-> Hier kostenlos registrieren
Eine meiner beruflichen Aufgaben ist das Erstellen von Software nach 61508 bis SIL 3. Aus diesem Grund habe ich, wie vermutlich viele Kollegen die beruflich mit der funktionalen Sicherheit und besonders Software zu tun haben, die Ereignisse um das MCAS System aus der Boeing 737 Max das letzte Jahr über in den Medien verfolgt. Daher dieser kleine off-topic Exkurs hier.
Diese Woche ist von der amerikanischen Luftfahrt-Aufsichtsbehörde die Zusammenfassung des vorläufigen Berichts für die Änderungen zur Wiederzulassung des Flugzeugs veröffentlicht worden.
Ehrlich gesagt bin ich fast vom Stuhl gefallen als ich das gelesen habe.
Hier ist der Bericht der FAA, und auf Seite 72 die entscheidende Stelle:
https://www.faa.gov/news/media/attachments/737-MAX-RTS-Preliminary-Summary-v-1.pdf
"13.1Safety Issue #1: Use of Single Angle of Attack (AOA) Sensor
In the original design, erroneous data from a single AOA sensor activated MCAS and subsequently caused airplane nose-down trim of the horizontal stabilizer. In the new design Boeing eliminated MCAS reliance on a single AOA sensor signal by using both AOA sensor inputs and through flight control law changes that include safeguards against failed or erroneous AOA indications. The updated FCC software with revised flight control laws would use inputs from both AOA sensors to activate MCAS. This is in contrast to the original MCAS design, which relied on data from only one sensor at a time, and allowed repeated MCAS activation as a result of input from a single AOA sensor. The updated FCC software compares the inputs from the two sensors to detect a failed AOA sensor. If the difference between the AOA sensor inputs were above a calculated threshold, the FCC would disable the STS, including its MCAS function, for the remainder of that flight, and provide a corresponding indication of such deactivation on the flight deck."
Also auf Deutsch frei übersetzt:
"Sicherheitsproblem#1 Ansprechen bei Grenzwertüberschreitung eines Anstellwinkelsensors
Beim ursprünglichen Design wurde durch fehlerhafte Daten eines [der beiden] Anstellwinkelsensoren das MCAS aktiviert, welches eine Trimmung des Flugzeugs mit der Nase nach unten auslöst. Beim neuen Design wurde das Auslösen des MCAS Systems bereits durch eines der beiden Sensorsignale durch eine Modifikation der Flugsteuerung eliminiert, die Sicherheitsmaßnahmen gegen Wegfallen der Daten oder fehlerhafte Daten eines der Anstellwinkelsensoren beinhaltet.
Die überarbeitete Flugsteuerungs-Software mit neuer Regelung der Flugsteuerung aktiviert das MCAS System nur durch übereinstimmende Signale beider Sensoren. Dadurch unterscheidet sie sich vom ursprünglichen MCAS System, welches bereits bei Ansprechen eines Sensors aktiviert wurde, und somit wiederholt zur Aktivierung des MCAS durch das Ansprechen eines der beiden Sensoren führen konnte.
Die überarbeitete Flugsteuerungssoftware vergleicht die Signale der beiden Anstellwinkelsensoren, um den Defekt/Ausfall eines Sensors zu erkennen. Wenn die Abweichung zwischen den beiden Sensorwerten eine voreingestellte Schwelle überschreitet, dann wird das MCAS System für den Rest des Fluges deaktiviert, und die Piloten werden darüber durch eine Fehlermeldung informiert."
Die Gefährdung welche durch die Sicherheitsfunktion MCAS auf ein akzeptables Maß reduziert werden soll ist ein Absturz durch Strömungsabriss, zu dem es kommen kann weil durch die zu großen und daher vor dem Flügel montierten neuen Triebwerke (bzw. deren Aufhängung) bei großen Anstellwinkeln zunehmend mehr Auftrieb entsteht. Dieser selbstverstärkende Effekt, der in bestimmten Situationen im Langsamflug auftreten kann, wird durch das System erkannt und durch automatisches Absenken der Nase wird ein Strömungsabriss und somit ein Absturz verhindert.
Es ist doch eigentlich selbstverständlich das eine Sicherheitsfunktion mit zweikanaliger Sensorik bereits bei Öffnen eines Kanals anspricht, siehe Kontakte im Not-Halt Schlagtaster als einfachstes Beispiel. Das was Boeing als Änderung vorhat entspricht einer logischen "oder"-Verknüpfung der Sensorik, statt der vorherigen "und"-Verknüpfung des alten Systems.
Die Normen für den Luftfahrtbereich basieren wie diejenigen des Eisenbahnbereichs und der Kerntechnik auch auf der IEC 61508. Und wenn ich mir Risiko-Graphen nach 61508 anschaue dann komme ich für die MCAS Funktion auf eine Zuverlässigkeit die mindestens SIL 3 entspricht (Bei Absturz wegen Strömungsabriss C4 "Tod sehr vieler Personen", und dann bleibt sowieso nur noch SIL 3, SIL 4, oder "ein E/E/PES SRS ist nicht ausreichend", je nach Wahrscheinlichkeit. Ob das jetzt SIL 4 oder DAL A heißt macht dabei nicht viel Unterschied, der logische Hintergrund ist ja derselbe).
Und weil durch die dilettantische Entwicklung diese Sicherheitsfunktion MCAS wiederum selber ein neues Gefährdungsszenario auslösen kann (System spricht durch Fehlauslösen an und lenkt Flugzeug in den Boden), besteht die Lösung jetzt darin die ursprüngliche Sicherheitsfunktion zu "kastrieren" indem man die Sensorik von ursprünglich zwei Öffnern mit einer "und"-Verknüpfung (also wie bei SIL 3 in Verbindung mit entsprechendem DC nötig) umwandelt zu einer "oder"-Verknüpfung. Meiner Meinung nach kann das unmöglich den Stand der Technik bei einer solchen Sicherheitsanforderungsstufe erfüllen.
Wenn die Diagnose, welche aus einem Kreuzvergleich der Sensorik besteht, erkennt das die Eingangssignale ungleich sind dann wird die Sicherheitsfunktion deaktiviert, statt entsprechend dem Stand der Technik den sicheren Zustand herzustellen.
Das die Sensoren öfters mal Defekt sind hat Boeing ja im Betrieb des Systems bereits bewiesen.
Was soll der Pilot denn machen wenn die Meldung kommt "Die Sicherheitsfunktion wird wegen Diskrepanz der Eingangssignale für den Rest des Fluges abgeschaltet"? Rechts ran fahren, und warten bis der ADAC kommt? Oder beten das für den Rest des Fluges keine Situation auftritt in der die Sicherheitsfunktion nötig werden würde?
Bin ich der einzige dem das alles komplett irre vorkommt? Das was die da ursprünglich fabriziert haben war ja schon unfassbar, aber diese "Lösung" schlägt irgendwie echt dem Fass den Boden aus...
Diese Woche ist von der amerikanischen Luftfahrt-Aufsichtsbehörde die Zusammenfassung des vorläufigen Berichts für die Änderungen zur Wiederzulassung des Flugzeugs veröffentlicht worden.
Ehrlich gesagt bin ich fast vom Stuhl gefallen als ich das gelesen habe.
Hier ist der Bericht der FAA, und auf Seite 72 die entscheidende Stelle:
https://www.faa.gov/news/media/attachments/737-MAX-RTS-Preliminary-Summary-v-1.pdf
"13.1Safety Issue #1: Use of Single Angle of Attack (AOA) Sensor
In the original design, erroneous data from a single AOA sensor activated MCAS and subsequently caused airplane nose-down trim of the horizontal stabilizer. In the new design Boeing eliminated MCAS reliance on a single AOA sensor signal by using both AOA sensor inputs and through flight control law changes that include safeguards against failed or erroneous AOA indications. The updated FCC software with revised flight control laws would use inputs from both AOA sensors to activate MCAS. This is in contrast to the original MCAS design, which relied on data from only one sensor at a time, and allowed repeated MCAS activation as a result of input from a single AOA sensor. The updated FCC software compares the inputs from the two sensors to detect a failed AOA sensor. If the difference between the AOA sensor inputs were above a calculated threshold, the FCC would disable the STS, including its MCAS function, for the remainder of that flight, and provide a corresponding indication of such deactivation on the flight deck."
Also auf Deutsch frei übersetzt:
"Sicherheitsproblem#1 Ansprechen bei Grenzwertüberschreitung eines Anstellwinkelsensors
Beim ursprünglichen Design wurde durch fehlerhafte Daten eines [der beiden] Anstellwinkelsensoren das MCAS aktiviert, welches eine Trimmung des Flugzeugs mit der Nase nach unten auslöst. Beim neuen Design wurde das Auslösen des MCAS Systems bereits durch eines der beiden Sensorsignale durch eine Modifikation der Flugsteuerung eliminiert, die Sicherheitsmaßnahmen gegen Wegfallen der Daten oder fehlerhafte Daten eines der Anstellwinkelsensoren beinhaltet.
Die überarbeitete Flugsteuerungs-Software mit neuer Regelung der Flugsteuerung aktiviert das MCAS System nur durch übereinstimmende Signale beider Sensoren. Dadurch unterscheidet sie sich vom ursprünglichen MCAS System, welches bereits bei Ansprechen eines Sensors aktiviert wurde, und somit wiederholt zur Aktivierung des MCAS durch das Ansprechen eines der beiden Sensoren führen konnte.
Die überarbeitete Flugsteuerungssoftware vergleicht die Signale der beiden Anstellwinkelsensoren, um den Defekt/Ausfall eines Sensors zu erkennen. Wenn die Abweichung zwischen den beiden Sensorwerten eine voreingestellte Schwelle überschreitet, dann wird das MCAS System für den Rest des Fluges deaktiviert, und die Piloten werden darüber durch eine Fehlermeldung informiert."
Die Gefährdung welche durch die Sicherheitsfunktion MCAS auf ein akzeptables Maß reduziert werden soll ist ein Absturz durch Strömungsabriss, zu dem es kommen kann weil durch die zu großen und daher vor dem Flügel montierten neuen Triebwerke (bzw. deren Aufhängung) bei großen Anstellwinkeln zunehmend mehr Auftrieb entsteht. Dieser selbstverstärkende Effekt, der in bestimmten Situationen im Langsamflug auftreten kann, wird durch das System erkannt und durch automatisches Absenken der Nase wird ein Strömungsabriss und somit ein Absturz verhindert.
Es ist doch eigentlich selbstverständlich das eine Sicherheitsfunktion mit zweikanaliger Sensorik bereits bei Öffnen eines Kanals anspricht, siehe Kontakte im Not-Halt Schlagtaster als einfachstes Beispiel. Das was Boeing als Änderung vorhat entspricht einer logischen "oder"-Verknüpfung der Sensorik, statt der vorherigen "und"-Verknüpfung des alten Systems.
Die Normen für den Luftfahrtbereich basieren wie diejenigen des Eisenbahnbereichs und der Kerntechnik auch auf der IEC 61508. Und wenn ich mir Risiko-Graphen nach 61508 anschaue dann komme ich für die MCAS Funktion auf eine Zuverlässigkeit die mindestens SIL 3 entspricht (Bei Absturz wegen Strömungsabriss C4 "Tod sehr vieler Personen", und dann bleibt sowieso nur noch SIL 3, SIL 4, oder "ein E/E/PES SRS ist nicht ausreichend", je nach Wahrscheinlichkeit. Ob das jetzt SIL 4 oder DAL A heißt macht dabei nicht viel Unterschied, der logische Hintergrund ist ja derselbe).
Und weil durch die dilettantische Entwicklung diese Sicherheitsfunktion MCAS wiederum selber ein neues Gefährdungsszenario auslösen kann (System spricht durch Fehlauslösen an und lenkt Flugzeug in den Boden), besteht die Lösung jetzt darin die ursprüngliche Sicherheitsfunktion zu "kastrieren" indem man die Sensorik von ursprünglich zwei Öffnern mit einer "und"-Verknüpfung (also wie bei SIL 3 in Verbindung mit entsprechendem DC nötig) umwandelt zu einer "oder"-Verknüpfung. Meiner Meinung nach kann das unmöglich den Stand der Technik bei einer solchen Sicherheitsanforderungsstufe erfüllen.
Wenn die Diagnose, welche aus einem Kreuzvergleich der Sensorik besteht, erkennt das die Eingangssignale ungleich sind dann wird die Sicherheitsfunktion deaktiviert, statt entsprechend dem Stand der Technik den sicheren Zustand herzustellen.
Das die Sensoren öfters mal Defekt sind hat Boeing ja im Betrieb des Systems bereits bewiesen.
Was soll der Pilot denn machen wenn die Meldung kommt "Die Sicherheitsfunktion wird wegen Diskrepanz der Eingangssignale für den Rest des Fluges abgeschaltet"? Rechts ran fahren, und warten bis der ADAC kommt? Oder beten das für den Rest des Fluges keine Situation auftritt in der die Sicherheitsfunktion nötig werden würde?
Bin ich der einzige dem das alles komplett irre vorkommt? Das was die da ursprünglich fabriziert haben war ja schon unfassbar, aber diese "Lösung" schlägt irgendwie echt dem Fass den Boden aus...