的X5.1级耀斑和G4级地磁暴,不是10月30日JetBlue 1230事件当天的环境。问题在这类"太阳很活跃"的背景描述,如果被放进事故叙事里,很容易让公众甚至司法机构误以为那天飞机正好撞上了一场罕见的天气事件里。
那么,责任到底在谁?
核心问题绕不开EDAC这一类防护机制,那些负责检测、纠正,或者至少拦住异常数据的保护链路。EDAC既是硬件功能(比如ECC内存、寄存器的冗余设计),也是软件功能(比如合理性检查、范围校验、冗余读取)。它正好卡在硬件和软件之间。
在空客和Thales的分工模式里:
Thales负责ELAC的硬件平台——处理器板卡、I/O接口、物理单元、底层操作系统
空客负责飞控律软件——PALAL就是这一层的功能
两者共同负责集成和验证
但是谁来确认整套东西放在一起之后还能挡住SEU?这件事,在"谁规定、谁实现"的分工里,正好进了灰色地带。硬件层面的ECC是Thales的事;软件层面的合理性检查是空客的飞控律代码里该做的事;而把两者串起来、确保L104在Thales的硬件上有足够的SEU防护,这个责任,两边都能说"不完全是我的"。
打个比方:盖房子的说"我的地基没问题",装修的说"我的家具没问题",但漏水的是墙。墙是谁的?
不过有一件事是清楚的,A320的型号合格证持有人是空客,不是Thales。在适航体系里,无论底层硬件谁造的,系统集成和安全验证的最终责任都压在制造商头上。主导PALAL设计、代码重构和集成测试的是空客,按那位业内大咖的话说,拆避雷针的人,就是空客。
更值得我们追问的是:L104是怎么通过认证的?
飞控计算机软件按DO-178C标准认证,ELAC的软件属于最高等级DAL-A,任何可能导致灾难性后果的系统都在这个级别。DAL-A的认证流程算是非常非常严格的,要求每一行源代码都能一路追溯到系统级需求,独立验证团队审查,穷尽性测试覆盖。
按照EASA CM-AS-004和IEC 62396的要求,L104从L103+升级过来时,应该针对SEU进行专门的安全评估。如果做了,为什么防护的退化没有被发现?如果没做,为什么认证通过了?
这些问题,至今没人公开说清楚。NTSB的正式调查仍在进行中。
但是已经有人不打算等调查结论了。2026年1月,JetBlue航班1230上的三名乘客,Nadia Ramos、Ricardo Racines和Natividad Martinez,他们在佛罗里达中区联邦法院提起了诉讼(案号8:2026cv00048),被告是空客、Thales和捷蓝航空三方。
原告诉状里有一句话,正好戳在"天灾"这套说法最经不起推敲的地方:
"这不是太阳辐射造成的。这是一个已知的、反复出现的自动驾驶故障,空客和Thales未能进行充分的测试或修复。"
06
丰田的旧账
图9:丰田突然加速案后来成为嵌入式软件安全领域的经典案例。它和 A320 L104 不是同一类事故,但共同指向一个问题:底层数据防护一旦缺口,错误就可能一路爬到执行机构。
L104事件不是第一次有人在比特翻转和EDAC之间摔跟头。它甚至都不算最出名的一次。
2009年到2010年间,丰田遭遇大规模的"车辆突然失控加速"投诉,被迫在全球召回了数百万辆汽车。
美国高速公路安全管理局(NHTSA)甚至请来了NASA,查了10个月的电子系统。
NASA的结论是:"没有发现电子缺陷或软件缺陷导致了这些事件",问题被归因于机械原因:脚垫卡住油门踏板、踏板回弹卡滞。
然后到了2013年,Bookout诉丰田案开庭。法官下令向一家叫Barr Group的嵌入式系统咨询公司开放了丰田发动机控制单元(ECU)的全部源代码。Barr Group的创始人Michael Barr带着他的团队花了18个月审查代码。
结果有点让人不堪入目:
超过81000条MISRA-C安全编码规则违规。代码结构被内部人士形容为"spaghetti code",高度复杂、严重耦合、缺乏模块化。更关键的是,故障隔离机制几乎形同虚设,一个非关键任务的崩溃可以像多米诺骨牌一样连锁影响整个系统。
但最致命的发现是:2005款凯美瑞的ECU内存完全没有EDAC保护。
Barr在法庭上演示了一个场景:一次比特翻转,仅仅一个比特从0变成1,就能直接摧毁ECU中负责管理油门控制的关键进程。如果一旦这个进程崩溃,油门可能卡在全开位置,而系统不会触发故障代码、不会亮发动机故障灯、不会自动进入安全模式。驾驶员拼命踩刹车,发动机却可能还在全力输出动力,这就是当年闹得人心惶惶的丰田"暴走"。
陪审团认定丰田构成"reckless disregard"(对安全的严重漠视),判丰田败诉。
丰田案和L104放在一起看,最让人警醒的不是"地面辐射到底有没有打穿 ECU",这件事学术界至今还在吵。
真正值得细想的是它们共同暴露的一条规律,底层的内存防护只要缺了一环,一个微不足道的数据扰动就能沿着控制链路一路往上爬,最终推动油门或升降舵这类直接关乎生死的执行机构。
丰田的芯片在地面运行,中子通量只有高空的三百分之一。Barr Group证明了即便在这么"安全"的环境下,一个没有EDAC保护的ECU也扛不住概率事件。而L104,是在辐射量300倍于地面的万米高空运行的飞控计算机,它的防护链路反而缩水啦?
这里还有一个工程上的深层悖论,值得单独拎出来说。
芯片越先进,比特翻转就越容易。
这听起来非常反常识,但物理规律就是这样。翻转一个存储单元需要的最小电荷叫做临界电荷(Qcrit),它大致等于存储节点的电容乘以供电电压。
从500纳米工艺到14纳米工艺,电容缩小了、电压降低了,Qcrit从大约50飞库仑(fC,库仑的千万亿分之一,一个小到无法想象的电荷单位)骤降到大约1.4 fC——翻转门槛降了50倍。这意味着在500纳米时代无害的粒子撞击,到了14纳米时代就足以翻转比特。
这不是说A320这台ELAC一定用了14纳米芯片,我想它大概率没有。但芯片越做越小,本来就要付这个代价,节点越小,单个存储单元越敏感,系统级防护就越不能省。
同时,晶体管越密集,同一颗粒子击中多个相邻存储单元的概率越高,这叫多位翻转(MBU)。标准的SEC-DED纠错码只能纠正一位错误、检测两位错误。如果一颗粒子同时翻了三位,SEC-DED的纠错算法会算出一个"修正值",但这个修正值本身就是错的。
它会把数据"修正"成一个既不是原始值、也不是翻转后的值的第三个值,而且不报告任何错误。这比完全没有纠错还危险,没有纠错的时候,系统至少知道自己可能出了问题;而错误的"纠正"会让系统以为一切正常,带着一个错误的值继续飞。
霍尼韦尔在做辐射加固航电处理器时,故意选择了150纳米SOI(硅上绝缘体)工艺,牺牲运算速度,换取天然的辐射耐受力。因为150纳米的Qcrit比14纳米高了几十倍,大部分粒子击中都翻不了。
这就是技术缩放的悖论:芯片升级让系统跑得更快,但也让它对宇宙射线的防御更脆弱。如果在升级芯片的同时没有同步加强EDAC和系统级防护,等于站在辐射雨里把伞收了。
07
七、感恩节大停飞
2025年11月29日,EASA紧急适航指令生效。全球6000架A320系列飞机,开始排队回滚软件。
修复方案本身并不复杂:通过维护用的笔记本电脑连接ELAC,把L104软件降级回L103+。每架飞机大约需要2到3个小时。
大部分航司可以在48到72小时内完成了全部改装。到12月初,仍然停场的飞机已经不到100架。
但时间点选得实在太巧了。11月29日正好是美国感恩节周末的第二天,全年旅客量最大的几天之一。美国航空有209架(全机队480架A320中的44%)需要改装。
全日空取消了大约95个航班,影响约13500名旅客。那个周末,全球航司的签派和维修排班基本被打乱。
大概1000架更老的飞机情况更糟,它们需要整台更换ELAC硬件,这些飞机停场了好几个星期。
而降级回L103+本身也有代价。L104里新增的所有安全功能,PALAL、双FAC失效时的包线保护保持、增强的低速监控,全部被拿掉了。那些本来是用来救命的功能,因为实现时出了问题,只能先整包全部扔掉。
加上去的安全,又被撤回了。这大概是"Safety Beyond Standard"计划最讽刺的结局。
空客声称正在开发新的软件标准(据报道编号为L110+),将在重新加入PALAL和增强保护的同时,修复L104中缺失的防护逻辑。但是截至目前,L110+没有公布认证时间表。
现在回看整条链路:
一个本意是拯救生命的安全升级计划,在实现过程中削弱了部分防护链路。然后一颗普普通通的中子,在G1级磁暴这种五级量表里最弱的环境下,轻轻松松打穿了本不该被打穿的防线,篡改了一条升降舵指令。COM/MON双通道安全架构因为在数据源头就被骗了,压根没有发现异常,照单全收地执行了这条伪造指令。在万米晴空,飞机毫无征兆地俯冲了30米。
然后制造商说,这是太阳干的。
硬件供应商说,我的硬件符合规格,软件不归我管。
认证机构发了适航指令,但至少在公开层面,还没有回答L104当初是怎么通过这道门的。
航天机构的太阳活动报告,说的本来是另一个时间段。可一放进这起事故里,就刚好补上了天灾那块拼图。
全球6000架飞机在感恩节停飞改装,降级回了删除了新安全功能的旧版本。
上一期的结论是:"流程越多越安全?当保护流程开始互相否定的时候,复杂性本身就是最大的单点故障。"
这一期的结论是:新功能越多越安全?当为了塞进新功能而砍掉旧防护的时候,升级本身就可能变成最大的降级。
更麻烦的是,缺陷要修,叙事也要一起被拉回去修。飞控软件可以降级,ELAC可以更换,适航指令可以连夜发出去。可一旦"天灾"成了默认解释,真正该被追问的工程取舍,就很容易被冲淡。
这才是比一颗粒子翻转一个比特更危险的地方。
这里是「飞机的账本」系列,我是平流层散布者,喜欢的朋友请点赞、收藏、关注、转发,我们下期继续拆解那些看起来很安全、实际上很要命的设计。
