PDF Download
PubReader
Export Citation
Email the Author
Share Facebook
Share Twitter
Cited by 0 Article
Metrics (View:7,384)
Ⅰ. 서 론
보잉 737 항공기(B737)는 1963년 초도비행을 시작으로 지금까지 약 10,000대 이상 생산된 중·단거리 베스트셀러 기종이다. 하지만 2000년대부터 고효율 엔진을 장착한 에어버스 A320Neo와 같은 경쟁 기종이 시장 점유율을 높여가며, 중·단거리 항공기 시장을 위협했다. 2011년 항공기 주문 수량을 살펴보면 A320Neo가 1,226대인 반면, B737 항공기는 150대로 당시 보잉과 에어버스의 경쟁 상황을 알 수 있다. 이에 보잉사는 B737 항공기를 새롭게 설계하여 B737MAX로 출시하였으며, 운용 효율을 약 15% 정도 향상시켰다. 그 결과, 2012년 주문량은 B737MAX 기종이 914대, A320Neo가 478대로 시장 점유율을 회복하였다(Lehman, 2012). 하지만 2018년 10월 29일 인도네시아에서 발생한 라이온에어 JT610편 사고(Tjahjono, 2018)와 2019년 3월 10일 에티오피아 항공 ET302편 사고(FDRE, 2019) 이후 전 세계 B737MAX 기종의 운항이 중단되었다. 이 논문에서는 2019년 10월 25일 인도네시아 교통안전위원회(NTSB, National Transportation Safety Board)가 발표한 라이온에어항공 사고조사 최종보고서(Tjahjono, 2019)와 에티오피아 항공 사고조사 중간보고서(FDRE, 2019), 그 외 관련 기술 문헌조사를 통해 비행제어 시스템 설계 관점에서의 JT610편 사고결과를 분석하고, 신규 항공기 시스템 설계시 고려사항을 제시하고자 한다.
Ⅱ. 본 론
라이온에어 JT610편(사고조사보고서는 ICAO 코드인 LNI610 으로 기재)은 2018년 10월 29일 인도네시아 수카르노하타 국제공항을 이륙해 팡칼피낭으로 비행하던 중이었다. 하지만 이륙 완료 후 13분 뒤 자카르타 해상에 추락해 탑승자 189명 전원이 사망하였다. 이 사고는 2017년에 도입된 새로운 B737MAX 시리즈 항공기와 관련된 첫 번째 주요 사고였으며, Lion Air의 18년 역사상 가장 치명적인 사고였다. 인도네시아 정부는 280km 지역의 수색 및 구조작전을 전개하여 11월 1일에 비행기록장치(FDR, Flight Data Recorder) 를 수거하였으며, 2019년 1월 14일에 조종실음성기록장치(CVR, Cockpit Voice Recorder)를 회수하였다. Fig. 1은 당시 ADS-B(Automatic Dependent Surveillance Broadcast) 데이터로부터 획득한 사고기 비행궤적을 나타낸 것으로 일반적인 이륙의 경우 고도 25,000ft까지 지속적으로 상승하는데 반해, 이번 사고 항공기는 고도 5,000ft 근처에서 고도상승이 없다가 추락한 것을 볼 수 있다.
FAA는 항공사들이 추가적인 조종사 교육훈련을 보완하도록 권고하고, 항공기 제작사는 지속적인 S/W 개선계획을 발표함으로써 항공기 운항은 재개되었다. 이후 2019년 3월 10일 에티오피아 항공 ET302편이 동일한 현상으로 사고가 발생하면서 전 세계 국가들이 B737MAX 항공기의 운항 및 영공통과를 금지하였다.
사고조사 과정에서 피치축 조종특성을 향상시키기 위해 MAX기종에 새롭게 추가된 소프트웨어 모듈인 MCAS(Maneuvering Characteristics Augmentation System) 설계내용이 공개되었고, 설계 과정과 인증, 정비 과정의 문제점들이 발견되었다. NTSB는 “MCAS가 사고의 주요 원인이며, 센서의 결함, 부적절한 유지 보수, 조종사 훈련 부족 등이 모두 기여 요인이었다.” 로 결론을 내렸다.
B737 항공기는 1968년 처음으로 상업 운항을 시작하여 현재까지 생산되고 있는 여객기로 역사상 가장 많이 팔린 기종이다. 보잉은 1997년부터 디지털 조종석과 큰 윙렛(winglet), 샤크렛(sharklet)을 장착한 B737NG(Next Generation)시리즈를 출시했고, 국내에서도 전체 민항기 395대 중 140대가 B737 기종이다. Table 1은 2018년 12월 기준의 국내 항공사별 보유대수이다(R.O.K. MOLIT, 2018).
| Airline | Types | No. of B737 |
|---|---|---|
| Korean Air | -800,-900,-900ER | 32 |
| Jeju Air | -800 | 40 |
| Jin Air | -800 | 23 |
| Eastar Jet | -8, -800, -900ER | 19 |
| T’way Air | -800 | 24 |
| Air Incheon | -400F | 2 |
| Total | 140 | |
B737 항공기는 랜딩기어가 짧고, 지상고가 매우 낮은 편이다. 이는 작은 공항에서 적재나 정비를 용이하게 하고, 항공기 무게를 줄이기 위한 설계였다. 또한 주날개가 높지 않아 비상탈출용 슬라이드 장착을 면제받기도 했다(EASA, 2007), (Fedok, 2001). 이러한 장점 때문에 B737은 경쟁기종에 비해 단거리 경제성에서 우위를 점할 수 있었다. 한편, B737에 장착된 최초의 엔진은 P&W사 JT8D 터보팬 엔진으로 저바이패스비(1.74:1) 엔진이었다. 하지만 B737-300부터는 바이패스비가 5:1~6:1인 CFM56계열 터보팬 엔진을 장착하였다. 그 과정에서 짧은 랜딩기어 때문에 엔진과 지면과의 간격 확보를 위해 엔진 흡입구를 타원형으로 제작했다(Baer, 1982).
최근, 고효율 항공기의 수요가 증가하면서 보잉은 바이패스비가 9:1이 넘는 CFM LEAP-1B 고바이패스 터보팬 엔진을 장착한 B737MAX 기종을 출시하였다(Michael, 2014). B737-8 MAX는 162-178명의 승객이 탑승 가능한 고효율 중단거리 여객기로 2017년 3월 FAA로부터 형식증명을 취득하였다(Tommaso, 2019). Fig. 2는 기존 B737NG와 새롭게 출시된 737 MAX기종의 엔진크기 및 장착 위치를 비교한 것이다. MAX기종은 엔진변경에 따라 NG계열보다 약간 더 높고 날개 앞으로 엔진을 장착하였다.
새로운 엔진 위치와 큰 나셀은 높은 받음각에서 나셀 와류 흐름을 발생시킨다. 나셀이 CG보다 앞에 위치하므로 실속 근처에서 피치 업 효과를 만들어내는 것이다(Cho, 2019). 신규항공기 개발의 경우는 형상변경, 랜딩기어 및 조종면 재설계 등 다양한 방법으로 보완이 가능하다. 하지만 B737기종은 오랫동안 비행안전성이 검증된 기체로 단기간에 형식증명을 취득하고, 시장에 출시할 필요가 있었다.
보잉은 항공기 감항 기준의 FAR Part. 21 §21.101 Changed Product Rule에 의해 변경사항을 시현했고, 그 과정에서 §25.203(a) 실속 특성, §25.255 Stick force per g(FM/g), §25.143(f) 조종성과 기동성 항목을 만족시켜야 했다(FAA, 2012). 하지만 해당 기종은 의도치 않은 피치 상승효과가 발생했고, 소프트웨어적으로 조종특성을 보상하는 MCAS를 적용하였다.
B737 기종은 대기자료장치와 관성항법장치가 통합된 ADIRS(Air Data Inertial Reference System)가 장착되어 있다. ADIRS는 비행 데이터를 조종사 디스플레이 패널과 비행관리컴퓨터, 엔진제어시스템에 전송한다(McIntyre, 1994). Fig. 3은 ADIRS 시스템 구성도를 나타낸 것으로 압력, 진대기 온도, 받음각(AOA, Angle of Attack) 센서 값을 결합해 고도, 보정대기속도, 진대기속도, 보정 받음각 등 대기 정보를 계산한다. 여기서 고도와 속도는 정압을 사용하며, 항공기 동체 형상에 따른 영향을 최소화하기 위해 ADIRU는 기본 동체형상 영향, 추력 영향, 지면효과 등을 보정한다(Ryan, 1994). 이 값들은 비행제어컴퓨터(FCC, Flight Control Computer)로 전송되어 MCAS의 입력으로 사용된다.
피토정압시스템은 3개의 피토관과 6개의 정압공으로 이뤄져 있다. 피토관 2개와 정압공 4개는 ADM에서 압력값으로 변환되어 ADIRU(Air Data Inertial Reference Unit)로 전송된다. 나머지 보조 피토관과 정압공은 보조 계기에 압력을 전달한다. 보조 피토관은 부기장(우측) 측면에 장착되어 있다. 기장석 좌측면에 장착된 피토관과 연결된 ADM 데이터는 좌측 ADIRU-1 에 데이터를 보내고, 부기장석에 위치한 피토관은 우측 ADIRU-2에 연결되어 있다. 나머지 ADM은 정압공과 연결되어 가운데 위치해 있다.
AOA센서는 항공기 동체 기준으로 공기의 상대 방향을 측정하는 센서로 기계식 베인(Vane)을 사용하거나 여러 개의 압력센서를 이용하는 방식이 있다(Berkstresser, 1973). B737에 장착된 AOA센서는 기계식 베인 형태로 베인에 장착된 리졸버(Resolver)를 사용해 받음각을 측정한다. 리졸버는 3개의 선으로 구성되며, 각도에 따른 출력 신호선의 Sin신호와 Cos신호를 이용해 각도를 측정한다. B737에 장착된 모델은 0861FL1로 Collins Aerospace가 제작한 TSO-C54 품목이며, 형상은 Fig. 4와 같다. AOA센서는 이상이 있는 경우만 점검하는 “On Condition” 정비 품목이다. 리졸버와 신호선은 이중으로 내장되어 있고, ADIRU와 실속관리 및 요댐퍼(Stall Management Yaw Damper)시스템에 각각 연결된다. 센서는 전방 동체 측면 좌, 우 각각 한 개씩 장착되어 있다.
B737 MAX는 MDS(MAX Display System)라고 부르는 전자계기 시스템을 갖추고 있으며, 두 개의 DPC(Display Processing Computer)가 데이터를 처리한다. Fig. 6은 해당 기종의 계기 디스플레이 시스템 구성도를 나타낸 것이다. 시스템의 특정 부분에서 고장이 발생하면 ADIRU는 DPC를 포함해 다른 시스템으로 센서 정보의 Invalid 또는 Failure, Warning 플래그를 전송한다. ADIRU에서 전송하는 속도와 고도가 가용하지 않은 경우는 Fig. 7과 같이 속도, 고도 값 대신 주황색 문자로 표시된다.
좌/우측 PFD 속도가 5초간 5knots 이상 차이나면 지시대기속도 불일치(IAS DISAGREE) 경고를 표시한다. 고도는 5초 이상 200ft 이상 차이가 난 경우에 불일치(ALT DISAGREE) 경고를 표시한다.
B737의 수평안정판은 1개의 수평안정판 트림모터와 2개의 엘리베이터로 구성되어 있다. 조종간 명령은 엘리베이터를 구동하며, 이착륙, 순항 등 속도에 따라 트림모터를 이용해 수평안정판을 움직인다. 이 항공기의 경우, 수평안정판 트림 구동범위는 4.2도에서 –12.9도이다. +구간이 기수를 내리는 방향이다. 조종석에는 Fig. 8과 같이 STAB TRIM 휠과 지시계가 있으며, 1unit은 약 1도를 나타낸다.
수평안정판 트림은 이·착륙시 항공기 무게중심과 중량을 고려해 조종사가 수동으로 조작할 수 있고, 자동트림 기능도 가능하다. 자동트림은 플랩이 접혀 있을 때는 저속으로 동작하며, 플랩이 전개된 경우는 빠른 속도로 동작한다. 자동트림을 끄는 방법은 STAB TRIM PRI 스위치와 B/U 스위치를 CUTOUT 위치로 옮기면 된다. 수평안정판 트림모터는 조종사의 의도적인 조종을 방해하지 않기 위해 조종간 방향과 반대로 움직이지 않도록 설계되어 있다. 즉, 조종사가 조종간을 당기고 있을 때는 자동트림 기능에서 피치하강 동작은 하지 않는다.
MCAS는 피치축 조종특성을 향상시키기 위해 MAX기종에 새롭게 추가된 소프트웨어 모듈이다. 기존 항공기(B737NG 이전)에 장착되어 있던 속도트림장치(STS, Speed Trim System)에 포함된 기능으로, 하드웨어적으로는 좌/우 비행제어컴퓨터에 탑재되어 있다. MCAS 활성화 조건은 공중에서 플랩이 접혀 있고, 오토파일럿이 꺼져 있는 상태에서 받음각이 높은 경우이다. 받음각이 상승해 실속 위험이 있다고 판단되면 MCAS는 자동으로 수평안정판 트림모터를 이용해 5초간 피치 하강 기동을 유발하고, 조종사가 피치상승 기동을 하지 않도록 조종간에도 힘을 가한다. 피치 하강 명령의 크기는 받음각과 대기속도, 마하수에 의해 결정된다. 받음각이 정상 범위 내에 들어오면, 수평안정판을 원래위치로 복귀시키고 5초 뒤 시스템을 재설정한다.
사고 항공기(JT610편)는 좌측 AOA센서가 비행 전부터 21도의 오프셋을 가지고 있었고, 이러한 문제는 부품교체 과정에서 발견되지 않았다. 사고 전 비행인 덴파사르-자카르타 비행에서도 MCAS가 활성화되었지만, 조종사는 수평안정판 트림 스위치를 이용해 MCAS를 끄고 안전하게 착륙한 후 관련 내용을 보고하였다. 보고 내용에는 IAS불일치, ALT불일치, FEEL DIFF PRESS 등을 포함했다. 하지만 받음각 관련 경고가 표시되지 않았기 때문에 Stick Shaker와 STAB TRIM Cut-off 내용은 보고에 포함하지 않았다. 사고 당일 자카르타-파칼피낭 비행에서 동일한 현상이 발생했고, 조종사는 속도와 고도 불일치를 확인하고, 비정상 점검표(Non-Normal Checklists)를 체크했지만 MCAS 기능은 인식하지 못했다. 여러 차례 MCAS의 활성화와 ATC 교신 등으로 조종사는 항공기를 통제할 수 없었다.
JT610편에는 조종사 2명, 승무원 6명, 승객 181명이 탑승하였으며, 전원 사망하였다. 이탈리아 승객 1명을 제외하고 모든 승무원과 승객이 인도네시아인이었다. 기장은 31세 남성으로 2011년부터 라이온에어에서 근무했으며, 총 비행시간은 6,028시간, 그 중 B737기종 비행시간이 5,176시간이었다. 부기장은 41세 남성으로 1997년부터 근무했으며, 총 비행시간 5,174시간 중 B737기종 시간이 4,286시간이었다. NTSB는 기장과 부기장의 모든 교육훈련 기록을 조사했으나, 특별한 이상은 발견하지 못했다. 사고 당시 관제사도 조사하였으며, 특별한 점은 발견되지 않았다. 사고 항공기는 2018년 생산되어 총 443회 비행, 운용시간이 1,000시간 이하인 새 비행기였으며, 항공기 정보는 Table 2와 같다.
NTSB는 JT610편의 비행기록장치를 정상적으로 회수하였으며, 총 1,790개의 파라미터가 69시간(총 19회 비행)동안 기록되어 있었다. AOA센서 고장이 최초로 발생한 비행은 JT610편을 포함해 마지막 7개 비행구간이었다. Fig. 9는 사고비행의 비행데이터를 도시한 것이다. 그래프는 순서대로 Air/Ground, Master Caution, A/P CAPT, A/P FO, Stick Shaker Active 플래그를 나타낸다. 좌/우측 AOA센서 값을 보면 비행 시작부터 약 21도 차이가 발생한 것을 볼 수 있다. Air/Ground 플래그가 변경되는 23:20:21 이후부터 좌측 Stick Shaker가 지속적으로 활성화되었다. AOA센서는 비행 전부터 고장이었지만, 센서 특성상 지상활주 상태에서는 고장 판단을 하지 않기 때문이다(Gracey, 1958).
이륙 완료 후 23:23:00 근처에서 플랩이 0도로 변화하며 이때부터 MCAS가 활성화된다. MCAS 피치 하강 명령인 “Trim Automatic” 값이 여러 차례 발생하였고, 조종사는 피치 상승을 지속적으로 명령했다. 이것은 “Trim Manual” 그래프에 나타난다. 이후 조종사는 플랩을 이륙 위치로 설정하고, MCAS가 종료된다.
23:25:00 근처에서 플랩을 0도로 변경하자 다시 MCAS가 활성화되며, 피치하강 트림 명령과 조종사의 피치상승 트림 명령이 반복된다. 추락 직전까지 MCAS는 26회의 피치 하강 트림 명령이 발생하였고, 조종사는 34회의 피치상승 트림 명령을 인가했다. 조종사는 그 과정에서 상황파악을 위한 절차 점검을 동시에 수행했고, 결과적으로 급격한 기수하강으로 비행기가 추락하였다. 보정대기속도 그래프를 보면 마지막 순간 속도가 약 450kts를 초과한 것을 볼 수 있다.
B737기종의 AOA센서는 전방동체 좌/우에 장착되어 있으며, 센서 신호는 ADIRU를 거쳐 비행제어컴퓨터로 전달된다. ADIRU는 기장과 부기장의 PFD에 연결되며, 좌/우측 AOA 차이가 10도 이상, 10초간 유지되는 경우 Fig. 10과 같이 “AOA DISAGREE” 경고 메시지를 표시한다.
한편, PFD에는 Fig. 11과 같이 AOA 지시기능이 있으며, 보잉은 이 기능을 옵션으로 항공사가 선택하도록 하였고, 소프트웨어 구현 과정에서 “AOA DISAGREE” 경고 기능이 AOA지시계 옵션에 포함되었다. FAA는 2017년 이 사실을 확인하고, 제작사가 2020년 3분기까지 소프트웨어 업데이트를 완료하기로 예정되어 있었다(Johnston, 2019). 라이온에어와 에티오피아 항공은 AOA 지시계를 옵션으로 선택하지 않았고, 결과적으로 “AOA DISAGREE” 경고 기능이 비행제어소프트웨어에서 누락되었다.
JT610편의 1차 사고 원인은 AOA센서 자체의 고장이다. NTSB는 AOA센서 교체 과정과 수리 과정을 조사했다. AOA센서 교체 과정을 재현했으며, 바이어스가 있는 AOA센서를 기체에 장착 후 시험한 결과 Fig. 12와 같이 “AOA SENSR INVALID“가 지시되는 것을 확인했다. 하지만 사고기의 경우 장착시험 기록이 없어 정비사의 과실 여부 확인은 불가한 것으로 결론을 내렸다.
사고 전 교체한 AOA센서는 Xtra Aerospace사에서 수리한 제품이었다. NTSB는 수리업체의 수리 및 교정 과정을 조사했다. 모든 시험과정은 CMM 34-12- 34 Rev.8 Component Maintenance Manual 절차대로 시행하였다. 이 시험은 절연저항시험, 베인 마찰력시험, 히터 전류시험, 정렬 정확도 시험을 포함한다. 절차서에 따르면 시험장비는 North Atlantic 8810A API를 사용하되, 동등한 성능을 가진 장비로도 시험이 가능하다. NTSC는 수리업체와 함께 수리과정을 재현했고, 기술자는 SRI-201B장비를 사용해 Relative Mode로 시험했다. 하지만 Relative Mode에서는 AOA 상대 변위 측정만 가능하고, 바이어스 고장은 확인이 불가능하다. Fig. 13은 두 장비의 형상으로 SRI-201B의 우측 스위치가 Relative/Absolute 모드 선택 스위치이다.
항공기 안전성 평가는 FAR 25.1309-1 시스템설계 및 해석지침서를 준수하며(Jeff, 1997), 여기에는 위험 식별 및 예비위험을 분석하는 FHA(Function Hazard Assessment), 시스템 위험에 대한 서브시스템의 기여도와 상호작용을 분석하는 PSSA(Preliminary System Safety Assessment), 설계 및 구현 결과를 평가하여 모든 안전요구사항을 확인하는 SSA(System Safety Assessment) 내용을 포함한다(Wilkinson, 1998). 보잉은 FHA 과정에서 “Uncommanded MCAS activation” 항목을 식별하고, 이 항목의 위험수준을 Hazardous 또는 Catastrophic으로 분류하지 않고 Major로 분류하였다(Magdi, 2019). 이로써 FMEA (Failure Mode & Effects Analysis)와 FTA(Fault Tree Analysis)를 간소화하였다. 그 과정에서 고속구간에 해당하는 수평안정판 트림값 0.6도까지만 검증하고, 2.5도의 저속구간은 고려하지 않았다. 또한 조종사가 필요시 MCAS를 3초 이내로 끌 수 있다고 가정했기 때문에 반복적인 MCAS 작동 상황은 고려하지 않았다.
NTSB는 AOA센서의 원천적인 고장 원인을 규명하고 개선하기 위해 동일한 제품으로 온도변화시험(thermal cycling test)을 수행하였다. 시험 과정에서 리졸버 로터 코일이 Fig. 14와 같이 끊어진 것을 발견하였다. 원인 분석 결과, 앤드캡 절연체의 열팽창 계수는 16-20 ppm/℃인 반면, 회전자 절연체의 열팽창 계수는 65ppm/℃로 약 3배 이상 차이가 나며, 열팽창 계수 차이로 인해 반복적인 온도변화 상황에서 AOA센서의 고장 가능성을 확인하였다.
JT610편 항공기 사고로부터 B737MAX의 비행제어시스템설계 관점에서의 사고 원인을 다섯 가지로 정리해볼 수 있다.
첫째, 설계 및 인증 과정에서 예상한 조종사의 대응 행위에 대한 가정이 올바르지 않았다. 조종사는 필요시 3초 내에 MCAS를 끌 수 있다고 가정했으나, 실제 상황에서는 조종사가 MCAS 고장을 인식하고 대처할 수 있는 충분한 시간이 주어지지 않았다. 둘째, 잘못된 가정에 의해 시스템 안전성 분석 과정에서 “Hazardous” 로 분류되어야 할 항목을 “Major” 로 분류하여 인증을 간소화하였다. 셋째, MCAS는 잘못된 가정과 위험성 분석으로 인해 각각의 비행제어컴퓨터가 단일 AOA센서를 사용하도록 설계함으로써 단일 센서의 오류에 취약한 시스템적 구조를 가지고 있었다. 넷째, “AOA DISAGREE” 경고 기능이 S/W 구현 오류로 제외되어 조종사가 AOA센서 고장을 판단할 충분한 정보를 제공하지 않았다. 다섯째, MCAS 기능의 중요도가 전반적으로 낮게 평가되어 조종사 기종 전환 훈련, 매뉴얼, 조종훈련 등이 충분히 이뤄지지 않았다.
사고 이후 항공기 제작사는 비행제어시스템이 좌/우측 AOA센서 데이터를 비교하여 5.5도 이상 차이가 발생시 MCAS가 작동하지 않도록 소프트웨어를 개선하기로 하였다. 또한 MCAS 명령이 반복되지 않도록 비정상 상태에서 MCAS가 활성화될 경우 한 번의 입력만 생성되도록 하며, 조종사가 조종간을 뒤로 당기는 양보다 적은 값으로 명령하도록 소프트웨어를 개선하였다. 조종석 계기에는 받음각 불일치 경고 기능과 받음각 지시계를 기본으로 포함하기로 하였다.
AOA센서 제작/수리업체는 시험장비 요구사항을 업데이트하여 REL모드와 같은 추가 기능확인 절차를 개선하고, 시험장비의 검증시험을 추가하기로 하였다. 또한 리졸버 출력전압 시험, 고도 및 온도변화시험 추가로 실시하여 장비를 개선하기로 하였다.
III. 결 론
두 차례의 B737MAX 항공기 사고로부터 항공기 운항정비뿐 아니라, 시스템 설계 관점의 교훈들을 정리하면 다음과 같다.
첫째, 최근 비행제어 시스템은 대부분 다중화시스템을 갖추고 있으며, 단일 센서 고장이 조종 상실로 이어지지 않도록 FHA를 강화하고, S/W 설계에 반영해야 한다. 둘째, 최초 시스템 설계의 FMEA 분석 결과와 제작 시점의 설계 변경에 대한 영향성을 충분히 검토해야 한다. 셋째, 비상 상황을 가정할 경우 현실성을 고려해야 하며, 시뮬레이터 등을 이용한 충분한 검증이 필요하다. 넷째, 시스템 일부 고장 상황에서 자동 비행 시스템의 제어 범위 제한을 설정하고, 조종사에게 충분한 통제 권한을 부여하도록 설계해야 한다. 다섯째, 조종사가 시스템 고장을 충분히 판단 가능하도록 정보를 제공해야 하며 특히, 비상상황에서 짧은 시간에 고장식별과 대처가 가능한 조종석 계기를 설계해야 한다.
본 논문에서는 라이온에어 JT610편 B737MAX 사고조사 결과보고서 내용을 중심으로 B737항공기의 특징, 비행제어시스템 구성과 기능, 사고 원인, 조치사항 등을 비행제어시스템 설계 관점에서 정리·분석하였다. 항공기 시스템 설계자들은 사고조사 과정에서 발견된 다양한 시스템 설계 오류들을 인식할 필요가 있으며, 본 논문이 향후 국내개발 항공기의 안전성을 향상시키는데 조금이나마 기여하기를 바란다.
