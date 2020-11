Darstellung einer Boeing 737 MAX

(c) dpa Nach dem ersten Absturz einer Boeing 737 MAX gehörte ich zu einer recht kleinen Gruppe von Jour­nalisten, die mehr oder weniger eindring­lich vor tödli­cher Soft­ware an Bord der Flug­zeug­serie warnten: Nach dem Lesen des vorläu­figen Unter­suchungs­berichts war mir klar geworden, dass in der Konstruk­tion und vor allem der Program­mie­rung der 737 MAX unak­zep­table Risiken stecken, insbe­son­dere in dem neu entwi­ckelten Hilfs­system namens MCAS. Ich sprach in meinem Text von der "Fehler­haf­tig­keit des MCAS" und kumu­lierte meine Kritik in folgender Aussage: "Ein Sicher­heits­system sollte nicht selber zum Sicher­heits­risiko werden, nur, weil es einen einzelnen, isolierten Defekt an einem einzelnen Bauteil des Flug­zeugs gibt."

Die Aufre­gung nach dem ersten Absturz reichte aber nicht, Boeing zu einem frei­wil­ligen Flug­verbot für die MAX oder auch zu einem schnellen Update der MCAS-Soft­ware zu bewegen. Auch die Zulas­sungs­behörden reagierten zunächst nicht. Als dann wenige Monate später erneut eine 737 MAX abstürzte, reagierten aber die Zulas­sun­gebe­hörden schnell: Erst widerruf die chine­sische CAAC die Lizenz zum Fliegen, dann die euro­päi­sche EASA und schließ­lich auch die US-ameri­kani­sche FAA. Die MAX, Boeings Hoff­nungs­träger im Kampf gegen den Airbus A320 NEO, dem mit (zu Beginn der Auslie­ferungen) über 5 000 Vorbe­stel­lungen wohl am besten vorver­kauften Flug­zeug über­haupt, war nun maximal gegroundet.

Nach einem Jahr am Boden fragte ich auch ange­sichts der begin­nenden Covid-Krise, ob die Max auch das zwei­jäh­rige Groun­ding noch erleben wird. Nun, dafür hat es nicht ganz gereicht, FAA und EASA haben dieser Tage ihre erneute Zulas­sung erteilt. Nur die chine­sische CAAC ist hart geblieben und verwei­gert noch die Lizenz. Meines Erach­tens reagieren sie damit als einzige Zulas­sungs­behörde richtig. Die EASA akzep­tiert hingegen einen faulen Kompro­miss, nach dem der für den sicheren Betrieb der MAX eigent­lich nötige dritte AoA-Sensor erst in der Zukunft per Soft­ware nach­gerüstet werden soll. Man hofft, dass in der Zeit bis dahin alles gut geht, wofür es zwar Anhalts­punkte gibt, aber keine Gewiss­heit.

Drei statt zwei

(c) dpa Airbus rüstet seit der A320 alle seine Flug­zeuge mit einem Fly-By-Wire-System aus, bei dem im Regel­betrieb der Flug­com­puter "das letzte Wort hat": Wenn eine Eingabe der Piloten, beispiels­weise das Ziehen oder Drücken am Side­stick, zu einer unsi­cheren Flug­lage führen würde, dann weigert sich der Computer, dem zu folgen. Die Voraus­set­zung dafür ist aber, dass alle Flug­com­puter redun­dant verbaut sind, so dass beim Ausfall eines Compu­ters der andere über­nehmen kann. Die wich­tigen Sensoren für Geschwin­dig­keit und Anstell­winkel sind sogar drei­fach verbaut. Denn wenn von zwei Sensoren einer beispiels­weise den Wert "5" und der andere den Wert "50" anzeigt, dann kann der Computer nicht direkt ermit­teln, welcher der beiden nun richtig ist. Wenn von drei Sensoren hingegen die Mess­werte "5", "6" und "50" kommen, kann man klar schließen, welcher der drei Werte der Ausreißer ist, und diesen verwerfen. Zwischen den anderen beiden Werten wird dann gemit­telt, bzw. im Regel­betrieb zwischen allen drei, wenn diese unge­fähr über­ein­stimmen.

Um sich die teure und zeit­auf­wän­dige Nach­rüs­tung eines dritten Sensors zu sparen, will Boeing bei der 737 MAX künftig einen dritten "virtu­ellen" Sensor für den Anstell­winkel synthe­tisch aus dem Mess­wert anderer Sensoren berechnen. Ein derar­tiges Vorgehen habe ich sogar selbst bereits in einem früheren Artikel vorge­schlagen. Zitat: "Zusätz­lich könnte man beispiels­weise Druck­sen­soren an mehrere Stellen in die Trag­flä­chen einbauen, um das komplette Druck­profil der vorbei­strö­menden Luft zu erfassen, aus dem sich dann eben­falls der Anström­winkel errechnen lässt". Mögli­cher­weise braucht man noch nicht einmal die zusätz­lichen Druck­sen­soren, sondern kommt mit den bereits vorhan­denen aus.

Nur: Boeing möchte diesen synthe­tischen AoA-Sensor erst bei einem künf­tigen Soft­ware-Update nach­rüsten. Bis dahin gilt: Die 737 MAX fliegt, wenn alles funk­tio­niert, mit MCAS. Unter­scheiden sich die Mess­werte der beiden AoA-Sensoren stark, weiß der Bord­com­puter aber nicht, welcher Sensor defekt ist, und er schaltet das MCAS ab. Dadurch ändern sich aber die Flug­eigen­schaften, und das kann Piloten durch­ein­ander bringen. Beim Flug einer Airbus A330 mit Flug­nummer Air France 447 von Rio de Janeiro nach Paris passierte genau das: Zu viele Sensoren fielen aus, die beim A330 seri­enmä­ßige Flug­lagen­über­wachung schal­tete sich ab, der flie­gende Pilot krampfte sich am Steu­erknüppel fest und zog erst leicht und dann immer stärker nach hinten, worauf das Flug­zeug steigt. So hoch, wie er wollte, konnte sein Jet aber nicht steigen, und statt aufwärts ging es dann dank Strö­mungs­abriss erst langsam und dann immer schneller abwärts. Ausge­hend von einer stabilen Flug­lage in Reise­flug­höhe dauerte es damals ab dem Sensor­aus­fall keine fünf Minuten, bis das Flug­zeug auf dem Atlantik aufschlug.

Abstürze aus der Absturz-Verhin­derungs-Soft­ware

Vermut­lich hatten die Boeing-Inge­nieure sogar genau den AF447-Absturz im Sinn, als sie das MCAS designten. Sie wollten verhin­dern, dass ein Strö­mungs­abriss zum Absturz führt. Und die Gefahr eines Strö­mungs­abriss ist bei der 737 MAX aufgrund konstruk­tiver Unter­schiede höher als bei den Vorgän­ger­modellen: Zieht der Pilot am Steu­erknüppel, nimmt die 737 MAX die Nase hoch - wie alle anderen Flug­zeuge auch. Ab einem gewissen Anstell­winkel muss der Pilot dann aber wohl kaum noch Kraft aufwenden, um das Flug­zeug immer weiter anzu­stellen. Piloten, die von den 737-Vorgän­ger­modellen gewohnt waren, "mehr Kraft" für "mehr Anstell­winkel" zu benö­tigen, könnten so tödliche Fehler begehen. Deswegen simu­liert das MCAS das Verhalten der alten 737-Modelle, indem es bei großen Anstell­win­keln das Flug­zeug kopf­lastig trimmt und so dem Piloten mehr Kraft abver­langt, um die Nase oben zu halten.

Dass das MCAS bei beiden Abstürzen aufgrund des fehler­haften Sensor­werts das Flug­zeug so stark kopf­lastig trimmte, dass die Piloten gar keine Chance mehr hatten, es oben­zuhalten, ist bereits millio­nen­fach geschrieben worden. Damit das nicht mehr passiert, soll bei wider­sprüch­lichen AoA-Werten das MCAS künftig abge­schaltet werden. Mit dem Problem, dass sich die 737 MAX dann mögli­cher­weise plötz­lich aufbäumt, wenn sie stark hoch­gezogen wird, müssen die Piloten dann selber fertig werden.

Doch wie groß ist die Gefahr? Nach einem AoA-Sensor-Ausfall an Bord der 737 MAX werden die Piloten im Regel­fall so schnell wie möglich den nächsten geeig­neten Flug­hafen ansteuern und dort mit Prio­rität landen. "Hoch­ziehen" kommt auf dem verblei­benden Flug dann nicht mehr vor - und wenn, dann bei den Flug­zeugen, die sich auch noch in der Luft befinden und die jetzt der mit Prio­rität anflie­genden MCAS-losen 737 MAX Platz machen müssen. Und was, wenn die 737 MAX durch­starten muss, weil die Piloten beim Anflug auf den Ausweich­flug­hafen die Lande­bahn verfehlen? Nun, in dieser Phase des Flugs sind die Lande­klappen ausge­fahren und domi­nieren das Flug­ver­halten, das dann viel ähnli­cher dem der herkömm­lichen 737 ist - auch beim Durch­starten. Also auch dort zumin­dest nach Herstel­ler­angaben keine Gefahr.

Ungutes Gefühl fliegt mit

So, wie es verkürzt im vorste­henden Text steht, findet man das Verhalten des MCAS auf Flug­sicher­heits­seiten wie dem Avia­tion Herald erläu­tert. Nur: Warum haben die Updates bei Boeing dann - vom ersten Absturz an gerechnet - über zwei Jahre gedauert? Eine Soft­ware-Logik, die bei erheb­lichen Abwei­chungen zwischen beiden AoA-Mess­werten das MCAS deak­tiviert, sollte sich binnen weniger Tage program­mieren lassen. Eine Warn­anzeige für das deak­tivierte MCAS und eine Anwei­sung an die Piloten, nach dem MCAS-Ausfall eine Luft­not­lage zu erklären ("Pan Pan") und bald­mög­lichst zu landen, wären jetzt eben­falls nicht der große Akt. Letzt­end­lich wäre damit ein AoA-Ausfall zu behan­deln wie ein Trieb­werks­aus­fall. Mit nur noch halbem Schub fliegt man ja auch nicht mehr von Berlin bis nach Fuer­teven­tura. Und große Sprünge nach oben macht man mit einem einzelnen Trieb­werk auch nicht mehr, schon wegen der Gefahr, dabei auch noch das zweite Trieb­werk zu verlieren.

Die Frage lautet also: Ist das MCAS nicht doch wich­tiger, als Boeing es darstellt? Kann der Pilot ohne MCAS beispiels­weise auch durch externe Ereig­nisse - insbe­son­dere extreme Turbu­lenzen - im über­zogenen Flug­zustand enden? Vermut­lich ja, sonst hätte sich Boeing mit dem ganzen Update nicht so schwer­getan. Die Angst wird bei der 737 MAX noch eine ganze Weile lang mitfliegen.

In der aktu­ellen Covid-Situa­tion, in der eh massen­haft Lini­enflug­zeuge am Boden stehen, wäre es jeden­falls besser, den synthe­tischen AoA-Sensor fertig­zuent­wickeln, statt die 737 MAX auf Druck wieder zuzu­lassen.