无主之地2配置高吗|看真人裸体BBBBB|秋草莓丝瓜黄瓜榴莲色多多|真人強奷112分钟|精品一卡2卡3卡四卡新区|日本成人深夜苍井空|八十年代动画片

網易首頁 > 網易號 > 正文 申請入駐

從豐田暴走到空客俯沖:一顆來自太空的粒子,如何扒掉了6000架A320的防彈衣

0
分享至

上一期我們分析了ES-SAN號A320的故事,五臺飛控計算機因為看到了不同的世界而互相否決、集體自我關閉。那件事的本質是保護過度:保鏢們太敏感,朝對方開了槍。

「飛機的賬本」這一期,講一個方向完全相反的故事。同樣是A320,同樣是ELAC飛控計算機,但這一次不是保鏢互相否定,而是保鏢們看到了同一份偽造的情報,一起把冒牌老板送上了車。更要命的是,事后所有人都說:“都怪這可恨的老天爺。”


圖1:A320 的飛控系統不是一臺電腦,而是一組計算機互相配合、互相監督。上一期的問題是它們互相否定;這一期的問題,是它們一起信了同一份假情報。

01

墨西哥灣上空的四秒鐘

2025年10月30日下午,一架捷藍航空(JetBlue)的空客A320-232,注冊號N605JB,正在飛坎昆到紐瓦克的JetBlue 1230航班。

萬米高空(約35000英尺),墨西哥灣上空,晴空萬里。客艙里該吃吃、該睡睡。駕駛艙里,也是再正常不過的一次巡航。

然后飛機猛地一沉。


沒有任何預警,沒有氣流顛簸。天氣好得不能再好。飛機就是毫無征兆地向下俯沖了大約4到5秒,掉了將近30米(約100英尺)的高度。沒系安全帶的乘客和空乘被重重甩向了天花板,客艙里頓時一片混亂。

從目前公開信息看,自動駕駛并沒有像傳統失控事故那樣立刻退出。它先是跟著一條錯誤的飛控指令把機頭壓了下去,持續了幾秒鐘,隨后飛機又回到了原來的軌跡上。

緊接著機組宣布緊急狀態,航班備降坦帕(佛羅里達州)。其中22人受傷,18名乘客和4名空乘,好在都不是致命傷。

NTSB(美國國家運輸安全委員會)隨即介入調查。兩臺ELAC計算機被拆下來,送往法國的Thales工廠進行拆解分析。

一個月后,問題大致指向了ELAC軟件

隨后空客向全球所有A320機隊運營商發出了AOT(All Operators Telex,全運營商通報),編號A27N022-25

EASA(歐洲航空安全局)緊跟著發出了緊急適航指令AD 2025-0268-EFAA也同步發布了AD 2025-24-51

這道指令下得還是很重的:凡是用了ELAC B型硬件,軟件又是L104標準的A319/A320/A321在下一次飛行之前,必須將ELAC軟件從L104降級回L103+。這里沒有任何商量余地,只開了一個小口子,最多允許飛3段空機調機,不能載客,不能飛ETOPS(延程雙發運行),只能用來把飛機挪到能修的基地去。

這一波操作讓全球大約6000架A320系列飛機受影響。這個規模的飛控系統安全行動,空客幾十年的歷史上從來沒有過。

適航指令生效的那天,是2025年11月29日,美國感恩節假期最忙的那幾天。


圖2:ELAC 、 SEC 、 FAC 共同構成 A320 電傳飛控的核心。它們本來是“多一道保險”,但這一次,保險本身也被錯誤數據騙了。

02

銀行賬戶里的那顆粒子

要理解這次事故的根本原因,需要先理解一個物理現象。它聽起來像科幻電影,但實際上每天都在發生,叫位翻轉,也叫比特翻轉(Single Event Upset,簡稱SEU)。

拿銀行賬戶來打個比方。在我們平時的計算機內部,我們的賬戶余額被存儲為一串0和1。比如數字6,在二進制里是0110。

現在,一顆來自太空的高能粒子穿透了芯片外殼,擊中了存儲這個“0”的那個晶體管。這顆粒子可能就是一顆宇宙射線撞擊大氣層后產生的二次中子。它在半導體里沉積的能量足以把那個0翻轉成1。0110變成了1110。我們的余額從6變成了14。

這就是比特翻轉。


圖3:ESA 發布的 Single Event Effect 示意圖:高能粒子穿過半導體材料時,會在芯片內部沉積電荷,從而讓存儲單元里的 0 和 1 發生翻轉。

不是芯片壞了,也不是代碼有bug,就是一顆粒子從物理層面篡改了存儲在芯片里的數據。等這顆粒子飛走之后,芯片本身完好無損,下一次寫入可以正常覆蓋。問題出在中間這幾毫秒,或者幾秒鐘。數據已經錯了,下一次正常寫入還沒輸入。在這段時間里,如果沒有額外的校驗機制,所有讀取這個地址的程序都會拿到錯誤的數值,而且會把它當成是真的。

在地面,這種事確實會發生。但是概率極低。到了萬米高空,這類粒子的數量大約是地面的300倍

地球大氣層相當于是一面巨大的輻射盾牌。宇宙射線中的高能質子和阿爾法粒子撞上大氣層中的氮和氧原子核,會產生粒子級聯反應,大量次級粒子像瀑布一樣向下傾瀉。


圖4:高能粒子擊中半導體后,會產生電子 — 空穴對,形成瞬態電流脈沖。對芯片來說,這一下就可能足夠把一個比特翻過去。

其中最麻煩的是高能中子,特指能量大于10兆電子伏特的那些。它們不帶電、不受電磁場偏轉、穿透力極強。一顆高能中子擊中硅芯片里的硅原子核,會發生核散裂反應,當場在芯片內部炸出一堆高電荷密度的反沖離子。正是這些反沖離子沉積的電荷,把存儲單元里的0翻成了1。

在海平面上,每平方厘米每小時大約有20顆高能中子飛過。到12000米里的高空(差不多40000英尺),這個數會變成大約6000顆。這個數值來自國際標準IEC 62396使用的參考模型,在波音輻射效應實驗室的Normand模型和日本原子能機構的EXPACS大氣通量計算程序中都可以實現復現。

更讓人害怕的是,這粒子通量還跟緯度有關。地球磁場在赤道附近最強,能偏轉掉大部分宇宙射線,不過越往極地走,磁場越弱,就會允許更多粒子穿透。

一條倫敦飛洛杉磯的極地航線,在同一高度上的中子通量可以是赤道航線的2到5倍。

所以,航電工程師從來就是知道這件事的。比特翻轉不是什么新發現。

IEC 62396標準(英文名 Process Management for Avionics – Atmospheric Radiation Effects,《航空電子設備大氣輻射效應過程管理》)從2005年就開始發布,分成五個部分,專門規定了航電設備具體該怎么去評估輻射風險、怎么去測試、怎么來做防護。EASA在2018年1月發布了認證備忘錄CM-AS-004,要求所有新型號認證和重大航電改裝都必須針對SEU進行專門評估。

行業內最基本的一道防線,叫做EDAC(Error Detection And Correction,錯誤檢測與糾正),也經常被叫做ECC。

原理不是很復雜,每次往內存里寫一個32位的數據,硬件會自動多算7個校驗位,一起存下來。總共39位。

讀數據的時候,硬件再算一遍校驗位,拿它和原來存下來的校驗位對一下。如果發現某一位被翻了,校驗碼能精確定位到是哪一位,硬件在CPU還沒反應過來的時間里就悄悄改回去了。CPU拿到的永遠是正確的數據,它甚至不知道剛才有一顆中子來過。

這叫SEC-DED,即單比特糾錯、雙比特檢錯。遇到單個比特被翻轉,它能自動糾正;同一個數據字里同時翻了兩個比特,它能發現(但實際糾不回來)。

這里打個比方:我們的身份證號,最后一位是校驗碼,是前17位數字按一套公式算出來的。如果有人篡改了中間某一位,用同一套公式重新算一遍,校驗碼就對不上了。EDAC的原理跟這個一樣,只不過它不僅能發現錯誤,還能當場糾正。沒有EDAC的內存?那就像一串沒有校驗碼的數字,改了哪一位都看不出來。

對于DAL-A級別的航電系統(飛控計算機就是最高等級的DAL-A,意味著故障可能導致災難性后果),認證要求失效率低于每飛行小時 10??。要達到這個標準,光靠EDAC還不夠,還需要硬件冗余(多臺計算機)、異構設計(不同芯片、不同代碼)、交叉比對(COM/MON雙通道)等多層防護的疊加。


圖5:A320 的飛控冗余,不只是“多裝幾臺電腦”。 ELAC 、 SEC 和液壓系統之間互相分工,真正形成的是一張控制網絡。

換句話說,整個行業早就知道宇宙射線會造成比特翻轉,也早就有了成熟的防護手段。這不是什么科幻設定,這是最基礎的設定了。

那問題來了:比特翻轉這個威脅,行業已經防了幾十年。為什么到2025年,它突然得手了?

03

L104——好心辦了壞事

我們來細細說,這個答案藏在一個叫"Safety Beyond Standard"(超越標準的安全)的升級計劃里。

空客的A320從1988年首飛到現在,飛控計算機的軟件已經是迭代了無數個版本。

ELAC的軟件標準從最早的L84一路走到L93、L97+、L98、L99、L103+,每一代都在修補舊問題,再往里加一點新保護。其中L97+是一個關鍵節點,2015年EASA發布了適航指令AD 2015-0088,強制全球機隊升級到L97+標準,主要是為了增強迎角(AOA)傳感器堵塞的檢測能力。

到了L104,空客的野心更大了。他們想把已經服役快40年的A320飛控系統拉到接近A350的安全水平。目標很明確,降低LOC-I(Loss of Control In-flight,飛行中失控)的風險。LOC-I是商業航空致命事故的頭號殺手,空客想在老機型上也加上更多的保護網。

L104新增的核心功能叫PALAL(Pitch Attitude Limitation in Alternate Law)備用法則下的正俯仰姿態限制。


圖6:升降舵指令不是從駕駛桿直接通到舵面,而是先進入飛控計算機,再由計算機決定該給液壓伺服什么指令, L104 的問題,就藏在這條鏈路里。

這里來先說一下背景。A320的飛控有三級降級:正常法則、備用法則、直接法則。正常法則下,飛機有完整的包線保護,飛行員想把機頭拉到危險角度,計算機不讓。

如果一旦降級到備用法則(比如丟了兩臺ELAC或者傳感器故障),很多保護就沒了。PALAL的作用,就是在備用法則下也保留一道俯仰姿態的限制,防止飛行員在系統降級的情況下一桿拉到底,把飛機給直接拉進失速了。

除了PALAL,L104還做了另一件重要的事:讓飛控保護在更多復雜故障場景下也別輕易掉線。

在以前的軟件版本里,如果兩臺FAC(飛行增穩計算機)同時掛了,或者兩個偏航阻尼器同時失效,包線保護會直接消失。L104修改了邏輯,讓這些場景下保護仍然在線,雖然效率打了折扣,但是至少還有兜底在。

這些改進本身沒有問題。PALAL和增強的故障保護,都算是實打實的安全升級。空客通過SB A320-27-1305/1306(CEO機型)SB A320-27-1307(NEO機型)在全球機隊中推行這些升級。

但是新功能塞進去的時候,舊的防護被削弱了。

ELAC B型硬件的處理器性能并不寬裕。

從早期的摩托羅拉68010一路演進,雖然硬件已經更新換代(據事后調查的報道,當前的ELAC B可能使用了90納米SOI工藝的處理器,Thales沒有公開確認具體型號),但對于一臺需要在毫秒級別實時計算飛控律的計算機來說,算力始終是稀缺資源。

要在這點算力里塞進PALAL和新的保護邏輯,原來的代碼路徑就需要動。問題也出在這里,代碼重構之后,升降舵指令處理路徑上的某些防護邏輯,至少沒有像L103+那樣有效攔住輻射引起的數據損壞。

公開的適航指令和AOT只確認了一件事:

L104在輻射暴露下"可能出現數據損壞,導致無指令升降舵偏轉"。但它具體是怎么沒擋住的,官方文件沒有把問題定位到某一段代碼、某一條路徑上。

不過,多方獨立的技術來源,包括航空業內人士論壇上的航電工程師討論、一些專業科技媒體的技術分析、以及事故后的行業推演,都指向了同一個方向:

Thales在重構L104代碼時,可能為了給新功能騰出運算周期,削弱了部分EDAC(錯誤檢測與糾正)相關的檢查邏輯。

綜合多方技術分析,L104的退化大致集中在三個方向:

第一,合理性校驗松了。比如一個在當前飛行狀態下根本不可能的升降舵偏轉量,L103+會直接拒絕,L104可能就放過去了。

第二,關鍵數據的交叉驗證被簡化了。以前的版本可能讀兩次取一致值,新版本可能只讀一次就用。

第三,安全濾網沒覆蓋到新代碼。那些用來捕捉數據突變的速率限制濾波器或范圍校驗,沒有延伸到L104新增的代碼路徑上。

這些具體細節還要等NTSB和EASA后續公開材料確認。

但根據這些都指向的是新功能加進來了,但舊防線沒有跟上步伐。

回到COM/MON架構。

A320每臺飛控計算機內部有兩個通道:COM(指令通道)負責算,MON(監控通道)負責盯。兩個通道用不同的硬件和軟件獨立計算,只要結果對不上,MON就切斷COM,整臺計算機下線。

上一期ES-SAN事件里,COM和MON因為各自的時鐘精度不同,在1.02秒的邊界上采到了不同的數據,一個說飛機在天上,一個說飛機在地上。結論不一致,MON判定COM有問題,直接切斷。五臺計算機發生連鎖反應,接連退出。

只是L104事件揭示了COM/MON架構的另一個盲區,一個方向完全相悖的盲區。

問題很可能出在COM/MON比對之前的某個數據層。如果被篡改的數據已經進入了兩個通道共同信任的輸入路徑,COM和MON就尷尬了,它們不是算得不一樣,而是拿著同一份錯誤的前提,各自獨立地算出了同一個錯誤的結論。

MON一比對:"COM算的和我算的一樣。"沒問題,放行。

于是一條被宇宙射線篡改過的升降舵指令,堂而皇之地通過了COM/MON的雙重校驗,被發送到液壓伺服閥,驅動升降舵偏轉,飛機俯沖了30米(約100英尺)。

上一期是保鏢們看到了不同的情報,朝對方開槍,結果把自己人全干掉了。

這一期是保鏢們看了同一份偽造的情報,一起把冒牌boss送上了車。

ES-SAN的教訓是保護流程太敏感,會自相殘殺。

L104的教訓是:保護流程的眼睛被蒙上了,它就連最明顯的假貨都認不出來。

而蒙住它眼睛的那只手,剛好是空客自己去為了塞進一個為了提高安全性的新功能。


圖7:電傳飛控最怕的,不是沒有保護,而是保護機制以為自己看見了真相。復雜系統一旦信錯了輸入,后面的每一步都可能顯得“正常”。

04

罪魁禍首是太陽?

空客AOT和EASA適航指令里,是這么寫原因的:

"調查發現,ELAC B型軟件標準L104在暴露于強烈太陽輻射時,可能出現數據損壞,導致升降舵發生無指令偏轉。在最壞情況下,這可能導致超出飛機結構承受能力的載荷。"

關鍵詞是強烈太陽輻射。

聽起來像一場罕見的天氣災難,好像那天太陽真的朝地球來了一波狠的,連鋼筋鐵骨的飛控計算機都扛不住了。

就順手查了一下NOAA(美國國家海洋和大氣管理局)公開的空間天氣數據。

2025年10月30日,地磁暴級別:G1


圖8:NOAA對G1級地磁暴的說明:主要影響區域在地磁緯度60度以北,可能帶來弱電網波動、輕微衛星運行影響,以及高緯度極光。它是五級地磁暴量表里最低一級,遠不是“極端空間天氣”。

G1是什么概念?NOAA的地磁暴量表從G1到G5,G1是最弱的

相當于地震震級里的微震,杯子都不會晃一下。Kp指數(衡量地磁擾動強度的標準指標)當天峰值是5,剛剛夠到G1的門檻。太陽風速度峰值每秒586公里,屬于中等偏高但遠非極端。

當天有一次大型太陽爆發倒是真的。不過那次爆發發生在太陽的背面,不是面朝地球來的。

有人可能注意到,ESA(歐洲航天局)曾發表評論說,那段時期的太陽活動是"近20年來最顯著的"。但是仔細查對日期會發現,ESA的這個描述指的是2025年11月的一系列太陽活動,不是10月30日事發那天。

這里還有一層反直覺的科學事實,值得好好講一下。

很多人以為太陽活動越劇烈,飛機在高空吃到的宇宙輻射就越強。實際上,對于穩態背景輻射來說,情況是剛好相反的。

宇宙射線的主要來源不是太陽,而是銀河系深處的超新星爆發和其他高能天體事件。這些銀河宇宙射線(GCR)才是高空電子設備面臨的日常輻射背景。

正是它們的次級粒子(特別是高能中子),在萬米高空形成了那個300倍于地面的中子通量浴場。

太陽在活躍期發出的太陽風更強、磁場更紊亂。這個增強的太陽磁場會像一面膨脹的盾牌,把銀河宇宙射線偏轉出去,減少它們到達地球的數量。這個效應在物理學上叫Forbush減少效應(Forbush Decrease)。在太陽活動高峰期,地球附近的銀河宇宙射線通量比太陽活動低谷期低20%到30%。

2025年正處于太陽周期25的極大期附近。也就是說,當年的穩態中子通量,反而偏低。

當然,太陽活動高峰期確實會帶來另一種風險,叫太陽高能粒子事件(SEP),也叫地面增強事件(GLE)

這是太陽耀斑和日冕物質拋射直接噴射的高能質子。最極端的GLE事件可以在極地高空瞬間把輻射量提升100到1000倍。但這種事件是屈指可數的,自1942年以來全球只記錄了大約70次左右,而且10月30日當天并沒有發生GLE。

現在來總結一下:

  • 當天的地磁暴級別是G1,五級量表里最低的

  • 大型太陽爆發在太陽背面,不是朝地球來的

  • 2025年處于太陽極大期,穩態宇宙射線通量反而偏低

  • 當天沒有GLE事件

如果公開的空間天氣數據沒有漏掉更嚴重的局地粒子事件,那結論就更有意思了:按照IEC 62396標準認證的航電系統,設計要求能承受遠比G1惡劣得多的輻射環境。不是那天的輻射環境特別離譜,而是L104這條防線在本不該被打穿的環境下被打穿了。

換句話說,問題不在天上飛來了一顆子彈,問題在于防彈衣沒有擋住一顆它本該擋住的子彈。

航空業內論壇上,一線飛行員和航電工程師的主流觀點高度一致:

"宇宙射線每天都在打。A320這些舊版本在類似輻射環境下跑了這么多年,沒鬧出這種事。問題不在子彈,是有人把我們的防彈衣脫掉了。”

一位亞太地區業內資深人士,在私下的交流中說得更直白一點:

"歸因天災就能撇清保險責任。Thales推辭,空客配合,EASA點頭。說火災是雷劈的沒錯,但你把避雷針拆了這件事難道不提?"

他還提到一個細節,波音原廠零件的包裝盒里,發票背面印著標準免責條款。排在第一條的不是產品缺陷,不是材料疲勞,而是Act of God(不可抗力因素/天災),第二條是War(戰爭及相關沖突),然后才是天氣。最后一條兜底:"其他一切不可預估的狀況。"

這不是個別公司的做法,這是行業慣例。當"Act of God"總是被放在免責條款最醒目的位置,我們就該明白:"天災"在工程事故敘事里,從來不只是一個氣象學術語,它也是一張很好用的責任緩沖墊。

05

甩鍋三重奏

JetBlue事件之后,三方說的話,都把邊界畫得很清楚。

Thales(ELAC的制造商,前身是Thomson-CSF)的立場很清楚,一個字都沒多說:硬件完全符合空客規格。L104中受影響的功能,也就是PALAL和新的保護邏輯,"不在Thales的直接責任范圍內。"

說白了PALAL是空客設計的飛控律功能,空客把規格書交給我們,我們在硬件平臺上幫你實現。飛控律怎么算,不是我們定的。你自己設計的功能出了問題,別來找我。

空客的立場則小心地把焦點引向了環境因素:"強烈太陽輻射"導致數據損壞。這句話的精妙之處在于,它沒有指名任何一方的設計缺陷,而是把責任推給了一個無法被起訴的被告:太陽。動作上空客是負責的,主導了全球的AOT和修復行動;但話術上始終沒有承認軟件存在缺陷。

ESA這邊更像是提供了一個容易被誤讀的背景板。ESA太空天氣服務中心確實討論了那段時期的太陽活動,稱其"近20年來最顯著"。但那說的是11月11日的X5.1級耀斑和G4級地磁暴不是10月30日JetBlue 1230事件當天的環境。問題在這類"太陽很活躍"的背景描述,如果被放進事故敘事里,很容易讓公眾甚至司法機構誤以為那天飛機正好撞上了一場罕見的天氣事件里。

那么,責任到底在誰?

核心問題繞不開EDAC這一類防護機制,那些負責檢測、糾正,或者至少攔住異常數據的保護鏈路。EDAC既是硬件功能(比如ECC內存、寄存器的冗余設計),也是軟件功能(比如合理性檢查、范圍校驗、冗余讀取)。它正好卡在硬件和軟件之間。

在空客和Thales的分工模式里:

  • Thales負責ELAC的硬件平臺——處理器板卡、I/O接口、物理單元、底層操作系統

  • 空客負責飛控律軟件——PALAL就是這一層的功能

  • 兩者共同負責集成和驗證

但是誰來確認整套東西放在一起之后還能擋住SEU?這件事,在"誰規定、誰實現"的分工里,正好進了灰色地帶。硬件層面的ECC是Thales的事;軟件層面的合理性檢查是空客的飛控律代碼里該做的事;而把兩者串起來、確保L104在Thales的硬件上有足夠的SEU防護,這個責任,兩邊都能說"不完全是我的"。

打個比方:蓋房子的說"我的地基沒問題",裝修的說"我的家具沒問題",但漏水的是墻。墻是誰的?

不過有一件事是清楚的,A320的型號合格證持有人是空客,不是Thales。在適航體系里,無論底層硬件誰造的,系統集成和安全驗證的最終責任都壓在制造商頭上。主導PALAL設計、代碼重構和集成測試的是空客,按那位業內大咖的話說,拆避雷針的人,就是空客。

更值得我們追問的是:L104是怎么通過認證的?

飛控計算機軟件按DO-178C標準認證,ELAC的軟件屬于最高等級DAL-A,任何可能導致災難性后果的系統都在這個級別。DAL-A的認證流程算是非常非常嚴格的,要求每一行源代碼都能一路追溯到系統級需求,獨立驗證團隊審查,窮盡性測試覆蓋。

按照EASA CM-AS-004IEC 62396的要求,L104從L103+升級過來時,應該針對SEU進行專門的安全評估。如果做了,為什么防護的退化沒有被發現?如果沒做,為什么認證通過了?

這些問題,至今沒人公開說清楚。NTSB的正式調查仍在進行中。

但是已經有人不打算等調查結論了。2026年1月,JetBlue航班1230上的三名乘客,Nadia Ramos、Ricardo Racines和Natividad Martinez,他們在佛羅里達中區聯邦法院提起了訴訟(案號8:2026cv00048),被告是空客、Thales和捷藍航空三方。

原告訴狀里有一句話,正好戳在"天災"這套說法最經不起推敲的地方:

"這不是太陽輻射造成的。這是一個已知的、反復出現的自動駕駛故障,空客和Thales未能進行充分的測試或修復。"

06

豐田的舊賬


圖9:豐田突然加速案后來成為嵌入式軟件安全領域的經典案例。它和 A320 L104 不是同一類事故,但共同指向一個問題:底層數據防護一旦缺口,錯誤就可能一路爬到執行機構。

L104事件不是第一次有人在比特翻轉和EDAC之間摔跟頭。它甚至都不算最出名的一次。

2009年到2010年間,豐田遭遇大規模的"車輛突然失控加速"投訴,被迫在全球召回了數百萬輛汽車。

美國高速公路安全管理局(NHTSA)甚至請來了NASA,查了10個月的電子系統。

NASA的結論是:"沒有發現電子缺陷或軟件缺陷導致了這些事件",問題被歸因于機械原因:腳墊卡住油門踏板、踏板回彈卡滯。

然后到了2013年,Bookout訴豐田案開庭。法官下令向一家叫Barr Group的嵌入式系統咨詢公司開放了豐田發動機控制單元(ECU)的全部源代碼。Barr Group的創始人Michael Barr帶著他的團隊花了18個月審查代碼。

結果有點讓人不堪入目:

超過81000條MISRA-C安全編碼規則違規。代碼結構被內部人士形容為"spaghetti code",高度復雜、嚴重耦合、缺乏模塊化。更關鍵的是,故障隔離機制幾乎形同虛設,一個非關鍵任務的崩潰可以像多米諾骨牌一樣連鎖影響整個系統。

但最致命的發現是:2005款凱美瑞的ECU內存完全沒有EDAC保護。

Barr在法庭上演示了一個場景:一次比特翻轉,僅僅一個比特從0變成1,就能直接摧毀ECU中負責管理油門控制的關鍵進程。如果一旦這個進程崩潰,油門可能卡在全開位置,而系統不會觸發故障代碼、不會亮發動機故障燈、不會自動進入安全模式。駕駛員拼命踩剎車,發動機卻可能還在全力輸出動力,這就是當年鬧得人心惶惶的豐田"暴走"。

陪審團認定豐田構成"reckless disregard"(對安全的嚴重漠視),判豐田敗訴。

豐田案和L104放在一起看,最讓人警醒的不是"地面輻射到底有沒有打穿 ECU",這件事學術界至今還在吵。

真正值得細想的是它們共同暴露的一條規律,底層的內存防護只要缺了一環,一個微不足道的數據擾動就能沿著控制鏈路一路往上爬,最終推動油門或升降舵這類直接關乎生死的執行機構。

豐田的芯片在地面運行,中子通量只有高空的三百分之一。Barr Group證明了即便在這么"安全"的環境下,一個沒有EDAC保護的ECU也扛不住概率事件。而L104,是在輻射量300倍于地面的萬米高空運行的飛控計算機,它的防護鏈路反而縮水啦?

這里還有一個工程上的深層悖論,值得單獨拎出來說。

芯片越先進,比特翻轉就越容易。

這聽起來非常反常識,但物理規律就是這樣。翻轉一個存儲單元需要的最小電荷叫做臨界電荷(Qcrit),它大致等于存儲節點的電容乘以供電電壓。

500納米工藝到14納米工藝,電容縮小了、電壓降低了,Qcrit從大約50飛庫侖(fC,庫侖的千萬億分之一,一個小到無法想象的電荷單位)驟降到大約1.4 fC——翻轉門檻降了50倍。這意味著在500納米時代無害的粒子撞擊,到了14納米時代就足以翻轉比特。

這不是說A320這臺ELAC一定用了14納米芯片,我想它大概率沒有。但芯片越做越小,本來就要付這個代價,節點越小,單個存儲單元越敏感,系統級防護就越不能省。

同時,晶體管越密集,同一顆粒子擊中多個相鄰存儲單元的概率越高,這叫多位翻轉(MBU)。標準的SEC-DED糾錯碼只能糾正一位錯誤、檢測兩位錯誤。如果一顆粒子同時翻了三位,SEC-DED的糾錯算法會算出一個"修正值",但這個修正值本身就是錯的

它會把數據"修正"成一個既不是原始值、也不是翻轉后的值的第三個值,而且不報告任何錯誤。這比完全沒有糾錯還危險,沒有糾錯的時候,系統至少知道自己可能出了問題;而錯誤的"糾正"會讓系統以為一切正常,帶著一個錯誤的值繼續飛。

霍尼韋爾在做輻射加固航電處理器時,故意選擇了150納米SOI(硅上絕緣體)工藝,犧牲運算速度,換取天然的輻射耐受力。因為150納米的Qcrit比14納米高了幾十倍,大部分粒子擊中都翻不了。

這就是技術縮放的悖論:芯片升級讓系統跑得更快,但也讓它對宇宙射線的防御更脆弱。如果在升級芯片的同時沒有同步加強EDAC和系統級防護,等于站在輻射雨里把傘收了。

07

七、感恩節大停飛

2025年11月29日,EASA緊急適航指令生效。全球6000架A320系列飛機,開始排隊回滾軟件。

修復方案本身并不復雜:通過維護用的筆記本電腦連接ELAC,把L104軟件降級回L103+。每架飛機大約需要2到3個小時。

大部分航司可以在48到72小時內完成了全部改裝。到12月初,仍然停場的飛機已經不到100架。

但時間點選得實在太巧了。11月29日正好是美國感恩節周末的第二天,全年旅客量最大的幾天之一。美國航空有209架(全機隊480架A320中的44%)需要改裝。

全日空取消了大約95個航班,影響約13500名旅客。那個周末,全球航司的簽派和維修排班基本被打亂。

大概1000架更老的飛機情況更糟,它們需要整臺更換ELAC硬件,這些飛機停場了好幾個星期。

而降級回L103+本身也有代價。L104里新增的所有安全功能,PALAL、雙FAC失效時的包線保護保持、增強的低速監控,全部被拿掉了。那些本來是用來救命的功能,因為實現時出了問題,只能先整包全部扔掉。

加上去的安全,又被撤回了。這大概是"Safety Beyond Standard"計劃最諷刺的結局。

空客聲稱正在開發新的軟件標準(據報道編號為L110+),將在重新加入PALAL和增強保護的同時,修復L104中缺失的防護邏輯。但是截至目前,L110+沒有公布認證時間表。

現在回看整條鏈路:

一個本意是拯救生命的安全升級計劃,在實現過程中削弱了部分防護鏈路。然后一顆普普通通的中子,在G1級磁暴這種五級量表里最弱的環境下,輕輕松松打穿了本不該被打穿的防線,篡改了一條升降舵指令。COM/MON雙通道安全架構因為在數據源頭就被騙了,壓根沒有發現異常,照單全收地執行了這條偽造指令。在萬米晴空,飛機毫無征兆地俯沖了30米。

然后制造商說,這是太陽干的。

硬件供應商說,我的硬件符合規格,軟件不歸我管。

認證機構發了適航指令,但至少在公開層面,還沒有回答L104當初是怎么通過這道門的。

航天機構的太陽活動報告,說的本來是另一個時間段。可一放進這起事故里,就剛好補上了天災那塊拼圖。

全球6000架飛機在感恩節停飛改裝,降級回了刪除了新安全功能的舊版本。

上一期的結論是:"流程越多越安全?當保護流程開始互相否定的時候,復雜性本身就是最大的單點故障。"

這一期的結論是:新功能越多越安全?當為了塞進新功能而砍掉舊防護的時候,升級本身就可能變成最大的降級。

更麻煩的是,缺陷要修,敘事也要一起被拉回去修。飛控軟件可以降級,ELAC可以更換,適航指令可以連夜發出去。可一旦"天災"成了默認解釋,真正該被追問的工程取舍,就很容易被沖淡。

這才是比一顆粒子翻轉一個比特更危險的地方。

這里是「飛機的賬本」系列,我是平流層散布者,喜歡的朋友請點贊、收藏、關注、轉發,我們下期繼續拆解那些看起來很安全、實際上很要命的設計。

特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相關推薦
熱點推薦
【2026.7.4】爆姐的飯后爆料:生命不止,爆料不息!

【2026.7.4】爆姐的飯后爆料:生命不止,爆料不息!

娛樂真爆姐
2026-07-04 23:36:23
WTT美國大滿貫:國乒連轟3-0提前奪1冠!世界冠軍雨果出局

WTT美國大滿貫:國乒連轟3-0提前奪1冠!世界冠軍雨果出局

全言作品
2026-07-04 06:44:34
嗜酒如命的劉歡患不死癌癥已踏上不歸路

嗜酒如命的劉歡患不死癌癥已踏上不歸路

微風輕拂面
2026-07-05 01:45:10
一個無法與現實自洽的理論:能走多遠?

一個無法與現實自洽的理論:能走多遠?

生命可以承受之輕
2026-06-07 08:22:48
GDP會騙人,個稅不會:誰才是中國真正的高薪之城

GDP會騙人,個稅不會:誰才是中國真正的高薪之城

互聯網大觀
2026-07-02 08:52:16
傳奇同框!庫里曬李寧先生合照,合作系列首款單品正式公布!

傳奇同框!庫里曬李寧先生合照,合作系列首款單品正式公布!

煙潯渺渺
2026-07-04 11:51:28
太頑強了!加時苦戰險勝進16強,阿根廷暴露致命漏洞,想衛冕難啊

太頑強了!加時苦戰險勝進16強,阿根廷暴露致命漏洞,想衛冕難啊

萌蘭聊個球
2026-07-04 09:05:03
輕松一刻:家長該不該把家里真實財務情況告訴孩子?

輕松一刻:家長該不該把家里真實財務情況告訴孩子?

萊月昂
2026-07-04 23:39:14
小玥兒和馬筱梅媽媽一起用餐被偶遇,玥兒一直低頭吃飯,太像大S

小玥兒和馬筱梅媽媽一起用餐被偶遇,玥兒一直低頭吃飯,太像大S

娛樂團長
2026-07-03 15:49:51
男人包下荒山投放放養100頭小豬,村民笑他有病,5年后卻打去電話

男人包下荒山投放放養100頭小豬,村民笑他有病,5年后卻打去電話

白云故事
2025-11-24 15:20:03
世界杯23:摩洛哥、法國比賽分析與預測

世界杯23:摩洛哥、法國比賽分析與預測

林子說事
2026-07-04 15:54:22
索尼13年前推文被扒出!回旋鏢正中眉心

索尼13年前推文被扒出!回旋鏢正中眉心

游民星空
2026-07-02 11:13:36
加勒萬河谷沖突后續,我方秘密武器使印軍“雪豹計劃”瞬間熄火

加勒萬河谷沖突后續,我方秘密武器使印軍“雪豹計劃”瞬間熄火

南冥那只貓
2025-06-20 20:28:28
軍事專家戴旭:目前全世界沒有一個國家,在軍事方面敢和我們較量

軍事專家戴旭:目前全世界沒有一個國家,在軍事方面敢和我們較量

混沌錄
2026-04-10 22:53:25
反轉!國足暫時不會踢佛得角隊,原因曝光

反轉!國足暫時不會踢佛得角隊,原因曝光

何老師呀
2026-07-04 21:10:28
大滿貫亂了!張本智和0-3輸俄羅斯,中國又一位世界冠軍爆冷出局

大滿貫亂了!張本智和0-3輸俄羅斯,中國又一位世界冠軍爆冷出局

十點街球體育
2026-07-04 11:01:09
看起來幸福,實則遭遇苦難非常多的三個星座,只是倔強,努力偽裝

看起來幸福,實則遭遇苦難非常多的三個星座,只是倔強,努力偽裝

知書夜話
2026-07-05 04:30:27
基翁:梅西是最好的盤帶球員,姆巴佩像當年的亨利只是速度快

基翁:梅西是最好的盤帶球員,姆巴佩像當年的亨利只是速度快

懂球帝
2026-07-04 23:45:10
人民日報、新華社、中央廣播電視總臺集中報道:北京人工智能賦能科學研究實施方案啟動

人民日報、新華社、中央廣播電視總臺集中報道:北京人工智能賦能科學研究實施方案啟動

侃故事的阿慶
2026-07-04 00:20:18
洛佩斯:我們本屆世界杯最大的收獲就是,再也沒人會問佛得角在哪

洛佩斯:我們本屆世界杯最大的收獲就是,再也沒人會問佛得角在哪

蘭亭墨未干
2026-07-04 15:13:03
2026-07-05 05:00:49
平流層散步者 incentive-icons
平流層散步者
站在平流層看世界
20文章數 310關注度
往期回顧 全部

科技要聞

韜定律論文V2版,充工程細節和實測數據

頭條要聞

老人被一次拔12顆牙種10顆:能刷的錢都刷走 只剩30塊

頭條要聞

老人被一次拔12顆牙種10顆:能刷的錢都刷走 只剩30塊

體育要聞

揭法國鋒線最大優勢 有人比姆巴佩還快?

娛樂要聞

白鹿打戲摳圖惹非議 連累丞磊遭扒皮

財經要聞

韓國股市杠桿失控:450億美元資金狂飆

汽車要聞

方程豹鈦9內飾曝光 用上了長聯屏設計/下半年上市

態度原創

家居
本地
數碼
公開課
軍事航空

家居要聞

傳奇筑 日常詩

本地新聞

國內足球之旅?這座小城給你高分答案

數碼要聞

蘇姿豐簽名同款!極摩客EVO-X3 AI工作站全球開賣:國行版21699元起

公開課

李玫瑾:為什么性格比能力更重要?

軍事要聞

普京宣布俄軍“完全解放”盧甘斯克

無障礙瀏覽 進入關懷版