上一期咱们分析了ES-SAN号A320的故事，五台飞控揣度机因为看到了不同的全国而彼此否决、集体自我关闭。那件事的本体是保护过度：保镖们太敏锐，朝对方开了枪。

「飞机的账本」这一期，讲一个场地完满互异的故事。相同是A320，相同是ELAC飞控揣度机，但这一次不是保镖彼此含糊，而是保镖们看到了并吞份伪造的谍报，一王人把冒牌雇主奉上了车。更要命的是，过后通盘东说念主都说：“都怪这可恨的老天爷。”

图1:A320 的飞控系统不是一台电脑，而是一组揣度机彼此合作、彼此监督。上一期的问题是它们彼此含糊；这一期的问题，是它们一王人信了并吞份假谍报。

01

墨西哥湾上空的四秒钟

2025年10月30日下昼，一架捷蓝航空（JetBlue）的空客A320-232，注册号N605JB，正在飞坎昆到纽瓦克的JetBlue 1230航班。

万米高空（约35000英尺），墨西哥湾上空，碧空如洗。客舱里该吃吃、该睡睡。驾驶舱里，亦然再往常不外的一次巡航。

然后飞机猛地一千里。

莫得任何预警，莫得气流震憾。天气好得不可再好。飞机便是毫无征兆地向下俯冲了大致4到5秒，掉了快要30米（约100英尺）的高度。没系安全带的乘客和空乘被重重甩向了天花板，客舱里顿时一派唠叨。

从咫尺公开信息看，自动驾驶并莫得像传统失控事故那样坐窝退出。它先是随着一条失实的飞控请示把机头压了下去，捏续了几秒钟，随后飞机又回到了原本的轨迹上。

紧接着机组晓示蹙迫状态，航班备降坦帕（佛罗里达州）。其中22东说念主受伤，18名乘客和4名空乘，好在都不是致命伤。

NTSB（好意思国国度运输安全委员会）随即介入探听。两台ELAC揣度机被拆下来，送往法国的Thales工场进行拆解分析。

一个月后，问题大致指向了ELAC软件。

随后空客向大师通盘A320机队运营商发出了AOT（All Operators Telex，全运营商通报），编号A27N022-25。

EASA（欧洲航空安全局）紧随着发出了蹙迫适航请示AD 2025-0268-E，FAA也同步发布了AD 2025-24-51。

这说念请示下得照旧很重的：但凡用了ELAC B型硬件，软件又是L104圭臬的A319/A320/A321不才一次飞行之前，必须将ELAC软件从L104左迁回L103+。这里莫得任何辩论余步，只开了一个小口子，最多允许飞3段空机调机，不可载客，不可飞ETOPS（延程双发运行），只可用来把飞机挪到能修的基地去。

这一波操作让大师大致6000架A320系列飞机受影响。这个限制的飞控系统安全举止，空客几十年的历史上从来莫得过。

适航请示奏效的那天，是2025年11月29日，好意思国感德节假期最忙的那几天。

图2:ELAC 、 SEC 、 FAC 共同组成 A320 电传飞控的中枢。它们本来是“多一说念保障”，但这一次，保障自己也被失实数据骗了。

02

银行账户里的那颗粒子

要露出此次事故的根本原因，需要先露出一个物理征象。它听起来像科幻电影，但执行上每天都在发生，叫位翻转，也叫比特翻转（Single Event Upset，简称SEU）。

拿银行账户来打个譬如。在咱们平时的揣度机里面，咱们的账户余额被存储为一串0和1。比如数字6，在二进制里是0110。

咫尺，一颗来自天际的高能粒子穿透了芯片外壳，击中了存储这个“0”的阿谁晶体管。这颗粒子可能便是一颗寰宇射线撞击大气层后产生的二次中子。它在半导体里千里积的能量足以把阿谁0翻转成1。0110变成了1110。咱们的余额从6变成了14。

这便是比特翻转。

图3:ESA 发布的 Single Event Effect 暗意图：高能粒子穿过半导体材料时，会在芯片里面千里积电荷，从而让存储单元里的 0 和 1 发生翻转。

不是芯片坏了，也不是代码有bug，便是一颗粒子从物理层面删改了存储在芯片里的数据。等这颗粒子飞走之后，芯片自己完整无损，下一次写入不错往常阴私。问题出在中间这几毫秒，或者几秒钟。数据还是错了，下一次往常写入还没输入。在这段时刻里，如果莫得额外的校验机制，通盘读取这个地址的局势都会拿到失实的数值，何况会把它当成是竟然。

在大地，这种事如实会发生。可是概率极低。到了万米高空，这类粒子的数目大致是大地的300倍。

地球大气层尽头于是一面弘远的辐照盾牌。寰宇射线中的高能质子和阿尔法粒子撞上大气层中的氮和氧原子核，会产生粒子级联反映，大都次级粒子像瀑布一样向卑鄙泻。

图4:高能粒子击中半导体后，会产生电子 — 空穴对，形成瞬态电流脉冲。对芯片来说，这一下就可能迷漫把一个比特翻畴昔。

其中最艰巨的是高能中子，专指能量大于10兆电子伏特的那些。它们不带电、不受电磁场偏转、穿透力极强。一颗高能中子击中硅芯片里的硅原子核，会发生核散裂反映，迅速在芯片里面炸出一堆高电荷密度的反冲离子。恰是这些反冲离子千里积的电荷，把存储单元里的0翻成了1。

在海平面上，每平方厘米每小时大致有20颗高能中子飞过。到12000米里的高空（差未几40000英尺），这个数会变成大致6000颗。这个数值来自外洋圭臬IEC 62396使用的参考模子，在波音辐照效应实验室的Normand模子和日本原子能机构的EXPACS大气通量揣度局势中都不错兑现复现。

更让东说念主狭隘的是，这粒子通量还跟纬度关联。地球磁场在赤说念隔邻最强，能偏转掉大部分寰宇射线，不外越往极地走，磁场越弱，就会允许更多粒子穿透。

一条伦敦飞洛杉矶的极地航路，在并吞高度上的中子通量不错是赤说念航路的2到5倍。

是以，航电工程师从来便是知说念这件事的。比特翻转不是什么新发现。

IEC 62396圭臬（英文名 Process Management for Avionics – Atmospheric Radiation Effects，《航空电子蛊惑大气辐照效应过程解决》）从2005年就运转发布，分红五个部分，专门法令了航电蛊惑具体该怎样去评估辐照风险、怎样去测试、怎样来作念防护。EASA在2018年1月发布了认证备忘录CM-AS-004，要求通盘新式号认证和首要航电改装都必须针对SEU进行专门评估。

行业内最基本的一说念防地，叫作念EDAC（Error Detection And Correction，失实检测与校正），也时常被叫作念ECC。

旨趣不是很复杂，每次往内存里写一个32位的数据，硬件会自动多算7个校验位，一王人存下来。悉数39位。

读数据的时候，硬件再算一遍校验位，拿它和原本存下来的校验位对一下。如果发现某一位被翻了，校验码能精详情位到是哪一位，硬件在CPU还没反映过来的时刻里就偷偷改且归了。CPU拿到的永久是正确的数据，它以致不知说念刚才有一颗中子来过。

这叫SEC-DED，即单比特纠错、双比特检错。遇到单个比特被翻转，它能自动校正；并吞个数据字里同期翻了两个比特，它能发现（但执行纠不回首）。

这里打个譬如：咱们的身份证号，临了一位是校验码，是前17位数字按一套公式算出来的。如果有东说念主删改了中间某一位，用并吞套公式再行算一遍，校验码就对不上了。EDAC的旨趣跟这个一样，只不外它不仅能发现失实，还能迅速校正。莫得EDAC的内存？那就像一串莫得校验码的数字，改了哪一位都看不出来。

关于DAL-A级别的航电系统（飞控揣度机便是最高级第的DAL-A，意味着故障可能导致磨折性后果），认证要求失后果低于每飞行小时 10⁻⁹。要达到这个圭臬，光靠EDAC还不够，还需要硬件冗余（多台揣度机）、异构遐想（不同芯片、不同代码）、交叉比对（COM/MON双通说念）等多层防护的重叠。

图5:A320 的飞控冗余，不单是“多装几台电脑”。 ELAC 、 SEC 和液压系统之间彼此单干，真实形成的是一张戒指网罗。

换句话说，通盘这个词行业早就知说念寰宇射线会酿成比特翻转，也早就有了练习的防护技巧。这不是什么科幻设定，这是最基础的设定了。

那问题来了：比特翻转这个要挟，行业还是防了几十年。为什么到2025年，它蓦然到手了？

03

L104——好心办了赖事

咱们来细细说，这个谜底藏在一个叫\"Safety Beyond Standard\"（突出圭臬的安全）的升级缠绵里。

空客的A320从1988年首飞到咫尺，飞控揣度机的软件还是是迭代了无数个版块。

ELAC的软件圭臬从最早的L84一齐走到L93、L97+、L98、L99、L103+，每一代都在修补旧问题，再往里加少许新保护。其中L97+是一个要道节点，2015年EASA发布了适航请示AD 2015-0088，强制大师机队升级到L97+圭臬，主若是为了增强迎角（AOA）传感器堵塞的检测才能。

到了L104，空客的贪念更大了。他们想把还是入伍快40年的A320飞控系统拉到接近A350的安全水平。办法很明确，镌汰LOC-I（Loss of Control In-flight，飞行中失控）的风险。LOC-I是贸易航空致命事故的头号杀手，空客想在老机型上也加上更多的保护网。

L104新增的中枢功能叫PALAL(Pitch Attitude Limitation in Alternate Law)，备用法例下的正俯仰姿态限定。

图6:升降舵请示不是从驾驶杆平直通到舵面，而是先参加飞控揣度机，再由揣度机决定该给液压伺服什么请示， L104 的问题，就藏在这条链路里。

这里来先说一下配景。A320的飞控有三级左迁：往常法例、备用法例、平直法例。往常法例下，飞机有完整的包线保护，飞行员想把机头拉到危境角度，揣度机不让。

如果一朝左迁到备用法例（比如丢了两台ELAC或者传感器故障），A8体育直播中国官网入口好多保护就没了。PALAL的作用，便是在备用法例下也保留一说念俯仰姿态的限定，驻扎飞行员在系统左迁的情况下一杆拉到底，把飞机给平直拉进失速了。

除了PALAL，L104还作念了另一件枢纽的事：让飞控保护在更多复杂故障场景下也别应付掉线。

在以前的软件版块里，如果两台FAC（飞行增稳揣度机）同期挂了，或者两个偏航阻尼器同期失效，包线保护会平直肃清。L104修改了逻辑，让这些场景下保护仍然在线，诚然后果打了扣头，可是至少还有兜底在。

这些改换自己莫得问题。PALAL和增强的故障保护，都算是实打实的安全升级。空客通过SB A320-27-1305/1306（CEO机型）和SB A320-27-1307（NEO机型）在大师机队中推论这些升级。

可是新功能塞进去的时候，旧的防护被削弱了。

ELAC B型硬件的处理器性能并不裕如。

从早期的摩托罗拉68010一齐演进，诚然硬件还是更新换代（据过后探听的报说念，当前的ELAC B可能使用了90纳米SOI工艺的处理器，Thales莫得公开证明具体型号），但关于一台需要在毫秒级别及时揣度飞控律的揣度机来说，算力永久是稀缺资源。

要在这点算力里塞进PALAL和新的保护逻辑，原本的代码旅途就需要动。问题也出在这里，代码重构之后，升降舵请示处理旅途上的某些防护逻辑，至少莫得像L103+那样有用拦住辐照引起的数据损坏。

公开的适航请示和AOT只证明了一件事：

L104在辐照暴露下\"可能出现数据损坏，导致无请示升降舵偏转\"。但它具体是怎样没挡住的，官方文献莫得把问题定位到某一段代码、某一条旅途上。

不外，多方孤立的技巧起首，包括航空业内东说念主士论坛上的航电工程师操办、一些专科科技媒体的技巧分析、以及事故后的行业推演，都指向了并吞个场地：

Thales在重构L104代码时，可能为了给新功能腾出运算周期，削弱了部分EDAC（失实检测与校正）关连的查验逻辑。

概括多方技巧分析，L104的退化大致蚁合在三个场地：

第一，合感性校验松了。比如一个在当前飞功绩态下根本不可能的升降舵偏转量，L103+会平直拒却，L104可能就放畴昔了。

第二，要道数据的交叉考证被简化了。以前的版块可能读两次取一致值，新版块可能只读一次就用。

第三，安全滤网没阴私到新代码。那些用来捕捉数据突变的速率限定滤波器或范围校验，莫得蔓延到L104新增的代码旅途上。

这些具体细节还要等NTSB和EASA后续公开材料证明。

但把柄这些都指向的是新功能加进来了，但旧防地莫得跟上范例。

回到COM/MON架构。

A320每台飞控揣度机里面有两个通说念：COM（请示通说念）负责算，MON（监控通说念）负责盯。两个通说念用不同的硬件和软件孤立揣度，只消收尾对不上，MON就割断COM，整台揣度机下线。

上一期ES-SAN事件里，COM和MON因为各自的时钟精度不同，在1.02秒的界限上采到了不同的数据，一个说飞机在天上，一个说飞机在地上。论断不一致，MON判定COM有问题，平直割断。五台揣度机发生四百四病，接连退出。

只是L104事件揭示了COM/MON架构的另一个盲区，一个场地完满违抗的盲区。

问题很可能出在COM/MON比对之前的某个数据层。如果被删改的数据还是参加了两个通说念共同信任的输入旅途，COM和MON就无语了，它们不是算得不一样，而是拿着并吞份失实的前提，各自孤立时算出了并吞个失实的论断。

MON一比对：\"COM算的和我算的一样。\"没问题，放行。

于是一条被寰宇射线删悛改的升降舵请示，冠冕堂皇地通过了COM/MON的双重校验，被发送到液压伺服阀，驱动升降舵偏转，飞机俯冲了30米（约100英尺）。

上一期是保镖们看到了不同的谍报，朝对方开枪，收尾把我方东说念主全干掉了。

这一期是保镖们看了并吞份伪造的谍报，一王人把冒牌boss奉上了车。

ES-SAN的西宾是保护经过太敏锐，会自相残杀。

L104的西宾是：保护经过的眼睛被蒙上了，它就连最显着的伪物都认不出来。

而蒙住它眼睛的那只手，刚好是空客我方去为了塞进一个为了提高安全性的新功能。

图7:电传飞控最怕的，不是莫得保护，而是保护机制觉得我方看见了真相。复杂系长入旦信错了输入，背面的每一步都可能显得“往常”。

04

罪魁首恶是太阳？

空客AOT和EASA适航请示里，是这样写原因的：

\"探听发现，加拿大PC中国官网入口ELAC B型软件圭臬L104在暴露于浓烈太阳辐照时，可能出现数据损坏，导致升降舵发生无请示偏转。在最坏情况下，这可能导致超出飞机结构承受才能的载荷。\"

要道词是浓烈太阳辐照。

听起来像一场疏远的天气磨折，好像那天太阳竟然朝地球来了一波狠的，连铜筋铁骨的飞控揣度机都扛不住了。

就顺遂查了一下NOAA（好意思国国度海洋和大气解决局）公开的空间天气数据。

2025年10月30日，地磁暴级别：G1。

图8:NOAA对G1级地磁暴的阐明：主要影响区域在地磁纬度60度以北，可能带来弱电网波动、幽微卫星运行影响，以及高纬度极光。它是五级地磁暴量内外最低一级，远不是“极点空间天气”。

G1是什么意见？NOAA的地磁暴量表从G1到G5，G1是最弱的。

尽头于地震震级里的微震，杯子都不会晃一下。Kp指数（斟酌地磁扰动强度的圭臬目的）今日峰值是5，刚刚够到G1的门槛。太阳风速率峰值每秒586公里，属于中等偏高但远非极点。

今日有一次大型太阳爆发倒是竟然。不外那次爆发发生在太阳的背面，不是面朝地球来的。

有东说念主可能耀眼到，ESA（欧洲航天局）曾发表评阐扬，那段时期的太阳活动是\"近20年来最显赫的\"。可是仔细核对日历会发现，ESA的这个描写指的是2025年11月的一系列太阳活动，不是10月30日事发那天。

这里还有一层反直观的科学事实，值得好好讲一下。

好多东说念主觉得太阳活动越剧烈，飞机在高空吃到的寰宇辐照就越强。执行上，关于稳态配景辐照来说，情况是刚好互异的。

寰宇射线的主要起首不是太阳，而是星河系深处的超新星爆发和其他高能天体事件。这些星河寰宇射线（GCR）才是高空电子蛊惑面对的日常辐照配景。

恰是它们的次级粒子（额外是高能中子），在万米高空形成了阿谁300倍于大地的中子通量浴场。

太阳在活跃期发出的太阳风更强、磁场更紊乱。这个增强的太阳磁场会像一面膨大的盾牌，把星河寰宇射线偏转出去，减少它们到达地球的数目。这个效应在物理学上叫Forbush减少效应（Forbush Decrease）。在太阳活动岑岭期，地球隔邻的星河寰宇射线通量比太阳活动低谷期低20%到30%。

2025年正处于太阳周期25的极大期隔邻。也便是说，当年的稳态中子通量，反而偏低。

自然，太阳活动岑岭期如实会带来另一种风险，叫太阳高能粒子事件（SEP），也叫大地增强事件（GLE）。

这是太阳耀斑和日冕物资抛射平直喷射的高能质子。最极点的GLE事件不错在极地高空蓦然把辐照量熏陶100到1000倍。但这种事件是历历的，自1942年以来大师只纪录了大致70次傍边，何况10月30日今日并莫得发生GLE。

咫尺来总结一下：

今日的地磁暴级别是G1，五级量内外最低的

大型太阳爆发在太阳背面，不是朝地球来的

2025年处于太阳极大期，稳态寰宇射线通量反而偏低

今日莫得GLE事件

如果公开的空间天气数据莫得漏掉更严重的局地粒子事件，那论断就更有益念念了：按照IEC 62396圭臬认证的航电系统，遐想要求能承受远比G1恶劣得多的辐照环境。不是那天的辐照环境特区分谱，而是L104这条防地在本不该被打穿的环境下被打穿了。

换句话说，问题不在天上飞来了一颗枪弹，问题在于防弹衣莫得挡住一颗它本该挡住的枪弹。

航空业内论坛上，一线飞行员和航电工程师的主流不雅点高度一致：

\"寰宇射线每天都在打。A320这些旧版块在雷同辐照环境下跑了这样多年，没闹出这种事。问题不在枪弹，是有东说念主把咱们的防弹衣脱掉了。”

一位亚太地区业内资深东说念主士，在暗里的沟通中说得更直白少许：

\"归因天灾就能抛清保障牵累。Thales退却，空客合作，EASA点头。说失火是雷劈的没错，但你把避雷针拆了这件事难说念不提？\"

他还提到一个细节，波音原厂零件的包装盒里，发票背面印着圭臬免责条目。排在第一条的不是产品残障，不是材料疲钝，而是Act of God（不可抗力身分/天灾），第二条是War（战役及关连突破），然后才是天气。临了一条兜底：\"其他一切不可预估的气象。\"

这不是个别公司的作念法，这是行业常规。当\"Act of God\"老是被放在免责条目最真贵的位置，咱们就该明白：\"天灾\"在工程事故叙事里，从来不单是一个气候学术语，它亦然一张很好用的牵累缓冲垫。

05

甩锅三重奏

JetBlue事件之后，三方说的话，都把界限画得很明晰。

Thales（ELAC的制造商，前身是Thomson-CSF）的态度很明晰，一个字都没多说：硬件完满顺应空客规格。L104中受影响的功能，也便是PALAL和新的保护逻辑，\"不在Thales的平直牵累范围内。\"

说白了PALAL是空客遐想的飞控律功能，空客把规格书交给咱们，咱们在硬件平台上帮你兑现。飞控律怎样算，不是咱们定的。你我方遐想的功能出了问题，别来找我。

空客的态度则注重肠把焦点引向了环境身分：\"浓烈太阳辐照\"导致数据损坏。这句话的精妙之处在于，它莫得指名任何一方的遐想残障，而是把牵累推给了一个无法被告状的被告：太阳。当作上空客是负责的，主导了大师的AOT和建造举止；但话术上永久莫得承认软件存在残障。

ESA这边更像是提供了一个容易被误读的配景板。ESA天际天气管事中心如实操办了那段时期的太阳活动，称其\"近20年来最显赫\"。但那说的是11月11日的X5.1级耀斑和G4级地磁暴，不是10月30日JetBlue 1230事件今日的环境。问题在这类\"太阳很活跃\"的配景描写，如果被放进事故叙事里，很容易让公众以致司法机构误觉得那天飞机正好撞上了一场疏远的天气事件里。

那么，牵累到底在谁？

中枢问题绕不开EDAC这一类防护机制，那些负责检测、校正，或者至少拦住额外数据的保护链路。EDAC既是硬件功能（比如ECC内存、寄存器的冗余遐想），亦然软件功能（比如合感性查验、范围校验、冗余读取）。它正好卡在硬件和软件之间。

在空客和Thales的单干形式里：

Thales负责ELAC的硬件平台——处理器板卡、I/O接口、物理单元、底层操作系统

空客负责飞控律软件——PALAL便是这一层的功能

两者共同负责集成和考证

可是谁来证明整套东西放在一王人之后还能挡住SEU？这件事，在\"谁法令、谁兑现\"的单干里，正好进了灰色地带。硬件层面的ECC是Thales的事；软件层面的合感性查验是空客的飞控律代码里该作念的事；而把两者串起来、确保L104在Thales的硬件上有迷漫的SEU防护，这个牵累，双方都能说\"不完满是我的\"。

打个譬如：盖屋子的说\"我的地基没问题\"，装修的说\"我的产品没问题\"，但漏水的是墙。墙是谁的？

不外有一件事是明晰的，A320的型号及格证捏有东说念主是空客，不是Thales。在适航体系里，不管底层硬件谁造的，系统集成和安全考证的最终牵累都压在制造商头上。主导PALAL遐想、代码重构和集成测试的是空客，按那位业内大咖的话说，拆避雷针的东说念主，便是空客。

更值得咱们追问的是：L104是怎样通过认证的？

飞控揣度机软件按DO-178C圭臬认证，ELAC的软件属于最高级第DAL-A，任何可能导致磨折性后果的系统都在这个级别。DAL-A的认证经过算短长常相等严格的，要求每一转源代码都能一齐追忆到系统级需求，孤立考证团队审查，穷尽性测试阴私。

按照EASA CM-AS-004和IEC 62396的要求，L104从L103+升级过来时，应该针对SEU进行专门的安全评估。如果作念了，为什么防护的退化莫得被发现？如果没作念，为什么认证通过了？

这些问题，于今没东说念主公开阐明晰。NTSB的崇拜探听仍在进行中。

可是还是有东说念主不策画等探听论断了。2026年1月，JetBlue航班1230上的三名乘客，Nadia Ramos、Ricardo Racines和Natividad Martinez，他们在佛罗里达中区联邦法院拿起了诉讼（案号8:2026cv00048），被告是空客、Thales和捷蓝航空三方。

原告诉状里有一句话，正好戳在\"天灾\"这套说法最经不起推敲的地方：

\"这不是太阳辐照酿成的。这是一个已知的、反复出现的自动驾驶故障，空客和Thales未能进行充分的测试或建造。\"

06

丰田的旧账

图9:丰田蓦然加快案自后成为镶嵌式软件安全领域的经典案例。它和 A320 L104 不是并吞类事故，但共同指向一个问题：底层数据防护一朝缺口，失实就可能一齐爬到奉行机构。

L104事件不是第一次有东说念主在比特翻转和EDAC之间碰钉子。它以致都不算最出名的一次。

2009年到2010年间，丰田碰到大限制的\"车辆蓦然失控加快\"投诉，被动在大师调回了数百万辆汽车。

好意思国高速公路安全解决局（NHTSA）以致请来了NASA，查了10个月的电子系统。

NASA的论断是：\"莫得发现电子残障或软件残障导致了这些事件\"，问题被归因于机械原因：脚垫卡住油门踏板、踏板回弹卡滞。

然后到了2013年，Bookout诉丰田案开庭。法官下令向一家叫Barr Group的镶嵌式系统考虑公司灵通了丰田发动机戒指单元（ECU）的全部源代码。Barr Group的创举东说念主Michael Barr带着他的团队花了18个月审查代码。

收尾有点让东说念主不胜入目：

逾越81000条MISRA-C安全编码法令违法。代码结构被里面东说念主士描摹为\"spaghetti code\"，高度复杂、严重耦合、迷糊模块化。更要道的是，故障壅塞机制简直形同虚设，一个非要道任务的崩溃不错像多米诺骨牌一样连锁影响通盘这个词系统。

但最致命的发现是：2005款凯好意思瑞的ECU内存完满莫得EDAC保护。

Barr在法庭演出示了一个场景：一次比特翻转，只是一个比特从0变成1，就能平直粉碎ECU中负责解决油门戒指的要道进度。如果一朝这个进度崩溃，油门可能卡在全开位置，而系统不会触发故障代码、不会亮发动机故障灯、不会自动参加安全形式。驾驶员拚命踩刹车，发动机却可能还在全力输出能源，这便是当年闹得东说念主心惶惑的丰田\"暴走\"。

陪审团认定丰田组成\"reckless disregard\"（对安全的严重漠视），判丰田败诉。

丰田案和L104放在一王人看，最让东说念主警悟的不是\"大地辐照到底有莫得打穿 ECU\"，这件事学术界于今还在吵。

真无意得细想的是它们共同暴露的一条文定，底层的内存防护只消缺了一环，一个微不及说念的数据扰动就能沿着戒指链路一齐往上爬，最终股东油门或升降舵这类平直关乎死活的奉行机构。

丰田的芯片在大地运行，中子通量独一高空的三百分之一。Barr Group阐明注解了即便在这样\"安全\"的环境下，一个莫得EDAC保护的ECU也扛不住概率事件。而L104，是在辐照量300倍于大地的万米高空运行的飞控揣度机，它的防护链路反而缩水啦？

这里还有一个工程上的深层悖论，值得单独拎出来说。

芯片越先进，比特翻转就越容易。

这听起来相等反学问，但物理规矩便是这样。翻转一个存储单元需要的最小电荷叫作念临界电荷（Qcrit），它大致等于存储节点的电容乘以供电电压。

从500纳米工艺到14纳米工艺，电容缩小了、电压镌汰了，Qcrit从大致50飞库仑（fC，库仑的千万亿分之一，一个小到无法设想的电荷单元）骤降到大致1.4 fC——翻转门槛降了50倍。这意味着在500纳米期间无害的粒子撞击，到了14纳米期间就足以翻转比特。

这不是说A320这台ELAC一定用了14纳米芯片，我想它大略率莫得。但芯片越作念越小，本来就要付这个代价，节点越小，单个存储单元越敏锐，系统级防护就越不可省。

同期，晶体管越密集，并吞颗粒子击中多个相邻存储单元的概率越高，这叫多位翻转（MBU）。圭臬的SEC-DED纠错码只可校正一位失实、检测两位失实。如果一颗粒子同期翻了三位，SEC-DED的纠错算法会算出一个\"修无意\"，但这个修无意自己便是错的。

它会把数据\"修正\"成一个既不是原始值、也不是翻转后的值的第三个值，何况不答复任何失实。这忘形满莫得纠错还危境，莫得纠错的时候，系统至少知说念我方可能出了问题；而失实的\"校正\"会让系统觉得一切往常，带着一个失实的值链接飞。

霍尼韦尔在作念辐照加固航电处理器时，专诚接受了150纳米SOI（硅上绝缘体）工艺，糟跶运算速率，换取自然的辐照耐受力。因为150纳米的Qcrit比14纳米高了几十倍，大部分粒子击中都翻不了。

这便是技巧缩放的悖论：芯片升级让系统跑得更快，但也让它对寰宇射线的幽静更脆弱。如果在升级芯片的同期莫得同步加强EDAC和系统级防护，等于站在辐照雨里把伞收了。

07

七、感德节大停飞

2025年11月29日，EASA蹙迫适航请示奏效。大师6000架A320系列飞机，运转列队回滚软件。

建造决策自己并不复杂：通过爱护用的条记本电脑贯串ELAC，把L104软件左迁回L103+。每架飞机大致需要2到3个小时。

大部分航司不错在48到72小时内完成了全部改装。到12月初，仍然停场的飞机还是不到100架。

但时刻点选得着实太巧了。11月29日正好是好意思国感德节周末的第二天，全年游客量最大的几天之一。好意思国航空有209架（全机队480架A320中的44%）需要改装。

全日空取消了大致95个航班，影响约13500名游客。阿谁周末，大师航司的签派和维修排班基本被打乱。

大略1000架更老的飞机情况更糟，它们需要整台更换ELAC硬件，这些飞机停场了好几个星期。

而左迁回L103+自己也有代价。L104里新增的通盘安全功能，PALAL、双FAC失效时的包线保护保捏、增强的低速监控，全部被拿掉了。那些本来是用来救命的功能，因为兑当前出了问题，只可先整包全部扔掉。

加上去的安全，又被除去了。这大略是\"Safety Beyond Standard\"缠绵最讥诮的结局。

空客宣称正在开发新的软件圭臬（据报说念编号为L110+），将在再行加入PALAL和增强保护的同期，建造L104中缺失的防护逻辑。可是终结咫尺，L110+莫得公布认证时刻表。

咫尺回看整条链路：

一个本意是支柱人命的安全升级缠绵，在兑现过程中削弱了部分防护链路。然后一颗普鄙俚通的中子，在G1级磁暴这种五级量内外最弱的环境下，轻放松松打穿了本不该被打穿的防地，删改了一条升降舵请示。COM/MON双通说念安全架构因为在数据起源就被骗了，根底莫得发现额外，照单全收地奉行了这条伪造请示。在万米晴空，飞机毫无征兆地俯冲了30米。

然后制造商说，这是太阳干的。

硬件供应商说，我的硬件顺应规格，软件不归我管。

认证机构发了适航请示，但至少在公开层面，还莫得回应L104当初是怎样通过这说念门的。

航天机构的太阳活动答复，说的本来是另一个时刻段。可一放进这起事故里，就刚好补上了天灾那块拼图。

大师6000架飞机在感德节停飞改装，左迁回了删除了新安全功能的旧版块。

上一期的论断是：\"经过越多越安全？当保护经过运转彼此含糊的时候，复杂性自己便是最大的单点故障。\"

这一期的论断是：新功能越多越安全？当为了塞进新功能而砍掉旧防护的时候，升级自己就可能变成最大的左迁。

更艰巨的是，残障要修，叙事也要一王人被拉且归修。飞控软件不错左迁，ELAC不错更换，适航请示不错连夜发出去。可一朝\"天灾\"成了默许解释，真实该被追问的工程弃取，就很容易被冲淡。

这才是比一颗粒子翻转一个比特更危境的地方。

这里是「飞机的账本」系列，我是平流层散播者，可爱的一又友请点赞、储藏、轻柔、转发，咱们下期链接拆解那些看起来很安全、执行上很要命的遐想。