보잉의 737MAX 가 잇단 사고로 구설에 오르는데 

사고의 원인은 받음각 센서가 고장이 나서 MCAS 라는 실속방지장치가 실속이 아닌데도

실속으로 판단해서  자꾸 기수를 강제로 숙이게 해서 사고가 난 것.

원인을 따지면 이중화의 부족 등 여러 군데를 집을 수 있지만

주목할게 고장시에도 어떻게 될 것인가 하는 고려가 부족한 점이 아쉽다.

모든 복잡한 장치는 언젠가는 고장이 나기 마련인데

그런 고장이 나거나 기능이 마비되었을 때 

출력이 어떻게 결과가 되느냐를 항상 고려해야 한다.

이 경우 받음각 센서등이 고장이 나거나 마비되더라도 

최악의 경우 실속방지장치는 그냥 동작을 멈추고

아무 것도 안하는 것이 제일 문제를 일으킬 확률이 적다.

즉 조종사가 알아서 하라는 것이지.

그런데 보잉은 조종사가 실수를 해도 안전하게 하려고 fool-proof 한 

MCAS 를 만들었지만 그러다 보니 MCAS 자체가 고장이 나는 경우에

fail-safe 하지 않은 시스템을 만든거다.

즉 fool-proof 보다 fail-safe 가 더 중요하다.