 Willkommen bei der Besetzung für den Vortrag The Boeing 737 Max Accidents von Bernd Sieger. Wir sind Goonies Pro, Flow und JPEG und wir sind froh um Feedback auf Twitter mit dem Hashtag C3T. Bernd Sieger hat sich mit der Analyse von Flugzeugabstützen schon sehr lange beschäftigt. Obwohl diese Modelle gebaut worden schon vor langer Zeit, alle diese Modelle können seit 1967 geflogen werden. Gibt es, gab es ein oder mehrere Abstürze und Bernd wird uns heute was davon erzählen. Ja, herzlichen Dank für die Einführung. Ich sehe, es sind heute nicht ganz so viele wie beim Edward Snowden Talk, das macht es auch nichts. Also Flugsicherheit war mir immer eine Sicherheit. Ich habe eine Menge Arbeit damit gemacht und ich teile gerne meine Leidenschaft mit euch. Vielen Dank. Also hier werde ich drüber sprechen. Es geht erst einmal um die Boeing 737 Max, auch die 737. Es geht um die Unfälle, die wir hatten, was wir da wussten, was schief gelaufen ist und was wir dann auch rausgefunden haben später. Ich werde zeigen, die kausale Analyse, die wir durchgeführt haben und auch den Überblick über diese Analyse. Über dieses berühmte MCAS-System, die mannöwung, die über die Zertifizierung der Aircraft in den Vereinigten Staaten und in Europa ist es ziemlich ähnlich. Ich werde aber trotzdem nicht auf europäische Differenzen eingehen, dann vor allem über die FRA sprechen. Ein paar andere Dinge werde ich noch erwähnen und schließlich ein Ausblick darauf, wie es mit der Boeing 737 Max weitergeht. Wir wissen es nicht genau, wir werden sehen. Und wenn noch Zeit ist, dann kommt noch ein bisschen Bundesmaterial. Also die Boeing 737 Max ist sozusagen unser Star heute und ist die 4. Ateration des weltbestverkauften Flugzeuges. Ich habe gerade neulich mal nachgeschaut, es gibt fast 15.000 Bestellungen für die 737, die Original, die Klassik, die Next Generation und jetzt das Max, ist auch der am schnellsten verkaufte Flugzeug der Welt innerhalb von Monaten gab es Tausende von Bestellungen und alle Airlines in der Welt warten darauf, dass sie diese Flugzeuge wieder fliegen können, fliegen dürfen. Der erste Unfall war letztes Jahr, ein Lion Air, ein indonesischer Kerrier, ein indonesischer Fluglinie, der fast drittgrößte Kunde von Boeing für die NG Max und der Unfall war sehr kurz nach in Service in Betriebsstellung dieses Flugzeuges. Wir hatten einige merkwürdige Sachen gehört auf Komma, auf Orums. Es scheint, dass es irgendwie unbeabsichtige Trims gab, die Nase wird unten gedrückt, der Pilot kann das auch dem entgegenwirken, aber scheinbar ist gegen der Six-Taker an während des Fluges und sie hatten Probleme, das Flugzeug zu kontrollieren und dann tauchte das erste Mal diese Abkürzung MCAS auf. Sogar 737 Max-Piloten sagten, dass sie nie davon gehört hatten von diesen MCAS. Später haben wir herausgefunden, dass in mancher Dokumentationen es ab und zu erwähnt wurde, aber nicht wirklich warum. Boeing wusste das und auch die Zertifizierungsbehörden wussten das. Sie wussten ein bisschen was davon, aber nicht die ganze Geschichte. Vor allem Menschen im Westen dachten, das sind irgendwie Drittwelt-Piloten, schlecht ausgebildet. Gut, okay, Lionair ist auch relativ eine schlechte Geschichte. Es gab eine ganze Reihe von Abstürzen mit Lionair. Also am Anfang dachten wir, das war halt ein Mal, ist was schiefgegangen, schlechte Piloten, was weiß man. Andererseits haben sich einige Leute doch irgendwie Sorgen gemacht, denn als dann die Flugrekorderaufzeichungen öffentlich wurden, da kamen einige Dinge raus. Einige Monate später ist das zweite Flugzeug das gleichen Typ, die gleiche Variante wie die 737 Max 8 ist abgestürzt. Stürzt ab. Und auf dem linken Bild sieht man, es gab echt einen großen Krater. Dieses Flugzeug hat sich sehr schnell in die Erde gebohrt, also zwischen 700 bis 800 Kilometer pro Stunde. Und da ist nicht viel übrig geblieben. Die größten Teile waren sehr klein. Und auch die Triebwerkskondeln, die sind etwas größer, die blieben übrig. Und auch hier hatte man dann Flugschreiberaufzeichungen, die hatten die Flugschreiber oder das Minister Speicher darin, hatte das überlebt. Und haben dann einige Sachen rausgefunden. Darüber sprechen wir in einem Moment. Aber erst möchte ich kurz über die ganze Familie der 737 sprechen. Es gibt vier Modelle. Das Originale mit schmalen Motoren unter den Flügen. Da war nicht viel Platz zwischen den Triebwerken und dem Boden, aber es sah eigentlich ganz normal aus. Es war eine der ersten Kursschrecken-Airliner mit Triebwerken unter den Flügen. Dann gab es neue Turbo-Fernmotoren, die auf dem Markt kamen und viel effizienter waren. 15-20% effizienter. Das war eine große Veränderung. Und die 737 wurde dann zur Klassik umgebaut. Große Triebwerke, immer noch mit analogen Instrumenten. Es war immer noch ungefähr das originale Flugzeug mit ein bisschen angepassten Triebwerken. Die Verschalungen sahen ein bisschen anders aus, aber größtenteils war es ähnlich und funktionierte für eine Weile. Dann verlangten Airlines neue Cockpit-Ausstattungen. Also wurde die nächste Generation aufgebaut. Die hatte neue Flügel, hatte Winglets an den Außenseiten der Flügel. Das war wieder ein bisschen effizienter. Ungefähr die selten Triebwerke, aber diesmal waren die mit FADEC Computer kontrolliert. Aber immer noch ungefähr in der gleichen Form. Boeing sagte, das wird wahrscheinlich ungefähr das Letzte sein. Und in ein paar Jahren entwickeln wir ein komplett neues, kurzen Mittelschreckenflugzeug. Das wird komplett neu sein, extrem effizient sein, sehr billig zu operieren sein und alle Airlines einen Freude. In der Zwischenzeit ist Airbus zu einem großen Player hingewachsen, mit dem A320, mit dem A320 Neo, der übers ganze Moderna war, der immer digital kontrollierte Triebwerke hatte und der von Anfang an größeren Abstand zwischen den Flügel und dem Boden hatte. Und Airbus hat angekündigt, dass der A320 aktualisiert wurde. Über eine lange Zeit hatte man beim A320 die Auswahl zwischen zwei Motorentypen und neu wurde nun angekündigt, super effiziente Triebwerke einzubauen, die eine neue Optimierung des Triebstoffverbrauchs brachten, mit 15% weniger Triebstoff pro Meile ungefähr. Das sind noch mal eine riesige Verbesserung. Viele Airbus-Kunden haben diesen A320 Neo sofort bestellt und einige Boeing-Kunden haben sich überlegt, dass wir so viel weniger Triebstoff verbrauchen. Vielleicht müssten wir uns überlegen, zu Airbus zu wechseln. Auch wenn es ein riesen Aufwand ist, wenn eine Flotte von nur Boeing-Flugzeugen haben, dann zu Airbus zu wechseln, ist es sehr aufwendig. Es macht so keiner außer, wenn er wirklich gezwungen wird. Aber der Unterschied im Treibstoffverbrauch war so groß, dass Leute wirklich diese Überlegung hatten. Also musste Boeing sehr, sehr schnell eine Lösung haben. Am besten innerhalb zwei Jahren, glaube ich. Für die Entwicklung eines Airlines ist das extrem schnell. Sie haben dann beschlossen, alle Pläne, die sie für diesen neuen, kurzen Schrecken-Mittelflieger hatten, zu streichen und die 737 Max zu bauen. Die Triebwerke wurden noch mal größer. Das Problem war, es gab keinen Platz mehr zwischen Boden und Triebwerk. Also mussten sie das Fahrwerk anpassen, um ein bisschen mehr Platz zu schaffen, um die Triebwerke trotzdem noch platzieren zu konnten. Das waren dann dieselben Triebwerke, die man für den neuen Airbus erhalten konnte. Also haben sie beschlossen, diese vierte Generation 737 zu machen und sie Max zu tauften. Wenn wir Unfälle analysieren, dann machen wir kausale Analysen des Unfalls. Das heißt, wir versuchen herauszufinden, ob etwas ein nötiger Faktor war, um den Unfall auszulösen. Also A ist ein Faktor von B. Wenn A nicht passiert wäre, dann wäre B auch nicht passiert. Das heißt, für alles, das wir zeigen, müssen wir aufzeigen, dass ein kausal Zusammenhang besteht und dass A wirklich notwendig war, um B zu verursachen. Was ihr hier wahrscheinlich nicht lesen könnt, ist nicht so wichtig, ist eine einfache Grafik der relevanten Details. Das ist die Analyse, die ich dieser Unfälle gemacht habe. Ihr seht, es ist kein einfacher Baum. Als Informatiker kennt ihr euch mit Bäumen aus. Das ist einfach ein gerichteter Graf und hat verschiedene Äste und so weiter. Einige Dinge sind kausal Zusammenhänge und andere Dinge nicht. Einige der Faktoren haben Einfluss auf mehreren Levels, zum Beispiel die Geschwindigkeit, die beeinträchtigt die Kraft, um das Flugzeug zu kontrollieren und auch die Zeit, die die Crew hatte, um das Flugzeug zu stoppen, bevor es am Boden aufbreite. Hier sind einige der Details der kausal Analyse, über die ich später reden werde. Hier ist eins davon, der selbsttätige Nose Down Trim. Was hier tatsächlich passiert ist, ihr könnt es in den Flugschreibern sehen. Ich weiß nicht, ich könnte dir meine Maus sehen. Hier die blaue Linie ist die manuelle Trimmung und die orange Linie ist die automatisierte Trimmung. Wenn Sie einen Ausschlag nach unten haben, bedeutet das, dass das Flugzeug nach unten getrimmt wurde. Das heißt, wenn man dagegen steuern möchte, muss man mit dem Höhenruder mehr zu sich steuern. Hier vorne seht ihr einige davon, die sind erwartet worden. Hier vorne seht ihr einige davon, die sind erwartet worden. Die werden erwartet, damit das Flugzeug stabil fliegt. Und hier sehen wir jetzt, dass einige automatisierten Trimmungen nach unten gemacht werden. Von fast 30 Sekunden, und da sind Pausen dazwischen. Direkt dazwischen hat immer der Pilot dem ganzen Versuch dann gegenzuwirkt. Da gibt es Knöpfe, die muss man mit dem Daumen bedienen. Und damit kann man dafür sorgen, dass die Nase vorne hoch oder runter geht. Für eine ganze Weile ging das sofort. Das Flugzeug oder automatisiert wurde es nach unten getrimmt, und der Pilot hat es dann wieder nach oben getrimmt. Und gegen Ende seht ihr, dass die Trimmungen nach oben kürzer und kürzer wurden. Und hier, die dunkel-blaue Linie, seht ihr die Pitch-Trim-Position. Das sollte eigentlich die Stabilisierung sein. Und ihr seht, dass es sich nach unten bewegt. Und gegen Ende geht es immer weiter nach unten und kommt nicht wieder hoch. Das heißt, die Kontrollkräfte, ja, am Ende wurde es unkontrollierbar. Und wir sind gecrashed, also abgestürzt. Das heißt, aus mehreren Gründen, die später erklären werden, war es den Piloten unmöglich, somit das Flugzeug oben zu halten und das Flugzeug ist somit abgestürzt. Das ist nur ein Graph von drei Unfällen, aber die anderen zwei sehen sehr ähnlich aus. Das heißt, wir sehen, da ist ein bekanntes System, was schon vorher auf der Boeing 737 bekannt war, was es bei all den alten Versionen auch gab, das Geschwindigkeits-Trimmungssystem, was automatisch trimmt. Allerdings die automatisierten Trim-Inputs passen nicht zu dem, was wir eigentlich erwarten. Das heißt, zum ersten Mal hören wir hier das Wort MCAS. Wir werden jetzt ein bisschen mehr darüber reden, was die Boeing 737 anders macht zu den vorherigen Flugzeugen. Und das sind die größeren Triebwerke. Sie sind deutlich größer und um die notwendige Ground clearance zu bekommen, muss sie weiter nach vorne geschoben werden. Und sie waren auch deutlich größer. Das heißt, wenn wir hohe Anstellwinkel hatten, produziert das Ganze einen zusätzlichen Lift vorne. Das heißt, vorne geht es weiter nach oben. Und die Zertifikationskriterien dafür sind sehr extrem, um zu sagen, was genau die Kräfte darauf sein dürfen, um zertifiziert zu werden. Aufgrund der größeren Maschinen-Triebwerke, meine ich, waren hier einige Anstellwinkel, wo diese Kriterien nicht weiterhin erfüllt wurden. Das heißt, es wurde entschieden, dass eine neue Software hinzugefügt wurde, eine kleine Trim-Bewegung um das Ganze wieder. Zu korrigieren. Das hat man gemacht, damit die Musterzulassung bleiben kann und dass auch Piloten einfach das Flugzeug weiterfliegen können. Es gibt nur ein ganz kurzes Training, um viel Unterschiede, aber Piloten können quasi am nächsten Tag auf das Sand steigen. Ein anderer Grund, warum man keine anderen Änderungen gemacht hat, ist, dass man hätte ja ein größeres Fahrwerk-Design können. Ich möchte es nicht sagen, es wäre dann stabiler gewesen wäre. Auch die 737 Max ist es nicht unstabil. Aber wenn all diese elektronischen Gimmicks ausfallen, fliegt das Flugzeug immer noch und ist auch einfach zu konsolieren in der normalen Envelope. Aber wenn man große mechanische Änderungen macht, das hätte viel länger gebraucht. Man hätte das Flugzeug neu zertifiziert müssen und wie man es gemacht hat, konnte man die ursprünglich vorhandene Musterzulassung weiterverwenden. Weil das Flugzeug bereits zertifiziert ist, muss es auch nicht alle neuen, jetzt aktuellen Zertifizierungsvoraussetzungen erfüllen. Es war also sehr viel einfacher und natürlich auch sehr viel billiger und schneller das Flugzeug auf diese Art und Weise zu zertifizieren. Das ist eines der Kriterien aus der Kriterienliste. Ich habe einiges schon hier rausgelöscht, weil es nichts nützlich ist. Es ist trotzdem noch ziemlich kompliziert. Es ist die Prozedur, die man durchführen muss. Da wird das Flugzeug immer langsamer geflogen und dann muss sich die Kräfte auf den Rudern anverändern. Also die Kraft auf den Rudern muss sich auf eine bestimmte Art und Weise hier verändern. In den europäischen Kriterien ist es so, dass sie diesen Paragrafen genommen haben und ihnen einfach die amerikanischen, die imperial units auf Meter und IS-Values geendet haben. Das gibt dann sehr, sehr merkwürdige Zahlen also wer fliegt ein Flugzeug, denn um 11,76 km pro Stunde langsamer. Also alle benutzen Knoten, nur die Kriterien in Europa, die müssen also in Kilometer pro Stunde sein. Also das hätte ich mir jetzt echt gedacht, dass wenn man die Konversion schon macht, dann hätte man wenigstens Meter pro Sekunde verwenden können. Warum auch immer? Also durch diese aerodynamischen Änderungen, die man gemacht hat, hat eben die Max nicht mehr die Voraussetzungen erfüllt. Man musste was tun. Wir wollten, Boeing wollte nicht ein mechanisches Redizern machen, das wäre zu teuer gewesen. Vielleicht wäre dann überhaupt, das hätte man das alte Type-Satifikat nicht mehr verwenden können. Also haben Sie dieses kleine Stück Software hier halt eingeführt und das Miss-Anstellminkel-Geschwindigkeit, die Klappenkonfiguration und dann trimmt das das Flugzeug kopflastig, so wie es das halt für richtig hält. Hat aber ein sehr interessantes Design, von einer Software-Design-Perspektive, kann man das lesen. Der Flugkontroll-Computer, ein Teil davon ist ein zusätzlicher Teil, ist MCAS, die Manoving Characteristic Augmentation System. Der Flugcomputer bekommt Eingaben von zwei Sensoren auf jeder Seite des Flugzeugs für Redundanz, die den Anstellminkel messen. Aber der MCAS-Algorithmus benutzt nur einen von beiden Sensoren. Also in der alten Version, in der neuen wahrscheinlich wird er beide benutzen. Wenn das Flugzeug jemals wieder fliegt. Und dann, wenn der Sensor jetzt ein Wertmiss, der so hoch ist, dann wird eben das Flugzeug kopflastig getrimmt. Das MCAS kann im Flug auch zwischen den beiden Sensoren hin- und herschalten. Aber zu jedem gegene Zeitpunkt wird immer nur ein Sensor verwendet. Was könnte hier schon schiefgehen? Hier sehen wir, was schief gelaufen ist. Das ist nochmal der selbe Graf wie vorher. Und ich zeige hier diese rote Linie Engel of Attack links gemessen. Und das andere ist Anstellwinkel rechts gemessen. Das sind die Daten der Computer von den Anstellwinkel-Sensoren bekommen hat. Beide werden aufgezeichnet. Aber nur eine davon wird aufgezeichnet. Und hier seht ihr die Skala auf der rechten Seite. Eine der Sensoren zeigt ziemlich normale Werte um 0 an, was zu erwarten ist, während des Start- und Steigflugs. Und die rote Linie ist ungefähr 20 Grad höher. Und das ist natürlich oberhalb des Schwellwärts, an dem MCAS sich einschaltet, entsprechend korrigiert. In der alten Version der Software gab es keine Vergleiche der beiden Sensoren und keine Vergleiche mit anderen Werten, wie z.B. Geschwindigkeit oder Höhenmesser oder anderen Daten. Das wäre relativ einfach zu machen, nicht trivial. Man muss das richtig machen bei solchen Dingen. Aber es wäre nicht zu schwer gewesen. Aber offenbar wurde das auch nicht gemacht. Also hat sich MCAS eingeschaltet. Nur wie konnte das passieren? Es ist für mich immer noch ein Mysterium, wie so was zertifiziert werden konnte mit einem solchen System, weil die Schwere des Fehlers jeweils evaluiert werden. Und der schwere Grad wird in fünf Kategorien verpackt von katastrophal bis zu keinem Effekt. Ein katastrophaler Fehler, muss man ein sehr komplexes Risk Assessment machen, um herauszufinden, was dort zu machen ist. Um entweder die Konsequenzen zu verhindern oder so unwahrscheinlich zu machen, dass so was fast nicht passieren kann. Hier haben wir die Wahrscheinlichkeiten, mit denen diese Kriterien umgehen. Normalerweise sind das zwei Größenordnungen zwischen einer Wahrscheinlichkeit von einmal pro zehn noch minus fünf Stunden zu zehn hoch minus neun Stunden. Hier habt ihr eine Risikomatrix, die kennt ihr wahrscheinlich. Und die sagt ungefähr, wenn etwas Major ist, darf es nicht mit einer Wahrscheinlichkeit von Wahrscheinlichkeit passieren. Und wenn es katastrophal ist, dann muss es extrem improb, also sehr unwahrscheinlich, einmal in mehr als eine Milliarde Flugstunden sein. Um das in Perspektive zu setzen, ich glaube, die Flotte mit den meisten Flugstunden hat einige hundert Millionen Flugstunden. Also sogar für die 37 und den A320 sind wir immer noch ziemlich weit weg von einer Milliarde Flugstunden. Es hätte also möglicherweise stattfinden können, dass es einmal stattgefunden hat. Aber die statistische Verteilung, mit der statistischen Verteilung, ist es möglich, dass es einmal passiert, aber ganz sicher nicht zwei in wenig an zwei Jahren. Und ziemlich offensichtlich ist die Schwere dieser Unfälle katastrophal. Ich glaube, da gibt es keine Diskussion. Und hier ist der relevante Teil über die Kriterien direkt aus dem Gesetz. Das Flugzeug muss sicher fliegen können für jeden einzelnen Fehler, ohne dass es entsprechende ungewohntes Einwirken braucht für alle Kombinationen von Vorfällen, die nicht extrem ungewöhnlich sind. Also diese 10 hoch minus 9 Stunden, hoch 9 Stunden. Für jede Möglichkeit, die schiefgehen kann, muss die Untersuchung gemacht werden, wie hoch die Wahrscheinlichkeit ist. Und für MCAS war das Major, also eine Reduktion der Fähigkeiten, möglicherweise kleinere Verletzungen, aber nichts Großes. Also sicher nicht hunderte von Toten. Und daher sind da einige Regularien, die sagen, welche Arten von Analysen gemacht werden müssen für diese verschiedenen Kategorien und für Major, wo die gesamten genannte Sachen erwarten. Das wurde eben gefunden von dem indonesischen Board in den finalen Versionen meiner Folien. Wäre ich vermutlich einige Quellen hinzufügen, dann könnt ihr das nachlesen. Ich bin interessiert daran, es ist Augenöffnend. Also nur sehr kleine Fehleranalysen wurden gemacht, Gefahrenanalysen. Es hat einige Männerstunden gebraucht, Arbeitsstunden. Die Frage ist, wurde es richtig kategorisiert als katastrophisch. Einige dieser Dinge, die passieren können, wurden überhaupt nicht beachtet, wie zum Beispiel eine große Stabilisierungsdurchbiegung oder eine wiederholte Aktivierung des MCAS. Anscheinend, das einzige Design des MCAS-Designs, das die FAA gesehen hat, war limitiert durch 0,6 und eine einzige Aktivierung pro Flug. Und das wurde geändert. Es ist immer noch unklar, wie das passieren konnte, weil es wurde geändert zu vielen. Aktivierung auch bei hohen Geschwindigkeiten, größer als 0,6 m Knut. Und da war kein Limit dazu, wie oft es aktiviert werden kann. Was auch nicht beachtet wurde, ist der Effekt der Flugkorrekturen durch große Bewegungen des Höhenruders. Der MCAS hat nicht die Autorisierung, es bis zum mechanischen Stopp zu bewegen, sondern nur kurz für viel mehr, viel weniger als die manuelle Steuerung machen darf. Du kannst immer zurücktrimmen mit der manuellen Steuerung, aber du kannst es nicht genauso weit runtersteuern, wie MCAS das machen kann. Es war sehr interessant, was auch nicht beachtet wurde oder zumindest nicht in dem Bericht, den die indonesische, das indonesische Board gesehen hat, dass die Arbeitsbelastung der Crew stark erhöht wird, wenn man mit bis zu 40 bis 50 Kilogramm dauerhaft an dem Höhenruder ziehen muss. Bei geringen Höhen, wo sie waren, wäre es nicht möglich gewesen, das Flugzeug dadurch wieder zu stabilisieren. Was auch nicht beachtet wurde, war ein... Probleme mit dem Sensor für den Anstellwinkel. Das Problem war, wie wir es schon gesehen haben, dass einer von den beiden Sensoren 20 Grad mehr angezeigt hat als der andere, und das wurde ebenfalls in der Analyse nicht beachtet. So, ich hoffe, das ist jetzt lesbar. Das ist eine sehr simplifizierte Version des MCAS-Systems. Wir können sehen, dass es erneut aktiviert, also er wiederholt aktiviert werden kann, aber nur, wenn der Pilot zwischendurch das manuelle Trimmung benutzt. Also es wird dormant werden, wenn der Pilot es manuell dauerhaft benutzt oder gar nicht benutzt. Also wenn der Pilot etwas tut, um dagegen anzugehen, gegen die Trimmung, gegen die Steuerung, macht er es tatsächlich schlimmer. Das ist aber nicht dokumentiert in irgendwelchen Piloten-Dokumentationen. Es wird jetzt vermutlich aufgeschrieben, allerdings ist es bisher nicht der Fall gewesen. Boeing war unter großem Druck, eine effiziente Version der 707 zu verkaufen. Und ich kann nicht sagen, wie das intern abgelaufen ist zwischen FHA und Boeing, aber man kann schon annehmen, dass es da eine Menge Management-Prescher gab, dass man einfach Druck gab, dass man das Release des Flugzeuges denkbar ist, dass sie da auch Abkürzungen genommen haben natürlich. Also die ursprüngliche Idee war, dass der Hersteller das Flugzeug baut, analysiert, dokumentiert, dass dann die FHA die Dokumentation überprüft und dann vielleicht noch ein paar zusätzliche Daten geben lässt, vielleicht auch das Flugzeug selber anguckt, den Prototyp anguckt und dann auf dieser Basis dann das zurückweist oder auch abnickt. Es gibt hier schon einen potenziellen Interessenkonflikt, die es in anderen Ländern so nicht gibt. In den USA ist es so, dass die FHA einen zweifahren Auftrag hat, nämlich einerseits die Flugsicherheit zu generieren, aber auch außerdem die Industrie zu unterstützen. So schaut die Zertifizierung bis vor 10, 15 Jahren ungefähr, also die FHA, also diese Regierungsorganisation, der Repräsentativ spricht mit Boeing, das ist der Repräsentativ für Boeing. Der ist aber von Boeing gezahlt und von Boeing eingestellt. Es gibt meistens mehr als einen, aber nehmen wir einfach an, das gibt nur einen. So, und dieser DER, dieser Repräsentativ, der berichtet dann wieder zurück an die FHA, dass alle Dokumentationen verfügbar ist, die FHA unterschreibt das oder kann er noch mal zurückfragen, fühlt unter Umständen Besuche durch in der Firma und so weiter und so fort. Das ging so mehr oder weniger gut bisher und es hat insgesamt mit Sicherheit die Flugsicherheit erhöht in den letzten Dekaden. Das hier ist eine neue Variante davon. Also dieser Mensch heißt jetzt nicht mehr DER, sondern ER, das ist der autorisierte Repräsentativ. Er ist immer noch von Boeing eingestellt, das hat sich nicht geändert, ist aber auch von Boeing Management tatsächlich ausgewählt und berichtet in das Boeing Management und das Boeing Management, die berichten dann an die FHA und dann die FHA setzen ihren Servus drunter. Hoffentlich lesen sie es vorher, aber sie sprechen selten mit den Ingenieuren, die es eigentlich gebaut haben. Sieht irgendjemand hier ein Problem in der Grafik? Man muss schon sagen, die meisten Flugzeuge, die in den letzten Jahren gebaut worden sind, sind nicht so ganz schlimm. Die 787, die 777, ist eines der sichersten Flugzeuge überhaupt. Zumindest, wenn man sich die qualiten Flugstunden anguckt, ist nicht alles schlecht, aber es gibt hier wirklich Potenzial für echte Screwups. Es gibt noch einen anderen Faktor, den ich kurz erwähnen sollte. Das ist, dass die 737, auch die neueste Version, ist nicht fly by wire, ist nicht von Computer kontrolliert. Es gibt offensichtlich hier schon ein paar Drähte. Meistens schaut es tatsächlich so aus. Das ist von einem alten Modell wahrscheinlich nicht vom neuesten, es ist schon ein bisschen verrostet. Und im Wesentlichen schaut es immer noch so aus und deswegen konnte man auch die Musterzulassung weiter verwenden. Es sind einfach gezogene Drähte. Ja, und da gibt es eine hydraulische Unterstützung, aber wenn die beiden hydraulische Unterstützungen kaputtgehen, dann können immer noch beide Piloten zusammen mit ihrer Kraft diese Drähte ziehen. Außer, wenn etwas schief geht. Und wenn etwas schief geht, also wenn das Flugzeug sehr, sehr schnell sich bewegt und eine sehr große Ablenkung hat vom Höhenruder, das hier ist ein Video von Mentorpilot, vielleicht habt ihr das gesehen, der hat das ausprobiert in einem Full Flight Simulator und das sind, also da werden realistische Kräfte an Aach gebildet. In der Centerkonsole unter den Schuhpäbeln, da gibt es diese schönen schwarzen glänzenden Räder, die kann man also manuell bewegen, um das Flugzeug zu trimmen, wenn der elektrische Trim nicht funktioniert. Der normalen Trim würde das nicht machen, das braucht manuellen Trim um weg von der... Trim ist zurück, Trim ist zurück. Und jetzt versuchen wir sie da hacklastig zu machen, nachdem es hier kopflastig gemacht wurde. Das normale Trimsystem kann es nicht so weit kopflastig machen. Also hier versuchen sie es zurück in eine gerade Fluglage zu kriegen, wie der Flugdattenschreiber zeigt, in der es war. Wie Sie hier gesagt haben, schallt das elektrische Trimsystem aus und das versuchen sie hier manuell zu machen und das hat realistische Trim-Kräfte, wie im realen Flugzeug. Also wie ihr seht, der Kapitän kann noch nicht mal helfen, weil er einfach das Scheuer Ruder erhalten muss mit seiner ganzen Kraft. Er muss mit beiden Armen zugreifen, sonst schafft er das gar nicht. Und wenn er das nicht hätte, wird das Flugzeug sofort sich auf die Nase stellen. Und das ist natürlich ein weiterer Faktor, der hier da reinkommt. Und dann sagt er, also zum Schluss drückt den roten Knopf, weil der nächste Moment ist der Aufschlag. Okay, es gibt noch etwas anderes, das nach dem Unfall gefunden wurde, das ein 737-Pilot gesagt hat. Ah, es ist wahrscheinlich einfach ein Trim, der ein bisschen aus dem Ruder gelaufen ist. Es gibt eine Prozedur dafür, das dürfte okay sein. Es gibt diese Notfallprozedur, Runaway Trim, der ablaufender Trim, dass das wird gedrillt und gedrillt. Das kennt jeder 737-Pilot, weil dieser Trim-Motor immer Strom bekommt. Das kann passieren, nicht besonders oft, weil jeder Pilot kennt die Symptome dieses Problems. Mein Trim läuft weg und weiß, dass er einfach den elektrischen Strom für diesen Motor ausschaltet und dann manuell trimmen kann. Wenn man die tatsächlichen Symptome davon anschaut, dann sagt es, der Trim läuft kontinuierlich ab. Und MKAS läuft nicht kontinuierlich. MKAS ist wie das Geschwindigkeits-Trimsystem, das zwischendurch läuft und dann anhält und wieder läuft und wieder anhält. Die meisten Piloten würden das nicht als ein ablaufender Trim erkennen, weil die Umstände sind anders. Einige Piloten könnten das bemerkt haben, dass hier etwas mit dem Trim läuft, dass das falsch ist und könnten versucht haben, das auszuschalten. Aber andere haben das nicht erkannt. Auch wenn alle wissen, dass es diesen Ablauf- und Trim geben kann. Hier ist die zweite Datei, die ich habe. Das Geräusch, das der Stick Shaker auf einer 737 macht. Jetzt stellt euch vor, zu fliegen, während euer Stick die ganze Zeit geschüttelt wird und das eine Stunde durchzuziehen. Das ist das, was die Crew gemacht hat. Für ungefähr eine Stunde so geflogen, während das Kontrollelement geschüttelt wurde. Weil dieser Stick Shaker, der sagt aus, deine Strömung über den Flügel reißt gleich ab. Aber die Piloten wussten auf der Höhe, dass sie richtig unterwegs wären. Auf der Höhe, sie waren schnell unterwegs. Die Strömung war da. Auch Dynamik wussten sie, es gab kein Problem. Das Flugzeug war nicht auch nur in der Nähe eines Strömungsabrisses. Aber die meisten Piloten hätten einfach umgerät und gelandet und gesagt, bitte repariert das. Da war irgendwas falsch. Dieser Stick Shaker wird aktiviert durch den Anstellwinkelsensor auf beiden Seiten. Die beiden Knüppels sind mechanisch gekoppelt. Wenn einer schüttelt, schüttelt der andere auch. So läuft das also. Fliegt das Ding noch mal. Es ist eine offene Frage. Ich denke, es wird schwer vorstellbar, dass diese 460 Flugzeuge, die gebaut wurden und jetzt irgendwo auf einem Mitarbeiteparkplatz stehen, dass die einfach da weiter stehen werden und dann verschrottet werden. Fast 5.000 davon wurden bestellt. Weder Airlines noch Boeing werden glücklich sein. Aber momentan ist noch nicht so ganz klar, ob das wieder zertifiziert wird. Also momentan ist das nicht fliegbar. Ein letztes Ding, das ich ansprechen wollte. Zertifikationsprobleme von Boeing, haben ich daran erinnert. Habt ihr das schon mal gesehen? Also was macht ihr hiermit? Ein Batterieauspuff. Der Boeing 787 Dreamliner, zwei Jahre nach dem er angefangen hat, benutzt zu werden, hatte er zwei große Feuer an den Batterien. Er hatte zwei große Batterien, einmal Lycium Kobalt, das, was das hellste Feuer hat, also Kobalt. Sie wollten die Energiedichte damals und das war davor halt nicht möglich. Hätten sie Lycium Katzium stattdessen benutzt, da bin ich mir nicht ganz sicher. Während es 40 Kilowesen, das ist fast ein Passenger, ein Insel. Was ist deine größte Angst, was auf einem Flug passieren kann? Dass die Flugkontrolle Probleme bekommt und Feuer. Ihr wollt also wirklich kein Feuer mitten in der Luft haben. Definitiv nicht. Eines der Feuer war tatsächlich während eines Fluges mit Passagieren drin. Eines war noch auf dem Boden. Die Lycium Ion sind besondere Batterien und sie haben besondere Zertifikate, weil sie nicht bei der originalen Zertifizierung mit drin sind. Hier sagt es, sichere Zelltemperaturen und Drücke müssen behalten werden während jeder Kondition und jedem Problem und dürfen nicht extrem remote gezeigt werden. Mit Remote meint er, dass es Wahrscheinlichkeit weniger als 1 mal 10 noch minus 7 pro Operierender Hour, also pro Flugstunde ist. Die kombinierten Stunden für den Flieger waren damals für die Linie, vielleicht ein paar Tausend. Ich bin mir nicht ganz sicher. Es ist trotzdem zweimal passiert. Das heißt, es war wirklich nicht so ganz lustig. Es sagt, keine Explosionen oder toxischen Gase als Ergebnis von diesem Versagen. Sie haben das dritte Beiner gelöst, indem sie es einfach in eine Box gepackt hat mit einer sehr dicken Schale von ca. 8 mm. Da bin ich mir nicht ganz sicher. Und sie hier ran zu packen an das untere Ende des Flugzeuges. Das heißt, dadurch können die Gase nicht innerhalb des Flugzeuges sich ausbreiten. Damit bin ich am Ende meines Talks. Das heißt, wir haben noch ein paar Sachen übrig. Vielen Dank. Das wurde jetzt übersetzt von Goonies Bro, JP und Flow. Und jetzt haben wir noch ein paar Fragen und Antworten für euch. Ihr könnt uns gerne unter Twitter Feedback geben. Extrem pünktlich, muss ich sagen. Wir können einige Fragen machen und eine gesunde Diskussion machen. Komm bitte an die Mikrofone. Die sind überall in der Halle verteilt. Deshalb haben wir eine Frage aus dem Internet schon. Lieber Signal Engine, ist dein Mikrofon funktioniert jetzt schon. Denkt ihr, dass größere Software-Tests die Situation hätten lösen können? In diesem Fall denke ich, möglicherweise ja, auch wenn Software-Tests ein problematisches Ding sind. Weil, um Software für diese extreme Zuverlässigkeit zu testen, muss man sich für eine sehr, sehr, sehr, sehr lange Zeit testen. Um die Zuverlässigkeit von 99 Prozent zu haben, dass das nicht in 10 Millionen Stunden passiert, muss man es für 45 Millionen Stunden testen. Und zwar mit genau den Bedingungen, die im Flug passieren. Und es scheint, dass sich niemand überlegt hat, dass ein Anstellwinkelsensor ausfallen kann. Es ist denkbar, dass Testing hier nicht viel geholfen hätte. Vielen Dank für den Talk. Ich habe eine Frage bezüglich der Landung. Wieso denkst du, dass die FAA so lange gewartet hat, sogar nachdem die chinesische Behörde das beschlossen hat? Ich denke, das ist wirklich ein komplettes Fehlversagen. Es wurde in der Studie gemacht, nach einigen Wochen, vor einigen Wochen, in der Lebzeit der 37 Max hat Boeing vorausgesehen, dass alle paar Jahre meiner Max ausfallen würde. Und die FAA hat wirklich so lange bis nach dem zweiten Unfall gewartet, um das Flugzeug auf den Boden zu setzen. Es geht gar nicht. Vielen Dank für den Talk. Ich habe eine Frage über die Designs. Nur eine dieser Sensoren zu benutzen für den Anstellwindel. Ich habe gelesen, dass Boeing dieses MKS-System schon vorher bei Militäraktionen benutzt hat. Und dort beide benutzt hat. Warum ist das hier nicht benutzt worden? Es wurde wieder untergesetzt. Eine gute Frage. Das militärisches System sagt mir nicht, wenn es wirklich dasselbe war. Aber wenn das der Fall war, dann ist das noch viel komischer, wenn Sie hier nur einen Sensor aus benutzt haben. Danke. Wie kann man diese Anforderung eigentlich testen in der Praxis? Wie macht man das in der Praxis, ob etwas alle 10 hoch minus 9 Stunden oder alle 10 hoch minus 8 Stunden kaputt geht? Das ist natürlich praktisch komplett unmöglich. Wie ich gesagt habe, wenn man wirklich die Wahrscheinlichkeit haben will, dass die Fehlerrate so tief ist, dann muss man das für 4,5 Milliarden Stunden testen. Und das ist unmöglich. Stattdessen, was möglich ist, es gibt einige Industrie Standards. O178, Revision C. Wenn man Software hat, die mit diesen Konsequenzen ausfallen können, dann gibt es formelle Software-Verifikationen, also sehr, sehr strikte und formale Analyse der Spezifikation in einer formalen Sprache, bevorzugt in einer formalen Sprache. Wenn möglich, und einige Firmen tun das, es ist möglich, den Quellcode formell zu überprüfen. Aber das ist sehr viel Aufwand. Aber das ist, wie man es machen sollte. Und genau solche Software sollte zur höchsten Stufe, also Stufe A von 178 B, entwickelt werden, und das wurde nicht gemacht. Vom Internet. Bei Ihnen ging es vor allem um MCAS, aber jemand sagte, dass das Flugzeug an sich für Triebwerke designt wurde, die weiter unten unter den Flügel waren. Könnte es mit der MAX2 dann mechanische Probleme geben? Ich habe nichts von mechanischen Problemen gehört. Es gibt dynamische Probleme. Die NG wurde auf dieselben Standards getestet, weil klar, es gab da aerodynamische Veränderungen in der NG. Und offenbar hat die immer noch die formalen Kriterien der Z-Witzierung erfüllt. Es gibt dort akzeptable Limiten, wie das zu testen ist und wie man diese Kraftausübung auf der Flugschauung testet. Und offenbar klappte das mit der NG, aber mit der MAX nicht. Auch in der Klassik, die eigentlich dieselben Motoren hatte wie die NG, die hatte auch einige Probleme, aber dort wurde dann das Speedtrim-System eingebaut. Das ist ein ähnliches System. Das ist auch ein kleiner Algorithmus. MCAS ist ein kleiner Algorithmus, hauptsächlich im Speedtrim-System. Bitte seid ruhig, bis die Q&A vorbei ist, wenn ihr den Saal verlassen müsst. Seid bitte ganz, ganz leise, es ist viel zu laut hier. Die nächste Frage, bitte von Mikrofon 1. Also, wenn man sich jetzt anschaut, was hat man daraus gelernt, hat die FRA mittlerweile geändert? Wollen Sie es vielleicht ändern noch in Zukunft? Na ja, die FRA wird es in der Zukunft, also, die sind einfach sehr langsam, ja. Also, ich habe mir das noch nicht so ganz genau angeschaut. Andere Zertifizierungsbehörden arbeiten anders, und zumindest in Europa und in China, die haben schon gesagt, dass sie sich in diesem Fall nicht auf die amerikanischen Behörden verlassen werden. Wenn die normalerweise in der Zukunft die FRA das Flugzeug zertifiziert hat, dann haben alle Behörden das übernommen, sind einfach davon ausgegangen, das passt schon. Und umgekehrt, wenn die EAS, also die europäische Behörde etwas zertifiziert hat, dann haben wir es übernommen, und das wird sich wahrscheinlich jetzt ändern. Danke, Mikro 3, bitte. Hi. Danke für den Talk. Zwei Fragen. Warst du Teil einer offiziellen Untersuchung oder sind das deine eigenen Analysen der Fakten? Und die zweite Frage. Ich habe etwas gehört darüber, dass die Software nach Indien outgesourced wurde. Kannst du das dazu sagen? Also, das erste Analys ist hier meine private Analyse. Ich habe eine Zukunftunfalluntersuchung gemacht, also für private Kunden. Was das outsourcen nach Indien angeht, weiß ich nicht, habe ich wohl auch gelesen, aber was ich auch gelesen habe, ist, dass das Honeywell hergestellt hat. Könnte auch falsch sein. Ich glaube, es war Honeywell. Und wer die eigentlichen Programmierer waren, also, wenn das vernünftig gemacht ist, nach DO1S78B, dann ist es völlig wurscht, wo die Programmierer sitzen. Und ich möchte ganz bestimmt jetzt nicht auf Indischen Programmierer hier runtermachen. Also, wenn das also nach Spezifikationen gebaut ist und vernünftig analyset wurde, mit Schadriger Codeanalyse und so weiter, auch gegen die Spezifikationen, dann sollte das schon passen. Das Problem ist nicht so sehr in der Implementierung der Software, sondern in dem Design des Systems und der Software. Danke, Mikro 5, bitte. Hi. Ich habe deine Präsentation vielleicht falsch verstanden, aber so wie ich das verstehe, ist die Kernursache, die Konkurrenz und die harte Deadline von Management. Meine Frage an dich ist, gibt es Vorschläge oder Hinweise von dir, wie dieser Prozess verändert werden könnte, um zu verhindern, dass solche Softwarefehler gemacht werden in missionskritischen Systemen? Ja, also, normalerweise sprechen wir nicht von dem einen Grund. Es gibt immer viele Gründe, wie ihr schon gesagt habt, die nachdem, wo man bei dem Graf dann aufhört. Also, die ganzen Blätter dieses Grafen hier sind alles Gründe und Fehler. Und ich habe dann einfach relativ bald aufgehört, um nicht mehr Detail zu zeigen. Also, diese Competition zwischen Alan and Boris, ist natürlich ein Faktor, ist klar. Ich denke nicht, dass irgendjemand vorschlägt, dass wir diesen Wettbewerb aufheben wollen. Ich glaube, was ich ändern muss, ist die Art und Weise, wie man Zertifizierung durchführt. Das erfordert, dass die FAA wieder ihre Autorität behaupten. Und das braucht natürlich auch, dass sie Personal haben mit gutem Engineering-Background haben, mit Ingenierfähigkeit. Und vielleicht sollten sie auch bessere Löhne zahlen. Also, momentan ist es wahrscheinlich so, dass die ganzen guten Ingenieure und die FAA die braucht wirklich Engineering-Expertise und da eine Menge davon. Danke. Nächste Frage, Mikro 4, bitte. Hi, danke für den Talk. Ich habe gehört, oder ich habe gelesen, dass es eine Version der 737 Max 8 gibt, die einen dritten Anstellwinkelsensor eingebaut hatte, als ein Backup für die beiden anderen Sensoren. Aber das ist eine bezahlte Zusatzoption. Ich konnte das irgendwo bestätigen. Weißt du was drüber? Also, es ist mir nicht bekannt, dass es als Bezahloptionen gab. Es gab was für ein optionales Feature, das war irgendwie ein Sicherheitsfeature. Ich weiß nicht mehr genau, was es war. Vielleicht war es ein Anstellwinkel-Indikator im Cockpit. Das kann man als Option dazu kaufen für die meisten Modelle, weil es gibt ja den Sensor und sowieso. Ein dritter Sensor, das würde mich überraschen, ob man das auf die Option kaufen kann. Das ist einfach eine große Änderung. Da braucht man zusätzlich ein initial Referenzsystem. Da gibt es heute nur zwei. Das hätte sehr lang gebraucht, das zu entwickeln. Da bin ich sehr skeptisch, ob das ein dritter Sensor ist. Ich habe nicht davon gehört. Danke. Haben wir noch Fragen aus dem Internet? Eine kurze Frage. Würdest du je mit einem Max fliegen, wenn sie wieder fliegen darf? Ja, das war ja klar, dass das kommt. Ich habe jetzt noch keine Antwort darauf. Es kommt einfach darauf an, wie dann die FAA sich hier verhält. Ich habe gehört von Leuten, die sagen, es sollte man nie wieder zertifizieren als Flugzeug. Ich schaue mir das schon in Detail an, wie die FAA das jetzt handelt und wie die sich weiterentwickelt. Dann vielleicht ja. Dann nehmen wir noch eine sehr kurze Frage von Mikro 5. Weißt du, wieso der wichtige Anstellwinkelsensor die falschen Werte geliefert hat? Es gibt ein paar Theorien. Ich habe mir nicht in Detail angeschaut. Es gab ein paar Geschichten, dass es bei dem Indianija-Lion-Unfall falsch montiert war. Das würde erklären, warum es einen konstanten Offset gab. Jemand hat auch tatsächlich berechnet aus den rohen Busdaten, dass das genau ein kaputtes Bit sein könnte. Aber ich weiß es nicht. Es gab da was im Reporterin, müsste man vielleicht noch mal neu lesen. Die Indonesia haben an der Stelle als die Substandard-Performance charakterisiert. Zwei Minuten. Eine Frage von Mikro 1, bitte. Ich hätte erwartet, dass ein modernes Flugzeug einen physischen Schalter hat, um jedes automatisierte System auszuschalten. Hat es das nicht? Nein. Auch speziell in modernen Flugzeugen kann man das nicht machen. Aber es gibt auch eine automatische Verbindung zu den Kontrollflächen. Es gibt nur den Computer. Der Steuerknüppel ist nur ein Input in den Computer. Das gilt für jeden Airbus seit dem A320. Es gilt für jede Boeing, seit Sider 777. Die 787 sind 100% Fly by Wire. Es gibt 95%. Die Spoilers sind mechanisch verbunden. Aber es geht nicht. Man muss sicherstellen, dass die Software zu den höchsten Standards entwickelt wird. Man kann sie nicht ausschalten. Auf einem Fly by Wire Flugzeug kann nur der Computer die Steuerflächen kontrollieren. Du musst hoffen, dass die funktionieren. Wenn ihr das nächste Mal wieder fliegen geht, ist es eine große Runde Applaus für unseren Sprecher. Damit verabschieden wir uns von der deutschen Übersetzung der 737 MAX automatisierten Abstürze live.