Boeing 737 Max
25.03.2019Boeing 737 Max - ein Lehrstück
Über die beiden Abstürze des Boeing 737 Max Models - im Herbst letzten Jahres der Absturz der Lion Air 610 und vor zwei Wochen der Absturz der Ethopian Airlines Maschine 302 - sowie über deren Umstände ist mittlerweile soviel bekannt, daß man - bei aller Vorsicht - bereits einige sehr interessante Schlussfolgerungen daraus ziehen kann.
Ich bin weder Experte im Bereich Luftfahrtechnik noch Pilot; das bitte ich die Leser bei den nachstehenden Ausführungen zu berücksichtigen.
Zunächst einmal ist die Entwicklung des Models / Musters Boeing 737Max ein Lehrstück darüber, wie Kapitalismus funktioniert. Boeing hat mit der B737 ein Muster im Portfolio, das eins der erfolgreichsten der Luftfahrtgeschichte ist und für den Erfolg des Unternehmens extrem wichtig. Das Design der Maschine wurde im Laufe der Jahre stetig weiterentwickelt, ist jedoch in Grundzügen bereits 50! Jahre alt. Vor ca 10 Jahren hatte der Erfolg des (einzigen!) Konkurrenten Airbus Boeing u.a. mit dem Airbus 320 Neo derart unter Druck gesetzt, da Boeing beschloss, die geplanten Neunentwicklung des Flugzeugs aufzugeben, weil dies zu lange gedauert hätte und zu teuer gewesen wäre, sondern stattdessen entschieden, das Design der BV737 abermals anzupassen. Das Problem dabei war und ist, daß die sparsamen, effizienteren Triebwerke so groß sind, daß sie nicht mehr unter die Flächen passen, weil die Maschine ein - im Vergleich z.B. zum Airbus - kurzes Fahrwerk hat. Ein anderes Fahrwerk hätte aber wiederum eine Neukonstruktion der Flächen (und des Rumpfes) nachgezogen, was sehr aufwändig gewesen wäre. Daher entschieden sich die Konstrukteure, die Triebwerke vor den Flächen zu befestigen (und das Bugfahrwerk als Teleskopfahrwerk um mehrere Zentimeter zu verlängern). Nun ist es aber so, daß die vor den Flächen befestigten Triebwerke nicht nur den Schwerpunkt verändern, sondern eine veränderte Aerodynamik bewirken.Bie zunehmendem Anstellwinkel der Maschine relativ zum Luftstrom (Angle of Attack AoA) verursachen die Triebwerke einen Auftrieb. Dieser bewirkt einen Drehmoment, der den Effekt verstärkt und da die Triebwerke selbst dabei die Anströmung der Flächen reduzieren, verringert sich auch dadurch der von den Flächen erzeugte Auftrieb. Dadurch kann der Auftrieb der Flächen, der die Maschine in der Luft hält abbrechen - der gefürchtete Stall tritt ein, der zum Absturz führen kann. Dieser Effekt war bereits in den Simulationen klar. Das neue Design war - zumindest in Grenzbereichen - deutlich weniger gutmütig als das alte.
Erste Lektion: Im Kapitalismus können Sie als Ingenieur durch marktwirtschaftlichen Druck zu suboptimalen Designs verleitet werden.
Ist dies bereits verwerflich? Wie gesagt, ich bin kein Luftfahrtechnikexperte, aber ich weiß, daß man als Ingenieur immer auch betriebswirtschaftlich veranlasste Kompromisse eingehen muss. Insofern könnte die Geschichte bis hierhin noch in Ordnung sein, obschon mir der Instinkt des Software-Engineers hier sagt, daß es schon “schlecht riecht” - ein Passagierflugzeug sollte m.E. immer auf maximale physikalische Stabilität ausgerichtet sein, denn es ist ja kein Kampfflugzeug.
An dieser Stelle hätte Boeing entscheiden können, ob das neue Muster weniger gutmütig ist als das alte und ob dies durch die Flugaufsichten (FAA) genehmigungsfähig wäre. Boeing hat diesen Weg aber nicht beschritten, sondern stattdessen ihre Ingenieure gebeten, mithilfe einer Software, dem MCAS, das Flugverhalten so zu “korrigieren”, daß die Maschine genehmigungsfähig wird und - das ist wichtig - sich für die Piloten “genauso” fliegt wie das bisherige Muster. Sollte dies gelingen, wären die Piloten nicht neu zu schulen, sondern könnten ohne Neuzertifizierung die neue Maschine fliegen - ein wesentliches Kostenargument für die Airlines und damit wichtiges Verkaufsargument für Boeing.
Zweite Lektion: Im Kapitalismus können Sie als Ingenieur durch marktwirtschaftlichen Druck dazu verleitet werden, das Verhalten physischer Artefakte durch Software so zu verändern, daß die Artefakte sich wie andere, wünschenswerte Artefakte verhalten.
Das Problem ist, daß dies immer nur eine Illusion ist - so etwas funktioniert nur in der Matrix, aber nicht in der realen Welt. Sie können unterschiedliches Flugverhalten, verursacht durch unterschiedliche Physik, durch keine Software der Welt angleichen. Die Illusion bricht irgendwann zusammen - in diesem Fall - mit katastrophalen Folgen.
Auf der Suche nach einer Softwarelösung kamen die Ingenieure auf die Idee, die automatische Trimmung zu benutzen. M.a.W. sie schrieben ein paar Zeilen Code, die bewirkten, daß bei AoA Winkeln, die Stall gefährdet sind, das Höhenleitwerk so verändert wird, daß die Nase nach unten gedrückt wird. Nun muss man wissen, daß Boeing eine fundamental andere Philosophie,. was den Einsatz von Computern zur Steuerung des Flugzeugs anbelangt verfolgt als Airbus. Verkürzt gesagt, verfolgt Boeing einen konventionellen, “klassischen” Ansatz, bei dem der Pilot immer das letzte Wort hat, während bei Airbus, der Pilot dem Computer sagt, was dieser tun soll und der Computer das letzte Wort hat (aus diesem Grund fliegen machen Piloten keine oder nur ungerne Airbus-Maschinen). Diese fundamental unterschiedlichen Sicherheitsphilosophien führen aber in der Vergangenheit - das ist beruhigend für uns Passagiere - zu vergleichbaren (und sehr hohen!) Sicherheitsstandards. Mit dem MCAS hat Boeing die eigene Sicherheitsphilosophie aber nun verlassen, denn mit diesem System greift die SW direkt ins Geschehen ein - auch gegen den Willen der Piloten, wie man sah:
Dritte Lektion: Wenn Sie als Ingenieur eine bewährte Sicherheitsphilosophie oder ein Design ändern, wird es gefährlich. Insbesondere, wenn Sie andere Designelemente ad-hoc übernehmen.
Es kommt aber noch viel ärger: Die Ingenieure hatten die Vorgabe, daß die Software-Änderungen keinesfalls eine geänderte Musterzulassung durch die Piloten mit den notwendigen Schulungen nach sich ziehen sollte. Daher entschied man sich, die Existenz dieses Systems zu verbergen - es sollte im Hintergrund laufen und wurde in den Handbüchern lediglich an nicht besonders prominenter Stelle erwähnt. Simulatorschulung etc. wurden nicht geplant. Eine derartige Automatik, die in fundamentale sicherheitskritische Funktionen eingreift, muss nach den allgemeinen Sicherheitsstandards der Fliegerei ausfallsicher, d.h. mehrfach redundant ausgelegt sein. Das MCAS bezieht die Informationen für den kritischen AoA-Winkel aus jeweils einem der zwei AoA Sensoren der B737. Diese werden nicht gegeneinander abgeglichen, vielmehr erhält jeweils der Pilot oder Kopilot die Daten aus einem der beiden Sensoren - je nachdem, wer gerade fliegt. Der Grund dafür liegt vermutlich darin, daß die Systeme bewußt als nicht kritisch gegenüber der Flugaufsicht (FAA) klassifiziert wurden, da man andernfalls die Sensoren mehrfach redundant hätte auslegen müssen - und das wären, so wie es z.B. beim Airbus der Fall ist, dann drei Sensoren gewesen. Drei deshalb, weil man dann weiß, welcher Sensor defekt ist. Im Artikel in der Süddeutschen heißt es: “Die Ingenieure haben anscheinend nicht berücksichtigt, daß auch MCAS selbst zur Gefahr werden kann wenn es zur falschen Zeit eingreift…” Diese Einschätzung der SZ kann ich nicht teilen - vermutlich haben die Rechtsanwälte dazu geraten das so vorsichtig zu formulieren. Es ist schlechterdings völlig undenkbar, daß Ingenieure, die in der Luftfahrtechnik kritische Systeme entwerfen, an so etwas nicht denken. Der wahre Grund dürfte darin liegen, daß man unbedingt eine Einstufung des MCAS als kritisch vermeiden wollte, koste es was es wolle. Zu guter Letzt hat man das System dann so implementiert, daß bei jedem Eingriff die Software die Trimmung neu kalibriert. Dadurch ist es möglich, daß die kleinen Anstellwinkel sich addieren, bis am Ende der maximale Ausschlag eingestellt ist. Bei den havarierten Maschinen wurden in den Trümmern zum Entsetzen der Experten dann auch die Spindeln der Trimmmotoren im Maximalanschlag gefunden. Eine solche Trimmung ist im Normalbetrieb völlig unnötig und mit dem Ruder manuell nicht oder kaum auszugleichen.
Vierte Lektion: Die Aufsicht und Regulierungsbehörden haben versagt
Die Aufsicht (FAA) hatte keine Chance, diese Dinge herauszufinden, weil die FAA seit Jahren bereits Prüfungen der Flugzeughersteller an die Flugzeughersteller delegiert. M.a.W. ausgewählte Boeing-Mitarbeiter zertifizieren “sich selbst” im Auftrag der FAA. (Wie “hervorragend” so etwas funktioniert sehen wir an der Automobilindustrie, aber das ist ein anderes Thema.) Überdies wurden der FAA von seiten Boeings falsche Angaben übermittelt, u.a. in Bezug auf den maximalen Verstellwinkel der Trimmung. Das FBI ermittelt inzwischen auch gegen die FAA. Zur Rolle der FAA auch dieser Artikel.
Fünfte Lektion: Noch mal Kapitalismus – Optional Product Pricing
Die Ingenieure wussten anscheinend, dass die Piloten wenigsten eine Information darüber bekommen sollten, ob das System MCAS überhaupt arbeitet. Anzeigen dafür wurden nur in die höherpreisigen optionalen Varianten der B737 Max eingebaut. Die verunglückten Maschinen hatten diese Zusatzoption nicht gebucht.
Ablauf der Ereignisse
Bei beiden Abstürzen scheint das MCAS durch einen falschen Sensor die NAse immer wieder nach unten getrimmt zu haben. Die Piloten haben sich dagegen “gewehrt”, in dem Sie anzogen, konnten das System aber nicht abschalten - entweder , weil sie von der Existenz gar nichts wußten (Lion Air) oder vielleicht, weil Sie im Stress des Startmanouevers nicht daran dachten (Ethiopian Airline). Den detaillierten Ablauf (falls Sie das noch nicht der Presse entnommen haben) können Sie hier nachlesen.
Fazit
Fassen wir zusammen: Es werden Designfehler durch Software kompensiert, deren Existenz vor den Piloten verheimlicht wird, deren Wirkung nur in den optional erhältlichen “Luxusvarianten” des Flugzeugs angezeigt wird, und deren Funktionsweise diametral der bisherigen Steuerungs- und Sicherheitsphilosophie entgegenläuft. Dieses System wird zudem nicht redundant ausgelegt und dann so implementiert, daß es die Trimmung des Flugzeugs bis zum physikalisch maximal möglichen Winkel verändert. So etwas nimmt man im Englischen “Recipe for Disaster”. Es hat mehreren Hundert Menschen das Leben gekostet.
Was hat das alles mit Ihrer Ausbildung als Ingenieure oder Informatiker zu tun? Nun, zum einen zeigt es an diesem tragischen Fall, was “Mission-“ und “Safety-“ Critical bedeutet und daß gutes Design Leben rettet, bzw. schlechtes Design Leben gefährdet. Es zeigt aber auch im Brennglas auf, wie wichtig ethische Aspekte in der Ausbildung von Ingenieuren oder Informatikern sind. Die Ingenieure und Informatiker standen vermutlich vor der schwierigen Wahl, Dinge zu tun, von denen sie wußten, daß sie unethisch (vielleicht sogar rechtswidrig) sind, oder zu protestieren, zu kündigen zu den Behörden zu gehen - mit all den Konsequenzen: Jobverlust, Privatinsolvenz etc. Sie haben sich falsch entschieden. Mit dem Wissen, daß sie mittelbar zum Tod von Hunderten Menschen beigetragen haben, müssen sie nun ebenso leben, wie mit etwaigen strafrechtlichen Konsequenzen. Je mehr Software in unserem Alltag für kritische Dinge zum Einsatz kommt, desto wahrscheinlicher wird es, daß man als Ingenieur oder Informatiker vor vergleichbare Entscheidungen gestellt wird. Ich wünsche es niemandem, daß er in eine solche Situation gerät (ich war das selbst zum Glück nie), aber wenn es Sie trifft, entscheiden Sie richtig.
Update: Die von Boeing empfohlenen Maßnahmen bei Fehlfunktion des MCAS wurden von den Piloten der Ethopian Airlines wohl befolgt, aber abgebrochen - vielleicht, weil der Notfallplan nicht zuverlässig funktioniert, mehr Details dazu in einem Artikel der Welt und ein Eintrag bei Leeham News basierend u.a. auf einem Artikel des Wall Street Journals. Der entscheidende Passus ist “The combination of the preceding checklist followed by an MCAS Trim Runaway checklist could create a situation where manual trimming after a Trim Cut-Out would be difficult to impossible and would require non-checklist actions.” und “What exactly happened will be known once the preliminary report is there. Today we know the crowing from Western pilots, ‘Typical third world crews,’ was not called for. Anyone who has tried a correctly set up MCAS situation in a simulator is more muted.”