上一期咱们分析了ES-SAN号A320的故事，五台飞控谋略机因为看到了不同的寰宇而相互否决、集体自我关闭。那件事的本色是保护过度：保镖们太明锐，朝对方开了枪。

「飞机的账本」这一期，讲一个标的透澈各别的故事。相同是A320，相同是ELAC飞控谋略机，但这一次不是保镖相互申辩，而是保镖们看到了吞并份伪造的谍报，一谈把冒牌雇主奉上了车。更要命的是，过后扫数东谈主齐说：“齐怪这可恨的老天爷。”

图1:A320 的飞控系统不是一台电脑，而是一组谋略机相互相助、相互监督。上一期的问题是它们相互申辩；这一期的问题，是它们一谈信了吞并份假谍报。

01

墨西哥湾上空的四秒钟

2025年10月30日下昼，一架捷蓝航空（JetBlue）的空客A320-232，注册号N605JB，正在飞坎昆到纽瓦克的JetBlue 1230航班。

万米高空（约35000英尺），墨西哥湾上空，碧空如洗。客舱里该吃吃、该睡睡。驾驶舱里，亦然再普通不外的一次巡航。

然后飞机猛地一千里。

莫得任何预警，莫得气流震憾。天气好得不成再好。飞机即是毫无征兆地向下俯冲了大致4到5秒，掉了快要30米（约100英尺）的高度。没系安全带的乘客和空乘被重重甩向了天花板，客舱里顿时一派芜杂。

从目下公开信息看，自动驾驶并莫得像传统失控事故那样坐窝退出。它先是随着一条失实的飞控教唆把机头压了下去，捏续了几秒钟，随后飞机又回到了本来的轨迹上。

紧接着机组通知谬误状态，航班备降坦帕（佛罗里达州）。其中22东谈主受伤，18名乘客和4名空乘，好在齐不是致命伤。

NTSB（好意思国国度运载安全委员会）随即介入打听。两台ELAC谋略机被拆下来，送往法国的Thales工场进行拆解分析。

一个月后，问题大致指向了ELAC软件。

随后空客向民众扫数A320机队运营商发出了AOT（All Operators Telex，全运营商通报），编号A27N022-25。

EASA（欧洲航空安全局）紧随着发出了谬误适航教唆AD 2025-0268-E，FAA也同步发布了AD 2025-24-51。

这谈教唆下得如故很重的：但凡用了ELAC B型硬件，软件又是L104范例的A319/A320/A321鄙人一次翱游之前，必须将ELAC软件从L104左迁回L103+。这里莫得任何斟酌余步，只开了一个小口子，最多允许飞3段空机调机，不成载客，不成飞ETOPS（延程双发运行），只可用来把飞机挪到能修的基地去。

这一波操作让民众大致6000架A320系列飞机受影响。这个范围的飞控系统安全步履，空客几十年的历史上从来莫得过。

适航教唆奏效的那天，是2025年11月29日，好意思国感德节假期最忙的那几天。

图2:ELAC 、 SEC 、 FAC 共同组成 A320 电传飞控的中枢。它们本来是“多一谈保障”，但这一次，保障自己也被失实数据骗了。

02

银行账户里的那颗粒子

要汇注此次事故的根本原因，需要先汇注一个物理征象。它听起来像科幻电影，但履行上每天齐在发生，叫位翻转，也叫比特翻转（Single Event Upset，简称SEU）。

拿银行账户来打个比喻。在咱们平时的谋略机里面，咱们的账户余额被存储为一串0和1。比如数字6，在二进制里是0110。

目下，一颗来自天际的高能粒子穿透了芯片外壳，击中了存储这个“0”的阿谁晶体管。这颗粒子可能即是一颗天地射线撞击大气层后产生的二次中子。它在半导体里千里积的能量足以把阿谁0翻转成1。0110变成了1110。咱们的余额从6变成了14。

这即是比特翻转。

图3:ESA 发布的 Single Event Effect 暗示图：高能粒子穿过半导体材料时，会在芯片里面千里积电荷，从而让存储单元里的 0 和 1 发生翻转。

不是芯片坏了，也不是代码有bug，即是一颗粒子从物理层面改削了存储在芯片里的数据。等这颗粒子飞走之后，芯片自己完满无损，下一次写入不错普通遮掩。问题出在中间这几毫秒，或者几秒钟。数据依然错了，下一次普通写入还没输入。在这段时期里，如果莫得额外的校验机制，扫数读取这个地址的设施齐会拿到失实的数值，何况会把它当成是果然。

在大地，这种事确乎会发生。然则概率极低。到了万米高空，这类粒子的数目大致是大地的300倍。

地球大气层特地于是一面广漠的发射盾牌。天地射线中的高能质子和阿尔法粒子撞上大气层中的氮和氧原子核，会产生粒子级联反馈，多数次级粒子像瀑布一样向卑劣泻。

图4:高能粒子击中半导体后，会产生电子 — 空穴对，形成瞬态电流脉冲。对芯片来说，这一下就可能充足把一个比特翻畴前。

其中最贫瘠的是高能中子，专指能量大于10兆电子伏特的那些。它们不带电、不受电磁场偏转、穿透力极强。一颗高能中子击中硅芯片里的硅原子核，会发生核散裂反馈，就地在芯片里面炸出一堆高电荷密度的反冲离子。恰是这些反冲离子千里积的电荷，把存储单元里的0翻成了1。

在海平面上，每平方厘米每小时大致有20颗高能中子飞过。到12000米里的高空（差未几40000英尺），这个数会变成大致6000颗。这个数值来自海外范例IEC 62396使用的参考模子，在波音发射效应实验室的Normand模子和日本原子能机构的EXPACS大气通量谋略设施中齐不错完毕复现。

更让东谈主发怵的是，这粒子通量还跟纬度联系。地球磁场在赤谈近邻最强，能偏转掉大部分天地射线，不外越往极地走，磁场越弱，就会允许更多粒子穿透。

一条伦敦飞洛杉矶的极地航路，在吞并高度上的中子通量不错是赤谈航路的2到5倍。

是以，航电工程师从来即是知谈这件事的。比特翻转不是什么新发现。

IEC 62396范例（英文名 Process Management for Avionics – Atmospheric Radiation Effects，《航空电子开辟大气发射效应过程处理》）从2005年就开动发布，分红五个部分，专门轨则了航电开辟具体该奈何去评估发射风险、奈何去测试、奈何来作念防护。EASA在2018年1月发布了认证备忘录CM-AS-004，要求扫数新式号认证和重要航电改装齐必须针对SEU进行专门评估。

行业内最基本的一谈防地，叫作念EDAC（Error Detection And Correction，失实检测与修订），也频频被叫作念ECC。

道理不是很复杂，每次往内存里写一个32位的数据，硬件会自动多算7个校验位，一谈存下来。整个39位。

读数据的时候，硬件再算一遍校验位，拿它和本来存下来的校验位对一下。如果发现某一位被翻了，校验码能缜密目位到是哪一位，硬件在CPU还没反馈过来的时期里就偷偷改且归了。CPU拿到的永远是正确的数据，它致使不知谈刚才有一颗中子来过。

这叫SEC-DED，即单比特纠错、双比特检错。遇到单个比特被翻转，它能自动修订；吞并个数据字里同期翻了两个比特，它能发现（但履行纠不追念）。

这里打个比喻：咱们的身份证号，终末一位是校验码，是前17位数字按一套公式算出来的。如果有东谈主改削了中间某一位，用吞并套公式再行算一遍，校验码就对不上了。EDAC的道理跟这个一样，只不外它不仅能发现失实，还能就地修订。莫得EDAC的内存？那就像一串莫得校验码的数字，改了哪一位齐看不出来。

关于DAL-A级别的航电系统（飞控谋略机即是最高品级的DAL-A，意味着故障可能导致祸害性后果），认证要求失后果低于每翱游小时 10⁻⁹。要达到这个范例，光靠EDAC还不够，还需要硬件冗余（多台谋略机）、异构设想（不同芯片、不同代码）、交叉比对（COM/MON双通谈）等多层防护的肖似。

图5:A320 的飞控冗余，不单是“多装几台电脑”。 ELAC 、 SEC 和液压系统之间相互单干，着实形成的是一张限定相聚。

换句话说，扫数这个词行业早就知谈天地射线会变成比特翻转，也早就有了进修的防护妙技。这不是什么科幻设定，这是最基础的设定了。

那问题来了：比特翻转这个要挟，行业依然防了几十年。为什么到2025年，它遽然告成了？

03

L104——好心办了赖事

咱们来细细说，这个谜底藏在一个叫\"Safety Beyond Standard\"（超过范例的安全）的升级谋略里。

空客的A320从1988年首飞到目下，飞控谋略机的软件依然是迭代了无数个版块。

ELAC的软件范例从最早的L84一齐走到L93、L97+、L98、L99、L103+，每一代齐在修补旧问题，再往里加少量新保护。其中L97+是一个重要节点，2015年EASA发布了适航教唆AD 2015-0088，强制民众机队升级到L97+范例，主淌若为了增强迎角（AOA）传感器堵塞的检测才调。

到了L104，空客的贪念更大了。他们思把依然从戎快40年的A320飞控系统拉到接近A350的安全水平。方针很明确，镌汰LOC-I（Loss of Control In-flight，翱游中失控）的风险。LOC-I是交易航空致命事故的头号杀手，空客思在老机型上也加上更多的保护网。

L104新增的中枢功能叫PALAL(Pitch Attitude Limitation in Alternate Law)，备用律例下的正俯仰姿态限制。

图6:升降舵教唆不是从驾驶杆告成通到舵面，而是先干预飞控谋略机，再由谋略机决定该给液压伺服什么教唆， L104 的问题，就藏在这条链路里。

这里来先说一下布景。A320的飞控有三级左迁：普通律例、备用律例、告成律例。普通律例下，飞机有完整的包线保护，翱游员思把机头拉到危急角度，谋略机不让。

如果一朝左迁到备用律例（比如丢了两台ELAC或者传感器故障），许多保护就没了。PALAL的作用，即是在备用律例下也保留一谈俯仰姿态的限制，注重翱游员在系统左迁的情况下一杆拉到底，把飞机给告成拉进失速了。

除了PALAL，L104还作念了另一件重要的事：让飞控保护在更多复杂故障场景下也别任性掉线。

在以前的软件版块里，如果两台FAC（翱游增稳谋略机）同期挂了，或者两个偏航阻尼器同期失效，包线保护会告成袪除。L104修改了逻辑，让这些场景下保护仍然在线，固然后果打了扣头，然则至少还有兜底在。

这些革命自己莫得问题。PALAL和增强的故障保护，齐算是实打实的安全升级。空客通过SB A320-27-1305/1306（CEO机型）和SB A320-27-1307（NEO机型）在民众机队中扩充这些升级。

然则新功能塞进去的时候，旧的防护被削弱了。

ELAC B型硬件的处理器性能并不富足。

从早期的摩托罗拉68010一齐演进，固然硬件依然更新换代（据过后打听的报谈，现时的ELAC B可能使用了90纳米SOI工艺的处理器，Thales莫得公开证据具体型号），但关于一台需要在毫秒级别及时谋略飞控律的谋略机来说，算力遥远是稀缺资源。

要在这点算力里塞进PALAL和新的保护逻辑，本来的代码旅途就需要动。问题也出在这里，代码重构之后，升降舵教唆处理旅途上的某些防护逻辑，至少莫得像L103+那样灵验拦住发射引起的数据损坏。

公开的适航教唆和AOT只证据了一件事：

L104在发射显现下\"可能出现数据损坏，导致无教唆升降舵偏转\"。但它具体是奈何没挡住的，官方文献莫得把问题定位到某一段代码、某一条旅途上。

不外，多方孤独的本事开头，包括航空业内东谈主士论坛上的航电工程师商量、一些专科科技媒体的本事分析、以及事故后的行业推演，齐指向了吞并个标的：

Thales在重构L104代码时，可能为了给新功能腾出运算周期，削弱了部分EDAC（失实检测与修订）联系的检讨逻辑。

笼统多方本事分析，L104的退化大致辘集在三个标的：

第一，合感性校验松了。比如一个在现时翱游状态下根本不可能的升降舵偏转量，L103+会告成终止，L104可能就放畴前了。

第二，重要数据的交叉考证被简化了。以前的版块可能读两次取一致值，新版块可能只读一次就用。

第三，安全滤网没遮掩到新代码。那些用来捕捉数据突变的速率限制滤波器或范围校验，莫得延迟到L104新增的代码旅途上。

这些具体细节还要等NTSB和EASA后续公开材料证据。

但凭据这些齐指向的是新功能加进来了，但旧防地莫得跟上次序。

回到COM/MON架构。

A320每台飞控谋略机里面有两个通谈：COM（教唆通谈）负责算，MON（监控通谈）负责盯。两个通谈用不同的硬件和软件孤独谋略，只消终端对不上，MON就堵截COM，整台谋略机下线。

上一期ES-SAN事件里，COM和MON因为各自的时钟精度不同，在1.02秒的界限上采到了不同的数据，一个说飞机在天上，一个说飞机在地上。论断不一致，MON判定COM有问题，告成堵截。五台谋略机发生四百四病，接连退出。

只是L104事件揭示了COM/MON架构的另一个盲区，一个标的透澈相背的盲区。

问题很可能出在COM/MON比对之前的某个数据层。如果被改削的数据依然干预了两个通谈共同信任的输入旅途，COM和MON就窘态了，它们不是算得不一样，而是拿着吞并份失实的前提，各自独飞速算出了吞并个失实的论断。

MON一比对：\"COM算的和我算的一样。\"没问题，放行。

于是一条被天地射线改削过的升降舵教唆，堂金冠冕地通过了COM/MON的双重校验，被发送到液压伺服阀，驱动升降舵偏转，飞机俯冲了30米（约100英尺）。

上一期是保镖们看到了不同的谍报，朝对方开枪，终端把我方东谈主全干掉了。

这一期是保镖们看了吞并份伪造的谍报，一谈把冒牌boss奉上了车。

ES-SAN的教会是保护经由太明锐，会自相残杀。

L104的教会是：保护经由的眼睛被蒙上了，它就连最昭彰的伪物齐认不出来。

而蒙住它眼睛的那只手，刚好是空客我方去为了塞进一个为了提高安全性的新功能。

图7:电传飞控最怕的，不是莫得保护，而是保护机制觉得我方看见了真相。复杂系调和旦信错了输入，后头的每一步齐可能显得“普通”。

04

罪魁首恶是太阳？

空客AOT和EASA适航教唆里，是这样写原因的：

\"打听发现，NBA篮球下注app官方最新版ELAC B型软件范例L104在显现于热烈太阳发射时，可能出现数据损坏，导致升降舵发生无教唆偏转。在最坏情况下，这可能导致超出飞机结构承受才调的载荷。\"

重要词是热烈太阳发射。

听起来像一场荒僻的天气祸害，好像那天太阳果然朝地球来了一波狠的，连铜筋铁骨的飞控谋略机齐扛不住了。

就顺遂查了一下NOAA（好意思国国度海洋和大气处理局）公开的空间天气数据。

2025年10月30日，地磁暴级别：G1。

图8:NOAA对G1级地磁暴的说明：主要影响区域在地磁纬度60度以北，可能带来弱电网波动、隐微卫星运行影响，以及高纬度极光。它是五级地磁暴量内外最低一级，远不是“顶点空间天气”。

G1是什么倡导？NOAA的地磁暴量表从G1到G5，G1是最弱的。

特地于地震震级里的微震，杯子齐不会晃一下。Kp指数（斟酌地磁扰动强度的范例方针）今日峰值是5，刚刚够到G1的门槛。太阳风速率峰值每秒586公里，属于中等偏高但远非顶点。

今日有一次大型太阳爆发倒是果然。不外那次爆发发生在太阳的背面，不是面朝地球来的。

有东谈主可能认真到，ESA（欧洲航天局）曾发表评求教，那段时期的太阳行为是\"近20年来最权臣的\"。然则仔细核对日历会发现，ESA的这个形容指的是2025年11月的一系列太阳行为，不是10月30日事发那天。

这里还有一层反直观的科学事实，值得好好讲一下。

许多东谈主觉得太阳行为越剧烈，飞机在高空吃到的天地发射就越强。履行上，关于稳态布景发射来说，情况是刚好各别的。

天地射线的主要开头不是太阳，而是星河系深处的超新星爆发和其他高能天体事件。这些星河天地射线（GCR）才是高空电子开辟面对的日常发射布景。

恰是它们的次级粒子（特别是高能中子），在万米高空形成了阿谁300倍于大地的中子通量浴场。

太阳在活跃期发出的太阳风更强、磁场更紊乱。这个增强的太阳磁场会像一面推广的盾牌，把星河天地射线偏转出去，减少它们到达地球的数目。这个效应在物理学上叫Forbush减少效应（Forbush Decrease）。在太阳行为岑岭期，地球近邻的星河天地射线通量比太阳行为低谷期低20%到30%。

2025年正处于太阳周期25的极大期近邻。也即是说，当年的稳态中子通量，反而偏低。

自然，太阳行为岑岭期确乎会带来另一种风险，叫太阳高能粒子事件（SEP），也叫大地增强事件（GLE）。

这是太阳耀斑和日冕物资抛射告成喷射的高能质子。最顶点的GLE事件不错在极地高空顷刻间把发射量进步100到1000倍。但这种事件是历历的，自1942年以来民众只记载了大致70次足下，何况10月30日今日并莫得发生GLE。

目下来总结一下：

今日的地磁暴级别是G1，五级量内外最低的

大型太阳爆发在太阳背面，不是朝地球来的

2025年处于太阳极大期，稳态天地射线通量反而偏低

今日莫得GLE事件

如果公开的空间天气数据莫得漏掉更严重的局地粒子事件，那论断就更有道理了：按照IEC 62396范例认证的航电系统，设想要求能承受远比G1恶劣得多的发射环境。不是那天的发射环境特分歧谱，而是L104这条防地在本不该被打穿的环境下被打穿了。

换句话说，问题不在天上飞来了一颗枪弹，问题在于防弹衣莫得挡住一颗它本该挡住的枪弹。

航空业内论坛上，一线翱游员和航电工程师的主流不雅点高度一致：

\"天地射线每天齐在打。A320这些旧版块在类似发射环境下跑了这样多年，没闹出这种事。问题不在枪弹，是有东谈主把咱们的防弹衣脱掉了。”

一位亚太地区业内资深东谈主士，在暗里的沟通中说得更直白少量：

\"归因天灾就能抛清保障职守。Thales退却，空客相助，EASA点头。说失火是雷劈的没错，但你把避雷针拆了这件事难谈不提？\"

他还提到一个细节，波音原厂零件的包装盒里，发票背面印着范例免责条件。排在第一条的不是产品颓势，不是材料疲顿，而是Act of God（不可抗力身分/天灾），第二条是War（干戈及联系打破），然后才是天气。终末一条兜底：\"其他一切不可预估的现象。\"

这不是个别公司的作念法，这是行业旧例。当\"Act of God\"老是被放在免责条件最明慧的位置，咱们就该瓦解：\"天灾\"在工程事故叙事里，从来不单是一个安谧学术语，它亦然一张很好用的职守缓冲垫。

05

甩锅三重奏

JetBlue事件之后，三方说的话，齐把界限画得很了了。

Thales（ELAC的制造商，前身是Thomson-CSF）的态度很了了，一个字齐没多说：硬件透澈适宜空客规格。L104中受影响的功能，也即是PALAL和新的保护逻辑，\"不在Thales的告成职守范围内。\"

说白了PALAL是空客设想的飞控律功能，空客把规格书交给咱们，咱们在硬件平台上帮你完毕。飞控律奈何算，不是咱们定的。你我方设想的功能出了问题，别来找我。

空客的态度则防范肠把焦点引向了环境身分：\"热烈太阳发射\"导致数据损坏。这句话的精妙之处在于，它莫得指名任何一方的设想颓势，而是把职守推给了一个无法被告状的被告：太阳。作为上空客是负责的，主导了民众的AOT和开辟步履；但话术上遥远莫得承认软件存在颓势。

ESA这边更像是提供了一个容易被误读的布景板。ESA天际天气管事中心确乎商量了那段时期的太阳行为，称其\"近20年来最权臣\"。但那说的是11月11日的X5.1级耀斑和G4级地磁暴，不是10月30日JetBlue 1230事件今日的环境。问题在这类\"太阳很活跃\"的布景形容，如果被放进事故叙事里，很容易让公众致使司法机构误觉得那天飞机正好撞上了一场荒僻的天气事件里。

那么，职守到底在谁？

中枢问题绕不开EDAC这一类防护机制，那些负责检测、修订，或者至少拦住非常数据的保护链路。EDAC既是硬件功能（比如ECC内存、寄存器的冗余设想），亦然软件功能（比如合感性检讨、范围校验、冗余读取）。它正好卡在硬件和软件之间。

在空客和Thales的单干方式里：

Thales负责ELAC的硬件平台——处理器板卡、I/O接口、物理单元、底层操作系统

空客负责飞控律软件——PALAL即是这一层的功能

两者共同负责集成和考证

然则谁来证据整套东西放在一谈之后还能挡住SEU？这件事，在\"谁轨则、谁完毕\"的单干里，正好进了灰色地带。硬件层面的ECC是Thales的事；软件层面的合感性检讨是空客的飞控律代码里该作念的事；而把两者串起来、确保L104在Thales的硬件上有充足的SEU防护，这个职守，双方齐能说\"不透澈是我的\"。

打个比喻：盖屋子的说\"我的地基没问题\"，装修的说\"我的产品没问题\"，但漏水的是墙。墙是谁的？

不外有一件事是了了的，A320的型号及格证捏有东谈主是空客，不是Thales。在适航体系里，不管底层硬件谁造的，系统集成和安全考证的最终职守齐压在制造商头上。主导PALAL设想、代码重构和集成测试的是空客，按那位业内大咖的话说，拆避雷针的东谈主，即是空客。

更值得咱们追问的是：L104是奈何通过认证的？

飞控谋略机软件按DO-178C范例认证，ELAC的软件属于最高品级DAL-A，任何可能导致祸害性后果的系统齐在这个级别。DAL-A的认证经由算是曲常相等严格的，要求每一转源代码齐能一齐追念到系统级需求，孤独考证团队审查，穷尽性测试遮掩。

按照EASA CM-AS-004和IEC 62396的要求，L104从L103+升级过来时，应该针对SEU进行专门的安全评估。如果作念了，为什么防护的退化莫得被发现？如果没作念，为什么认证通过了？

这些问题，于今没东谈主公开说了了。NTSB的认真打听仍在进行中。

然则依然有东谈主不设想等打听论断了。2026年1月，JetBlue航班1230上的三名乘客，Nadia Ramos、Ricardo Racines和Natividad Martinez，他们在佛罗里达中区联邦法院拿起了诉讼（案号8:2026cv00048），被告是空客、Thales和捷蓝航空三方。

原告诉状里有一句话，正好戳在\"天灾\"这套说法最经不起推敲的地点：

\"这不是太阳发射变成的。这是一个已知的、反复出现的自动驾驶故障，空客和Thales未能进行充分的测试或开辟。\"

06

丰田的旧账

图9:丰田遽然加快案其后成为镶嵌式软件安全领域的经典案例。它和 A320 L104 不是吞并类事故，但共同指向一个问题：底层数据防护一朝缺口，失实就可能一齐爬到推广机构。

L104事件不是第一次有东谈主在比特翻转和EDAC之间碰钉子。它致使齐不算最出名的一次。

2009年到2010年间，丰田际遇大范围的\"车辆遽然失控加快\"投诉，被动在民众调回了数百万辆汽车。

好意思国高速公路安全处理局（NHTSA）致使请来了NASA，查了10个月的电子系统。

NASA的论断是：\"莫得发现电子颓势或软件颓势导致了这些事件\"，问题被归因于机械原因：脚垫卡住油门踏板、踏板回弹卡滞。

然后到了2013年，Bookout诉丰田案开庭。法官下令向一家叫Barr Group的镶嵌式系统接洽公司绽开了丰田发动机限定单元（ECU）的全部源代码。Barr Group的首创东谈主Michael Barr带着他的团队花了18个月审查代码。

终端有点让东谈主不胜入目：

高出81000条MISRA-C安全编码法则违章。代码结构被里面东谈主士描画为\"spaghetti code\"，高度复杂、严重耦合、枯竭模块化。更重要的是，故障拦截机制险些形同虚设，一个非重要任务的崩溃不错像多米诺骨牌一样连锁影响扫数这个词系统。

但最致命的发现是：2005款凯好意思瑞的ECU内存透澈莫得EDAC保护。

Barr在法庭献技示了一个场景：一次比特翻转，只是一个比特从0变成1，就能告成迫害ECU中负责处理油门限定的重要程度。如果一朝这个程度崩溃，油门可能卡在全开位置，而系统不会触发故障代码、不会亮发动机故障灯、不会自动干预安全方式。驾驶员拚命踩刹车，发动机却可能还在全力输出能源，这即是当年闹得东谈主心惶惑的丰田\"暴走\"。

陪审团认定丰田组成\"reckless disregard\"（对安全的严重薄情），判丰田败诉。

丰田案和L104放在一谈看，最让东谈主警觉的不是\"大地发射到底有莫得打穿 ECU\"，这件事学术界于今还在吵。

真赶巧得细思的是它们共同显现的一条法则，底层的内存防护只消缺了一环，一个微不及谈的数据扰动就能沿着限定链路一齐往上爬，最终鼓动油门或升降舵这类告成关乎死活的推广机构。

丰田的芯片在大地运行，中子通量唯有高空的三百分之一。Barr Group讲解了即便在这样\"安全\"的环境下，一个莫得EDAC保护的ECU也扛不住概率事件。而L104，是在发射量300倍于大地的万米高空运行的飞控谋略机，它的防护链路反而缩水啦？

这里还有一个工程上的深层悖论，值得单独拎出来说。

芯片越先进，比特翻转就越容易。

这听起来相等反知识，但物理法则即是这样。翻转一个存储单元需要的最小电荷叫作念临界电荷（Qcrit），它大致等于存储节点的电容乘以供电电压。

从500纳米工艺到14纳米工艺，电容缩小了、电压镌汰了，Qcrit从大致50飞库仑（fC，库仑的千万亿分之一，一个小到无法思象的电荷单元）骤降到大致1.4 fC——翻转门槛降了50倍。这意味着在500纳米期间无害的粒子撞击，到了14纳米期间就足以翻转比特。

这不是说A320这台ELAC一定用了14纳米芯片，我思它约略率莫得。但芯片越作念越小，本来就要付这个代价，节点越小，单个存储单元越明锐，系统级防护就越不成省。

同期，晶体管越密集，吞并颗粒子击中多个相邻存储单元的概率越高，这叫多位翻转（MBU）。范例的SEC-DED纠错码只可修订一位失实、检测两位失实。如果一颗粒子同期翻了三位，SEC-DED的纠错算法会算出一个\"修赶巧\"，但这个修赶巧自己即是错的。

它会把数据\"修正\"成一个既不是原始值、也不是翻转后的值的第三个值，何况不回报任何失实。这比透澈莫得纠错还危急，莫得纠错的时候，系统至少知谈我方可能出了问题；而失实的\"修订\"会让系统觉得一切普通，带着一个失实的值链接飞。

霍尼韦尔在作念发射加固航电处理器时，特意采用了150纳米SOI（硅上绝缘体）工艺，断送运算速率，换取自然的发射耐受力。因为150纳米的Qcrit比14纳米高了几十倍，大部分粒子击中齐翻不了。

这即是本事缩放的悖论：芯片升级让系统跑得更快，但也让它对天地射线的防卫更脆弱。如果在升级芯片的同期莫得同步加强EDAC和系统级防护，等于站在发射雨里把伞收了。

07

七、感德节大停飞

2025年11月29日，EASA谬误适航教唆奏效。民众6000架A320系列飞机，开动列队回滚软件。

开辟决策自己并不复杂：通过保养用的条记本电脑勾搭ELAC，把L104软件左迁回L103+。每架飞机大致需要2到3个小时。

大部分航司不错在48到72小时内完成了全部改装。到12月初，仍然停场的飞机依然不到100架。

但时期点选得实在太巧了。11月29日正好是好意思国感德节周末的第二天，全年游客量最大的几天之一。好意思国航空有209架（全机队480架A320中的44%）需要改装。

全日空取消了大致95个航班，影响约13500名游客。阿谁周末，民众航司的签派和维修排班基本被打乱。

约略1000架更老的飞机情况更糟，它们需要整台更换ELAC硬件，这些飞机停场了好几个星期。

而左迁回L103+自己也有代价。L104里新增的扫数安全功能，PALAL、双FAC失效时的包线保护保捏、增强的低速监控，全部被拿掉了。那些本来是用来救命的功能，因为完毕时出了问题，只可先整包全部扔掉。

加上去的安全，又被撤除了。这约略是\"Safety Beyond Standard\"谋略最朝笑的结局。

空客宣称正在开发新的软件范例（据报谈编号为L110+），将在再行加入PALAL和增强保护的同期，开辟L104中缺失的防护逻辑。然则限制目下，L110+莫得公布认证时期表。

目下回看整条链路：

一个本意是救援生命的安全升级谋略，在完毕过程中削弱了部分防护链路。然后一颗普无为通的中子，在G1级磁暴这种五级量内外最弱的环境下，轻收缩松打穿了本不该被打穿的防地，改削了一条升降舵教唆。COM/MON双通谈安全架构因为在数据源流就被骗了，根柢莫得发现非常，照单全收地推广了这条伪造教唆。在万米晴空，飞机毫无征兆地俯冲了30米。

然后制造商说，这是太阳干的。

硬件供应商说，我的硬件适宜规格，软件不归我管。

认证机构发了适航教唆，但至少在公开层面，还莫得回应L104当初是奈何通过这谈门的。

航天机构的太阳行为回报，说的本来是另一个时期段。可一放进这起事故里，就刚好补上了天灾那块拼图。

民众6000架飞机在感德节停飞改装，左迁回了删除了新安全功能的旧版块。

上一期的论断是：\"经由越多越安全？当保护经由开动相互申辩的时候，复杂性自己即是最大的单点故障。\"

这一期的论断是：新功能越多越安全？当为了塞进新功能而砍掉旧防护的时候，升级自己就可能变成最大的左迁。

更贫瘠的是，颓势要修，叙事也要一谈被拉且归修。飞控软件不错左迁，ELAC不错更换，适航教唆不错连夜发出去。可一朝\"天灾\"成了默许解释，着实该被追问的工程选用，就很容易被冲淡。

这才是比一颗粒子翻转一个比特更危急的地点。

这里是「飞机的账本」系列，我是平流层散播者，心爱的一又友请点赞、储藏、暖和、转发，咱们下期链接拆解那些看起来很安全、履行上很要命的设想。