Versteuert

Editorial: Doppelt tödliche Software

Ein Software-Fehler bei der Boeing 737 MAX fordert erneut Todesopfer - wie kann man die Sicherheit verbessern?
Von

Darstellung einer Boeing 737 MAX Darstellung einer Boeing 737 MAX
(c) dpa
Als wissen­schaft­lich denkender Mensch - ich habe Physik studiert - hat man es manchmal schwer: Immer wieder gibt es Situa­tionen, dass etwas schlecht ist, und man dieses als Wissen­schaftler erkennt und den Leuten zuruft. "Macht es besser". Aber nicht immer wird man gehört. Ein solches Beispiel ist das neue MCAS-System, das Boeing bei der Über­ar­bei­tung ihrer erfolg­rei­chen 737-Flug­zeug­serie zur 737 MAX einge­führt hat. Es dient dazu, gefähr­liche Flug­lagen zu vermeiden, die dadurch entstehen können, dass bei der 737 MAX die Trieb­werke noch­mals größer geworden sind und nun weiter vorne sitzen als bei den letzten Versionen der 737: Zum Beispiel, wenn sich das Flug­zeug bereits im Steig­flug befindet, und der Pilot zusätz­lich Schub gibt, können die Trieb­werke nun das Flug­zeug in eine noch stei­lere Flug­lage drehen. In dieser droht der soge­nannte Strö­mungs­ab­riss: Die Luft "trägt" dann das Flug­zeug nicht mehr.

Tödliche Soft­ware

Darstellung einer Boeing 737 MAX Darstellung einer Boeing 737 MAX
(c) dpa
Zu eben­diesem MCAS schrieb ich aber bereits vor gut drei Monaten, also lange vor dem erneuten Absturz, dass es sich um eine tödliche Soft­ware handelt. Denn es hat offen­sicht­lich einen schwer­wie­genden Fehler: Ein einzelner defekter Sensor kann bereits zum Absturz des Flug­zeugs führen. Und leider deutet alles darauf hin, dass genau das erneut passiert ist.

Die Häufung von schweren Unfällen bei der 737 MAX ist jeden­falls sehr auffällig: Bis heute sind weniger als 400 Maschinen dieses Typs ausge­lie­fert worden, was nur wenigen Prozent der weit über 10 000 im Einsatz befind­li­chen großen Verkehrs­flug­zeuge entspricht. Trotzdem gehen in den letzten Monaten genauso viele schwere Abstürze auf das Konto der 737 MAX, wie auf alle anderen großen zivilen Passa­gier­flug­zeuge zusammen.

Ich nehme mir auch die Frei­heit heraus, in diesem Edito­rial dem finalen Unter­su­chungs­be­richt vorweg­zu­greifen. Insbe­son­dere ist der Flug­da­ten­schreiber des Flugs ET-302 zwar inzwi­schen geborgen und ausge­lesen worden, die Daten sind aber noch nicht öffent­lich zugäng­lich. Die Abstürze von Lion-Air-Flug 610 und Ethio­pian-Airlines-Flug 302 sind aber einfach zu ähnlich, als dass man eine unter­schied­liche Ursache annehmen kann: Beides waren fast neue Maschinen, beide star­teten bei klarem Wetter, doch sie erreichten nie die normale Flug­höhe von 10 000 Metern, sondern nur 2 000 bis 3 000 Meter. Bei beiden Flügen deuten die von unab­hän­gigen Sites wie fligh­t­radar24 aufge­zeich­neten Trans­pon­der­daten (ADS-B) darauf hin, dass es einen regel­rechten Kampf "Mensch gegen Maschine" gab, das Flug­zeug oben zu halten. Bei beiden Flügen gab es Notrufe der Piloten, die darum baten, zum Flug­hafen zurück­kehren zu dürfen. Beide Flüge wurden dann immer schneller, während sie zugleich an Höhe verloren. Diese vielen Ähnlich­keiten sind es auch, die inzwi­schen Flug­si­cher­heits­be­hörden welt­weit dazu veran­lasst haben, Flug­ver­bote für die 737 MAX auszu­spre­chen.

Zum Lion-Air-Flug ist auch bereits ein vorläu­figer Unfall­be­richt veröf­fent­licht worden, demzu­folge die beiden AOA-Sensoren, die die Flug­lage über­wa­chen, stark vonein­ander abwei­chende Werte meldeten. Aus dem manu­ellen Abgleich mit den Mess­werten der anderen Sensoren (unter anderem Geschwin­dig­keit und Flug­höhe) ergibt sich, dass die Daten des pilo­ten­sei­tigen AOA-Sensors falsch gewesen sein müssen. Das MCAS verwendet aber immer nur die Daten einer Seite, beim Lion-Air-Flug die der Pilo­ten­seite, so dass sie unter der Fehl­an­nahme, die Maschine befinde sich viel zu steil in der Luft, diese ins Verderben drückte.

Für den Etho­pian-Air-Flug sind, wie gesagt, die AOA-Sensor­daten noch nicht veröf­fent­licht. Aber aus den Trüm­mern an der Absturz­stelle hat sich bereits ergeben, dass das Flug­zeug mit der Nase nach unten getrimmt war. Eine solche Trim­mung nimmt kein Pilot vor, der Notrufe an die Flug­si­che­rung absetzt und ansonsten alles in seiner Macht stehende unter­nimmt, das Flug­zeug oben zu halten. Der Pilot drückt in so einer Situa­tion natür­lich den Knopf für "Trim­mung nach oben". Nur das MCAS ist so verrückt, nach unten zu trimmen, wenn es falsche Sensor­daten erhält. Leider ist das MCAS stärker, wie im Bericht zum Lion-Air-Flug nach­ge­lesen werden kann, und wie sicher bald im Bericht zu Flug ET 610 stehen wird.

Lang­sames Soft­ware-Update

Schon kurz nach dem erneuten Absturz veröf­fent­lichte Boeing ein State­ment, dass sie dabei sind, die MCAS-Soft­ware zu über­ar­beiten. Bei den in der Zivil­luft­fahrt übli­chen langen Entwick­lungs- und Zerti­fi­zie­rungs­zy­klen ist es aber verständ­lich, dass dieses Update noch nicht einge­spielt worden war.

Notaus­knopf für das MCAS

Sehr traurig ist auch, dass sich trotz der in der Piloten-Fach­presse inten­siven Diskus­sion des Lion-Air-Absturzes und einer danach von Boeing heraus­ge­ge­benen Sicher­heits­di­rek­tive offen­sicht­lich nicht unter allen Piloten herum­ge­spro­chen hatte, was man gegen ein Amok flie­gendes MCAS tun kann: Man kann nämlich die auch schon bei früheren 737-Typen vorhan­dene Trimm­au­to­matik abschalten, die dann auch das MCAS deak­ti­viert. Alter­nativ können die Piloten die Lande­klappen ausfahren, da sich auch dann das MCAS deak­ti­viert: Beim Flug mit Klappen wandert der Auftriebs­punkt nach hinten, und die gefähr­liche Flug­lage, vor der das MCAS schützen soll, kann sich ohnehin nicht mehr ergeben. Und schließ­lich können Pilot und Kopilot die Rolle des "Pilot Flying" tauschen: Dann schaltet der Flug­com­puter auf die andere Seite um und liest auch die Daten des anderen, hoffent­lich korrekt funk­tio­nie­renden AOA-Sensors.

Als die Piloten des Ethio­pian-Flugs merkten, dass etwas nicht stimmt, hatten sie frei­lich nur wenige Minuten Zeit, eine dieser Lösungen zu finden. Offen­sicht­lich wussten sie nicht von dem anderen Unglück, oder sie hatten vergessen, wie man richtig reagiert. Bei Lion Air hatten hingegen die Piloten auf dem Flug direkt vor dem Unglücks­flug bereits eben­falls Probleme mit dem MCAS, diese Probleme aber durch den Wechsel der aktiven Seite beheben können. Sie meldeten auch das Sensor­pro­blem an die Technik, die auch in der folgenden Nacht an dem Sensor arbei­tete, aber offen­sicht­lich dabei das eigent­liche Problem nicht beheben konnte.

Drum teste die Auto­matik mit falschen Daten

Für die Zulas­sungs­be­hörden - und das gilt jetzt nicht nur für Flug­zeuge, sondern auch für andere Verkehrs­mittel wie Züge oder autonom fahrende Autos - ergibt sich hieraus eine bedeu­tende Aufgabe: der Test der Steue­rungs­soft­ware mit uner­war­teten Einga­be­daten. Ein auto­nomes Auto muss nicht nur Fußgän­ge­rinnen und Radfah­re­rinnen zuver­lässig als Hindernis erkennen, sondern auch Fahrrad schie­bende Fußgän­ge­rinnen. Eine Absturz-Vermei­dungs-Soft­ware darf nicht zur Absturz-Ursache werden, weil ein isolierter Sensor falsche Werte eingibt. Und ein Signal­system für den Schie­nen­ver­kehr darf nicht einen Stre­cken­ab­schnitt schon wieder frei­geben, nur, weil die Lok diesen verlassen hat - sie muss auch zählen, ob alle Wagen(achsen) dahinter mitge­kommen sind.

Im Zwei­fels­fall müssen mehr Sensoren einge­baut werden, damit die Elek­tronik einzelne defekte Sensoren erkennen und isolieren kann. Für den Anström­winkel (das, was ich bisher als "Flug­lage" bezeichnet habe) gibt es übli­cher­weise zwei dreh­bare "Mini­flügel" im vorderen Bereich an beiden Außen­seiten der Kabine. Zusätz­lich könnte man beispiels­weise Druck­sen­soren an mehrere Stellen in die Trag­flä­chen einbauen, um das komplette Druck­profil der vorbei­s­trö­menden Luft zu erfassen, aus dem sich dann eben­falls der Anström­winkel errechnen lässt. Je mehr Sensoren verbaut sind, und je besser die Auswer­tungs-Soft­ware getestet ist, desto geringer ist die Gefahr von tödli­chen Fehl­re­ak­tionen.

Weitere Edito­rials