 Habt ihr jemals der IT erzählt, dass ihr das ausgemacht und angemacht habt? Es ist heute über Piloten und normalerweise ist der Pilot in Kontrolle. Heutzutage sind Piloten aber eher Computer-Bediener und haben weniger Hands-on-Erfahrung. Stellt dir vor, du fliegst einen Krisencomputer auf 30.000 Fuß Höhe mit 100 Zählen hinter dir. Nur um das dir die IT erzählt, hast du das ausgemacht und angemacht? Er wurde heute Bernd Sieger willkommen heißen. Er ist ein Systemingenieur und ein Flug-Analyst. Er entwickelt normale Methoden für sicherheitskritische Systeme. Er wird uns aufklären über Probleme in der Fliegerei aufklären, weil jeder Pilot hat sich schon mal gefragt, was macht es denn jetzt schon wieder? Danke. Zuerst würde ich gerne etwas über das Publikum erfahren. Wie viele hier im Raum sind Piloten? Einige. Berufspiloten? Deutlich weniger. ATP? Einen. Ich höre jemanden an. Einige von euch werden über das Bescheid wissen, was ich erzähle, aber ich hoffe, es ist etwas Neues für jeden dabei. Was der Herralt gesagt hat, war eine nette Geschichte. Es ist nicht vollständig richtig, aber es hat einen Warenkehren. Worüber ich sprechen will, ist die Automatisierung in Flugzeugen. Der Pilot hat nichts zu tun. In Zukunft gibt es in den Flugzeugen Piloten und den Hunden. Der Pilot füttert den Hundert der Hunde, als den Piloten werden. Das ist heute noch nicht ganz der Fall, aber wir erzählen über die Ursachenforschung. Ich werde euch eine Geschichte über zwei Schuhpebel erzählen. Ich werde euch über menschliche Piloten erzählen, wie sie mit Versagen fertig werden oder auch nicht. Ich habe noch nicht viele andere Talks gesehen über selbstfahrende Autos. Das wird ein großes Thema werden. Deswegen spreche ich das kurz an. Ich habe eine mögliche Schlussfolgerung aus daraus. Ich weiß noch nicht, ob ich da in Zukunft richtig liege. Was ist Automatisierung in Flugzeugen? Das offensichtlichste ist, dass auf jedem Verkehrsflugzeug und vielen kleinen Flugzeugen automatische Geräte da sind. Es war bis jetzt so, dass ein Autopilot nötig war, selbst wenn man nach Instrumenten fliegen wollte. Es gibt drei Stufen von Flugkontrolle. Das erste ist Fliegen bei Hand, also manuelle Bedienung der Instrumente. Das zweite ist ein einfacher Autopilot, wo der Pilot einfach Fluggeschwindigkeit, wo vorwählt. Das dritte ist der Management, in dem das Flugzeug komplett informiert ist über den Flugzustand. Es gibt automatische Subsysteme, also Ground-Spoilers, die den Auftrieb kaputt machen, wenn man auf dem Land ist. Lande klappen und Flügel vorklappen. Dann Maschinenkontrolle und Kabinendruck. Also was ist nicht automatisch, was kann Automatisierung nicht? Es gibt es noch nicht außerhalb von ein paar spezialisierte Drohnen und selbstfliegende Flugzeuge. Der Pilot kann jederzeit die Automatisierung abschalten, kann das Flugzeug von Hand fliegen. Der Autopilot hat eigentlich keine Entscheidungsgewalt, außer auf der allergründlichsten Ebene, um den Flugwinkel zu bestimmen, die eine Drehung zu fliegen, so was. Man kann ein modernes, computerisiertes Flugzeug immer noch in einem Berghang crashen lassen, wenn man will. Zukunftliche Systeme würden das z.B. verhindern, wenn ein Bergcrash verhindert. Aber immer noch hat der Pilot die endgültige Verantwortung über den Flug. Man fliegt mit dem Steuerknüppel und den Rudern und das Flugzeug bewegt dementsprechend die Ruder entsprechend, also manuell bei kleinen Flugzeugen und hydraulisch bei großen Flugzeugen. Einfacher Autopilot ist so, dass wählt man direkt die Richtung den Kurs an. Es gibt Manage-Modes, es gibt ein Fortgeschrittnis-Flight-Management-System, das dann die Richtung setzt und die Steigrate automatisch setzt. Die sind nicht besonders zuverlässig, die können von vielen Dingen aus der Bahn geworfen werden. Die schalten sich dann automatisch ab, wenn da irgendein kleiner Fehler in einem Subsystem ist oder in einer Eingabe ist, wie Geschwindigkeit oder... In dem Fall müssen die Piloten wieder das Kommando übernehmen. Die Autopiloten können nichts Unerwartetes Hand haben. Üblicherweise ist das dreifach redundant vorhanden, also wenn einer ausfällt, können die anderen zwar sich immer noch einigen, aber wenn mehr Systeme ausfallen, dann fällt die ganze Automatik aus. Die meiste Computerunschutzung bei manualem Flug fällt auch aus. Das hier ist jetzt die Methode, die wir beim Anonyminiveld entwickelt haben. Um die Unfallursachen zu untersuchen, das ist eine formale Kausalität. Es gibt mehr oder weniger objektive Kriterien für Kausalität. Die Gründe für einen Absturz sind üblicherweise sehr ähnlich. Es gibt eine Menge Automatisierungen in modernen Flugzeugen. Es ist ziemlich schwierig, das gut hinzubekommen, weil ein Grund dafür ist, dass anders als bei Autos oder bei Schienenfahrzeugen es kein Standard gibt. Sicher in Zustand, also wenn man alles abschaltet, dann steht man nicht einfach. Das heißt, die Ingenieure müssen für alle möglichen Situationen vorplanen, für alle möglichen Möglichkeiten und müssen entscheiden, unter einem gegebenen Satz von Bedingungen, was die beste Entscheidung ist, und das ist eine sehr harte Entscheidung. Manchmal wird die auch falsch gefällt. Manchmal kommt man auch in die Situation, dass die gegebenen Bedingungen, wenn man in den meisten Situationen, wenn der Computer die gleiche Eingabe bekommt, es ist ein Ausnahmefällen, dann der gleiche Schlussfolgerung falsch und führt zum Unfall. Solche Dinge können passieren. Manche Entscheidungen, die Ingenieure treffen müssen, wenn sie ein Flugzeug entwerfen, ist, was passiert, wenn etwas schief geht, wenn einzelne Komponenten Fähl schlagen, kleine Motoren, kleine Antriebe, Hydraulik, was tun in so einem Fall mit den übrig gebliebenen, funktionierenden Systemen und was soll den Piloten mitgeteilt werden? Na, Eva Weisse sollte man annehmen, dass ein Pilot alles wissen sollte, was kaputt ist im Flugzeug, aber falls sehr viel schief geht, gleichzeitig muss die Entscheidung getroffen werden, welche dieser Fehler zustände ist, ist für die Flugbesatzung am wichtigsten. Das ist überhaupt nicht trivial. Das kann sehr leicht zur Reizüberflutung der Piloten führen, sodass sie überhaupt nicht mehr wissen, was los ist. Weil alle Alarme gleichzeitig losgehen und es sehr, sehr viele Anzeigen gibt, die sie anschauen müssen. Und deshalb werden manche Fehler, Meldungen unterdrückt in bestimmten Flugzuständen, um die Piloten nicht zu überwältigen. Manche, einige Funktionen, einige Dinge, die wichtig sind am Boden, wie zum Beispiel die Flügelspoiler, die dazu da sind, den Auftrieb kaputt zu machen, dass das Flugzeug nicht wieder ab dem Start durchstattet, in einem Zustand, in dem sie ansonsten wieder fliegen könnten. Weil Flugzeuge, wenn sie landen, in einer Geschwindigkeit haben, mit der sie wieder starten könnten. Das... Aber die Spoiler nehmen die meisten Hupen weg. Das heißt, wenn man sie kurz, knapp über der Erde einsetzt, dann ist es sehr gefährlich. Das heißt, der Computer muss absolut sicher sein, dass das Flugzeug schon auf dem Boden ist, wenn die Landeklappen ausgefahren werden. Wenn der Computer die Landeklappen ausfährt, wenn es 100 Meter über dem Boden ist, dann wird das vermutlich ein fataler Unfall werden. In den meisten Düsenflugzeugen, nicht in allen Propellerflugzeugen, gibt es eine automatische Schubkontrolle. Der Computer kontrolliert nicht nur, wo die Nase hinzeigt, sondern wie viel Leistung produziert wird. Es gibt zwei verschiedene Philosophien zwischen den verschiedenen Herstellern. Boeing benutzt angetriebene Drosseln, Schubhebe. Das heißt, die Schubhebe bewegen sich automatisch in die Stellung, die angewählt ist. Bei Airbus bleiben die Schubregler in der gleichen Position. Und für den Aufstieg und für den Reiseflug bleibt der Schubhebel in der gleichen Position. Und der Computer entscheidet, setzt fest, welcher Schub gewählt wird. Es gibt ein Argument für beide Methoden, aber ich zeige euch Fälle für beide Schubhebels, die zum Unfall geführt haben. Hier ist ein Video von ersten Fall. Aus zwei Kameraper-Spektiven, von kleinen Verkehrsflugzeugen, 150 bis 200 Flugzeuge. Das erste ist eine normale Landung. Es ist alles relativ langsam, es dauert ein bisschen. Das nächste ist der Unfallflug. Es ist am gleichen Tag nur Minuten auseinander, am gleichen Flughafen. Man sieht, der eine ist langsamer geworden, und der andere bewegt sich immer noch sehr, sehr schnell. Das ist der erste, der langsame. Und das ist der zweite. Wie ihr euch vorstellen könnt, ist das nicht gut ausgegangen. Das war einer der schlimmsten Flugunfälle und vielleicht heute noch der schlimmste Flugunfall in Brasilien. 200 Leute starben. Das hier ist der Auszug aus dem digitalen Flugrekorder. Die ersten zwei Kurven sind die wichtigsten Anzeigen. Das ist Flughebelwinkel. Normalerweise zieht der Pilot die Flughebel auf keinen Schub. In diesem Fall hat der Pilot nur einen der Schubhebel zurückgestellt und den anderen auf voller Kraft gelassen. Dadurch hat der Computer eine widersprüche Information bekommen, ob die Piloten landen sollen oder nicht. Und der hat nicht die automatischen Geschwindigkeitsbremsen eingeschaltet und nicht die Schweiler angeschaltet. Das ging dann ziemlich schlecht aus. Einige Leute sagen, wenn wir mit mehr Feedback für den Piloten hätten die früher gemerkt, dass was falsch ist, dass einige Leute die sich bewegenden Schubhebel besser gewesen wären. Aber es ist immer besser, dass hier ein anderer Schub-Unfall, bezogener Unfall. Es gab eine kleinere Fehlfunktion mit dem Radar-Höhlenmesser. Der Radar-Höhlenmesser hat angezeigt, dass er unter 10 Metern Höhe ist. Jetzt muss ich den Schub reduzieren. Das hat der Computer auch gemacht, obwohl er noch einige 10 Meter in der Höhe hoch war. Die Piloten haben es nicht gemerkt. Die Geschwindigkeit ist runtergegangen. Das Flugzeug hat den Auftrieb verloren und ist abgestürzt. Das war nur ein mäßig harter Aufschlag. Die meisten Passagiere haben den Flug überlebt. In diesem Fall liegt es daran, dass die Schubhebel bewegt wurden, weil die Piloten den Schub über eine bestimmte Grenze gestellt haben und dass die Automatik die Hebel automatisch wieder zurückgestellt hat. Es ist schwierig zu sagen, welcher Unfall, welches Schubhebelsystem das Bessere ist. Es gibt aber so wenige Beispiele, so wenige Unfälle, dass eigentlich nicht statistisch signifikant ist, dass keine statistische Signifikanz vorhanden ist, ob Schubhebel automatisch oder fest sein sollen. Ingenieure können deshalb kein eindeutiges Ergebnis für die eine Methode oder die andere Methode machen. Es gibt ein anderes Beispiel von Asianer Flug 214 in San Francisco. Vielleicht erinnert euch daran. Nur drei Leute sind umgekommen, weil das Flugzeug nur nach dem Absturz ausgebrannt ist, nachdem alle evacuiert worden waren. Der automatische Schub hat nicht funktioniert wie geplant, wie erwartet. Die Piloten hatten gedacht, es waren fünf Piloten im Cockpit, die hatten gedacht, dass der automatische Schub funktioniert. Als die Piloten dann gemerkt haben, als ein Pilot gemerkt haben, dass der Schub zu niedrig war, war es schon zu spät. Es dauert bis zu acht Sekunden, bis die Leistung da ist, nachdem der Schubhebel betätigt worden ist. Und diese acht Stunden waren zu lange, weil das Flugzeug dann nicht die Leistung rechtzeitig bekommen hat und nicht beschleunigt hat, um wieder Auftrieb zu bekommen. Deswegen ist das Flugzeug kurz vor der Landebahn aufgeschlagen und drei Leute sind umgekommen. Der dritte Fall war ein Fall, in dem nichts kein Problem mit dem Flugzeug bestanden hat. Es war eigentlich ein Planungsfehler. Die Piloten wussten an sich, wie man das Flugzeug fliegt. Aber vielleicht ist mehr Ausbildung gelösungen. Das ist über die Systeme der Piloten, der Crew-Source-Management, die Kommunikation der Piloten. Der Flugkapitän ist nicht kein Diktator, der muss auf die anderen Piloten hören, obwohl er die endgültige Entscheidungsgewalt hat, was welche Entscheidungen getroffen hat. Also versagen Piloten immer, wenn die Automatisierung ausfällt. Gott sei Dank nicht. Es gibt zwei Fälle, die ich kurz erwähnen will. Das ist eine Chessley-Sahlenberger. Jeder weiß darüber. Ein hervorragender Pilot, sehr entscheidungskräftig. Und Peter Birkel. Wer weiß über Peter Birkel? Er hat ungefähr so viele Leute gerettet, wie Chessley-Sahlenberger, wenn er als er lauten Heathrow angeflogen hat. Beide Maschinen haben den Schub verloren. Aber er hat es geschafft, das Flugzeug vor der Landebahn zu landen, aber immer noch auf dem Flugplatz. Das Flugzeug war total schade, aber niemand ist gestorben. Flugzeug ist das eine, aber was anderes sind Autos. Hat jemand schon ein selbstfahrendes Auto hier? Oder eins, das zumindest die Spur hält, automatisch? Meistens Leute vertrauen diesen neuen System noch nicht. Einer der großen Unterschiede ist, dass Piloten, die ein hochautomatisches Flugzeug fliegen, müssen eine lange Ausbildung haben über die Pilotenausbildung hinaus, um die spezifische Automatik des spezifischen Flugzeugs zu lernen. Die Wartung ist sehr, sehr genau kontrolliert und reguliert. Für Autos im Allgemeinen, wenn was mit dem Motor nicht richtig funktioniert, kann man einfach Rechtsrad fahren und anhalten. Autos können ich einfach abheben und in die dritte Dimension ausweichen. Es gibt extrem viele Hindernisse auf dem Boden. Bäume, Autos, Häuser, Fußgänger. Der Luftraum ist im Wesentlichen leer, nicht ganz. Es passiert, dass Zusammenstöße in der Luft passieren, aber es gibt sehr wenige davon. Die automatischen Systeme in den selbstfahrenden Autos oder Autonomonautos heutzutage brauchen ständig Überwachung. Wenn die Systeme zu gut funktionieren, dann könnten die Fahrer vergessen, dass sie Systeme noch überwacht werden müssen. Die denken, die seien perfekt und ihre Ausmerksamkeit wandert weg. Piloten passieren das manchmal schon, aber im Reiseflug, wenn die Automatik versagt, haben die Piloten Minuten lang Zeit, um zu reagieren. In einem Auto, wenn die Automatik ausfällt und man in einer Kurve ist, hat man nur Bruchteile einer Sekunde, um das Auto zu retten. Zumindest mit der jetzigen Technologie. Einige von euch hört wahrscheinlich über das Trolley-Problem oder Trolly-G, wie man es auch mal nennt, gehört. Es geht letzten Endes darum, dass ein voll autonomes Auto irgendwann die Entscheidung machen könnte, zwischen den Fällen entweder die Insassen zu töten oder Leute auf der Straße zu töten. Ich glaube, dass das ein grundsätzlich unlösbares ethisches Problem ist, dass wir nicht einfach den Ingenieuren überlassen können oder den Auto herstellen, um das zu entscheiden. Vielleicht sind die Insassen immer wichtiger als die Leute auf der Straße, oder vielleicht ist nur eine Person im Fahrzeug und eine ganze Gruppe auf der Straße oder die Entscheidung, ob ein Baum den Insassen klingt oder das Auto einige Leute auf der Straße. Also ich kann nicht sagen, was die richtige Antwort dazu ist und vielleicht gibt es auch keine. Einige Ingenieure haben sogar vorgeschlagen, dass eine zufällige Entscheidung in dieser Situation die beste ist, aber auch darüber bin ich mir nicht sicher. Aber egal welche Entscheidung die Software in diesem Moment trifft, sie, es werden auf jeden Fall Menschen und die Entscheidung wird automatisch angelassen. Wie sich das Gericht entscheiden, ist noch nicht klar. Und es ist also schwierig, die Automatisierung genau richtig zu hinzubekommen. Welcher Zustand ist am sichersten für die Systeme und zu welcher Zeit? Es ist sehr schwierig, um das richtig hinzubekommen, selbst in begrenzten Systemen wie Flugzeugen. Und was man also den Piloten oder Fahren anzeigt und was nicht. Und in vielen Fällen hilft es den Piloten, wenn die Automatisierung ausfällt, zu wissen, detailiert zu wissen, was das System, wie das System intern funktioniert. Und sie sind auch in dem Handbuch, aber sie sind nur zur Information markiert. Das heißt, sie sind nicht in dem Prüfungsstoff. Und bei den Crowdspoilern, also ist es sehr hilfreich, wenn man weiß, welche Zustände da genau ablaufen. Aber manche von diesen Problemen können nicht einfach den Ingenieuren und Wissenschaften überlassen werden. Wir brauchen auch Psychologen und vielleicht auch Soziologen. Also andere Leute, die über die Psyche von Menschen wissen, die wissen, wie Menschen denken, wie Menschen reagieren, wie Menschen Informationen verarbeiten, um eben die guten Ingenieursentscheidungen darauf dieser Grundlage zu treffen. Und manche der fundamentalen, ethischen Probleme könnten unlösbar sein. Danke fürs Zuhören. Und es gibt, glaube ich, ein bisschen Zeit für Fragen. Ja, wir haben Zeit für Fragen. Und wir fangen mit dem Internet an, falls es da Fragen gibt. Es gibt keine Fragen, dann Mikrofon Nummer 3. Und du hast das ethische Problem und mit der Entscheidungsfindung und das Trambannproblem angewähnt. Wann immer automatisches Autopiloten zur Sprache kommen, ob das Autos oder Flugzeuge sind, werde ich immer etwas sauer, wenn Philosophen in sich einmischen. Und es gibt eine Eingriterium, dass das System sich vorhersehbar verhalten muss. Gerade im Straßenverkehr ist es ganz besonders wichtig, dass sich alle Fahrer vorhersehbar verhalten. Wenn man einfach die Spur wechselt, ist das eine der gefährlichsten Situationen. Und es gibt einen sicheren Zustand, einfach halte genug Abstand, fahr nicht eng auf. Ja, bitte Frage verstellen. Warum sagen Menschen immer, es ist ethisch unentscheidbar? Warum sagen Menschen immer, es ist ethisch unentscheidbar? Das ist nicht der Fall, weil nicht eng auffahren ist nicht die einzige Lösung. Es gibt auch Menschen, die einfach vor das Auto hüpfen können. Das ist unvorhersehbar. Du kannst nicht verlangen, dass Leute sich vorhersehbar verhalten. Es geht also auch darum, dass einige Verkehrsteilnehmer Menschen sind, die sich eben auch unvorhersehbar fahren. Tatsächlich gibt es gerade nicht viel Raum zur Diskussion. Sie haben gesagt, über Automatisierung in Flugzeugen gesagt, dass immer, wenn es einen kleinen Defekt gibt, wird der Autopilot abschalten und der Pilot greift ein und rettet die Situation. Wie ich das verstehe, müssen die Piloten immer noch bestimmten Prozeduren folgen und nicht irgendwelchen zufälligen Intuitionen folgen. So haben die Piloten eingegreifen und in wie vielen haben sie auch geschafft, den Flug zu retten. Dazu gibt es eine Datastik. Ein Problem ist, dass die Datenrekorder nur dann Aufzeichnungen machen, wenn ein Unfall passiert ist. Manche Flugzeug- und Fluggesellschaften haben Kurzzeitdatenrekorder, aber die werden nur anonymisiert ausgelesen und auf die Fluggesellschaften publizieren das nicht. Letzte Frage, Mikrofon 4. Ich möchte das auf die IT-Sicherheit zurückbringen. Was ich finde ist, wie die Unfälle behandelt werden in der Luftfahrt, dann kann man hinterher im Unfallbericht alle Details nachlesen. Die Frage ist, warum passiert das nicht im IT-Bereich, wo Millionen von Leuten betroffen werden. Wir haben den Stand nicht erreicht, wo die Daten und die Datenanalyse von einem Fehler publiziert werden. Ich glaube, die kurze Antwort ist, dass die Daten nicht vorhanden sind. Ich glaube, die kurze Antwort ist, weil es keine gesetzliche Vorschrift gibt. Wenn es nicht rechtlich notwendig wäre, Unfallberichte zu veröffentlichen, dann würde das nicht passieren, weil das die Fluggesellschaften schlecht dastehen lässt. Eine der Gründe, warum es Automatisierung in Flugzeugen gibt, ist, die Arbeitsbelastung der Piloten zu reduzieren. Arbeitsüberlastung ist ein Hauptunfallgrund für Piloten. Das heißt, wenn etwas schief geht, dann erhöht sich die Arbeitsüberlastung des Piloten, weil er dann noch ausfinden muss, was jetzt gerade schief geht. Was macht die Industrie? Wie geht die Industrie dieses Problem an? Der traditionelle Ansatz ist, dass immer noch mehr Automatisierung aufgeschichtet wird. Wenn die dann schief geht, muss der Pilot mit noch mehr Information fertig werden. Aber ganz langsam gehen die Hersteller wieder darauf zurück, die Piloten mehr von Hand fliegen zu lassen. In der lange Zeit war das Mantra benutzt so viel Automatisierung wie möglich in der Situation. Nur die Start- und Landung sollte noch von Hand geflogen werden. Jetzt ist es so, dass es sehr oft gesagt wird, nur den angemessenen Level an Automatisierung zu verwenden. Wenn es nicht viel Arbeitsbelastung gibt und wenn es nicht viel Luftverkehr gibt, dann sollte man die Landung auch von Hand fliegen. Damit die Piloten in der Übung bleiben und einfach auch ihre Erfahrungen behalten, auch für Notfallsituationen. Vielen Dank.