Editorial: Neustart für Boeing

Das MCAS-System bekommt eine automatische Not-Aus-Funktion - erst ein späteres Software-Update soll für mehr Sicherheit sorgen

Von Kai Petzke

Darstellung einer Boeing 737 MAX Darstellung einer Boeing 737 MAX
(c) dpa Nach dem ersten Absturz einer Boeing 737 MAX gehörte ich zu einer recht kleinen Gruppe von Journalisten, die mehr oder weniger eindringlich vor tödlicher Software an Bord der Flugzeugserie warnten: Nach dem Lesen des vorläufigen Untersuchungsberichts war mir klar geworden, dass in der Konstruktion und vor allem der Programmierung der 737 MAX unakzeptable Risiken stecken, insbesondere in dem neu entwickelten Hilfssystem namens MCAS. Ich sprach in meinem Text von der "Fehlerhaftigkeit des MCAS" und kumulierte meine Kritik in folgender Aussage: "Ein Sicherheitssystem sollte nicht selber zum Sicherheitsrisiko werden, nur, weil es einen einzelnen, isolierten Defekt an einem einzelnen Bauteil des Flugzeugs gibt."

Die Aufregung nach dem ersten Absturz reichte aber nicht, Boeing zu einem freiwilligen Flugverbot für die MAX oder auch zu einem schnellen Update der MCAS-Software zu bewegen. Auch die Zulassungsbehörden reagierten zunächst nicht. Als dann wenige Monate später erneut eine 737 MAX abstürzte, reagierten aber die Zulassungsbehörden schnell: Erst widerruf die chinesische CAAC die Lizenz zum Fliegen, dann die europäische EASA und schließlich auch die US-amerikanische FAA. Die MAX, Boeings Hoffnungsträger im Kampf gegen den Airbus A320 NEO, dem mit (zu Beginn der Auslieferungen) über 5 000 Vorbestellungen wohl am besten vorverkauften Flugzeug überhaupt, war nun maximal gegroundet.

Nach einem Jahr am Boden fragte ich auch angesichts der beginnenden Covid-Krise, ob die Max auch das zweijährige Grounding noch erleben wird. Nun, dafür hat es nicht ganz gereicht, FAA und EASA haben dieser Tage ihre erneute Zulassung erteilt. Nur die chinesische CAAC ist hart geblieben und verweigert noch die Lizenz. Meines Erachtens reagieren sie damit als einzige Zulassungsbehörde richtig. Die EASA akzeptiert hingegen einen faulen Kompromiss, nach dem der für den sicheren Betrieb der MAX eigentlich nötige dritte AoA-Sensor erst in der Zukunft per Software nachgerüstet werden soll. Man hofft, dass in der Zeit bis dahin alles gut geht, wofür es zwar Anhaltspunkte gibt, aber keine Gewissheit.

Drei statt zwei

Darstellung einer Boeing 737 MAX Darstellung einer Boeing 737 MAX
(c) dpa Airbus rüstet seit der A320 alle seine Flugzeuge mit einem Fly-By-Wire-System aus, bei dem im Regelbetrieb der Flugcomputer "das letzte Wort hat": Wenn eine Eingabe der Piloten, beispielsweise das Ziehen oder Drücken am Sidestick, zu einer unsicheren Fluglage führen würde, dann weigert sich der Computer, dem zu folgen. Die Voraussetzung dafür ist aber, dass alle Flugcomputer redundant verbaut sind, so dass beim Ausfall eines Computers der andere übernehmen kann. Die wichtigen Sensoren für Geschwindigkeit und Anstellwinkel sind sogar dreifach verbaut. Denn wenn von zwei Sensoren einer beispielsweise den Wert "5" und der andere den Wert "50" anzeigt, dann kann der Computer nicht direkt ermitteln, welcher der beiden nun richtig ist. Wenn von drei Sensoren hingegen die Messwerte "5", "6" und "50" kommen, kann man klar schließen, welcher der drei Werte der Ausreißer ist, und diesen verwerfen. Zwischen den anderen beiden Werten wird dann gemittelt, bzw. im Regelbetrieb zwischen allen drei, wenn diese ungefähr übereinstimmen.

Um sich die teure und zeitaufwändige Nachrüstung eines dritten Sensors zu sparen, will Boeing bei der 737 MAX künftig einen dritten "virtuellen" Sensor für den Anstellwinkel synthetisch aus dem Messwert anderer Sensoren berechnen. Ein derartiges Vorgehen habe ich sogar selbst bereits in einem früheren Artikel vorgeschlagen. Zitat: "Zusätzlich könnte man beispielsweise Drucksensoren an mehrere Stellen in die Tragflächen einbauen, um das komplette Druckprofil der vorbeiströmenden Luft zu erfassen, aus dem sich dann ebenfalls der Anströmwinkel errechnen lässt". Möglicherweise braucht man noch nicht einmal die zusätzlichen Drucksensoren, sondern kommt mit den bereits vorhandenen aus.

Nur: Boeing möchte diesen synthetischen AoA-Sensor erst bei einem künftigen Software-Update nachrüsten. Bis dahin gilt: Die 737 MAX fliegt, wenn alles funktioniert, mit MCAS. Unterscheiden sich die Messwerte der beiden AoA-Sensoren stark, weiß der Bordcomputer aber nicht, welcher Sensor defekt ist, und er schaltet das MCAS ab. Dadurch ändern sich aber die Flugeigenschaften, und das kann Piloten durcheinander bringen. Beim Flug einer Airbus A330 mit Flugnummer Air France 447 von Rio de Janeiro nach Paris passierte genau das: Zu viele Sensoren fielen aus, die beim A330 serienmäßige Fluglagenüberwachung schaltete sich ab, der fliegende Pilot krampfte sich am Steuerknüppel fest und zog erst leicht und dann immer stärker nach hinten, worauf das Flugzeug steigt. So hoch, wie er wollte, konnte sein Jet aber nicht steigen, und statt aufwärts ging es dann dank Strömungsabriss erst langsam und dann immer schneller abwärts. Ausgehend von einer stabilen Fluglage in Reiseflughöhe dauerte es damals ab dem Sensorausfall keine fünf Minuten, bis das Flugzeug auf dem Atlantik aufschlug.

Abstürze aus der Absturz-Verhinderungs-Software

Vermutlich hatten die Boeing-Ingenieure sogar genau den AF447-Absturz im Sinn, als sie das MCAS designten. Sie wollten verhindern, dass ein Strömungsabriss zum Absturz führt. Und die Gefahr eines Strömungsabriss ist bei der 737 MAX aufgrund konstruktiver Unterschiede höher als bei den Vorgängermodellen: Zieht der Pilot am Steuerknüppel, nimmt die 737 MAX die Nase hoch - wie alle anderen Flugzeuge auch. Ab einem gewissen Anstellwinkel muss der Pilot dann aber wohl kaum noch Kraft aufwenden, um das Flugzeug immer weiter anzustellen. Piloten, die von den 737-Vorgängermodellen gewohnt waren, "mehr Kraft" für "mehr Anstellwinkel" zu benötigen, könnten so tödliche Fehler begehen. Deswegen simuliert das MCAS das Verhalten der alten 737-Modelle, indem es bei großen Anstellwinkeln das Flugzeug kopflastig trimmt und so dem Piloten mehr Kraft abverlangt, um die Nase oben zu halten.

Dass das MCAS bei beiden Abstürzen aufgrund des fehlerhaften Sensorwerts das Flugzeug so stark kopflastig trimmte, dass die Piloten gar keine Chance mehr hatten, es obenzuhalten, ist bereits millionenfach geschrieben worden. Damit das nicht mehr passiert, soll bei widersprüchlichen AoA-Werten das MCAS künftig abgeschaltet werden. Mit dem Problem, dass sich die 737 MAX dann möglicherweise plötzlich aufbäumt, wenn sie stark hochgezogen wird, müssen die Piloten dann selber fertig werden.

Doch wie groß ist die Gefahr? Nach einem AoA-Sensor-Ausfall an Bord der 737 MAX werden die Piloten im Regelfall so schnell wie möglich den nächsten geeigneten Flughafen ansteuern und dort mit Priorität landen. "Hochziehen" kommt auf dem verbleibenden Flug dann nicht mehr vor - und wenn, dann bei den Flugzeugen, die sich auch noch in der Luft befinden und die jetzt der mit Priorität anfliegenden MCAS-losen 737 MAX Platz machen müssen. Und was, wenn die 737 MAX durchstarten muss, weil die Piloten beim Anflug auf den Ausweichflughafen die Landebahn verfehlen? Nun, in dieser Phase des Flugs sind die Landeklappen ausgefahren und dominieren das Flugverhalten, das dann viel ähnlicher dem der herkömmlichen 737 ist - auch beim Durchstarten. Also auch dort zumindest nach Herstellerangaben keine Gefahr.

Ungutes Gefühl fliegt mit

So, wie es verkürzt im vorstehenden Text steht, findet man das Verhalten des MCAS auf Flugsicherheitsseiten wie dem Aviation Herald erläutert. Nur: Warum haben die Updates bei Boeing dann - vom ersten Absturz an gerechnet - über zwei Jahre gedauert? Eine Software-Logik, die bei erheblichen Abweichungen zwischen beiden AoA-Messwerten das MCAS deaktiviert, sollte sich binnen weniger Tage programmieren lassen. Eine Warnanzeige für das deaktivierte MCAS und eine Anweisung an die Piloten, nach dem MCAS-Ausfall eine Luftnotlage zu erklären ("Pan Pan") und baldmöglichst zu landen, wären jetzt ebenfalls nicht der große Akt. Letztendlich wäre damit ein AoA-Ausfall zu behandeln wie ein Triebwerksausfall. Mit nur noch halbem Schub fliegt man ja auch nicht mehr von Berlin bis nach Fuerteventura. Und große Sprünge nach oben macht man mit einem einzelnen Triebwerk auch nicht mehr, schon wegen der Gefahr, dabei auch noch das zweite Triebwerk zu verlieren.

Die Frage lautet also: Ist das MCAS nicht doch wichtiger, als Boeing es darstellt? Kann der Pilot ohne MCAS beispielsweise auch durch externe Ereignisse - insbesondere extreme Turbulenzen - im überzogenen Flugzustand enden? Vermutlich ja, sonst hätte sich Boeing mit dem ganzen Update nicht so schwergetan. Die Angst wird bei der 737 MAX noch eine ganze Weile lang mitfliegen.

In der aktuellen Covid-Situation, in der eh massenhaft Linienflugzeuge am Boden stehen, wäre es jedenfalls besser, den synthetischen AoA-Sensor fertigzuentwickeln, statt die 737 MAX auf Druck wieder zuzulassen.

Weitere Editorials

31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?
02.01.22 - Editorial: Weg von Weihnachten!
26.12.21 - Editorial: Zahlen wird teurer

Drei statt zwei

Abstürze aus der Absturz-Verhin­derungs-Soft­ware

Ungutes Gefühl fliegt mit

Weitere Edito­rials

Abstürze aus der Absturz-Verhinderungs-Software

Weitere Editorials