Editorial: Doppelt tödliche Software
Darstellung einer Boeing 737 MAX
(c) dpa
Als wissenschaftlich denkender Mensch
- ich habe Physik studiert - hat man es manchmal
schwer: Immer wieder gibt es Situationen, dass etwas schlecht ist,
und man dieses als Wissenschaftler erkennt und den Leuten zuruft.
"Macht es besser". Aber nicht immer wird man gehört.
Ein solches Beispiel ist das neue MCAS-System, das Boeing bei der
Überarbeitung ihrer erfolgreichen 737-Flugzeugserie zur 737 MAX
eingeführt hat. Es dient dazu, gefährliche Fluglagen zu vermeiden, die
dadurch entstehen können, dass bei der 737 MAX die Triebwerke
nochmals größer geworden sind und nun weiter vorne sitzen als bei den
letzten Versionen der
737: Zum Beispiel, wenn sich das Flugzeug bereits im Steigflug befindet,
und der Pilot zusätzlich Schub gibt, können die Triebwerke nun das
Flugzeug in eine noch steilere Fluglage drehen. In dieser droht der
sogenannte Strömungsabriss: Die Luft "trägt" dann das Flugzeug nicht
mehr.
Tödliche Software
Darstellung einer Boeing 737 MAX
(c) dpa
Zu ebendiesem MCAS schrieb ich aber bereits vor gut drei
Monaten, also lange vor dem erneuten Absturz, dass es sich um eine
tödliche Software handelt. Denn es hat
offensichtlich einen schwerwiegenden Fehler: Ein einzelner defekter
Sensor kann bereits zum Absturz des Flugzeugs führen. Und leider
deutet alles darauf hin, dass genau das erneut passiert ist.
Die Häufung von schweren Unfällen bei der 737 MAX ist jedenfalls sehr auffällig: Bis heute sind weniger als 400 Maschinen dieses Typs ausgeliefert worden, was nur wenigen Prozent der weit über 10 000 im Einsatz befindlichen großen Verkehrsflugzeuge entspricht. Trotzdem gehen in den letzten Monaten genauso viele schwere Abstürze auf das Konto der 737 MAX, wie auf alle anderen großen zivilen Passagierflugzeuge zusammen.
Ich nehme mir auch die Freiheit heraus, in diesem Editorial dem finalen Untersuchungsbericht vorwegzugreifen. Insbesondere ist der Flugdatenschreiber des Flugs ET-302 zwar inzwischen geborgen und ausgelesen worden, die Daten sind aber noch nicht öffentlich zugänglich. Die Abstürze von Lion-Air-Flug 610 und Ethiopian-Airlines-Flug 302 sind aber einfach zu ähnlich, als dass man eine unterschiedliche Ursache annehmen kann: Beides waren fast neue Maschinen, beide starteten bei klarem Wetter, doch sie erreichten nie die normale Flughöhe von 10 000 Metern, sondern nur 2 000 bis 3 000 Meter. Bei beiden Flügen deuten die von unabhängigen Sites wie flightradar24 aufgezeichneten Transponderdaten (ADS-B) darauf hin, dass es einen regelrechten Kampf "Mensch gegen Maschine" gab, das Flugzeug oben zu halten. Bei beiden Flügen gab es Notrufe der Piloten, die darum baten, zum Flughafen zurückkehren zu dürfen. Beide Flüge wurden dann immer schneller, während sie zugleich an Höhe verloren. Diese vielen Ähnlichkeiten sind es auch, die inzwischen Flugsicherheitsbehörden weltweit dazu veranlasst haben, Flugverbote für die 737 MAX auszusprechen.
Zum Lion-Air-Flug ist auch bereits ein vorläufiger Unfallbericht veröffentlicht worden, demzufolge die beiden AOA-Sensoren, die die Fluglage überwachen, stark voneinander abweichende Werte meldeten. Aus dem manuellen Abgleich mit den Messwerten der anderen Sensoren (unter anderem Geschwindigkeit und Flughöhe) ergibt sich, dass die Daten des pilotenseitigen AOA-Sensors falsch gewesen sein müssen. Das MCAS verwendet aber immer nur die Daten einer Seite, beim Lion-Air-Flug die der Pilotenseite, so dass sie unter der Fehlannahme, die Maschine befinde sich viel zu steil in der Luft, diese ins Verderben drückte.
Für den Ethopian-Air-Flug sind, wie gesagt, die AOA-Sensordaten noch nicht veröffentlicht. Aber aus den Trümmern an der Absturzstelle hat sich bereits ergeben, dass das Flugzeug mit der Nase nach unten getrimmt war. Eine solche Trimmung nimmt kein Pilot vor, der Notrufe an die Flugsicherung absetzt und ansonsten alles in seiner Macht stehende unternimmt, das Flugzeug oben zu halten. Der Pilot drückt in so einer Situation natürlich den Knopf für "Trimmung nach oben". Nur das MCAS ist so verrückt, nach unten zu trimmen, wenn es falsche Sensordaten erhält. Leider ist das MCAS stärker, wie im Bericht zum Lion-Air-Flug nachgelesen werden kann, und wie sicher bald im Bericht zu Flug ET 610 stehen wird.
Langsames Software-Update
Schon kurz nach dem erneuten Absturz veröffentlichte Boeing ein Statement, dass sie dabei sind, die MCAS-Software zu überarbeiten. Bei den in der Zivilluftfahrt üblichen langen Entwicklungs- und Zertifizierungszyklen ist es aber verständlich, dass dieses Update noch nicht eingespielt worden war.
Notausknopf für das MCAS
Sehr traurig ist auch, dass sich trotz der in der Piloten-Fachpresse intensiven Diskussion des Lion-Air-Absturzes und einer danach von Boeing herausgegebenen Sicherheitsdirektive offensichtlich nicht unter allen Piloten herumgesprochen hatte, was man gegen ein Amok fliegendes MCAS tun kann: Man kann nämlich die auch schon bei früheren 737-Typen vorhandene Trimmautomatik abschalten, die dann auch das MCAS deaktiviert. Alternativ können die Piloten die Landeklappen ausfahren, da sich auch dann das MCAS deaktiviert: Beim Flug mit Klappen wandert der Auftriebspunkt nach hinten, und die gefährliche Fluglage, vor der das MCAS schützen soll, kann sich ohnehin nicht mehr ergeben. Und schließlich können Pilot und Kopilot die Rolle des "Pilot Flying" tauschen: Dann schaltet der Flugcomputer auf die andere Seite um und liest auch die Daten des anderen, hoffentlich korrekt funktionierenden AOA-Sensors.
Als die Piloten des Ethiopian-Flugs merkten, dass etwas nicht stimmt, hatten sie freilich nur wenige Minuten Zeit, eine dieser Lösungen zu finden. Offensichtlich wussten sie nicht von dem anderen Unglück, oder sie hatten vergessen, wie man richtig reagiert. Bei Lion Air hatten hingegen die Piloten auf dem Flug direkt vor dem Unglücksflug bereits ebenfalls Probleme mit dem MCAS, diese Probleme aber durch den Wechsel der aktiven Seite beheben können. Sie meldeten auch das Sensorproblem an die Technik, die auch in der folgenden Nacht an dem Sensor arbeitete, aber offensichtlich dabei das eigentliche Problem nicht beheben konnte.
Drum teste die Automatik mit falschen Daten
Für die Zulassungsbehörden - und das gilt jetzt nicht nur für Flugzeuge, sondern auch für andere Verkehrsmittel wie Züge oder autonom fahrende Autos - ergibt sich hieraus eine bedeutende Aufgabe: der Test der Steuerungssoftware mit unerwarteten Eingabedaten. Ein autonomes Auto muss nicht nur Fußgängerinnen und Radfahrerinnen zuverlässig als Hindernis erkennen, sondern auch Fahrrad schiebende Fußgängerinnen. Eine Absturz-Vermeidungs-Software darf nicht zur Absturz-Ursache werden, weil ein isolierter Sensor falsche Werte eingibt. Und ein Signalsystem für den Schienenverkehr darf nicht einen Streckenabschnitt schon wieder freigeben, nur, weil die Lok diesen verlassen hat - sie muss auch zählen, ob alle Wagen(achsen) dahinter mitgekommen sind.
Im Zweifelsfall müssen mehr Sensoren eingebaut werden, damit die Elektronik einzelne defekte Sensoren erkennen und isolieren kann. Für den Anströmwinkel (das, was ich bisher als "Fluglage" bezeichnet habe) gibt es üblicherweise zwei drehbare "Miniflügel" im vorderen Bereich an beiden Außenseiten der Kabine. Zusätzlich könnte man beispielsweise Drucksensoren an mehrere Stellen in die Tragflächen einbauen, um das komplette Druckprofil der vorbeiströmenden Luft zu erfassen, aus dem sich dann ebenfalls der Anströmwinkel errechnen lässt. Je mehr Sensoren verbaut sind, und je besser die Auswertungs-Software getestet ist, desto geringer ist die Gefahr von tödlichen Fehlreaktionen.