Tod durch Software – Kein Patch kann fatale Fehler wieder richten



  • es wirklich erschreckend, wenn in komplexen Systemen, wo es um Menschenleben geht,keine Möglichkeit gibt, händisch per Mechanik/Hydraulik eine gefährliche Situation wie die oben geschilderte zu beseitigen und Menschenleben zu retten.



  • Das war nicht die Software. Es war eine Kombination aus Design-Parametern, Funktionsdesign, Pilot Interface und Pilot Training. Der Design Parameter stabilizer deflection wurde zu groß gewählt. Zu viel authority. Dass der Algorithmus nach Piloteneingriff (hochziehen) bösartig nachjustiert war der nächste Fehler. MCAS hätte sich abschalten müssen wenn der Pilot zwei dreimal dagegen hält. Der Pilot hätte über den Eingriff das MCAS laut und deutlich informiert werden müssen, etwa mit dem Spruch MCAS stall prevention. Die Position des Stabilizers hätte angezeigt werden müssen ebenso wie die der zwei AOA Sensoren. Die Piloten hätten das Flugzeug nicht besteigen dürfen ohne explizites Training dieser Funktion - und des Abschaltens derselben. Dass bei Flaps 5 das Ding ausgeht muss offensiv gesagt werden und darf nicht Piloten irritieren die davon keine Ahnung haben. Komisch ist, dass so viele Exemplare fliegen, es aber nur wenige Male zu Events kam. Es sind doch alle mal gestartet. Was war da anders als bei den Abstürzen?



  • Anm. der Redaktion: Durch Hinweise hier und in den Sozialen Medien wurden wir darauf hingewiesen, dass es im Artikel irrtümlich hieß, MACS hätte den Winkel der Seitenleitwerke gesteuert; richtig müsste es Winkel der Höhenleitwerke heißen. Auch hatte sich am Ende des Beitrags eine falsche Flugnummer eingeschlichen. Wir haben die Fehler entsprechend korrigiert und bedanken uns für die Hinweise.



  • Da muss ich doch auch meinen Senf dazu geben.
    Wer kennt noch den Tanklastwagenunfall von vor ca. 30 Jahren bei Herborn? Soweit ich mich erinnere waren die Bremsen des Lasters defekt und die Autobahnausfahrt hatte eine enge Kurve. Als der Fahrer die Ausfahrt nahm und die defekten bremsen bemerkte, versuchte er, den Laster durch runterschalten der Gänge abzubremsen. Aber die Getriebeüberwachung hat genau das verhindert, da die Drehzahl für den kleineren gang zu hoch war. In der Folge flog der laster aus der Kurve und landete in einer Eisdiele. Dabei ging der Tank zu Bruch, das ausfliessende Bezin entzündete sich und das feuer breitete sich sogar durch die Kanalisation aus.
    Man möge mir verzeihen, wenn ich das eine andere Detail falsch dargestellt habe, aber es geht mir um das Prinzip, welches den Unfall verursacht hat.

    Nun könnte man hier auch wieder die SW verurteilen.
    Als ursächlich muss aber die Konzeption gesehen werden. Das letzte Wort hätte beim Bediener liegen müssen, den nur er kann alle Aspekte beurteilen, also ob es wichtiger ist, das Getriebe zu schonen oder es halt übermäßig zu belasten.

    Und genau so muss es bei allen Assistenzsystemen sein, egal ob Flugzeug (= siehe A310-Panne bei deren Jufernflug) oder autonomes Mobil. Die Verantwortung muss beim Fahrer- bzw. Piloten liegen und jedes Assistenssystem muss sich übersteuern bzw abschalten lassen. Nur wenn dies bei der Konzepterstellung berücksichtigt wird (= FMEA), kann die Anzahl solcher Unfälle verringert warden. Ganz vermeiden wird man das nie können, denn auch menschliche Fehler sind nie auszuschließen.



  • Es kommt auf den Einsatzfall an.
    Dürfen Systeme die der unmittelbaren Sicherheit dienen, abgeschaltet oder umgangen werden können?

    Aus meiner Praxis:
    In einem Schaltschrank mit gefährlichen Spannungen muß bei öffnen der Tür der Interlockschalter die Spannung abschalten.
    Soll man auch einem erfahrenen Bediener das (dauerhafte) Abschalten dieser Sicherung gestatten? Sicher nicht.

    In einem Flugzeug sollen jetzt Sicherheitseinrichtungen vom Piloten deaktiviert werden können aber welche und unter welchen Umständen? Wie bei unserem Schaltschrank könnte ein Pilot aus Bequemlichkeit die Einrichtung dauerhaft deaktivieren.
    Wenn diese Maschine dann abstürzt, beschwert sich dann auch jeder, weil sowas nicht passieren darf.

    Ich bin auch der Meinung, der Pilot sollte der Herr des Flugzeuges sein aber eine pauschale Verurteilung der Boing Ingenieure kann man auf der Basis des vorhandenen Wissens nicht formulieren.

    Frank Schumann



  • Bitte entschuldigen Sie, wenn ich mich dazu auch äussern muss. Ihr Vergleich hinkt etwas.
    Der Bediener einer Maschine, zu der der Schaltschrank gehört, hat nie und nimmer die Sicherheitseinrichtung, die die Spannung beim Öffnen des Schaltschranks abschaltet, ausser Betrieb zu nehmen. Das hat mit dem Bedienen der Anlage überhaupt nichts zu tun. Wenn das jemand darf, dann der Servicetechniker und sonst keiner.
    Bei einem modernen Flugzeug greift diese Sicherheitseinrichtung jedoch bereits im normalen Gebrauch ein. Wenn der Bediener, also der Pilot die Fehlfunktion dieser Sicherheitseinrichtung erkennt, muss er sie ausschalten können, auf keinen Fall aber dauerhaft. Das Problem bei diesem Absturz war doch offenbar, dass das Eingreifen dieser Sicherheitseinrichtung nicht redundant gesteuert ist und die Piloten offenbar über die Funktion überhaupt nicht Bescheid wussten und damit auch keine Möglichkeit hatten, das System auszuschalten. Diese beiden Dinge sind Boeing und dem FAA anzulasten, und sonst niemanden.
    Bleibt natürlich immer noch die Frage, ob die Piloten die Fehlfunktion erkennen. Dies war das Problem beim Absturz des Air France Absturzes über dem Südatlantik. Die beiden, offenbar relativ unerfahrenen Copiloten, die die Maschine zu dem Zeitpunkt flogen, haben das Problem der falschen Sensorfunktion nicht erkannt. Die Sensoren haben vorgegaukelt, dass sich die Maschine in einem unzulässigen Steigflug befindet und sie nach unten gedrückt. Als der erfahrene Kapitän dazu kam, war es leider zu spät.
    Aber bei Erkennen einer solchen Fehlfunktion macht es einen großen Unterschied, ob das Problem in Reiseflughöhe bei absoluter Dunkelheit ohne Orientierung nach aussen, oder bei Tag, bester Sicht und knapp über dem Boden auftritt.



  • Ich hatte den 19.03.2019 21:42 Kommentar geschrieben. Als Reaktion auf spätere Kommentare noch: Der Stabilizer macht die Trimmung. Dafür dreht das ganze Höhenleitwerk. Höhenruder ist die kleinere Fläche und überlagert sich. Wenn das ganze Höhenleitwerk immer mehr nachdreht weil der Algorithmus nicht zufrieden ist, dann ist irgendwann Ende Gelände für den Piloten. Der kann die Steuersäule dann sonstwohin ziehen, es kompensiert nicht mehr. Ausschalten kann er, 2 Schalter an der Mittelkonsole. Ohne Information kommt er aber gar nicht so leicht drauf dass es die Trimmung ist. Die würde er normalerweise manuell an einem Steuersäulenschalter oder ganz manuell durch Trimmraddrehen betätigen. Hätten di Piloten das gemacht, hätte sich der Algorithmus abgeschaltet, aber wie sollen die Piloten darauf kommen?. Ich nehme an dass sich die Trimmräder nicht mitdrehen wenn der Algorithmus motorisch das Leitwerk verstellt. Ohne Anzeige dessen was gerade passiert steht der Pilot voll im Nebel und das in einer Phase ohnehin hoher Belastung (Steigflug, noch niedrige Höhe, Klappen usw.). Ganz klarer Designfehler (Konzeptfehler) und unglaublich dass man das den Piloten auch noch inkognito untergejubelt hat. Irritierend obendrein noch dass sich der Algorithmus bei bestimmten Flapstellungen abschaltet. Bei Verlangsamung fahren die Klappen wieder aus, der Algorithmus schaltet ab, aber wenn das Flugzeug wieder schneller wird und die Klappen automatisch weiter einfahren, kommt er wieder und dreht das Höhenleitwerk weiter. Irritierender geht es nicht.



  • Hätte man MCAS anstatt durch Software durch eine (unrealisierbar komplexe) Mechanik implementiert, hätte der Fehler genauso auftreten können.
    Das Problem liegt (nach aktueller Datenlage) nicht im Einsatz von Software, sondern im Konzept, falls sich MCAS nur auf einen einzigen Sensor verläßt. Und fehlender Schulung, Warnanzeigen etc.

    Software ist nicht generell schlecht.

    Piloten sind nicht generell fehlerfrei.

    In manchen Situationen kann ein Pilot eine Fehlfunktion der Technik erkennen und korrigieren, in manchen Fällen überstimmt/ignoriert ein Pilot Warnungen der Technik und steuert ein intaktes Flugzeug in den Absturz.

    Beispiel AF447-Absturz von 2009:
    Der Pilot hat das Flugzeug durch unbewußtes Überziehen zum Absturz gebracht. Ein MCAS ähnlich dem der 737MAX8, nur auf mehreren Sensoren beruhend, hätte möglicherweise 228 Menschenleben gerettet.



  • Es gab leider auch schon vorher Flugunfälle wegen des Einflusses von Sensorik und Software. Z.B. folgender (s. Wikipedia)

    Am 14. September 1993 verunglückte eine A320-211 der Lufthansa (D-AIPN) auf dem Lufthansa-Flug 2904 in Warschau. Das Flugzeug setzte wegen Scherwinden erst relativ spät mit allen Reifen auf. Wegen einer 3 cm starken Wasserschicht geriet das Flugzeug in Aquaplaning, und die Sensoren am Hauptfahrwerk meldeten keinen ausreichenden und gleichmäßigen Bodenkontakt. Bremshilfen und Umkehrschub konnten erst eingesetzt werden, als alle Fahrwerke den Boden berührten, weshalb den Piloten lediglich etwa 1300 Meter zum Abbremsen blieben, was wegen der Nässe nicht genügte. Somit schoss das Flugzeug mit einer verbleibenden Geschwindigkeit von 72 Knoten über das Ende der Landebahn hinaus und kam erst hinter einem Erdwall zum Stehen. Dabei fing das Flugzeug Feuer. Der Trainingskapitän kam aufgrund des Aufpralls im Cockpit ums Leben, ein Passagier starb an Rauchvergiftung. 63 Passagiere, die Mitglieder der Kabinenbesatzung und der andere Flugkapitän überlebten den Unfall. Die Erkenntnisse aus diesem Unfall führten zu einer Änderung der Software für die Bodenkontakterkennung.



  • Ich hatte die 19.03.2019 21:42 und 21.03.2019 11:09 Kommentare geschrieben. Jetzt lese ich, dass es zumindest eine der von mir monierten Anzeigen tatsächlich gibt. Aber nur als Zusatzfeature gegen Aufpreis!!! Einen AOA indicator und ein disagreement light, wenn die beiden AOA vanes nicht dasselbe liefern. Beide abgestürzten Flugzeuge hatten es nicht.



  • Meiner Ansicht nach verdecken die wichtigen Detaildiskussionen die prinzipielle Problematik. In den USA werden auf Grund der Mitarbeiterausbildung häufig die Ergebnisse der Steuergeräte über die Kontrollfunktion des Menschen gesetzt. Welche Vorgehensweise besser ist, erscheint auch immer schwerer festzustellen. In letzter Zeit war öfter zu lesen, das Flugzeuge so komplex sind und kurzfristige Steuerungen benötigen, das der Mensch dies nicht mehr leisten kann. In diesem Fall war das Pilotenwissen auch ein wichtiger Teilaspekt. Das kann durch Training und Schulung nicht beliebig erhöht werden. Bei Menschen stößt abrufbares Faktenwissen immer mehr an Grenzen. Der Entscheidungsvorrang Mensch oder Maschine ist also nicht mehr klar möglich. Es muss auch überlegt werden, welche technischen Lösungen man zulässt um die Beherrschbarkeit in kritischen Situationen zu erhalten.



  • Durch die Schummelsoftware beim Diesel ist niemand zu Schaden oder gar zu Tode gekommen. Ohne diese Dummheit auch nur im Geringsten gutzuheißen, aber welchen Medienrummel und Strafen haben die Amerikaner veranstaltet und verhängt. Bei so vielen Toten wie mit diesen Flugzeugen wäre jedes deutsche Unternehmen pleite. Man darf gespannt sein, was mit Boeing geschieht.
    A. Veigel



  • Na, das stimmt so nicht. Durch die Schummelsoftware sind Fahrzeuge zugelassen worden, die mehr Stickoxide ausstoßen als erlaubt. Stickoxide sind giftig und führen zu Todesfällen. Egal welcher Statistik man glaubt, mehr als bei den Flugzeugunglücken dürften es schon sein. Viel mehr.


Log in to reply