Ich präsentiere Ihnen die Übersetzung des Artikels „Wie die Boeing 737 Max-Katastrophe für einen Softwareentwickler aussieht“ von Greg Travis. Es wird darum gehen, wie der Wunsch der Boeing, Geld zu sparen und für kommerzielle Zwecke „Abstriche zu machen“, sowie die Kultur der „Inkompetenz und Unethik“ in der Entwicklungsgemeinschaft zum Tod von 346 Menschen führten. Ich teile nicht in allem die Position des Autors (insbesondere glaube ich, dass der menschliche Faktor viel böser ist als Software), aber es ist schwer, den Hauptargumenten zu widersprechen.
Unten sind viele Buchstaben. Wenn Sie Faulheit lesen, sich aber mit dem Thema vertraut machen möchten, dann gibt es auf Habré die erste, kürzere Version dieses Artikels in der Übersetzung von
Vyacheslav Golovanov , die Sie
hier finden .
Die in diesem Artikel geäußerten Ansichten sind ausschließlich die des Autors und nicht die Position von IEEE Spectrum oder IEEE ( ca. Übersetzung - und auch des Übersetzers :) ).
Ich bin ein Pilot mit 30 Jahren Erfahrung und ein Softwareentwickler mit 40 Jahren Erfahrung. Ich habe viel über Luftfahrt und Softwareentwicklung geschrieben. Es ist an der Zeit, über beide Dinge gleichzeitig zu schreiben.
Jetzt sind alle Nachrichten voller Schlagzeilen über die
Unfälle des neuen Flugzeugmodells Boeing 737 Max (Eng.) , Die mit dem neu veröffentlichten Flugzeug buchstäblich nacheinander auftraten. Für eine Branche, deren Existenz vollständig vom Gefühl der vollständigen Kontrolle und Sicherheit der Kunden abhängt, stellen diese beiden Abstürze eine große existenzielle Gefahr dar. Und trotz der Tatsache, dass in den letzten Jahrzehnten die Zahl der Todesfälle bei Flugzeugabstürzen zurückgegangen ist, ist diese Leistung keineswegs ein Grund für übermäßiges Selbstvertrauen.
WestJet Boeing 737 MAX 8, acefitt , Creative Commons Namensnennung 2.0 AllgemeinDas erste Boeing 737-Modell erschien 1967, als ich 3 Jahre alt war. Es war ein kleines Flugzeug mit kleinen Motoren und relativ einfachen Steuerungssystemen.
Die Fluggesellschaften (insbesondere der amerikanische Südwesten) liebten sie wegen ihrer Einfachheit, Zuverlässigkeit und Flexibilität. Außerdem waren für die Steuerung im Cockpit anstelle der damals üblichen drei oder vier Personen nur zwei Besatzungsmitglieder erforderlich, wodurch die Fluggesellschaften erheblich sparen konnten. Mit der Entwicklung des Luftverkehrsmarktes und dem Aufkommen neuer Technologien wuchs die Größe des 737 rapide und die Komplexität von Elektronik und Mechanik nahm zu. Natürlich sind nicht nur 737 gewachsen. Verkehrsflugzeuge erfordern enorme Investitionen sowohl von der Flugzeugindustrie als auch von den Fluggesellschaften, die sie kaufen, weshalb beide auch ständig erweitert wurden.
Die meisten dieser Markt- und Technologiekräfte handelten jedoch auf der Grundlage der wirtschaftlichen Interessen der Unternehmen und nicht im Interesse der Sicherheit der Fahrgäste. Die Ingenieure arbeiteten unermüdlich daran, die von der Branche als „Kosten pro Passagierkilometer“ bezeichneten Kosten für die Beförderung eines Passagiers von Punkt A nach Punkt B zu senken.
Ein Großteil dieser Optimierungsgeschichte hat mit Motoren zu tun.
Carnots Effizienzsatz (Effizienz) von Wärmekraftmaschinen besagt, dass ein Motor umso effizienter wird, je heißer er ist. Dieses Prinzip gilt gleichermaßen für das Kettensägenmotor und für das Strahltriebwerk.
Grundstufe. Der einfachste und schnellste Weg, einen Motor in Bezug auf den Kraftstoffverbrauch pro Leistungseinheit effizienter zu machen, besteht darin, ihn größer zu machen. Deshalb hat der Lycoming O-360-Motor in meiner kleinen Cessna Kolben von der Größe einer großen Platte. Daher sind Dieselmotoren in Seeschiffen so groß wie ein dreistöckiges Haus. Und genau aus dem gleichen Grund wollte Boeing die riesigen LEAP-Motoren von CFM International in den neuen 737 einbauen.
Es gibt nur ein kleines Problem: Der ursprüngliche 737 war nach heutigen Maßstäben mit sehr kleinen Motoren ausgestattet, was es einfach machte, sie unter den Tragflächen zu platzieren. Mit zunehmender Größe des 737 wuchsen jedoch auch seine Motoren, und der Abstand zwischen ihnen und dem Boden wurde immer kleiner.
Um dieses Problem zu umgehen, wurden viele Tricks erfunden (oder „Hacks“, wie Softwareentwickler sie nennen würden). Am auffälligsten und offensichtlichsten für die Öffentlichkeit ist es beispielsweise, die Form der Lufteinlässe von rund nach oval zu ändern, um mehr Platz unter dem Motor zu schaffen.
Beim 737 Max wurde die Situation kritisch. Der Durchmesser der Schaufeln der am ursprünglichen 737 verbauten Motoren betrug 100 cm (40 Zoll), bei den neuen Motoren des 737 Max erhöhte sich der Durchmesser auf 176 cm. Bei einem Unterschied in der Mittellinie von mehr als 30 cm kann der Lufteinlass nicht mehr so oval sein, dass der Motor fing nicht an, den Boden zu kratzen.
Dann wurde beschlossen, den Motor von oben aufzubauen und relativ zum Flügel nach vorne und oben zu verschieben. Dies führte wiederum zur Verschiebung der Axiallinie des Motorschubs. Mit zunehmender Triebwerksleistung neigt das Flugzeug nun zur Verkabelung, dh zur Nase.
Als Referenz: Der Anstellwinkel eines Flugzeugs ist der Winkel zwischen der Richtung des Geschwindigkeitsvektors des einströmenden Luftstroms und der Flügelebene. Stellen Sie sich vor, Sie stecken Ihre Hand aus dem offenen Fenster eines Autos, das sich auf der Autobahn bewegt. Wenn Sie Ihre Handfläche fast parallel zum Boden halten, ist dies ein kleiner Anstellwinkel. Wenn Sie Ihre Handfläche um die Ebene der Erde drehen, erhöhen Sie den Anstellwinkel. Wenn der Anstellwinkel zu groß (überkritisch) wird, tritt ein aerodynamischer Strömungsabriss infolge einer Unterbrechung des Luftstroms auf. Sie können dies selbst überprüfen, indem Sie Ihre Hand aus dem Fenster eines fahrenden Autos nehmen: Wenn Sie Ihre Hand langsam drehen, spüren Sie eine zunehmende Hebekraft, die Ihre Hand nach oben drückt, bis Ihre Hand plötzlich herunterfällt - dies ist ein Strömungsabriss mit anschließendem Stillstand.
Es stellt sich also heraus, dass die Tendenz zur Umstellung mit zunehmender Motorleistung in der Praxis das Risiko einer Weiterentwicklung des Flugzeugstillstands birgt, wenn die Piloten das Gas drücken (wie mein Sohn gerne sagt). Eine solche Entwicklung von Ereignissen wird besonders wahrscheinlich bei einer niedrigen Fluggeschwindigkeit.
Schlimmer noch, aufgrund der Tatsache, dass die Triebwerksgondeln so weit fortgeschritten und so groß sind, erzeugen sie selbst Auftrieb, insbesondere bei großen Anstellwinkeln. Das heißt, die Gondeln haben die ohnehin schon schlechte Situation noch schlimmer gemacht.
Ich betone: Bei 737 Max wirken die Triebwerksgondeln selbst in hohen Anstellwinkeln wie Flügel und erzeugen Auftrieb. Darüber hinaus ist das Aufbringungszentrum dieser Kraft relativ zum Aufbringungszentrum der Auftriebskraft des Flügels weit nach vorne verschoben, was wiederum dazu führt, dass der 737 Max dazu neigt, den Anstellwinkel mit zunehmendem Anstellwinkel noch weiter zu vergrößern. Und dies ist das schlimmste Beispiel für Inkompetenz in der Aerodynamik.
An sich ist eine Änderung der Steigung mit einer Änderung der Triebwerksleistung ein ziemlich häufiges Ereignis bei der Flugzeugsteuerung. Sogar meine kleine Cessna hebt ihre Nase ein wenig, während sie Gas gibt. Während des Trainings werden die Piloten über solche Schwierigkeiten informiert und lernen, sie zu überwinden. Es gibt jedoch bestimmte Sicherheitsgrenzen, die von den Aufsichtsbehörden festgelegt wurden und mit denen die Piloten selbst fertig werden können.
Es ist etwas ganz anderes, wenn sich die Tonhöhe mit zunehmendem Anstellwinkel ändert. Ein Flugzeug, das sich bereits dem Punkt des aerodynamischen Strömungsabrisses nähert, sollte unter keinen Umständen die Tendenz haben, diesen Effekt weiterzuentwickeln. Diese Eigenschaft wird als "dynamische Instabilität" bezeichnet, und die einzige Flugzeugklasse, in der sie zulässig ist - Jäger - ist mit Katapulten für Piloten ausgestattet.
Jeder in der Luftfahrtgemeinschaft träumt von einem Flugzeug, das so natürlich und einfach wie möglich zu fliegen ist. Wenn Sie beispielsweise die Motorleistung ändern, die Klappen absenken oder das Fahrwerk ausfahren, sollten sich die Flugbedingungen nicht merklich ändern, es sollten keine Rollen auftreten oder die Steigung sollte sich ändern - das Verhalten sollte vorhersehbar bleiben.
Der Rumpf des Flugzeugs (das Eisen selbst) sollte zunächst so vorhersehbar wie möglich funktionieren und keine zusätzlichen „Schnickschnack“ erfordern. Dieser Luftfahrtkanon wurde während der ersten Flüge der Gebrüder Wright nach Kitty Hawk festgelegt.
Offensichtlich steckt das neue Modell Boeing 737 Max bei erhöhter Traktion zu viel in die Nase, insbesondere bei bereits großen Anstellwinkeln. Sie verstießen gegen das älteste Luftfahrtgesetz und möglicherweise gegen die Zertifizierungskriterien der FAA (Federal Aviation Administration) in den USA. Anstatt zum Zeichenbrett zurückzukehren und den Körper des Flugzeugs zu reparieren, entschied sich Boeing für eine Art
„Manövering Characteristics Augmentation System“ ( MCAS).
Boeing löste das Problem mit Eisen mithilfe von Software.
Ich werde eine Diskussion über die Entstehung einer Unternehmenssprache (
ca. Übersetzung: Anscheinend bedeutet der Autor, dass der Name "System zur Verbesserung der Manövrierfähigkeit" nicht bedeutet, wie es absolut nichts tut, was für die Luftfahrt ungewöhnlich ist ) in der Luftfahrt hinterlassen Lexikon für einen anderen Artikel, aber beachten Sie, dass dieses System anders bezeichnet werden könnte, z. B. "Ein billiger Weg, um einen Stillstand zu verhindern, wenn die Piloten ihn schlagen" (CWTPASWTPPI). Es lohnt sich jedoch wahrscheinlich, bei MCAS anzuhalten.
Natürlich ist MCAS eine viel billigere Alternative zur Tiefbearbeitung der Flugzeugzelle, da neue große Triebwerke untergebracht werden müssen. Eine solche Verarbeitung könnte beispielsweise das Verlängern des vorderen Fahrwerks (das dann beim Einziehen in den Körper nicht in den Rumpf passen könnte), das Zusammenklappen der Flügel oder einige andere ähnliche Änderungen erfordern. Das wäre ungeheuer teuer.
Die gesamte Entwicklung und Herstellung des Max 737 erfolgte unter der Schirmherrschaft des Mythos "Dies ist das gleiche gute alte 737". Erkennen Sie, dass dies kein altes Modell ist, und eine erneute Zertifizierung würde Jahre dauern und Millionen von Dollar erfordern.
"Tatsächlich können Piloten, die 1967 zum Fliegen der Boeing 737 zugelassen wurden, alle nachfolgenden Versionen der 737 steuern."
Aus einer Überprüfung einer früheren Version eines Artikels von einem der 737 Piloten bei einer der größten Fluggesellschaften.
Schlimmer noch, solche großen Änderungen würden nicht nur eine erneute Zertifizierung durch die FAA erfordern, sondern auch die Entwicklung eines völlig neuen Boeing-Segelflugzeugs. Jetzt sprechen wir über wirklich großes Geld, sowohl für Flugzeughersteller als auch für Fluggesellschaften.
Und alles, weil das Hauptargument der Boeing beim Verkauf der 737 Max war, dass es dieselbe 737 war und jeder Pilot, der mit früheren Modellen flog, auch Max kontrollieren konnte - ohne teure Umschulung, Erhalt eines neuen Zertifikats und einer neuen Bewertung. Fluggesellschaften - und Südwesten sind ein Paradebeispiel - bevorzugen in der Regel eine Flotte eines "Standard" -Flugzeugtyps. Sie bevorzugen ein einziges Flugzeugmodell, das von jedem ihrer Piloten gesteuert werden kann, da dann sowohl Piloten als auch Flugzeuge austauschbar werden, was die Flexibilität maximiert und die Kosten minimiert.
Auf die eine oder andere Weise kommt es auf das Geld an, und MCAS ist für Boeing und seine Kunden zu einer weiteren Gelegenheit geworden, Geld in die richtige Richtung fließen zu lassen. Die Notwendigkeit, darauf zu bestehen, dass sich die Flugeigenschaften des 737 Max nicht von den vorherigen 737-Modellen unterschieden, war der Schlüssel zur Austauschbarkeit der 737 Max-Flotte. Dies war wahrscheinlich der Grund dafür, dass die Dokumentation über die Existenz von MCAS verborgen war.
Wenn diese Änderung zum Beispiel plötzlich zu auffällig wurde, sie sich beispielsweise im Handbuch des Flugzeugs widerspiegelte, oder wenn den Piloten eine Schulung unterzogen wird, würde jemand - wahrscheinlich jemand von den Piloten - aufstehen und sagen: Hey, etwas, das nicht wie 737 aussieht. " Und das Geld würde in die falsche Richtung fließen.
Wie ich bereits erklärt habe, können Sie selbst ein Experiment mit einem Anstellwinkel durchführen, indem Sie einfach Ihre Hand aus dem Fenster eines fahrenden Autos strecken und Ihre Handfläche drehen. Eine so komplexe Maschine wie ein Flugzeug hat also auch das mechanische Äquivalent einer Hand, die aus einem Fenster freigelegt wird - einen Anstellwinkelsensor.
Sie können es beim Einsteigen in ein Flugzeug bemerken. In der Regel gibt es zwei davon, eine auf jeder Seite des Flugzeugs, normalerweise direkt unter den Fenstern des Cockpits. Verwechseln Sie sie nicht mit Staurohren (lesen Sie weiter unten). Der Anstellwinkelsensor sieht aus wie eine Wetterfahne, und das Staurohr sieht aus wie ... hmm, Rohr. Der Anstellwinkelsensor sieht aus wie eine Wetterfahne, gerade weil es sich um eine Wetterfahne handelt. Sein mechanischer Flügel bewegt sich als Reaktion auf Änderungen des Anstellwinkels.
Staurohre messen die Kraft, mit der der Luftstrom auf das Flugzeug „drückt“, und der Anstellwinkelsensor bestimmt, aus welcher Richtung dieser Strom kommt. Da Staurohre tatsächlich den Druck messen, werden sie verwendet, um die Geschwindigkeit des Flugzeugs relativ zur Luft zu bestimmen. Der Anstellwinkelsensor bestimmt die Richtung des Flugzeugs relativ zur Strömung.
Es gibt zwei Sätze Winkelsensoren und zwei Sätze Staurohre, einen auf jeder Seite des Rumpfes. In der Regel werden Instrumente, die an der Seite des Hauptpiloten installiert sind, von Sensoren auf derselben Seite des Rumpfes abgelesen. In ähnlicher Weise zeigen die Instrumente des zweiten Piloten die Werte von den Sensoren seiner Schiffsseite. Dieser Ansatz schafft eine natürliche Redundanz in der Ausrüstung, die eine schnelle und einfache Kreuzvalidierung durch jeden der Piloten ermöglicht. Wenn der Copilot seine Fluggeschwindigkeitsanzeige als ungerade ansieht, kann er sie mit dem ähnlichen Gerät an der Seite des Hauptpiloten vergleichen. Wenn das Zeugnis abweicht, finden die Piloten heraus, welches der Geräte die Wahrheit zeigt und welches lügt.
Es war einmal ein Witz, dass, wenn Flugzeuge in Zukunft alleine fliegen können, ein Pilot und ein Hund immer noch im Cockpit sitzen müssen. Ein Pilot wird benötigt, damit die Passagiere ruhiger werden, wenn sie feststellen, dass sich jemand vor ihnen befindet. Der Hund muss den Piloten beißen, wenn er versucht, etwas zu berühren.
Im Jahr 737 stellte die Boeing nicht nur Backup-Flugzeuggeräte und -Sensoren her, sondern auch einen Backup-Bordcomputer, auf dem jeweils ein Computer vom Haupt- und vom zweiten Piloten installiert wurde. Ein Flugcomputer macht viele verschiedene nützliche Dinge, aber seine Hauptaufgabe besteht darin, das Flugzeug automatisch zu steuern, wenn er dazu aufgefordert wurde, und zu überprüfen, ob der Pilot im manuellen Pilotenmodus keine Fehler gemacht hat. Der letzte Absatz heißt "Schutz der Reichweite der Flugmodi".
Aber nennen wir einen Spaten einen Spaten - das ist der „beißende Hund“ aus dem Witz.
Was macht MCAS? Dieses System sollte die Nase des Flugzeugs absenken, wenn es der Ansicht ist, dass das Schiff die Grenzen akzeptabler Anstellwinkel überschreitet, um ein aerodynamisches Abwürgen zu vermeiden. Boeing installierte MCAS im 737 Max, da größere Motoren und ihr neuer Standort das Abwürgen wahrscheinlicher machten als in früheren Generationen des Modells.
In diesem Moment, wenn der MCAS feststellt, dass der Anstellwinkel zu groß geworden ist, befiehlt er den Trimmern des Flugzeugs (dem System, das das Flugzeug nach oben oder unten bewegt), den Bug des Schiffes nach unten zu richten. Sie macht auch noch etwas anderes: Indirekt drückt sie mit dem, was Boeing als „Elevator Feel Computer“ (Elevator Sensing Computer, EFC) bezeichnet, die Steuerräder des Piloten (Helme, die Piloten drücken oder ziehen, um ihre Nase anzuheben oder abzusenken Flugzeuge) nach unten.
In 737 Max überwacht ein Computer wie die meisten modernen Verkehrsflugzeuge und sogar Autos alle Prozesse oder steuert sie sogar direkt. In vielen Fällen besteht keine direkte mechanische Verbindung mehr (d. H. Kabel, Hydraulikleitungen und -rohre) zwischen den Steuerwerkzeugen des Piloten und dem realen aerodynamischen Heck, Kiel und anderen Geräten des Flugzeugs, die das Flugzeug zum Fliegen bringen. Und wenn es eine solche mechanische Verbindung gibt, entscheidet der Computer, was der Pilot mit ihnen (und wieder dem gleichen beißenden Hund) tun darf.
Es ist jedoch wichtig, dass die Piloten eine physische Antwort auf alles erhalten, was passiert. In den guten alten Zeiten, als die Kabel die Steuerelemente der Piloten mit dem Gefieder verbanden, mussten sie das Ruder mit großer Anstrengung ziehen, wenn das Flugzeug ausfiel. Sie mussten ihn zwingen, ihn zu schieben, wenn das Flugzeug an Höhe gewann. Unter der Aufsicht eines Computers verschwanden die natürlichen Kontrollgefühle. Der 737 Max hat kein "natürliches Gefühl" mehr.
Ja, 737 gibt es redundante Hydrauliksysteme, die die Steuerungen, mit denen der Pilot interagiert, verbinden und Querruder und andere Teile des Flugzeugs direkt bedienen. Diese Hydrauliksysteme sind jedoch so leistungsstark, dass sie keine direkte Rückmeldung von den auf die Querruder wirkenden aerodynamischen Kräften übertragen. Piloten werden nur fühlen, was der Computer sie fühlen lässt. Und manchmal sind die Empfindungen nicht so angenehm.
Wenn der Flugcomputer das Flugzeug anweist, aufgrund der Tatsache, dass das MCAS-System beschlossen hat, in den Stall einzusteigen, abzulehnen, bewegt eine Kette von Motoren und Kompensatoren die Helme im Cockpit vorwärts. Und es stellte sich heraus, dass der Computer so viel Mühe in die Helme stecken kann, dass die Piloten, die versuchen, sie an sich zu ziehen und dem Computer zu zeigen, dass er etwas völlig falsch macht, schnell erschöpft sind.
Tatsächlich war die Tatsache, dass das System es dem Piloten nicht erlaubt, das Flugzeug zu steuern, indem er das Ruder über sich zieht, eine bewusste Entscheidung der 737 Max-Designer. Denn wenn Piloten die Kontrollsäule ziehen und die Nase des Flugzeugs nach oben lenken können, wenn das MCAS-System sagt, dass es nach unten zeigen soll, worum geht es dann in einem solchen System?
, MCAS , , , . , , ().
, MCAS, : «, 737», .
— . , , , , . . .
, , . , , , , , . «» , , . — .
737 Max — , . , .
, , , , . , , « ». . -. . — .
, — , , — .
. , , , , . , .
, , . , . , MCAS . , .
, MCAS . .
— HAL, .
— , , , .
MCAS , , , , , “” .
FAA . , , .
, , , FAA , . . FAA , , .
FAA : « , ?” : „ .” FAA: “ , .»
« » (“Designated Engineering Representative,” DER). , , FAA , .
, , , . , . DER , . , - , “ ".
, MCAS 737 Max , , . , , , .
: , MCAS, , 0.8 , , , .
, . , MCAS, , , , , . , ?
, — 737 Max. . 737 . . , , ( ), , . №3.
. , «» DER, .
. , , .
, 737 Max, . Cessna 172 1979 , . 737 (1955 1967).
, ( Garmin G5s) (CAN,
Controller Area Network ), . CAN Drive-by-Wire ( ),
ARINC , 737 Max.
. , 172, MCAS 737 Max. , 737 Max, , , , , , , Lion Air.
, « ” ( ), „“ . , Cessna, , , , . , „ “.
, $20,000 737 , . ?
, (“Supplemental Type Certificate,” STC). , FAA , Cessna 172 1979 Garmin , - , Cessna 172. .
, () ( ), , , . , .
, , , , .
, , . , , . , 172, , 172.
, , Cessna, , 737 Max.
: , , 737 Max , . , MCAS , , , . MCAS …
Ein weiterer Unterschied zwischen meinem Autopiloten und dem System mit dem MCAS in 737 Max besteht darin, dass die an den CAN-Bus angeschlossenen Geräte ständig kommunizieren und Gegenprüfungen durchführen, was MCAS anscheinend nicht tut. Beispielsweise fragt ein Autopilot ständig beide G5-Bordcomputer ab, um den Standort zu bestimmen. Wenn die Daten abweichen, benachrichtigt das System den Piloten und fährt herunter, um in den manuellen Steuermodus zu wechseln. Sie lenkt das Flugzeug nicht in den Boden, wenn sie plötzlich zu glauben beginnt, dass er gleich herunterfallen wird.
Und wahrscheinlich ist der größte Unterschied die Kraft, die der Pilot ausüben muss, um die Autopilot-Befehle in meinem Flugzeug und auf der 737 Max zu unterdrücken. In meinem 172 gibt es noch Kabel, die die Steuerungen direkt mit aerodynamischen Oberflächen verbinden. Der Computer muss die gleichen Hebel wie ich drücken und ist viel schwächer als ich. Wenn der Computer fälschlicherweise feststellt, dass das Flugzeug abfällt, kann ich seinen Widerstand leicht überwinden.
In meiner Cessna geht der Mensch immer noch als Sieger aus dem Kampf mit dem Autopiloten hervor. Genau die gleiche Philosophie hat Boeing bei der Entwicklung seines Flugzeugs immer vertreten, außerdem wurde es gegen seinen vereidigten Rivalen Airbus eingesetzt, der direkt gegenüber agierte. Mit der Veröffentlichung von 737 Max, der Boeing, scheint es jedoch, ohne es jemandem zu sagen, beschlossen zu haben, die Strategie der Beziehung zwischen Mensch und Maschine zu ändern und die Bedienungsanleitung ebenso leise zu ändern.
All diese Saga mit 737 Max sollte uns nicht nur lehren, dass Komplikationen zu zusätzlichen Risiken führen und dass die Technologie ihre eigenen Grenzen hat, sondern auch, was wir echte Prioritäten haben sollten. Heute geht es hauptsächlich um Geld, nicht um Sicherheit. Sie denken nur insoweit darüber nach, als es notwendig ist, die Geldbewegung in die richtige Richtung fortzusetzen. Das Problem wird von Tag zu Tag akuter, da Geräte zunehmend von Software abhängig sind, die zu einfach zu ändern ist.
Defekte an Gerät und Hardware, ob schlecht positionierte Motoren oder in der Kälte verstreute O-Ringe, sind offensichtlich schwer zu beheben. Wenn ich "schwierig" sage, meine ich "teuer". Softwarefehler hingegen können schnell und kostengünstig behoben werden. Sie müssen lediglich das Update veröffentlichen und den Patch veröffentlichen. Darüber hinaus haben wir sichergestellt, dass Käufer dies alles als die Norm betrachten - sowohl Updates für das Betriebssystem auf dem Computer als auch Patches, die automatisch auf meinem Tesla installiert werden, während ich schlafe.
In den neunziger Jahren schrieb ich einmal einen Artikel, in dem ich die relative Komplexität von Intel Pentium-Prozessoren, ausgedrückt in der Anzahl der Transistoren pro Chip, mit der Komplexität des neuen Microsoft Windows-Betriebssystems in Quellcodezeilen verglich. Es stellte sich heraus, dass sie relativ gleich komplex waren.
Etwa zur gleichen Zeit stellte sich heraus, dass frühere Versionen von Pentium-Prozessoren einem Fehler
ausgesetzt waren, der als
FDIV-Fehler bezeichnet wurde . Nur eine kleine Anzahl von Pentium-Benutzern (ca. Übersetzung: Wissenschaftler und Mathematiker) konnte Probleme damit haben. Ähnliche Mängel wurden bei Windows festgestellt, von denen auch nur ein kleiner Teil der Betriebssystembenutzer betroffen war.
Die Auswirkungen auf Intel und Microsoft waren jedoch grundlegend unterschiedlich. Kleine Software-Patches wurden systematisch für Windows veröffentlicht, während Intel 1994 alle defekten Prozessoren zurückziehen musste. Dies kostete das Unternehmen 475 Millionen US-Dollar - mehr als 800 Millionen zu heutigen Preisen.
Meiner Meinung nach hat die relative Einfachheit und das Fehlen erheblicher Materialkosten beim Aktualisieren von Software zur Entwicklung einer Kultur der Faulheit in der Entwicklergemeinschaft geführt. Aufgrund der Tatsache, dass Software immer mehr "Hardware" steuert, beginnt diese Kultur der Faulheit in die Entwicklung der Technologie einzudringen - zum Beispiel im Flugzeugbau. Immer weniger achten wir auf die Entwicklung eines korrekten und einfachen Designs der Geräte, da es so einfach ist, den Fehler mithilfe von Software zu beheben.
Jedes Mal, wenn ein neues Update für meinen Tesla, den Garmin-Flugcomputer in meiner Cessna, den Nest-Thermostat oder den Fernseher in meinem Haus herauskommt, stelle ich erneut fest, dass keines dieser Dinge ab Werk wirklich fertig ist. Weil ihre Schöpfer erkannt haben, dass dies nicht notwendig ist. Die Arbeit kann einige Zeit später beendet werden, indem das nächste Update veröffentlicht wird.
»Ich bin ein Netzwerktechniker, ein ehemaliger Programmierer, der Software für die Flugzeugavionik geschrieben hat. Es war immer merkwürdig, dass wir dem Kampf ausweichen mussten, um ein neues Motherboard in einen zertifizierten Computer einzubauen, und für die Software war keine Zertifizierung erforderlich (mit Ausnahme allgemeiner Einschränkungen wie „Kann nicht unter Windows funktionieren“ oder „Muss in C ++ geschrieben sein“). Es stimmt, es war vor ungefähr 10 Jahren, ich hoffe, dass die Dinge jetzt anders sind. "
- Anonym aus persönlicher Korrespondenz
Boeing installiert derzeit ein neues Update für den Bordcomputer und MCAS 737 Max. Ich weiß es nicht genau, aber ich glaube, dass sich dieses Update hauptsächlich auf zwei Dinge konzentrieren wird:
Die erste besteht darin, der Software beizubringen, die Instrumentierung wie bei Piloten zu überprüfen. Das heißt, wenn ein Sensor des Anstellwinkels zu melden beginnt, dass das Flugzeug bald abfällt, und der andere Sensor dies nicht tut, besteht die Hoffnung darin, dass das System das Flugzeug nicht mehr mit der Nase in den Boden lenkt, sondern die Piloten dennoch über den Konflikt benachrichtigt in den Messwerten der Sensoren.
Die zweite besteht darin, die Strategie „Zuerst schießen, später werden Sie Fragen stellen“ aufzugeben, dh verschiedene Quellen anstelle einer zu betrachten.
Für mein Leben verstehe ich nicht, wie sich herausstellte, dass diese beiden Grundprinzipien der Luftfahrtindustrie, die Grundlagen des Denkens, die der Branche bisher treu gedient haben, bei der Entwicklung von MCAS vergessen werden konnten. Ich weiß nicht und verstehe nicht, welcher Prozess in DERs Arbeit so stark unterbrochen wurde, dass er einen so grundlegenden Fehler im Projekt verursachte.
Ich vermute, dass der Grund ungefähr an der gleichen Stelle liegt wie der Grund für Boeings Wunsch, größere Motoren zu liefern und die damit verbundenen hohen Kosten zu vermeiden - der
Wunsch, kostenlosen Käse zu essen , was bekanntlich nur in einer Mausefalle geschieht.
Die Betonung der Notwendigkeit, so einfache Systeme wie möglich zu entwickeln, wird von Charles Parrow, Soziologe an der Yale University, und Autor der 1984 erschienenen
Normale Unfälle: Leben mit Hochrisikotechnologien gut demonstriert. Das ganze Wesen des Buches ist im Titel enthalten. Parrow argumentiert, dass ein Systemausfall ein normales Ergebnis des Betriebs eines komplexen Systems mit eng verwandten Komponenten ist, wenn das Verhalten einer Komponente das Verhalten einer anderen direkt beeinflusst. Trotz der Tatsache, dass solche Fehler einzeln durch eine technische Fehlfunktion oder einen fehlerhaften Prozess verursacht zu werden scheinen, sollten sie tatsächlich als integrale Merkmale des Systems selbst betrachtet werden. Dies sind die „erwarteten“ Unfälle.
Dieses Problem ist nirgends akuter als bei Systemen zur Verbesserung der Sicherheit. Jede neue Änderung, jede Komplikation wird immer weniger effektiv und führt letztendlich zu völlig negativen Ergebnissen. Das Auferlegen eines Fixes auf einen anderen, um die Sicherheit zu erhöhen, führt letztendlich zu dessen Reduzierung.
Dies ist, was uns das alte Konstruktionsprinzip des Designs sagt - "Je einfacher desto besser" (
"Halten Sie es einfach, dumm" , KISS) und seine Luftfahrtversion: "Vereinfachen, dann Leichtigkeit hinzufügen" ("Vereinfachen, dann Leichtigkeit hinzufügen"). )
Eines der Hauptprinzipien der FAA bei der Zertifizierung von Flugzeugen während der Eisenhower-Ära war ein besonderer Bündnis der Einfachheit: Flugzeuge sollten keine signifikanten Änderungen der Steigung mit einer Änderung der Motorleistung aufweisen. Diese Anforderung trat während des Bestehens einer direkten Beziehung zwischen den Steuerungen eines Piloten im Cockpit und dem Gefieder eines Flugzeugs auf. Diese Anforderung hat - als sie geschrieben wurde - zu Recht eine Anforderung an die Einfachheit der Konstruktion der Flugzeugzelle selbst auferlegt. Jetzt ist zwischen Mensch und Maschine eine Softwareschicht entstanden, und niemand weiß genau, was dort wirklich passiert. Die Dinge sind zu kompliziert geworden, um sie zu verstehen.
Ich kann die Parallelen zwischen den Katastrophen von 737 Max und dem
Space Shuttle Challenger nicht aus dem Kopf bekommen. Der Challenger-Unfall ereignete sich, weil die Leute den Anweisungen gefolgt waren und nicht umgekehrt - ein weiteres Beispiel für „normale“ Katastrophen. Die Regeln besagten, dass vor dem Start des Shuttles eine Konferenz erforderlich war, um die vollständige Flugbereitschaft sicherzustellen. Niemand sagte, dass man bei einer Entscheidung den möglichen politischen Konsequenzen, die sich aus der Verschiebung des Starts ergeben könnten, nicht zu viel Gewicht beimessen sollte. Alle Eingabedaten wurden sorgfältig nach dem festgelegten Verfahren abgewogen, die meisten stimmten dem Start zu. Und sieben Menschen kamen ums Leben.
Beim 737 Max wurde auch alles nach allen Regeln gemacht. Die Regeln besagen, dass sich die Neigung des Flugzeugs nicht zu stark ändern sollte, wenn sich die Triebwerksleistung ändert, und dass der benannte Ingenieur (DER) das Recht hat, Änderungen zu unterzeichnen, die zur Lösung dieses Problems dienen. Es gibt nichts in den Regeln, wonach DER bei einer Entscheidung nicht von geschäftlichen Überlegungen geleitet werden sollte. Und jetzt sind 346 Menschen tot.
Es ist sehr wahrscheinlich, dass MCAS zur Verbesserung der Flugsicherheit mehr Menschen getötet hat, als es jemals hätte retten können. Sie müssen nicht versuchen, das Problem durch eine weitere Erhöhung der Komplexität und zusätzliche Software zu beheben. Es muss nur entfernt werden.
Über den Autor
Greg Travis - Autor, Softwareentwicklungsmanager, Pilot, Flugzeugbesitzer. 1977, im Alter von 13 Jahren, gründete er Note, eine der ersten Social-Media-Plattformen. Seine Flugzeit beträgt mehr als 2000 Stunden. Er kontrollierte alles von Segelflugzeugen bis zur Boeing 757 (in einem Simulator mit vollständiger Bewegungssimulation).