Boeing MCAS

Scd442

Level-1
Beiträge
18
Reaktionspunkte
2
Zuviel Werbung?
-> Hier kostenlos registrieren
Eine meiner beruflichen Aufgaben ist das Erstellen von Software nach 61508 bis SIL 3. Aus diesem Grund habe ich, wie vermutlich viele Kollegen die beruflich mit der funktionalen Sicherheit und besonders Software zu tun haben, die Ereignisse um das MCAS System aus der Boeing 737 Max das letzte Jahr über in den Medien verfolgt. Daher dieser kleine off-topic Exkurs hier.

Diese Woche ist von der amerikanischen Luftfahrt-Aufsichtsbehörde die Zusammenfassung des vorläufigen Berichts für die Änderungen zur Wiederzulassung des Flugzeugs veröffentlicht worden.

Ehrlich gesagt bin ich fast vom Stuhl gefallen als ich das gelesen habe.


Hier ist der Bericht der FAA, und auf Seite 72 die entscheidende Stelle:

https://www.faa.gov/news/media/attachments/737-MAX-RTS-Preliminary-Summary-v-1.pdf

"13.1Safety Issue #1: Use of Single Angle of Attack (AOA) Sensor

In the original design, erroneous data from a single AOA sensor activated MCAS and subsequently caused airplane nose-down trim of the horizontal stabilizer. In the new design Boeing eliminated MCAS reliance on a single AOA sensor signal by using both AOA sensor inputs and through flight control law changes that include safeguards against failed or erroneous AOA indications. The updated FCC software with revised flight control laws would use inputs from both AOA sensors to activate MCAS. This is in contrast to the original MCAS design, which relied on data from only one sensor at a time, and allowed repeated MCAS activation as a result of input from a single AOA sensor. The updated FCC software compares the inputs from the two sensors to detect a failed AOA sensor. If the difference between the AOA sensor inputs were above a calculated threshold, the FCC would disable the STS, including its MCAS function, for the remainder of that flight, and provide a corresponding indication of such deactivation on the flight deck."

Also auf Deutsch frei übersetzt:

"Sicherheitsproblem#1 Ansprechen bei Grenzwertüberschreitung eines Anstellwinkelsensors

Beim ursprünglichen Design wurde durch fehlerhafte Daten eines [der beiden] Anstellwinkelsensoren das MCAS aktiviert, welches eine Trimmung des Flugzeugs mit der Nase nach unten auslöst. Beim neuen Design wurde das Auslösen des MCAS Systems bereits durch eines der beiden Sensorsignale durch eine Modifikation der Flugsteuerung eliminiert, die Sicherheitsmaßnahmen gegen Wegfallen der Daten oder fehlerhafte Daten eines der Anstellwinkelsensoren beinhaltet.

Die überarbeitete Flugsteuerungs-Software mit neuer Regelung der Flugsteuerung aktiviert das MCAS System nur durch übereinstimmende Signale beider Sensoren. Dadurch unterscheidet sie sich vom ursprünglichen MCAS System, welches bereits bei Ansprechen eines Sensors aktiviert wurde, und somit wiederholt zur Aktivierung des MCAS durch das Ansprechen eines der beiden Sensoren führen konnte.

Die überarbeitete Flugsteuerungssoftware vergleicht die Signale der beiden Anstellwinkelsensoren, um den Defekt/Ausfall eines Sensors zu erkennen. Wenn die Abweichung zwischen den beiden Sensorwerten eine voreingestellte Schwelle überschreitet, dann wird das MCAS System für den Rest des Fluges deaktiviert, und die Piloten werden darüber durch eine Fehlermeldung informiert."


Die Gefährdung welche durch die Sicherheitsfunktion MCAS auf ein akzeptables Maß reduziert werden soll ist ein Absturz durch Strömungsabriss, zu dem es kommen kann weil durch die zu großen und daher vor dem Flügel montierten neuen Triebwerke (bzw. deren Aufhängung) bei großen Anstellwinkeln zunehmend mehr Auftrieb entsteht. Dieser selbstverstärkende Effekt, der in bestimmten Situationen im Langsamflug auftreten kann, wird durch das System erkannt und durch automatisches Absenken der Nase wird ein Strömungsabriss und somit ein Absturz verhindert.

Es ist doch eigentlich selbstverständlich das eine Sicherheitsfunktion mit zweikanaliger Sensorik bereits bei Öffnen eines Kanals anspricht, siehe Kontakte im Not-Halt Schlagtaster als einfachstes Beispiel. Das was Boeing als Änderung vorhat entspricht einer logischen "oder"-Verknüpfung der Sensorik, statt der vorherigen "und"-Verknüpfung des alten Systems.

Die Normen für den Luftfahrtbereich basieren wie diejenigen des Eisenbahnbereichs und der Kerntechnik auch auf der IEC 61508. Und wenn ich mir Risiko-Graphen nach 61508 anschaue dann komme ich für die MCAS Funktion auf eine Zuverlässigkeit die mindestens SIL 3 entspricht (Bei Absturz wegen Strömungsabriss C4 "Tod sehr vieler Personen", und dann bleibt sowieso nur noch SIL 3, SIL 4, oder "ein E/E/PES SRS ist nicht ausreichend", je nach Wahrscheinlichkeit. Ob das jetzt SIL 4 oder DAL A heißt macht dabei nicht viel Unterschied, der logische Hintergrund ist ja derselbe).

Und weil durch die dilettantische Entwicklung diese Sicherheitsfunktion MCAS wiederum selber ein neues Gefährdungsszenario auslösen kann (System spricht durch Fehlauslösen an und lenkt Flugzeug in den Boden), besteht die Lösung jetzt darin die ursprüngliche Sicherheitsfunktion zu "kastrieren" indem man die Sensorik von ursprünglich zwei Öffnern mit einer "und"-Verknüpfung (also wie bei SIL 3 in Verbindung mit entsprechendem DC nötig) umwandelt zu einer "oder"-Verknüpfung. Meiner Meinung nach kann das unmöglich den Stand der Technik bei einer solchen Sicherheitsanforderungsstufe erfüllen.

Wenn die Diagnose, welche aus einem Kreuzvergleich der Sensorik besteht, erkennt das die Eingangssignale ungleich sind dann wird die Sicherheitsfunktion deaktiviert, statt entsprechend dem Stand der Technik den sicheren Zustand herzustellen.

Das die Sensoren öfters mal Defekt sind hat Boeing ja im Betrieb des Systems bereits bewiesen.

Was soll der Pilot denn machen wenn die Meldung kommt "Die Sicherheitsfunktion wird wegen Diskrepanz der Eingangssignale für den Rest des Fluges abgeschaltet"? Rechts ran fahren, und warten bis der ADAC kommt? Oder beten das für den Rest des Fluges keine Situation auftritt in der die Sicherheitsfunktion nötig werden würde?

Bin ich der einzige dem das alles komplett irre vorkommt? Das was die da ursprünglich fabriziert haben war ja schon unfassbar, aber diese "Lösung" schlägt irgendwie echt dem Fass den Boden aus...


 
Hallo,

d.h. in Zukunft fallen diese Vögel wegen Strömungsabriss runter weil das MCAS wegen Sensorfehler deaktiviert wurde?
vielleicht sollte man Boeing eine Überarbeitung der Konstruktion nahelegen, oder wie ich gerne sage:
Ein guter Elektriker bevorzugt einfache mechanische Lösungen.

Grüße von HaDi
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Es gab dazu auch einen Vortrag auch dem Chaos Communication Congress
https://youtu.be/PlaMQBEg-9M?t=1555

Ich habe mich da auch schon gewundert, wir bauen die Sicherheitstechnik, bei Maschinen bei denen man sich einen Finger brechen kann, redundant und bei einem Flugzeug mit 220 Passagieren vertraut Boeing auf einen Sensor. Vielleicht sollte man da auch mal die anderen Flugzeuge nochmal überprüfen...

Dabei sagt auch die EU Verordnung:
"1.3.3 Systeme und Ausrüstungen von Luftfahrzeugen müssen sowohl einzeln als auch in Beziehung zueinander sokonstruiert sein, dass ein einzelner Ausfall, bei dem nicht nachgewiesen wurde, dass er äußerst unwahrscheinlich
ist, nicht zu einem verhängnisvollen Totalausfall führen kann, und die Wahrscheinlichkeit eines Ausfalls muss
umgekehrt proportional zur Schwere seiner Auswirkungen auf das Luftfahrzeug und seine Insassen sein."

Es ist von außen natürlich immer schwer zu beurteilen und mit geschulten Piloten wäre vermutlich auch nichts passiert aber ich würde da gerne 3 Sensoren verbaut sehen.

Die EASA hatte das auch mal ins Gespräch gebracht https://www.flugrevue.de/zivil/nach...a-gehen-die-737-max-updates-nicht-weit-genug/
 
Es ist doch eigentlich selbstverständlich das eine Sicherheitsfunktion mit zweikanaliger Sensorik bereits bei Öffnen eines Kanals anspricht, siehe Kontakte im Not-Halt Schlagtaster als einfachstes Beispiel. Das was Boeing als Änderung vorhat entspricht einer logischen "oder"-Verknüpfung der Sensorik, statt der vorherigen "und"-Verknüpfung des alten Systems.
Hmmm, durch Betätigung eines Not-Halt-Schlagtasters soll aber doch die Maschine/Anlage in einen sicheren Zustand (Stillstand) überführt werden. Antriebe werden noch kontrolliert herunter gefahren und die entsprechende Konstruktion der Mechanik, Hydraulik u.s.w. sorgt dafür, dass nicht einzelne Teile der Maschine/Anlage durch den Eingriff Amok laufen.
Wie ist das nun zu vergleichen damit, dass eine "KorrekturAutomatik" einen gefährlichen Zustand erkennen und ihn abwenden soll, wenn sie sich lediglich auf die Meldungen zweier Sensoren stützt (stützen kann?). Woher soll sie wissen, ob beide Sensoren spinnen oder einer der Sensoren spinnt? Es ist doch nicht nur naheliegend sondern auch alternativlos, eine Störung eines der beiden Sensoren zu unterstellen, wenn beide sehr widersprüchliche Informationen liefern. Es ist dann auch nicht sinnvoll, auf Nummer sicher gehen zu wollen, indem man vorsichtshalber demjenigen Sensor Glauben schenkt, der eine KorrekturMassnahme erforderlich erscheinen lässt. Denn die KorrekturMassnahme lautet in diesem Fall eben nicht rechts ranfahren und auf ADAC warten, wie Du selbst schon sagst.
Was wäre denn der sichere Zustand, in den die (Korrektur der) KorrekturMassnahme überführen soll? Dem Piloten die Kontrolle entreissen, weil er sowieso überfordert ist oder doch lieber darauf hoffen, dass die Piloten-eigene Sensorik vielleicht doch besser funktioniert, als zwei Sensoren, die sich offensichtlich nicht einigen können? :confused:

PS:
... und mit geschulten Piloten wäre vermutlich auch nichts passiert ...
War es nicht so, dass die Piloten nichts ausrichten konnten, weil ein Sensor entschieden hat "Das darfst Du jetzt nicht!"?
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Warum bauen die nicht einfach ein kleineres Triebwerk dran?
Das ist doch die Ursache!

Soweit ich weiß, war der Hintergrund, dass durch die gewählte Konstruktion der Flieger "kompatibel" bleibt.
Dadurch weniger Aufwand bei der Zulassung und vorallem reicht eine Kurzschulung für die Besatzungen.
Ist natürlich ein erheblicher Vorteil für die Fluggesellschaften.
 
Soweit ich weiß, war der Hintergrund, dass durch die gewählte Konstruktion der Flieger "kompatibel" bleibt.
Dadurch weniger Aufwand bei der Zulassung und vorallem reicht eine Kurzschulung für die Besatzungen.
Ist natürlich ein erheblicher Vorteil für die Fluggesellschaften.

Blöd nur für die Passagiere und Besatzung, wenn Sie abstürzen ;(
Ein Absturz kann auch der Fluggesellschaft in den Ruin treiben,
wenn Sie Flugzeuge betreiben, von den Sie wissen, das Sie nicht
Funkionieren.
 
Also wenn ich mir die paar Zeilen mal durchlese, dann überlege ich mir langsam schon, ob ich da noch einsteige ( wegen Technik und Verhalten des Konzern ):
[h=4]Maneuvering Characteristics Augmentation System (MCAS)[/h]Die größeren und weiter nach vorne versetzten Triebwerksgehäuse der MAX-Versionen erzeugen bei hohen Anstellwinkeln (um 14°) selbst so viel Auftrieb, dass den Piloten die Kontrolle über die Fluglage erschwert und durch eine weitere Erhöhung des Anstellwinkels ein Strömungsabriss wahrscheinlicher wird.[SUP][68][/SUP] Deshalb führte Boeing das Trimmsystem Maneuvering Characteristics Augmentation System (MCAS) ein, welches kritische Situationen durch Reduzierung des Anstellwinkels verhindern soll. Dieses System war bereits zuvor in der KC-46A, einer Militärversion der Boeing 767, verwendet worden. Für die 737 MAX wurde das System vereinfacht, so dass es u. a. nur einen Geber (statt zwei bei der KC-46A) für den Anstellwinkel (Angle of Attack, kurz AoA) benutzt.[SUP][69][/SUP][SUP][70][/SUP] Als die Änderung der FAA zur Genehmigung vorgestellt wurde, betrug der einzelne Eingriff des MCAS 0,6°, bei dem später tatsächlich gelieferten Design waren es 2,5° (bei 5° Vollausschlag) mit sich endlos wiederholenden Eingriffen alle 10 Sekunden. Um die Umschulung von NG-Piloten auf die MAX-Modelle zu erleichtern, soll Boeing das MCAS und seine Funktionsweise verschwiegen haben. Nach Angaben von Piloten wurde es nicht in Handbüchern erwähnt und somit auch nicht seine Deaktivierungsmöglichkeiten.
 
Ja, die Unwissenheit hat schon so manche Katastrophe ausgelöst. Vor Jahren ist ein Aeroflot Airbus abgestürzt weil die Piloten wie verrückt versucht haben den Flieger zu stabilisieren, was sie nicht wussten war, dass sie einfach nichts hätten machen müssen, sprich die Hände in den Schoß legen, dann hätte sich die Maschine alleine stabilisiert und alle hätten überlebt.

Von irgendwas mit Internetzugang gesendet.
 
Ja, die Unwissenheit hat schon so manche Katastrophe ausgelöst. Vor Jahren ist ein Aeroflot Airbus abgestürzt weil die Piloten wie verrückt versucht haben den Flieger zu stabilisieren, was sie nicht wussten war, dass sie einfach nichts hätten machen müssen, sprich die Hände in den Schoß legen, dann hätte sich die Maschine alleine stabilisiert und alle hätten überlebt.

Von irgendwas mit Internetzugang gesendet.

Bei Unfällen mit MCAS handelt es sich aber nicht Pauschal um Pilotenfehler, auch nicht nur um Software-Fehler, sondern maßgeblich um Konstruktions-Fehler.
Software und Piloten sollen hier das korrigieren, was konstruktiv am Fluggerät vermasselt wurde.

Da hilft dann auch kein 3. oder 4. Sensor, sondern nur das beheben der Ursache!
Das ist bestimmt sehr teuer.
Der Versuch, das Problem auszusitzen, wird hier aber nicht funktionieren… :twisted:
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Bei Unfällen mit MCAS handelt es sich aber nicht Pauschal um Pilotenfehler, auch nicht nur um Software-Fehler, sondern maßgeblich um Konstruktions-Fehler.
Software und Piloten sollen hier das korrigieren, was konstruktiv am Fluggerät vermasselt wurde.
Das wollte ich damit auch nicht zum Ausdruck bringen, zumal im Fall von MCAS vermutlich kein Pilot wusste was die Ursache war.

Von irgendwas mit Internetzugang gesendet.
 
Ursache war hier primär, dass die Piloten über die Funktionsweise des Systems im unklaren gelassen wurden und es keine Möglichkeit der manuellen Korrektur gab.

Konstruktive Probleme duch massenhaft Elektronik zu lösen ist heute Standard (sieh dir nur mal moderne Kampfflugzeuge an, die könnten ohne Fly-by-wire und Kistenweise Rechner nicht mal irgendwie fliegen).
 
Wobei das bei Kampfflugzeugen generell bewusste Entscheidungen sind, da die geforderte Performance nur mit aerodynamisch instabilen Systemen erreicht werden kann. Dafür akzeptiert man dann auch ein im Vergleich zur zivilen Luftfahrt deutlich höheres Unfallrisiko.
 
Hmmm, durch Betätigung eines Not-Halt-Schlagtasters soll aber doch die Maschine/Anlage in einen sicheren Zustand (Stillstand) überführt werden. Antriebe werden noch kontrolliert herunter gefahren und die entsprechende Konstruktion der Mechanik, Hydraulik u.s.w. sorgt dafür, dass nicht einzelne Teile der Maschine/Anlage durch den Eingriff Amok laufen.
Wie ist das nun zu vergleichen damit, dass eine "KorrekturAutomatik" einen gefährlichen Zustand erkennen und ihn abwenden soll, wenn sie sich lediglich auf die Meldungen zweier Sensoren stützt (stützen kann?). Woher soll sie wissen, ob beide Sensoren spinnen oder einer der Sensoren spinnt? Es ist doch nicht nur naheliegend sondern auch alternativlos, eine Störung eines der beiden Sensoren zu unterstellen, wenn beide sehr widersprüchliche Informationen liefern. Es ist dann auch nicht sinnvoll, auf Nummer sicher gehen zu wollen, indem man vorsichtshalber demjenigen Sensor Glauben schenkt, der eine KorrekturMassnahme erforderlich erscheinen lässt. Denn die KorrekturMassnahme lautet in diesem Fall eben nicht rechts ranfahren und auf ADAC warten, wie Du selbst schon sagst.
Was wäre denn der sichere Zustand, in den die (Korrektur der) KorrekturMassnahme überführen soll? Dem Piloten die Kontrolle entreissen, weil er sowieso überfordert ist oder doch lieber darauf hoffen, dass die Piloten-eigene Sensorik vielleicht doch besser funktioniert, als zwei Sensoren, die sich offensichtlich nicht einigen können? :confused:

Gehen wir mal analytisch vor, im Sinn der funktionalen Sicherheit:

1. Boeing hat festgestellt, das es eine Gefährdung gibt die damit zusammenhängt dass es durch den Auftrieb der von der Verkleidung der Triebwerksgondeln verursacht wird zu einem Strömungsabriss kommen kann.

2. Über die genaue Einstufung kann man diskutieren, aber ich habe im Hinterkopf das es sich bei Bahnkatastrophen, Flugzeugabstürzen und Super-GAU um Ereignisse handelt bei denen man normativ mit dem "Tod sehr vieler Personen" rechnen muss - also S4: http://www.maschinen-sicherheit.net/07-seiten/0351-risikograph-SIL.php

Wie gesagt ich will die keine Diskussion über die Einstufung starten weil das nicht viel bringt, aber man landet ja angesichts des möglichen Schadens unweigerlich im SIL3 oder SIL4-Bereich.

3. Boeing hat sich entschieden, diese Gefährdung durch ein E/E/PES auf ein akzeptables Risiko zu reduzieren. Dabei handelt es sich um das MCAS System

Als Folge muss das System grob zusammengefasst folgende Eigenschaften mindestens aufweisen: PFH(d) <10^-7, entsprechende B10-Werte der Komponenten, zweikanalige Architektur mit Überwachung der Wirksamkeit der Aktoren, DC der Sensorik 99%. Software nach den Methoden entwickelt die in IEC 61508-3 aufgeführt werden (V-Modell usw). Das entspricht jetzt alles maximal SIL3.

Selbstverständlich muss bei einer zweikanaligen Sensorik die Sicherheitsfunktion ausgelöst werden wenn einer der beiden Kanäle anspricht. Was wäre denn sonst wenn einer der beiden Sensoren auf horizontaler Lage hängen bleibt kurz bevor es zum unkontrollierten Steigflug kommt der den Strömungsabriss auslöst? Das System würde nicht ansprechen und das Flugzeug abstürzen.

Neben der Tatsache dass das System was die Sensorik angeht eher einen DC von Null hat, und es meiner Vermutung nach auch keine der 61508-3 oder ähnlicher Normen entsprechende Dokumentation zur Software gibt, scheinen die verwdendeten Sensoren selber auch keine besonders hohen B10 Werte zu haben. Sie sind ja mindestens zwei Mal ausgefallen in der kurzen Einsatzzeit bzw. haben fehlerhaft angesprochen, bis es zum Startverbot kam.

Zusätzlich gibt es aber noch folgendes Problem: es wurde versäumt eine FMEA zu machen, durch die sich rausgestellt hätte dass das System durch Fehlansprechen ebenfalls zu einem Absturz führen kann, also durch das System selber ein völlig neues Gefährdungsszenario entsteht.

Auf deine Frage "Was wäre denn der sichere Zustand, in den die (Korrektur der) KorrekturMassnahme überführen soll" kann man daher nur antworten, das es bei diesem System keinen sicheren Zustand gibt, sondern nur zwei unsichere, je nach Situation.

Entweder es werden nur die Daten eines Sensors verwendet zum auslösen, und das System führt zum Absturz wenn ein Sensor defekt ist (was ja zwei mal passiert ist).

Oder es muss ein übereinstimmendes Signal beider Sensoren vorliegen damit das System anspricht, dann kommt es zum Absturz durch Strömungsabriss wenn einer der beiden Sensoren in horizontaler Lage hängen bleibt.

Das System erfüllt also bei weitem nicht den Stand der Technik, sondern es ist eine brandgefährliche Fehlkonstruktion. Den Angehörigen der Verstorbenen wünsche ich dass das ein fähiger Staatsanwalt mit Hilfe eines Gutachters nachweist, und die Verantwortlichen wegen grober Fahrlässigkeit in den Knast einfahren.


Der Vorschlag, das System bei ungleichem Signal der Sensoren abzuschalten ist wahnsinn, soll es doch eine Gefährdung reduzieren die mindestens mit SIL3 eingestuft wird. Also es wird hier hoffentlich niemand ernsthaft in Erwägung ziehen eine SIL3 Sicherheitsfunktion einfach zu deaktivieren, wenn die Signale der beiden Sensoren ungleich sind, oder? Was passiert denn nach Deaktivieren des MCAS wenn die Situation eintritt in der es zum Strömungsabriss kommen kann?

Ich komme nicht aus der Luftfahrt sondern aus einem anderen Bereich, aber die einzige halbwegs dem Stand der Technik entsprechende Lösung die ich sehen würde ist zwei parallele, zweikanalige Systeme mit jeweils drei Sensoren zu verwenden. Ich weiß das es solche Anordnungen in der Luftfahrt gibt, weil die natürlich oft nicht nur "fail safe", sondern "fail operational" sein müssen, also auch weiter funktionieren wenn es zu einem Ausfall kommt.

Das System würde dann aktiviert werden wenn zwei der drei Sensoren einen zu steilen Anstellwinkel melden, und wenn es bei einem der beiden Systeme zu einer Diskrepanz unter den 3 Sensoren kommt dann wird nur noch die Info vom zweiten System verwendet, und eine Fehlermeldung ausgegeben dass das System defekt ist und nach der Landung vor einem Weiterflug instand gesetzt werden muss.


Wobei hier der DC wahrscheinlich immer noch nicht 99% ist, und es mangels diversitärer Redundanz bei der Sensorik kaum Widerstandsfähigkeit gegen Fehler gemeinsamer Ursache geben dürfte. Also wirklich sauber wäre es wohl immer noch nicht.

Abgesehen davon hätte der uralte Rechner der in dem Teil verwendet wird vielleicht nicht mal genug Eingänge dafür frei.

Dieses Flugzeug ist einfach eine Fehlkonstruktion, egal wie lang ich drüber nachdenke ich komm zu keiner vernünftigen Lösung...
 
Dieses Flugzeug ist einfach eine Fehlkonstruktion, egal wie lang ich drüber nachdenke ich komm zu keiner vernünftigen Lösung...
Da sind wir doch absolut derselben Meinung. Ich fand lediglich den Vergleich mit dem Not-Halt irreführend bzw. am Thema vorbei.
Während meiner aktiven Zeit konnte ich immer wieder miterleben, dass der Rotstift gerne bei der mechanischen Konstruktion angesetzt wurde, egal, welche Kosten ein SoftwareWorkAround mit sich gebracht hätte und egal, ob ein solches WorkAround überhaupt etwas Sinnvolles hätte ausrichten können. Kein neues Thema also, aber leider ein in immer neuen Variationen immer wiederkehrendes.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Soweit ich weiß, war der Hintergrund, dass durch die gewählte Konstruktion der Flieger "kompatibel" bleibt.
Einen zugelassenen und tausendfach bewährten Flugzeugtypen am Markt zu haben ist ein riesiger Wettbewerbsvorteil. Die Voraussetzungen für die Zulassung sind heute um vieles höher als damals, als die Erstzulassung erfolgte. Als alteingesessener Hersteller kann man potentiellen Neueinsteigern in den Markt das ganze Regulativ an den Kopf werfen (an dessen Erstellung man wohl selbst mitgewirkt hat), während man selbst die eigenen Flugzeugtypen nur geringfügig modifizieren muß, um neue Technologien zu nutzen oder anderen Anforderungen gerecht zu werden.
 
(sieh dir nur mal moderne Kampfflugzeuge an, die könnten ohne Fly-by-wire und Kistenweise Rechner nicht mal irgendwie fliegen).
Nach Ausstieg mit Schleudersitz: Wurdet ihr abgeschossen? Pilot: Nein, wir hatten einen Bluescreen...

War es mit dem MCAS System nicht so, dass es ausgerastet ist, weil der Sensor beschlagen / vereist war? In dem Fall wäre das wahrscheinlich auch mit 6+ Sensoren passiert, da diese einfach nicht den Anforderungen entsprechend verbaut wurden.
Ich persönlich sehe es zwar kritisch, so ein System im Fehlerfall abzuschalten, es ist aber so, dass die Luftfahrt schon viele viele Jahre ausgekommen ist, ohne so ein System. (Zugegeben, andere Flieger gingen auch selten als Fehlkonstruktionen in den aktiven Betrieb...) Aber im Endeffekt ist es immer besser, die Kontrolle in erfahrende Menschenhände abzugeben als auf purem "Ich habe aber eine EINS auf dem Ausgang!" die Maschine gen Boden zu trimmen...
 
Aber im Endeffekt ist es immer besser, die Kontrolle in erfahrende Menschenhände abzugeben als auf purem

Naja, dass Computer unterstützen und ggf. eingreifen finde ich nicht so schlecht. Z.b. um einen Strömungsabriss zu vermeiden,
Landeklappen bei zu hoher Geschwindigkeit nicht ausfahren usw. usw.

In dem Fall wäre das wahrscheinlich auch mit 6+ Sensoren passiert
Solche Sensoren sind i.d.R. beheizt. Fällt bei einem Sensor die Heizung aus, sind noch 5+ andere da.
Wenn aber nur ein Sensor vorhanden ist und dort die Heizung ausfällt => Problem.
Für was hat man im Flugzeug redundante Systeme für mehrere 100K € und dann nur einen Sensor
an dem extrem viel hängt
 
Zurück
Oben