Luft- und Raumfahrt Softwarefehler in einem Flugzeug und die möglichen Folgen
Softwarefehler in einem Flugzeug und die möglichen Folgen
geschrieben von ehemaliges Mitglied
Während der Diskussion um den Absturz der Germanwings-Maschine kam verschiedentlich die Meinung auf, daß moderne Flugzeuge besser von Computern gesteuert werden sollte, um solche Taten wie die das Kopiloten zu verhindern. Was bei dieser Forderung fast immer außer Acht gelassen wird ist die Tatsache, daß es niemals absolute Sicherheit vor Fehlern geben wird, seine es menschliche oder die von Computern. Der aktuell bekannt gewordene Fall eines Softwarefehlers in Boeings Dreamliner zeigt mehr als deutlich, welches Risiko man eingeht, wenn man sich allzu sehr auf die Technik verläßt.
Durch einen Softwarefehler kann es unter Umständen dazu kommen, daß alle vier Stromgeneratoren an Bord der Boeing 787 den Dienst einstellen. Die Folgen so eines Ereignisses dürften klar sein: aller Strom an Bord ist weg und die Piloten haben keine Kontrolle mehr über das Flugzeug. Ein Absturz folgt unvermeidlich.
Auch wenn dieser Fehler sicherlich leicht zu beheben ist und einen wichtigen Hinweis für zukünftige Softwareentwicklung darstellt, so macht er ein Prinzip deutlich. Manche Fehler treten erst durch das Zusammenwirken aller Komponenten zu Tage. In diesem Fall wird der Fehler wahrscheinlich einen eigentlich sinnvollen Hintergrund haben, es wurde nur nicht bedacht, welche Folgen diese Funktion hat, wenn alle Generatoren gleichzeitig betroffen sind und sich das Flugzeug in der Luft befindet.
Durch einen Softwarefehler kann es unter Umständen dazu kommen, daß alle vier Stromgeneratoren an Bord der Boeing 787 den Dienst einstellen. Die Folgen so eines Ereignisses dürften klar sein: aller Strom an Bord ist weg und die Piloten haben keine Kontrolle mehr über das Flugzeug. Ein Absturz folgt unvermeidlich.
Auch wenn dieser Fehler sicherlich leicht zu beheben ist und einen wichtigen Hinweis für zukünftige Softwareentwicklung darstellt, so macht er ein Prinzip deutlich. Manche Fehler treten erst durch das Zusammenwirken aller Komponenten zu Tage. In diesem Fall wird der Fehler wahrscheinlich einen eigentlich sinnvollen Hintergrund haben, es wurde nur nicht bedacht, welche Folgen diese Funktion hat, wenn alle Generatoren gleichzeitig betroffen sind und sich das Flugzeug in der Luft befindet.
Lieber det,
ich kannte einmal einen Mann, der wehrte sich verbissen gegen das Anlegen eines Sicherheitsgurtes, weil erwiesen sei, dass es Unfälle gegeben hätte, bei denen die im Auto Verbliebenen verbrannt seien, aber die Hinausgeschleuderten überlebt hätten.
Dieser Mann hatte einerseits Recht, weil solche Unfälle tatsächlich vorgekommen sind, er hatte aber andererseits Unrecht, weil das Anlegen des Sicherheitsgurtes im statistischen Mittel eindeutig die Sicherheit im Straßenverkehr erhöht hat.
In ähnlicher Weise hat die Automatisierung im Flugverkehr die Sicherheit dramatisch erhöht und der größte verbliebene Unsicherheitsfaktor ist der Mensch. Ich bin davon überzeugt, dass deshalb die Automatisierung weiter vorangetrieben wird. Dies wird vorsichtig und immer unter dem Aspekt der Erhöhung der Flugsicherheit zu geschehen haben (und hoffentlich nicht nur aus Sparsamkeit).
Karl
ich kannte einmal einen Mann, der wehrte sich verbissen gegen das Anlegen eines Sicherheitsgurtes, weil erwiesen sei, dass es Unfälle gegeben hätte, bei denen die im Auto Verbliebenen verbrannt seien, aber die Hinausgeschleuderten überlebt hätten.
Dieser Mann hatte einerseits Recht, weil solche Unfälle tatsächlich vorgekommen sind, er hatte aber andererseits Unrecht, weil das Anlegen des Sicherheitsgurtes im statistischen Mittel eindeutig die Sicherheit im Straßenverkehr erhöht hat.
In ähnlicher Weise hat die Automatisierung im Flugverkehr die Sicherheit dramatisch erhöht und der größte verbliebene Unsicherheitsfaktor ist der Mensch. Ich bin davon überzeugt, dass deshalb die Automatisierung weiter vorangetrieben wird. Dies wird vorsichtig und immer unter dem Aspekt der Erhöhung der Flugsicherheit zu geschehen haben (und hoffentlich nicht nur aus Sparsamkeit).
Karl
Re: Softwarefehler in einem Flugzeug und die möglichen Folgen
geschrieben von ehemaliges Mitglied
Hi Karl,
bitte verstehe mich nicht falsch. Es geht mir nicht darum, neue Wege der Technik grundsätzlich zu verurteilen und abzulehnen. Wir sollten uns nur der Risiken bewußt sein, die wir damit eingehen. Der im Artikel beschriebene Fehler ist einerseits so einfach, daß man es nicht für möglich hält, daß so etwas überhaupt passieren kann. Andererseits bin ich berufsbedingt "vorgeschädigt", denn ich habe sehr viele Probleme erlebt, die nur auftraten, wenn eine erhebliche Anzahl von Bedingungen zusammenkommen. Trotzdem blieben Rechner plötzlich stehen oder, noch viel schlimmer, brachten völlig unerwartete Ergebnisse.
Der beschriebene Fall zeigt, wie wichtig eine Qualitätskontrolle für die Software ist und daß sie nicht funktioniert. Ein gravierender Fehler, der so einfache Bedingungen voraussetzt, hätte eigentlich sofort entdeckt werden müssen und gerade das macht mir Sorgen. Wenn beim größten Flugzeughersteller der Welt nicht einmal so simple Bedingungen geprüft werden, was wartet dann noch alles auf Entdeckung?
Das Konzept stimmt nicht. Ob das aus Kostenersparnisgründen nicht funktioniert oder ob es um grundsätzlichere Probleme der Technik geht, das wird die Zukunft zeigen.
det
bitte verstehe mich nicht falsch. Es geht mir nicht darum, neue Wege der Technik grundsätzlich zu verurteilen und abzulehnen. Wir sollten uns nur der Risiken bewußt sein, die wir damit eingehen. Der im Artikel beschriebene Fehler ist einerseits so einfach, daß man es nicht für möglich hält, daß so etwas überhaupt passieren kann. Andererseits bin ich berufsbedingt "vorgeschädigt", denn ich habe sehr viele Probleme erlebt, die nur auftraten, wenn eine erhebliche Anzahl von Bedingungen zusammenkommen. Trotzdem blieben Rechner plötzlich stehen oder, noch viel schlimmer, brachten völlig unerwartete Ergebnisse.
Der beschriebene Fall zeigt, wie wichtig eine Qualitätskontrolle für die Software ist und daß sie nicht funktioniert. Ein gravierender Fehler, der so einfache Bedingungen voraussetzt, hätte eigentlich sofort entdeckt werden müssen und gerade das macht mir Sorgen. Wenn beim größten Flugzeughersteller der Welt nicht einmal so simple Bedingungen geprüft werden, was wartet dann noch alles auf Entdeckung?
Das Konzept stimmt nicht. Ob das aus Kostenersparnisgründen nicht funktioniert oder ob es um grundsätzlichere Probleme der Technik geht, das wird die Zukunft zeigen.
det
..ich weiß nicht wie es bei Boeing und anderen Flugzeugherstellern ist, aber ich weiß aus eigener Erfahrung, dass die Softwarenhersteller sehr wenig von den technologischen Abläufen wissen.
Durch die strenge Hierarchie, gerade auch in deutschen Behörden, werden Beamte beauftragt, die Zuarbeiten und Anforderungen für die Softwarenhersteller zu erarbeiten.
Diese Beamten kennen die Abläufe in den Behörden nicht detailliert, glauben es aber zu wissen.
Es kam unweigerlich zu Fehlern in der Programmierung, weil man ganz einfach zu stolz war, die Mitarbeiter, die tag täglich damit zu tun hatten, einzubeziehen.
Gut durchdachte Abläufe durch die Einbeziehung aller damit Beschäftigten garantiert eine optimale Sicherheit und einen hohen Standard.
Dazu gehören natürlich Testläufe auf allen Ebenen.
Oft arbeiten Softwarenhersteller extern, haben also mit dem eigentlichen Flugbetrieb nichts zu tun, kennen die Risiken nicht.
Deshalb ist es unerlässlich, sehr präzise, mit allen wenn und Aber, die Aufgaben zu fixieren.
Bei einem so heiklen Unternehmen ist es dringend geboten, bevor die Software erarbeitet wird, die beauftragten Mitarbeiter mit dem Unternehmen vertraut zu machen, die technologischen Abläufe zu studieren, damit am Ende solche simplen Fehler nicht auftreten können.
Den Softwarenherstellen trifft meiner Meinung nach die geringste, wenn überhaupt, Schuld.
Die Unfähigkeit der Manager allein ist es.
Ein Manager kann nicht alles wissen, sollte aber nie zu stolz sein nachzufragen und zwar ganz unten.
Wir alle wissen mehr oder minder, dass die Sprache der unter den EDV Beschäftigten eine ganz eigene ist.
So ein EDV Spezialist geht bei Erklärungen in aller Regel von seinem Kenntnisstand aus und merkt nicht, dass sein Gegenüber recht wenig davon versteht.
Aus Eitelkeit fragen viele nicht nach, tun so, als ob sie es verstehen und da beginnt schon der Kreislauf von Fehlern.
Es ist wie beim Arzt, wenn der nicht „deutsch“ mit uns spricht, verstehen wir auch recht wenig oder gar nichts.
Die FAA hat ja Verhaltensmaßnahmen durchgestellt und nun obliegt es den Betreibern und Piloten, darauf zu achten und diese durchzuführen.
ein_lächeln_
Durch die strenge Hierarchie, gerade auch in deutschen Behörden, werden Beamte beauftragt, die Zuarbeiten und Anforderungen für die Softwarenhersteller zu erarbeiten.
Diese Beamten kennen die Abläufe in den Behörden nicht detailliert, glauben es aber zu wissen.
Es kam unweigerlich zu Fehlern in der Programmierung, weil man ganz einfach zu stolz war, die Mitarbeiter, die tag täglich damit zu tun hatten, einzubeziehen.
Gut durchdachte Abläufe durch die Einbeziehung aller damit Beschäftigten garantiert eine optimale Sicherheit und einen hohen Standard.
Dazu gehören natürlich Testläufe auf allen Ebenen.
Oft arbeiten Softwarenhersteller extern, haben also mit dem eigentlichen Flugbetrieb nichts zu tun, kennen die Risiken nicht.
Deshalb ist es unerlässlich, sehr präzise, mit allen wenn und Aber, die Aufgaben zu fixieren.
Bei einem so heiklen Unternehmen ist es dringend geboten, bevor die Software erarbeitet wird, die beauftragten Mitarbeiter mit dem Unternehmen vertraut zu machen, die technologischen Abläufe zu studieren, damit am Ende solche simplen Fehler nicht auftreten können.
Den Softwarenherstellen trifft meiner Meinung nach die geringste, wenn überhaupt, Schuld.
Die Unfähigkeit der Manager allein ist es.
Ein Manager kann nicht alles wissen, sollte aber nie zu stolz sein nachzufragen und zwar ganz unten.
Wir alle wissen mehr oder minder, dass die Sprache der unter den EDV Beschäftigten eine ganz eigene ist.
So ein EDV Spezialist geht bei Erklärungen in aller Regel von seinem Kenntnisstand aus und merkt nicht, dass sein Gegenüber recht wenig davon versteht.
Aus Eitelkeit fragen viele nicht nach, tun so, als ob sie es verstehen und da beginnt schon der Kreislauf von Fehlern.
Es ist wie beim Arzt, wenn der nicht „deutsch“ mit uns spricht, verstehen wir auch recht wenig oder gar nichts.
Die FAA hat ja Verhaltensmaßnahmen durchgestellt und nun obliegt es den Betreibern und Piloten, darauf zu achten und diese durchzuführen.
ein_lächeln_
Jede auch noch so ausgeklügelte und raffinierte Technik wird von Menschen erfunden.
Darum wird es auch immer wieder Ehrgeizige geben, die das Ausgeklügelte überlisten wollen.
1 Beispiel: Hacker-Abwehr-Software wird von den besten Programmierern geschrieben. Aber Tausende von Hackern wollen dem "Besten" beweisen, dass nicht er, sondern sie die Besten seien.
Übrigens: Die Viren in der Natur sind uns da Millionen von Jahren voraus; es herrscht so lange ein Kampf zwischen "Guten" und "Schlechten", als die Welt bestehen wird.
Darum wird es auch immer wieder Ehrgeizige geben, die das Ausgeklügelte überlisten wollen.
1 Beispiel: Hacker-Abwehr-Software wird von den besten Programmierern geschrieben. Aber Tausende von Hackern wollen dem "Besten" beweisen, dass nicht er, sondern sie die Besten seien.
Übrigens: Die Viren in der Natur sind uns da Millionen von Jahren voraus; es herrscht so lange ein Kampf zwischen "Guten" und "Schlechten", als die Welt bestehen wird.
Re: Softwarefehler in einem Flugzeug und die möglichen Folgen
geschrieben von ehemaliges Mitglied
Hi ein_laecheln,
ich habe bei Kunden mehrfach von diesen Problem gehört, die du beschreibst. Besonders SAP-Installationen sollen davon betroffen sein, weil die Software nicht so flexibel ist, wie die Kunden es bräuchten.
Im Fall von Boeing sieht es etwas anders aus. Das ist eine sehr "hardwarenahe" Programmierung, eher einem modernen Fernseher vergleichbar. Stell die mal vor, dein TV würde sich nach einer bestimmten Laufzeit einfach abschalten und wäre nur wieder in Betrieb zu nehmen, indem du für kurze Zeit den Netzstecker ziehst. Oder, etwas näher an der Situation eines Flugzeugs, bei einem Auto würde plötzlich die gesamte Bordelektronik abschalten und wäre nur wieder betriebsfähig zu machen, indem man für kurze Zeit die Batterie abklemmt. In einem modernen Auto, in dem ohne die Elektronik nichts mehr funktioniert, könnte das mitten in der Fahrt auf der Autobahn fatale Folgen haben.Beim Flugzeug ist es noch ein paar Stufen schlimmer, weil es völlig ohne Strom und damit nicht mehr kontrollierbar wäre.
Daß in Rechnersystemen Fehler auftreten, die sich nur dann ereignen, wenn viele verschiedene und voneinander unabhängige Bedingungen gleichzeitig eintreten, das ist leider normal und solche Fehler sind im Normalfall auch durch die beste Qualitätskontrolle nicht zu verhindern. Es ist einfach nicht möglich, sämtliche Eventualitäten durchzuprobieren, bevor ein System in Betrieb geht. In solch einem Fall hat man einfach Pech gehabt und das gilt leider auch für Flugzeuge oder Atomkraftwerke.
Beim jetzt entdeckten Fehler im Dreamliner sind es aber nicht viele ganz unterschiedliche Bedingungen, die zusammen eintreten müssen, sondern es ist ein ganz einfacher Fall, der zu einem Stromausfall im Flugzeug führt: wenn alle vier Stromgeneratoren zur gleichen Zeit gestartet wurden, dann läuft bei allen gleichzeitig ein Zähler ab und sie bleiben stehen. Diese Generatoren können anscheinend nur am Boden neu gestartet werden und das ist bei einem Flugzeug in der Luft der "worst case".
Daß ein so einfacher Fall mit potentiell tödlichen Konsequenzen bei der Qualitätskontrolle übersehen wird, das darf einfach nicht passieren. Jeder Ingenieur oder Techniker, der von der Existenz dieses Zählers und der Abschaltung weiß, der muß sich doch sofort fragen, ob es passieren könnte, daß alle Generatoren gleichzeitig abschalten, was dazu führen könnte und wie man es verhindern kann. Nach meinem Verständnis meines Berufs muß diese Frage die erste sein, die man sich stellt. Dabei hatte meine Tätigkeit ein viel geringeres Schadenspotential.
det
ich habe bei Kunden mehrfach von diesen Problem gehört, die du beschreibst. Besonders SAP-Installationen sollen davon betroffen sein, weil die Software nicht so flexibel ist, wie die Kunden es bräuchten.
Im Fall von Boeing sieht es etwas anders aus. Das ist eine sehr "hardwarenahe" Programmierung, eher einem modernen Fernseher vergleichbar. Stell die mal vor, dein TV würde sich nach einer bestimmten Laufzeit einfach abschalten und wäre nur wieder in Betrieb zu nehmen, indem du für kurze Zeit den Netzstecker ziehst. Oder, etwas näher an der Situation eines Flugzeugs, bei einem Auto würde plötzlich die gesamte Bordelektronik abschalten und wäre nur wieder betriebsfähig zu machen, indem man für kurze Zeit die Batterie abklemmt. In einem modernen Auto, in dem ohne die Elektronik nichts mehr funktioniert, könnte das mitten in der Fahrt auf der Autobahn fatale Folgen haben.Beim Flugzeug ist es noch ein paar Stufen schlimmer, weil es völlig ohne Strom und damit nicht mehr kontrollierbar wäre.
Daß in Rechnersystemen Fehler auftreten, die sich nur dann ereignen, wenn viele verschiedene und voneinander unabhängige Bedingungen gleichzeitig eintreten, das ist leider normal und solche Fehler sind im Normalfall auch durch die beste Qualitätskontrolle nicht zu verhindern. Es ist einfach nicht möglich, sämtliche Eventualitäten durchzuprobieren, bevor ein System in Betrieb geht. In solch einem Fall hat man einfach Pech gehabt und das gilt leider auch für Flugzeuge oder Atomkraftwerke.
Beim jetzt entdeckten Fehler im Dreamliner sind es aber nicht viele ganz unterschiedliche Bedingungen, die zusammen eintreten müssen, sondern es ist ein ganz einfacher Fall, der zu einem Stromausfall im Flugzeug führt: wenn alle vier Stromgeneratoren zur gleichen Zeit gestartet wurden, dann läuft bei allen gleichzeitig ein Zähler ab und sie bleiben stehen. Diese Generatoren können anscheinend nur am Boden neu gestartet werden und das ist bei einem Flugzeug in der Luft der "worst case".
Daß ein so einfacher Fall mit potentiell tödlichen Konsequenzen bei der Qualitätskontrolle übersehen wird, das darf einfach nicht passieren. Jeder Ingenieur oder Techniker, der von der Existenz dieses Zählers und der Abschaltung weiß, der muß sich doch sofort fragen, ob es passieren könnte, daß alle Generatoren gleichzeitig abschalten, was dazu führen könnte und wie man es verhindern kann. Nach meinem Verständnis meines Berufs muß diese Frage die erste sein, die man sich stellt. Dabei hatte meine Tätigkeit ein viel geringeres Schadenspotential.
det
In einem modernen Auto, in dem ohne die Elektronik nichts mehr funktioniert, könnte das mitten in der Fahrt auf der Autobahn fatale Folgen haben.Beim Flugzeug ist es noch ein paar Stufen schlimmer, weil es völlig ohne Strom und damit nicht mehr kontrollierbar wäre.Ich kenne Menschen, die glücklicher Weise überlebt haben, als der Fahrer auf der Autobahn bei Tempo 120 kmh einen Herzinfarkt erlitten hat.
Daß ein so einfacher Fall mit potentiell tödlichen Konsequenzen bei der Qualitätskontrolle übersehen wird, das darf einfach nicht passieren.Das sag einmal dem Konstrukteur
Karl
Re: Softwarefehler in einem Flugzeug und die möglichen Folgen
Aus Eitelkeit fragen viele nicht nach, tun so, als ob sie es verstehen und da beginnt schon der Kreislauf von Fehlern.
Es ist wie beim Arzt, wenn der nicht „deutsch“ mit uns spricht, verstehen wir auch recht wenig oder gar nicht
Genau so ist, als Industrie Geschädigter wo faßt jährlich bei Shutdowns neue Anlagen installiert wurden, waren immer paralell zu dem Programmeuren Schichtleute sowie die Schichtelektriker anwesend welche Tag und Nacht 24St. die Anlage nachher bedienen mußten.
Der Software Spezialist kannte meistens nicht´s oder nicht viel von der neu installierten Anlage, ausser seiner Pläne. Er stellte nur Fragen um die Zeiten bzw. die Logarythmen der Abläufe einzustellen.
Nachdem, dieser Prozess beendet war und alle Operateure trainiert waren wurde die Anlage zwecks Bedienung von der Produktion übernommen..
Dann funktionierte es solange, bis eine Gewichtsangabe, Automatisches Ventil oder eine Nivauanzeige, eine von den Pumpen, oder ein Proximitry oder.. oder.. ausfiel die Möglichkeiten waren so vielfältig daß nur sehr gute Schichtoperateure welche die Fähigkeit besaßen die gesamte Anlage aus dem FF zu Kennen um auf mannuel zu fahren um ein grösserer Produktionsausfall zu verhindern. Ich rede nicht von kleinen Aparaturen, nein das waren richtige komplexe Anlagen welche sich über mehrere Stockwerke ausbreiteten.
Bin mal gespannt wie fehlerlos die Roboterie der Zukunft sein wird.
Phil.
Re: Softwarefehler in einem Flugzeug und die möglichen Folgen
@ det
..ich bin da sehr vorsichtig mit der Beurteilung, ob es ein einfacher, simpler Fehler ist.
Wir kennen alle nicht den kompletten Ablauf, der nun im Beitrag fasst lächerlich dargestellt wird.
Natürlich erwartet man, dass sie eins und eins zusammenzählen können, doch mich sträubt es irgendwie zu glauben, dass es soooo einfach ist.
Ich glaube mal, dass genügend Testflüge gemacht wurden und, dass ein eventueller Stromausfall auch getestet wurde.
Übrigens, die Fernseher und andere hochwertige elektronische Geräte schalten sich nach einer gewissen Stundenzahl auch einfach ab, dann hilft auch kein Netzstecker.
Das ist moderne, hardwarenahe Programmierung, die gewollt ist; nur zur Aufmunterung.
ein_lächeln
..ich bin da sehr vorsichtig mit der Beurteilung, ob es ein einfacher, simpler Fehler ist.
Wir kennen alle nicht den kompletten Ablauf, der nun im Beitrag fasst lächerlich dargestellt wird.
Natürlich erwartet man, dass sie eins und eins zusammenzählen können, doch mich sträubt es irgendwie zu glauben, dass es soooo einfach ist.
Ich glaube mal, dass genügend Testflüge gemacht wurden und, dass ein eventueller Stromausfall auch getestet wurde.
Übrigens, die Fernseher und andere hochwertige elektronische Geräte schalten sich nach einer gewissen Stundenzahl auch einfach ab, dann hilft auch kein Netzstecker.
Das ist moderne, hardwarenahe Programmierung, die gewollt ist; nur zur Aufmunterung.
ein_lächeln
Re: Softwarefehler in einem Flugzeug und die möglichen Folgen
geschrieben von ehemaliges Mitglied
@ detDer Fehler ist so lächerlich einfach, das ist in der Direktive der Amerikanischen Flugsicherheitsbehörde nachzulesen. Denkbar wäre zum Beispiel, daß Boeing die fraglichen Generatoren von einem Hersteller bezieht und vergessen wurde, das "Kleingedruckte" in der Anleitung der Geräte zu lesen.
..ich bin da sehr vorsichtig mit der Beurteilung, ob es ein einfacher, simpler Fehler ist.
Wir kennen alle nicht den kompletten Ablauf, der nun im Beitrag fasst lächerlich dargestellt wird.
Es wäre nicht das erste Mal, daß ein "lächerlicher" Fehler gravierende Folgen hat. Denk an den Absturz des Mars Climate Orbiter, der nur dadurch verursacht wurde, daß niemand darauf geachtet hat, ob alle Beteiligten im gleichen Maßsystem (metrisch vs. amerikanisch) rechnen.
Aus der beruflichen Erfahrung kann ich dir sagen, daß amerikanische Hersteller häufig eine andere Vorstellung von Qualitätssicherung haben als zum Beispiel japanische Firmen. Wir haben aus den USA Geräte bekommen, die in Japan niemals das Werk verlassen hätten.
det