보잉의 737MAX 가 잇단 사고로 구설에 오르는데
사고의 원인은 받음각 센서가 고장이 나서 MCAS 라는 실속방지장치가 실속이 아닌데도
실속으로 판단해서 자꾸 기수를 강제로 숙이게 해서 사고가 난 것.
원인을 따지면 이중화의 부족 등 여러 군데를 집을 수 있지만
주목할게 고장시에도 어떻게 될 것인가 하는 고려가 부족한 점이 아쉽다.
모든 복잡한 장치는 언젠가는 고장이 나기 마련인데
그런 고장이 나거나 기능이 마비되었을 때
출력이 어떻게 결과가 되느냐를 항상 고려해야 한다.
이 경우 받음각 센서등이 고장이 나거나 마비되더라도
최악의 경우 실속방지장치는 그냥 동작을 멈추고
아무 것도 안하는 것이 제일 문제를 일으킬 확률이 적다.
즉 조종사가 알아서 하라는 것이지.
그런데 보잉은 조종사가 실수를 해도 안전하게 하려고 fool-proof 한
MCAS 를 만들었지만 그러다 보니 MCAS 자체가 고장이 나는 경우에
fail-safe 하지 않은 시스템을 만든거다.
즉 fool-proof 보다 fail-safe 가 더 중요하다.