Sie verwenden eine veraltete Browserversion. Bitte verwenden Sie eine unterstütze Versiondamit Sie MSN optimal nutzen können.

Boeing 737 Max: Die größte Gefahr ist der Mensch

ZEIT ONLINE-Logo ZEIT ONLINE 15.03.2019 Dirk Asendorpf

Der Absturz von zwei Boeing 737 Max verunsichert Passagiere und Luftfahrt: Machen immer komplexere Computersteuerungen Flugzeuge unberechenbar? Nein, im Gegenteil.

Längst am Boden und da bleibt sie vorerst auch: eine American Airlines Boeing 737 Max 8 im Landeanflug über Washington, D. C. am 13. März 2019 © Joshua Roberts/Reuters Längst am Boden und da bleibt sie vorerst auch: eine American Airlines Boeing 737 Max 8 im Landeanflug über Washington, D. C. am 13. März 2019

Sie heißt weiterhin 737, doch flugtechnisch ist die Boeing 737 Max 8 keine stufenlose Weiterentwicklung bisheriger Versionen des meistverkauften Flugzeugmodells der Welt. Um die besonders leisen und treibstoffsparenden, aber auch besonders großen Triebwerke der 737 Max unterzubringen, haben die Boeing-Ingenieure die Aufhängung unter den Flügeln deutlich verkürzt. Das führt dazu, dass es bei einem überzogenen Steigflug eher zu einem gefährlichen Strömungsabriss kommt als bei den Vorgängerversionen. Eine MCAS genannte Software soll das verhindern. Doch sie steht jetzt im Verdacht, innerhalb von fünf Monaten den Absturz zweier fast fabrikneuer 737 Max 8 Maschinen in Indonesien und Äthiopien zumindest mitverursacht zu haben. 346 Menschen starben.

Zwar liegt im ersten Fall noch kein Abschlussbericht der Unfalluntersuchung vor und im zweiten Fall hat sie noch gar nicht richtig begonnen. Trotzdem ist die Sorge um eine Fehlfunktion der neuen Software offenbar so groß, dass die Luftaufsichtsbehörden von China über die EU bis in die USA ein Flugverbot für die neue 737-Version angeordnet haben, das auch von Boeing selber unterstützt wird. Jetzt ist die Verunsicherung groß – und eine alte Debatte lebt neu auf: Ist die Aufrüstung mit immer mehr Computersteuerung eine Gefahr für die Flugsicherheit?

In der Softwareentwicklung arbeitet niemand so sorgfältig wie die Luftfahrtindustrie.

Holger Hermanns, Informatiker

Tatsächlich spielt Software in modernen Verkehrsflugzeugen aller Hersteller eine immer wichtigere Rolle. Nicht aber als Ursache von Unfällen. Im Gegenteil: Der Einsatz komplexer Software hat dazu geführt, dass der Flugverkehr in den vergangenen Jahrzehnten immer sicherer geworden ist. Die größte Gefahr geht inzwischen von den Menschen im Cockpit aus. Weil die Technik immer besser funktioniert, sind Pilotenfehler für rund die Hälfte aller schweren Unfälle verantwortlich. Mechanisches Versagen, Unwetter und Terrorismus folgen als weitere Ursachen. Zu diesem Ergebnis kommt Simon Bennett von der Universität Leicester in einer 2015 veröffentlichten Auswertung. Ein Fall, in dem ausschließlich Softwarefehler für den Absturz eines Flugzeugs verantwortlich gewesen wären, ist bisher nicht bekannt.

Das interessiert MSN-Leser heute auch:

Boeing: Der Hersteller geht noch einen Schritt weiter

Boeing 737 Max 8: Flugschreiber werden nach Frankreich gebracht

Nach Verbot: Erste Airline will Entschädigung von Boeing fordern

"In der Softwareentwicklung arbeitet niemand so sorgfältig wie die Luftfahrtindustrie", sagt der Informatiker Holger Hermanns, der an der Universität des Saarlandes zur Sicherheit von Softwaresystemen forscht. Während die Assistenzsysteme moderner Autos von Software gesteuert werden, die von verschiedenen Herstellern stammt und über die Jahre recht wildwüchsig zusammengewachsen ist, gelten in der Luftfahrtindustrie strenge Vorschriften und Kontrollen. Dazu gehöre zum Beispiel ein Vieraugenprinzip, so Hermanns: "Jedes Stück Code, das ein Programmierer heute schreibt, wird morgen von einem Kollegen Zeile für Zeile überprüft." Und anders als bei der Zulassung neuer Automodelle verlangen die zuständigen Behörden bei der Zulassung neuer Flugzeuge einen Nachweis für die Fehlerfreiheit der verwendeten Software.

Der ist bei vielen Millionen Programmzeilen allerdings nie vollständig möglich. Denn für die Suche nach Softwarefehlern muss wiederum Software genutzt werden. Und wenn die Fehler findet, kann sie nicht gleichzeitig garantieren, dass keine Fehlalarme darunter sind, die im Anschluss aufwändig manuell geprüft werden müssten. Umgekehrt kann sie zwar Fehlalarme ausschließen, dann aber nicht garantieren, dass alle Fehler gefunden wurden. Als Satz von Rice ist dieser Zusammenhang Informatikern seit 60 Jahren bekannt. Die Suche nach Softwarefehlern muss deshalb immer einen praktikablen Kompromiss zwischen diesen beiden Polen finden.

Wie er im Fall neuer Flugzeugsoftware aussehen soll, ist in einem weltweit gültigen Standard festgelegt, der Norm DO-178C. An vielen Stellen sei die jedoch recht uneindeutig, kritisiert der Saarbrücker Informatiker Reinhard Wilhelm: "Da ist von Verifikation oder semantischer Codeanalyse die Rede, es fehlen aber genaue Definitionen." Er ist überzeugt, dass die Vorschriften in Europa besonders streng, in den USA dagegen "eher pragmatisch" ausgelegt würden. Ganz unbefangen ist Wilhelm allerdings nicht. Der emeritierte Hochschullehrer hat 1998 ein Unternehmen mitgegründet, das Werkzeuge für die Suche nach Softwarefehlern entwickelt und anwendet. Größter Kunde ist der Flugzeughersteller Airbus, sein Konkurrent Boeing hat eine Zusammenarbeit abgelehnt.

Insgesamt hält aber auch Wilhelm Flugzeugsoftware für besonders zuverlässig. Anders als bei Neuzulassungen von Autos wird sie von den zuständigen Behörden tatsächlich anhand des Programmcodes kontrolliert. Deshalb dauert eine Zertifizierung in der Luftfahrt auch wesentlich länger als in anderen Industriebereichen. Mit einem schnellen Softwareupdate ist im Fall der stillgelegten 737-Max-Flotte nicht zu rechnen. Die Fluggesellschaften müssen sich auf eine monatelange Wartezeit einstellen – und werden dafür beim Hersteller Entschädigungen einfordern.

Damit rächt sich der Trick, zu dem Boeing bei der Einführung der 737 Max gegriffen hat. Weil sie deutlich andere Flugeigenschaften als frühere 737-Versionen hat, hätte Boeing von seinen Kunden eigentlich eine umfangreiche Nachschulung ihrer Piloten verlangen müssen. Doch so etwas mögen Fluggesellschaften gar nicht. Um ihnen den Umstieg auf die neue Modellversion schmackhaft zu machen, hat Boeing deshalb damit geworben, dass es im Cockpit der 737 Max gar keine wesentlichen Veränderungen zu den Vorgängerversionen gibt. Die MCAS-Software (Maneuvering Characteristics Augmentation System) soll das im Hintergrund garantieren. "Sie gaukelt dem Piloten vor, eine normale 737 zu fliegen", sagt der Informatiker Holger Hermanns.

Ein wesentlicher Unterschied zwischen beiden Abstürzen

Wenn die Sensoren der Software das drohende Überziehen eines Steigflugs melden, verstellt sie automatisch das Höhenleitwerk. Die Nase des Flugzeugs sinkt leicht und seine Geschwindigkeit steigt. Für den Piloten fühlt es sich an, als würde er eine klassische 737 steuern. Doch in Indonesien und Äthiopien scheint dieser Mechanismus grundlos ausgelöst worden zu sein. Die Folge: Die Unglücksmaschinen gingen in einen Sinkflug, den die Piloten offenbar nicht mehr stoppen konnten.

Auch wenn sich die beiden Unfälle stark ähneln – es gibt auch einen wesentlichen Unterschied. Die Piloten, die Ende Oktober das indonesische Unglücksflugzeug steuerten, kannten die neu eingeführte MCAS-Software offenbar gar nicht und konnten womöglich deshalb nicht richtig auf den von ihr ausgelösten Sinkflug reagieren. Für die Piloten der äthiopischen Unglücksmaschine kann das nicht gelten. Denn die mögliche Unfallursache wurde nach dem ersten Unfall in der allgemeinen Öffentlichkeit und erst recht in Fachkreisen breit diskutiert. Außerdem hat Boeing das Handbuch der 737 Max in der Zwischenzeit ergänzt. Dort steht auch, wie MCAS vom Piloten abgeschaltet werden kann.

Mehr auf MSN

Video wiedergeben
| Anzeige
| Anzeige

Mehr von ZEIT ONLINE

ZEIT ONLINE
ZEIT ONLINE
| Anzeige
image beaconimage beaconimage beacon