Die Blackbox Von EgyptAir Wurde Allmählich Geknackt; Der Absturz Steht in Direktem Zusammenhang Mit Der Vollautomatischen Flugsoftware
Von Super Neuro
Szenariobeschreibung:Der Autopilot ist eine Standardfunktion der Luftfahrttechnik. Es kann Piloten bei der Durchführung von Langstreckenflügen und Routinevorgängen während des Fluges wirksam unterstützen, es gibt jedoch noch viele Probleme, die gelöst werden müssen.
Schlüsselwörter:Autopilot-Automatisierung in der Zivilluftfahrt
Die automatische Flugsteuerung für Flugzeuge kam bereits in den 1910er Jahren auf und war in den 1930er Jahren ausgereift. Die Ingenieure verbanden die Höhenruder, Querruder und Seitenruder des Flugzeugs mit Gyroskopen und Höhenmessern, sodass das Flugzeug entsprechend der eingestellten Richtung und Höhe fliegen konnte.
Das automatische Fahren (Autopilot) von Flugzeugen, Schiffen und sogar Raketen und Raumfahrzeugen ist derzeit noch relativ einfach und unterstützt den Fahrer bei der Erledigung relativ einfacher und sich wiederholender Aufgaben. Anders als beim autonomen Fahren von Autos sind dafür komplexere Funktionen erforderlich, beispielsweise die Beurteilung der Straßenoberfläche und die Routenplanung in Echtzeit.
Bis heute hat sich an dieser Struktur nichts Grundlegendes geändert. Der Autopilot eines Flugzeugs ermöglicht es dem Flugzeug, gemäß einer festgelegten Flugbahn und Geschwindigkeit zu fliegen. Mit anderen Worten: Der Autopilot des Flugzeugs ersetzt„Der Pilot schaut auf den Instrumentenzeiger und korrigiert ihn gemäß festgelegten Aktionen, wenn der Zeiger vom eingestellten Wert abweicht.“Betrieb.
Der Autopilot eines Flugzeugs reduziert die Belastung der Piloten erheblich. Dadurch können sich Piloten auf andere Aufgaben konzentrieren, beispielsweise auf die Überwachung des Flugzeugstatus, der Wetterbedingungen usw. Wenn komplexe und präzise Steuerungsvorgänge erforderlich sind, beispielsweise beim Starten und Landen, Rollen am Boden und bei Kollisionswarnungen, greift der Pilot rechtzeitig ein.
Alles begann mit Boeing
Im Oktober 2018 stürzte ein Passagierflugzeug der indonesischen Lion Air versehentlich ins Meer. Nicht lange danach, am 10. März dieses Jahres, stürzte ein Passagierflugzeug der Ethiopian Airlines ab. Innerhalb von fünf Monaten kam es bei Passagierflugzeugen des Typs Boeing 737-Max 8 (737 Max-Serie) zu zwei schweren Flugzeugabstürzen, bei denen 346 Menschen ums Leben kamen.
Rückblickend gab es in den letzten drei Jahren neben diesen beiden noch mehrere weitere schwere Flugzeugabstürze.
Im Mai 2018 stürzte ein Flugzeug der Cubana Airlines ab, wobei nur einer der 113 Menschen an Bord überlebte. Im Juni 2017 stürzte ein Militärflugzeug auf dem Weg von Myeik, Myanmar nach Yangon ab, wobei alle 122 Menschen an Bord ums Leben kamen. Im November 2016 stürzte ein Lamia-Flug mit Spielern des Chapecoense Football Club ab. Von den 73 Menschen an Bord überlebten nur zwei.
Obwohl Flugunfälle schwere Verluste verursachen, zeigen die Daten, dass Flugzeuge viel sicherer sind, doch jeder Unfall ist zu schockierend.Laut Statistiken des US-Verkehrsministeriums gab es zwischen 2007 und 2016 im kommerziellen Flugverkehr durchschnittlich nur 11 Todesfälle pro Billion Meilen, verglichen mit 7.864 Todesfällen pro Billion Meilen auf Autobahnen.
Allerdings ereigneten sich innerhalb weniger Monate zwei tragische Unfälle mit dem gleichen Boeing-Flugzeugtyp, was ebenfalls bewies, dass es mit diesem Flugzeug tatsächlich Probleme gab. Kurz darauf kündigte auch Boeing die weltweite Stilllegung dieser Flugzeuge an.
Am 17. März veröffentlichte die Seattle Times, eine Lokalzeitung in Seattle, wo Boeing seinen Sitz hat, einen Artikel mit dem Titel „Fehlerhafte Analyse, fehlgeschlagene Aufsicht: Wie Boeing und die FAA das verdächtige Flugsteuerungssystem der 737 MAX zertifizierten“.Interviews mit mehreren aktuellen und ehemaligen FAA-Ingenieuren brachten einige unangemessene Vorgehensweisen ans Licht, als die 737 Max die Flugsicherheitsprüfung bestand.
Der große Fehler sei letztlich auf die Nachlässigkeit beider Seiten zurückzuführen, heißt es in dem Bericht, und ein wichtiger Grund sei das mangelhafte System gewesen.
Boeings neue Autopilot-Software könnte einen fatalen Fehler aufweisen
Obwohl die Informationen aus der Blackbox zu diesem Unfall noch immer ausgewertet werden, deuten viele Details seit dem Flugzeugabsturz in Indonesien im letzten Jahr auf denselben Fehler in Boeing-Flugzeugen hin, und den veröffentlichten Details nach zu urteilen, sind die beiden Unfälle recht ähnlich.
Die Boeing 737, die 1968 auf den Markt kam, ist das ausgereifteste Flugzeugmodell und das weltweit meistverkaufte Flugzeug. Seit ihrer Einführung wurden mehr als 10.000 Exemplare davon verkauft. Die Boeing 737 Max-Serie ist zugleich die neueste Flaggschiff-Serie des Unternehmens.
Um wettbewerbsfähig zu bleiben, verwendet der Max 8 einen neuen Motor.Zu diesem Zweck wurde auch MCAS eingeführt. Der vollständige Name lautet Maneuvering Characteristics Augmentation System und dient der Unterstützung der Stabilität des Flugzeugs. Die geschäftliche Motivation hinter MCAS ist klar: Es handelt sich um einen Software-Patch, der versucht, einen physischen Fehler im Flugzeug zu beheben.
MCAS kann eine im Hintergrund laufende Software sein. Sobald die Nase des Flugzeugs nach oben zeigt, aktiviert das System automatisch das Heck, um die Nase des Flugzeugs wieder auf eine sichere Reiseflugbahn zu bringen, und der Pilot bemerkt den Eingriff der Software nicht einmal.
MCAS-Workflow-Diagramm
Der Einsatz von Software zur Behebung von Instabilitäten in Flugzeugen ist nichts Neues. Viele der moderneren Kampfflugzeuge wurden zudem so konstruiert, dass sie instabiler waren, um eine bessere Manövrierfähigkeit zu gewährleisten. Kampfpiloten werden außerdem darin geschult, die spezifischen Flugeigenschaften ihrer Flugzeuge vorherzusehen. Das Schlimme daran ist jedoch, dass viele Max-8-Piloten nicht über die Existenz des MCAS-Systems informiert wurden. Einige sagten:
„Das Einführungshandbuch ist 1.400 Seiten lang und nur auf einer Seite wird etwas namens MCAS erwähnt … Aber das Handbuch erklärt nicht, was es ist …“
Vielleicht dachte Boeing, dass die Piloten die Informationen des Systems nicht beachten müssten.Denn Sinn und Zweck des MCAS-Systems ist es, der 737 Max 8 das gleiche „Bediengefühl“ zu vermitteln wie dem Vorgängermodell 737 NG.Dies war auch damals ein Verkaufsargument von Boeing: „Für den Kauf eines neuen Flugzeugs ist keine zusätzliche Schulung erforderlich.“
Das Gesetz der Verletzlichkeitsabstraktion
Warum sollte ein solches System, das für Sicherheit sorgt, zum „Mörder“ werden?
Es gibt ein Gesetz in der Softwareentwicklung, das „Gesetz der undichten Abstraktionen“, das besagt, dass „Alle nicht-trivialen Abstraktionen sind bis zu einem gewissen Grad undicht.“
MCAS ist möglicherweise eine solche undichte Abstraktion, das heißt, es versucht, ein virtuelles Äquivalent einer konventionellen 737 NG ohne das Leap-Triebwerk zu schaffen, um das Ungleichgewicht zu korrigieren, das das Flugzeug erfahren würde. Doch virtuelle Maschinen zu abstrahieren ist eine Sache, die physische Realität zu abstrahieren jedoch eine ganz andere. Irgendwann geht in beiden Fällen etwas kaputt.
Wie verhält sich MCAS also, wenn das, was es abstrahieren möchte, fehlschlägt? Dies ist, was der Pilot berichtete:
Wenn Sie beim NG und MAX die Gefahr haben, die Kontrolle zu verlieren, können Sie dies vorübergehend stoppen, indem Sie die Steuersäule in die entgegengesetzte Richtung ziehen. Wenn MCAS aktiviert ist, kann es jedoch nur durch Abschalten der Stromzufuhr gestoppt werden.
737 Max 8 Kontrollraum
Die Reaktion eines Piloten auf eine Lücke in der Abstraktion kann sich stark von der tatsächlichen Situation unterscheiden, die er zu abstrahieren versucht. Bei einem fehlerhaften Sensor kann man diesen abschalten und sein Verständnis für die Situation und das Flugzeug nutzen, um die richtige Entscheidung zu treffen.
Wenn das Verständnis der Natur des Flugzeugs jedoch eher virtuell als real ist, können Sie nicht zur Realität zurückkehren. Die Realität übersteigt das Verständnis des Piloten und ist die Ursache für falsche Entscheidungen. Ein großer Unterschied zwischen der realen und der virtuellen Welt besteht darin, dass es oft keine Rückgängig-Funktion gibt!
Diese Schwachstelle tritt auf, wenn das Flugzeug selbst seine Absichten offenbart:
„EFS agiert nie autonom, aber unter bestimmten Umständen, wie beispielsweise bei Flug 610, kann MCAS autonom aktiviert werden.“
Und dies: „MCAS wurde ohne Zutun des Piloten aktiviert und funktionierte nur im manuellen Flug mit eingefahrenen Landeklappen.“
Wenn MCAS ausgeschaltet wird, werden die Piloten feststellen, dass sie ein völlig anderes Flugzeug fliegen.
Die Steuerung von MCAS umfasst bereits heute die Möglichkeiten des automatisierten Fahrens. Es kann von Technikern sogar mit Stufe 5 bewertet werden.
Ist autonomes Fahren der Endzahler?
Da die Blackbox des abgestürzten Flugzeugs noch immer untersucht wird, kann nicht festgestellt werden, dass die Schuld allein bei MCAS lag. Welche Verbindung besteht also zwischen MCAS und automatischem Flug?
Die Society of Automatic Driving Engineers (SAE) verfügt über einen internationalen Standard, der sechs Stufen der Fahrautomatisierung definiert (SAE J3016). Dieses Framework wird verwendet, um Automatisierungsgrade in anderen Bereichen als der Automobilindustrie zu klassifizieren. Die detaillierte Klassifizierung ist wie folgt:
Level 0 (manueller Prozess)
Es gibt keinerlei Automatisierung.
Ebene 1 (Beteiligungsprozess)
Benutzer verstehen den Beginn und Abschluss der Ausführung jeder automatisierten Aufgabe. Benutzer können Aufgaben rückgängig machen, wenn sie nicht korrekt ausgeführt wurden. Für die richtige Reihenfolge der Aufgaben ist jedoch der Benutzer verantwortlich.
Level 2 (Teilnahme an mehreren Prozessen)
Benutzer sind sich der Initiierung und Fertigstellung von Aufgabenkombinationen bewusst. Für die richtige Reihenfolge der Aufgaben ist der Benutzer jedoch nicht verantwortlich.
Level 3 (unbeaufsichtigter Prozess)
Benutzer werden nur in Ausnahmefällen benachrichtigt und sind verpflichtet, die Arbeit unter diesen Bedingungen abzuschließen.
Ebene 4 (Intelligente Prozesse)
Der Benutzer ist für die Definition des Endziels der Automatisierung verantwortlich. Alle Aspekte der Prozessausführung und der Handhabung außergewöhnlicher Bedingungen während des Betriebs werden jedoch von der Automatisierung übernommen.
Level 5 (vollautomatisierter Prozess)
Dies ist der endgültige und zukünftige Zustand, in dem keine menschliche Beteiligung am Prozess mehr erforderlich ist. Natürlich ist dies möglicherweise nicht die letzte Ebene, da nicht davon ausgegangen wird, dass der Prozess in der Lage ist, sich selbst zu optimieren und zu verbessern.
Stufe 6 (Selbstoptimierender Prozess)
Es ist vollständig automatisiert, erfordert kein menschliches Eingreifen und kann sich im Laufe der Zeit selbst verbessern.
Wenn ein Fehler auftritt, wird der Autopilot normalerweise deaktiviert und die Kontrolle wird an den Piloten zurückgegeben. Dies ist eine Automatisierung der Stufe 3 (unbeaufsichtigter Prozess), bei der klar ist, in welchem Umfang die Automatisierung betriebsbereit ist. Auf Stufe 3 wird sich der Pilot der anormalen Situation bewusst und übernimmt die manuelle Steuerung des Flugzeugs.
Auf Level 4 (Intelligente Prozesse) sind Piloten in der Lage, ungewöhnliche Situationen zu erkennen und festzulegen, wann eine Automatisierung angebracht ist. Heutige selbstfahrende Autos können sich beispielsweise selbstständig in einer Reihe einparken und bei guten Wetterbedingungen autonom auf Autobahnen fahren. Es bleibt dem Fahrer überlassen, ob er diese Funktionen automatisiert ausführen möchte.
Der Autopilot des Flugzeugs verfügt ebenfalls über eine Automatisierung der Stufe 4 und kann in Umgebungen mit geringer Komplexität eingesetzt werden.
Das MCAS der Boeing 737 Max 8 ähnelt der Automatisierung der Stufe 5. Das heißt, es handelt sich um einen vollständig automatisierten Prozess, der selbst entscheiden kann, in welchem Szenario er ausgeführt wird.
Wie bei der Elektronik zur Steuerung der Motorleistung treten bei vollautomatisierten Prozessen in der Regel keine Probleme auf.Doch wenn es um das Steuern (oder Lenken) eines Flugzeugs geht, stellt sich die Frage, wer die Kontrolle hat.
Für die Automatisierung der Stufe 5 ist eine Intelligenz erforderlich, die erkennen kann, welche Sensoren fehlerhaft sind, und die das Problem mithilfe unvollständiger und nicht beobachteter Informationen bewältigen kann. Der derzeitige Stand der technologischen Entwicklung ist jedoch schlicht nicht in der Lage, diese Art künstlicher Intelligenz zu erreichen.
Liegt die Verantwortung bei der Technologie oder bei denen, die sie entwickelt haben?
Die Entwicklung der Automatisierung ist nicht die Hauptursache dieser Katastrophen. Die Hauptursache liegt darin, ob die automatisierte Entwicklung des Systems die menschliche Bedienung und Steuerung sicherer und intelligenter machen kann.
Kurz gesagt: Boeing steht möglicherweise vor einer Situation, in der die Technologie nicht mit den Ambitionen Schritt halten kann, da nicht jede Software gleich komplex ist.
Es handelt sich hierbei nicht einfach um unzureichende Tests, die zu Software-Logikfehlern geführt haben, noch handelt es sich einfach um das Testen und Behandeln von Sensor- und Gerätefehlern. Dies ist ein Versuch, eine ehrgeizige Aufgabe zu bewältigen, der zu einer gefährlichen Lösung führte.
Unabhängig davon kann die Einführung von Software-Patches als Mittel zur Virtualisierung physischen Verhaltens zu unbeabsichtigten Folgen führen. Während des Fluges werden weiterhin Piloten anwesend sein, in der Hoffnung, dass sie unerwartete Situationen lösen können, die durch die Automatisierung nicht bewältigt werden können.Doch MCAS gleicht einer Illusion und beeinträchtigt die Fähigkeit der Piloten, zwischen Realität und Simulation zu unterscheiden.
Eine Boeing 737 MAX, genannt Spirit of Renton, hebt am 29. Januar 2016 zum ersten Mal vom Renton Municipal Airport ab
Es ist zu erwarten, dass die Regulierungsbehörden bei zukünftigen Überprüfungen einen anderen Ansatz für Systeme wie MCAS verfolgen und diese anders testen als andere automatisierte Systeme.
Solche Steuerungssysteme sollten als Automatisierungsstufe 5 betrachtet werden und detaillierteren Überprüfungskriterien unterliegen. Nur so wird es weniger Blutvergießen und Tränen geben.
Im Jahr 1803 erfand der britische Ingenieur Trevithick die Dampflokomotive, die auf Schienen fahren und viel mehr Fracht transportieren konnte als eine Pferdekutsche.
Allerdings hatte diese Dampflok unzählige kleinere Probleme und es kam immer wieder zu kleineren Störungen. Da das Fahrzeug nach einer bestimmten Fahrstrecke für Reparaturen angehalten werden musste, wurde es von den meisten Leuten nicht akzeptiert. Es kann sogar zu Überschlagunfällen mit schweren Verletzungen kommen.
Die Waggonbesitzer fühlten sich in ihrem Status bedroht und schlossen sich aus verschiedenen Gründen zu einer Allianz zusammen, um sich der Förderung der Eisenbahn zu widersetzen.
Doch seit Hunderten von Jahren sind Pferdekutschen längst von der Bühne der Geschichte verschwunden und die Eisenbahn ist zu einem der wichtigsten Fernverkehrsmittel geworden.
Unsere einzige Option ist, bei der technologischen Entwicklung geduldig und vorsichtig zu sein.