Hintergrund Die 737-Max-Wiederzulassung ist eine Frage von Wahrscheinlichkeiten

Kann die Boeing 737 Max auch ohne MCAS sicher fliegen? Die Antwort auf diese Frage steht aus. Aber sie entscheidet darüber, ob zwei nicht redundante Anstellwinkel-Sensoren für eine Wiederzulassung ausreichen. Wenn nicht, muss Boeing neu planen.

Endmontage der Boeing 737 Max im Boeing-Werk Renton im US-Staat Washington. © dpa / Ted S. Warren/AP

Die europäische Luftsicherheitsbehörde Easa erwägt, die gegroundeten Boeing 737 Max nicht ohne zusätzliche AoA-Sensoren wieder abheben zu lassen. Die "Angle of Attack"-Sensoren messen den Anstellwinkel des Flugzeugs - ein Wert, der für die 737 Max spätestens im Zusammenspiel mit dem neuen Trimsystems MCAS wichtig wird.

Allerdings besitzt die Boeing 737 Max - wie ihre Vorgänger - nur zwei AoA-Sensoren. Für die Verarbeitung der automatisvchen Steuerimpulse durch das MCAS wurden ursprünglich sogar nur die Daten eines einzelnen Sensors genutzt. Das will Boeing nun durch ein Software-Update beheben. Doch es bleibt abzuwarten, ob das den Behörden weltweit genügt.

Zumindest die Easa scheint an dieser Vorgehensweise Zweifel zu haben. Der Grund dafür ist recht einfach. MCAS greift im normalen Flug in die Trimmung ein. Wenn die Anstellwinkel-Daten für diese normale Steuerung des Flugzeugs so wichtig sind, dass ein Ausfall in gewissen Situationen zum Absturz führen kann, dann muss das System mindestens doppelt redundant ausgelegt sein.

Doppelt redundant bedeutet, dass beim Ausfall einer Datenquelle immer noch mindestens ein weiteres verlässliches - also doppeltes - System vorhanden sein muss. Beim Ausfall eines AoA-Sensors muss das Flugzeug also weiterhin noch korrekte Daten bekommen. Dazu reicht aber nicht einfach ein zweiter Sensor, denn woher sollte das System wissen, welcher der beiden Sensoren im Zweifel fehlerhafte Daten liefert. Für die sichere Redundanz werden daher mindestens drei Sensoren benötigt.

Die meisten Flugzeuge haben drei AoA-Sensoren

Dass AoA-Sensoren ausfallen, ist im Übrigen nicht ungewöhnlich. So warnte die US-Luftsicherheitsbehörde FAA zuletzt im August, dass die in der Regel an der Nase befestigten Abnehmer schon im normalen Betrieb schnell beschädigt werden können, etwa durch Vogelschlag oder andere Zusammenstöße.

© AirTeamImages.com, Thyago Thomas

Drei Sensoren auf der rechten Seite der Nase einer Boeing 737 Max (AoA-Sensor unten in schwarz). Foto: © AirTeamImages.com, Thyago Thomas

Die meisten modernen Flugzeuge haben aber nach Aussage von befragten Maintenance-Providern mindestens drei AoA-Sensoren. Das trifft den Angaben zufolge auf alle Airbus-Flugzeuge zu, nicht aber auf alle Boeing-Typen. Airbus wollte sich auf airliners.de-Anfrage nicht dazu äußern und auch nicht mitteilen, welche Airbus-Flugzeuge ab Werk wie viele Anstellwinkel-Sensoren besitzen. Boeing ließ eine entsprechende Anfrage unbeantwortet.

Allerdings ist wichtig hervorzuheben, dass ein Fehler an einem Anstellwinkel-Sensor auch bei nur zwei Sensoren kein Problem sein muss. Denn überall wo die Sensoren nicht redundant ausgelegt sind, fallen die Daten bei der Zulassung nicht in eine sogenannte "Fail Safe"-Kategorie. Salopp formuliert fällt ein so zugelassenes Flugzeug nicht vom Himmel, wenn ein AoA-Sensor defekt ist. Ein mit zwei Sensoren zugelassenes Flugzeug muss also auch ohne die Information über den Anstellwinkel noch sicher fliegen können.

Fehlerhafte AoA-Daten als Absturzursache

Das bezweifelt nun offenbar zumindest die Easa bei der Boeing 737 Max. Auch wenn die FAA in ihrer August-Information über die Wichtigkeit von AoA-Sensoren keinen direkten Zusammenhang zur 737 Max stellte, gelten fehlerhafte Anstellwinkeldaten als Mitauslöser für beide Boeing-737-Max-Abstürze, sowohl bei Lion Air als auch bei Ethiopian Airlines.

Dabei ist noch nicht abschließend geklärt, ob die Boeing 737 Max aerodynamisch instabil fliegt und daher auf das MCAS angewiesen ist. Kritisch ist von airliners.de dazu befragten Experten zufolge vor allem auch die offensichtlich falsch programmierte Software.

Boeing, Lesen Sie auch: Easa erwägt Hardware-Nachrüstung für Boeing 737 Max

Die fehlerhafte Software führte offenbar dazu, dass MCAS in bestimmten Situationen zu oft einen Trimmausschlag befehlen konnte, ohne die Trimmung zuvor wieder in die Nullstellung zu führen. Damit haben sich die eigentlich kleinen MCAS-Trimmungen wohlmöglich potenziert - und das Flugzeug war im Extremfall nicht mehr zu steuern.

Es war also wohl bei beiden Abstürzen erneut ganz klassisch: Für die Katastrophe mussten mehrere Fehler zusammenkommen - der Ausfall eines Sensors und ein Software-Fehler, der die Eingaben potenziert. Bei der 737 Max passierte das wohlmöglich sogar zweimal hintereinander: Ein Drama für die extrem auf Sicherheit bedachte Luftfahrtindustrie.

Eine Frage von Wahrscheinlichkeiten

Für die erneute Zulassung der Boeing 737 Max ist dabei nun die Wahrscheinlichkeit für eine solche Fehlerkette die zentrale Frage - und inwiefern ein einfaches Software-Update diese wirksam verhindern kann. Im Zweifel lautet die Antwort: Gar nicht. In diesem Fall muss wohl eine doppelte Redundanz-Ebene eingezogen werden, beispielsweise mit einem weiteren AoA-Sensor, um die Voraussetzungen für die Wiederzulassung zu erfüllen.

Offiziell heißen diese Zulassungkriterien "Design Assurance Level" (DAL). Diese Level sind nach den potentiellen Auswirkungen eines Designversagens eingeordnet. Die DAL-Stufen unterteilen sich dazu sowohl bei der FAA als auch bei der Easa fast gleichlautend in verschiedene Kategorien, und zwar in "No Safety Effect", "Minor", "Major", "Hazardous/Severe Major" sowie "Catastrophic".

Nur für die höheren Kategorien sind dabei doppelte Redundanzen - also eine mindestens dreifache Auslegung - ein Muss. Aber selbst das steht so konkret nicht in den Zulassungsregeln. Stattdessen ist die doppelte Redundanz umschrieben, was sich dann beispielsweise für die höchste DAL-Kategorie "A, Catastrophic" so liest:

The safety objectives associated with Catastrophic Failure Conditions may be satisfied by demonstrating that:

  1. No single failure will result in a Catastrophic Failure Condition; and
  2. Each Catastrophic Failure Condition is extremely improbable.

Vereinfacht übersetzt also: Wenn ein System so wichtig ist, muss sichergestellt werden, dass ein einzelner Fehler nicht zur Katastrophe führen kann und dass ein solcher Fehler extrem unwahrscheinlich ist. Auch die an dieser Stelle genannte Wahrscheinlichkeit "Extremely Improbable" ist in den Vorgaben für die Zulassung von Systemen für die Verkehrsluftfahrt definiert, und zwar als einmal in einer Milliarde Fälle:

An Extremely Improbable failure condition is one so unlikely that it is not anticipated to occur during the entire operational life of all airplanes of one type. Quantitatively, these probability terms are define as follows: Extremely Improbable (10−9 or less), Extremely Remote (10−7 or less), Remote (10−5 or less), Probable (more than 10−5).

Aus diesen grundlegenden Regelungen lässt sich nun eine zwingende mehrfach redundante Auslegung für extrem wichtige Systeme ableiten. Im 737 Fall bedeutet das: Falls das MCAS in dieser Kategorie zu verorten ist, muss der "Angle of Attac"-Sensor mindestens dreifach ausgelegt sein. Wenn das System auch ausfallen kann, ohne sofort katastrophale Folgen für den Flugverlauf zu haben, reicht eine einfachere Installation, also wie gehabt zwei Sensoren.

Die Software ist für Außenstehende zu komplex

Wenn MCAS nach dem Software-Update und wie ursprünglich geplant wirklich nur kleine Ausschläge trimmt und das Flugzeug auch ohne MCAS fliegen kann, wäre eine einfache Auslegung mit einem oder zwei Sensoren folglich regelkonform.

Sollte sich aber herausstellen, dass dem nicht so ist, dann muss Boeing höchstwahrscheinlich nicht nur an der Software sondern auch an der Hardware arbeiten. In Teilen müsste die Maschine dann umgeplant werden, was möglicherweise ein noch längeres Grounding nach sich ziehen könnte.

Die von airliners.de befragten Experten, die allesamt nicht genannt werden wollen, sind sich allerdings nicht einig, ob eine Vorgabe zu einer Hardware-Umrüstung zwangsläufig zu weiteren Verzögerungen bei der Wiederzulassung führen würde.

Möglich erscheint einigen Beobachtern sogar, dass der Einbau eines weiteren Anstellwinkel-Sensors im Zweifel sogar die einfachere Lösung sein könnte. Viel wichtiger als die tatsächliche Notwendigkeit für ein Hardware-Update werde nämlich die Frage, wer in welcher Behörde schlussendlich gewillt sein könnte, die Wiederzulassung zu verantworten.

Eine doppelte Redundanz der Hardware kann den Behörden dabei zumindest als weitere sinnvolle Absicherung erscheinen. Denn die Steuerungs-Mechanismen der MCAS-Software sind im komplexen Zusammenspiel mit dem Boeing-System für Außenstehende kaum nachvollziehbar. Die Software im Detail zu prüfen, wäre für Behörden daher wohl nur schwerlich darstellbar. Die Frage nach der 737-Max-Wiederzulassung wird somit vor allem auch eine Frage der Risiken und der Fehlerwahrscheinlichkeiten.

Von: dh

Lesen Sie jetzt
Themen
Industrie Behörden, Organisationen Fluggesellschaften Boeing Boeing 737 MAX Zwischenfälle Management F&E Technik IT Produktion FAA EASA