オリジナルの記事は以下だと思う．
https://www.nytimes.com/2019/06/01/business/boeing-737-max-crash.html
そちらの方が詳しい．和訳の過ちが一つある．
MCASが当初，動作判定に使っていた値は「迎角」と「重力加速度」とあるが，「重力加速度」のはずはなく，原文と照らし合わせると，「G-Force」が正しい．つまり，「加速度（G）」である．加速度（とくに垂直加速度，運動荷重倍数）が大きいと，迎角と迎角の変化率が大きいことを意味する．つまり，MCASは迎角と迎角変化率の二つに閾値があったということになる．ただ，速度が小さいと垂直加速度も小さい．これが，本文にある「MCASを低速でも使えるようにすること」という要望につながったと想像する．

記事を読んで驚いたのは，MCASが当初，迎角とG-Forceの両方を閾値としていて，それでFAAから承認を受けていたにも関わらず，その後，迎角のみの仕様に変更したときに再承認を受けていなかったこと．「再承認の必要はないと判断された」．だれの判断？ この判断（ミス）が大きい．このために，MCASの仕様変更が公になることがなかった．FAAは本当にこの変更を知らなかったことになる．
関係者は迎角センサの故障可能性を低く見積もり過ぎていたし，隠し機能のMCASの教育は要らないと思っていた．
https://newspicks.com/news/3858309?ref=user_2112738

誰も「欠陥」を望んでいたわけではない．結果から見れば「『必然的』に起きた事故」とは言うが難しい．
「失敗学」にまた１ページ．

元のバージョンでは、少なくとも2つのセンサーから信号を入力していたが、最終バージョンでは1つのセンサーしか使用していない。この改変によって、システムは重要な安全装置を失うことになった。2機の墜落機は、どちらもたった1つのセンサーが故障したことにより、制御不能な急降下に陥ったのである。

素晴らしい記事。エンジニアや技術マネジメントの人は必読。

分業化の弊害というが、これだけ大規模なプロジェクトなのだから、MBSEを使っているのだろうし、センサー２個というのも要求に入っていたはず。その変更を許可したというなら結局はリスク評価の誤りに着せられるか。

たったひとつのセンサーのみが頼りだった。それを関係者の多くが知らなかったとは。墜落の深層を知って驚いた。ただ、原因を解明するための徹底した調査と分析と検証のプロセスにも感心した。

『2機の墜落機は、どちらもたった1つのセンサーが故障したことにより、制御不能な急降下に陥ったのである。』