Der Computer ist (nicht) schuld

Publiziert am 15. März 2019 von Matthias Zehnder

Nach dem zweiten Boeing-Absturz in kurzer Zeit wäre es einfach, einen bösen Kommentar über unzuverlässige Computer zu schreiben, die rechtschaffenen Piloten ins Handwerk pfuschen. Es wäre einfach – und es wäre falsch. Computer machen keine Fehler. Es sind die Menschen, die Fehler machen. Zum Beispiel die Manager von Boeing. Wer aus den Flugzeugabstürzen den Schluss zieht, man solle weniger Computer einsetzen, zieht deshalb den falschen Schluss. Vermutlich wäre die Welt sicherer, wenn Computer zum Beispiel im Verkehr mehr zu sagen hätten.

Im letzten Oktober ist kurz nach dem Start eine Boeing 737 MAX 8 der Lion Air in Indonesien abgestürzt, diese Woche ein Flugzeug des gleichen Typs der Ethiopian Airlines in Äthiopien. Beide Flugzeuge waren werksneu und erst seit kurzem im Einsatz. Beide Flugzeuge stürzten wenige Minuten nach dem Start ab. Was sich genau an Bord der beiden abgestürzten Boeing 737 Max abgespielt hat, ist noch nicht geklärt, weil die Flugschreiber noch nicht ausgewertet sind. Experten glauben aber nicht an einen Zufall.

Im Verdacht steht ein neues Sicherheitssystem des Flugzeugs: Das Maneuvering Characteristics Augmentation System (MCAS) kontrolliert bei einem Steigflug, ob das Flugzeug genügend Auftrieb hat.[1] Wenn der Pilot zu steil startet, greift das System ein und drückt die Nase des Fliegers herunter, um einen Strömungsabriss[2] zu verhindern. In der Flugsprache Englisch heisst der Strömungsabriss Stall. Zu einem solchen Stall kann es kommen, wenn der Winkel zwischen Luftstrom und Flügel zu gross wird. Die Folge: Die Flügel tragen das Flugzeug nicht mehr, es fällt wie ein Stein vom Himmel.

Der Computer ist schuld. Oder?

Dieses MCAS könnte an beiden Abstürzen schuld sein. Beim Flugzeug der indonesischen Lion Air vermuten Experten, dass die Sensoren, welche die Strömung am Flugzeug messen, fehlerhaft gearbeitet haben. Offenbar schickte der Sensor, der den Winkel zwischen Luftstrom und Flügel misst, falsche Daten an den Bordcomputer.[3] Das MCAS schloss aus den Daten, dass die Boeing zu steil flog und schaltete sich ein: Es drückte die Nase des Flugzeugs nach unten. Der Pilot wehrte sich und zog den Flieger wieder hoch – worauf das MCAS wieder einschritt und die Nase wieder nach unten drückte. Bis das Flugzeug abstürzte. Daraus folgt: Der Computer hat das Flugzeug zum Absturz gebracht, also ist der Computer schuld.

Doch warum taucht das Problem mit dem MCAS nur bei diesen neuen Boeing-Flugzeugen auf? Weil das System für diese Flugzeuge entwickelt wurde. Der deutschen «Tagesschau» erklärte der Luftfahrtjournalist Andreas Spaeth die Hintergründe.[4] Laut Spaeth liegt es daran, dass die Boeing 737 eigentlich ein uraltes Flugzeug ist: Die 737 gibt es schon seit 50 Jahren. Die Fluggesellschaften wollen ein neues, sparsameres Flugzeug kaufen, Boeing wollte jedoch nicht von Grund auf ein neues Flugzeug konstruieren. Also hat man die alte 737 umkonstruiert – und das scheint sich nun zu rächen, sagt Spaeth. Insbesondere hat Boeing der 737 Max neue, sparsamere Triebwerke verpasst. Diese neuen Düsen haben einen grösseren Durchmesser als die bisherigen. Boeing konnte sie deshalb nicht mehr einfach unter die Triebflächen hängen. Die Triebwerke mussten weiter vorne angebracht werden. Das sieht man auf diesem Bild sehr gut:

Das hat den Schwerpunkt des Flugzeugs nach vorne verschoben und dessen Aerodynamik verändert. Das Flugzeug hat nun laut Spaeth die Tendenz, die Nase zu heben. Das ist gefährlich: Steigt das Flugzeug zu steil an, kommt es zum geschilderten Strömungsabriss. Also baute Boeing ein Sicherheitssystem ein, das einen solchen Stall verhindern soll: das erwähnte MCAS. Wenn nun die Sensoren dem MCAS falsche Daten melden, greift das Sicherheitssystem ein und senkt die Nase des Flugzeugs. So kann es im Extremfall zu einem unerwünschten Sturzflug kommen. Das bedeutet: Der Computer hat zwar vielleicht den Absturz verursacht – aber der Computer kam erst in die Lage, den Absturz zu verursachen, weil es Boeing zu aufwändig war, ein neues Flugzeug zu konstruieren. Wer ist schuld?

Computerfehler noch und noch

Wenn es so ist, dass der Bordcomputer die Boeing zum Absturz gebracht hat, wäre es nicht der erste Computerfehler mit fatalen Folgen an Bord eines Flugzeugs. Bei der Entwicklung des amerikanischen F-16-Kampfflugzeugs soll sich erst ganz am Schluss im Flugsimulator herausgestellt haben, dass der Bordcomputer das Flugzeug in Rückenlage brachte, wenn der Äquator überflogen wurde. Der Fehler flog noch vor dem ersten realen Start im Simulator auf. Weniger gut erging es der NASA mit der Sonde Mars Climate Orbiter: 1999 verpasste die Sonde den Landeanflug auf den Mars, weil die Programmierer, die an der Software gearbeitet hatten, zum Teil metrische und zum Teil angloamerikanische Einheiten eingesetzt hatten. Beim Datenaustausch kam es deshalb zu falschen Berechnungen. Die NASA verlor deshalb die Sonde.[5]

Solche Computerfehler gibt es zu Hauf.[6] Vermutlich gibt es sie auch in Autos, nur sind da die Auswirkungen weniger dramatisch als bei einem Flugzeug. Zeitungsleser sehen bereits eine ganze Unfallwelle auf die Menschheit zukommen, Motto: Tote wegen Versagen eines intelligenten Systems, heisst es etwa in den Leserkommentaren des «Tages-Anzeigers».[7] Der «Spiegel» titelt: Die programmierte Katastrophe und schreibt: Die Unzuverlässigkeit von Computern wird eine der grössten gesellschaftlichen Schwachstellen.[8] Haben wir uns dem Computer zu sehr ausgeliefert? Droht das grosse Computerfiasko? Tötet uns die Automation?

Tötet uns die Automation?

Man könnte es meinen. Doch der zitierte «Spiegel»-Artikel stammt aus dem Jahr 1990 (!). Die Angst, dass fehlerhafte Computer die Welt an die Wand fahren, ist also 30 Jahre alt. Ich meine: Das Gegenteil ist wahr. Computer machen nie Fehler. Sie führen ganz genau das aus, was ihnen gesagt worden ist – im Gegensatz zu vielen Menschen. Computer haben aber zwei Schwachstellen: Erstens werden sie von Menschen programmiert, die manchmal Fehler machen, und zweitens hängt die Qualität ihrer Arbeit von den Daten ab, mit denen sie versorgt werden. Dass die NASA ihre Sonde Mars Climate Orbiter verloren hat, das liegt an der Schlampigkeit der Menschen, die sie programmiert haben. Dass das MCAS von Boeing falsch reagiert, könnte an fehlerhaften Sensoren liegen. Da gilt die alte Programmiererweisheit: Garbage in – Garbage out. Wenn man ein System mit Müll füttert, kommt auch Müll heraus.

Ja, Computer können Unfälle verursachen. Das heisst aber nicht, dass Computer schlecht arbeiten. Es heisst in aller Regel, dass die Menschen schlecht gearbeitet haben. Man könnte also sagen: Computer machen keine Fehler. Die Fehler werden immer von Menschen verursacht. Wer also aus den Abstürzen der Boeing 737 Max schliesst, Computer seien zu wenig sicher, man dürfe deshalb zum Beispiel keine selbstfahrenden Autos entwickeln, zieht den falschen Schluss. Wenn die Analyse von Andreas Spaeth zutrifft, muss man nicht den Computer beschuldigen, sondern die Firma Boeing: Um mehr Gewinn zu machen, hat sie bei der Flugzeugentwicklung gespart. Wenn das stimmt, dann ist also nicht der Computer schuld, sondern das Management der Firma.

Mehr Computer

Ich bin überzeugt: Wenn der Computer im Auto mehr zu sagen hätte, wäre es deutlich sicherer auf unseren Strassen. 2017 ereigneten sich auf den Schweizer Strassen 17’799 Unfälle mit «Personenschaden».[9] Dabei wurden 230 Menschen getötet und 17’759 Menschen verletzt. 3654 Menschen wurden schwer verletzt. Das bedeutet: Jeden Tag werden auf den Schweizer Strassen 10 Menschen schwer verletzt. Jede Woche sterben auf Schweizer Strassen vier bis fünf Menschen. Haben Sie schon mal eine Schlagzeile gesehen, dass «fehlerhaft arbeitende Autofahrer» Menschen töten? Stellen Sie sich einmal vor, was in den Medien los wäre, wenn eines dieser Autos von einem Computer gesteuert worden wäre. Es ist offensichtlich: Menschen verzeihen wir Fehler. Computern nicht. Ich glaube deshalb, die Strassen wären sicherer, wenn mehr Autos durch Computer gesteuert würden, statt durch emotionale Männer voller Testosteron. Und das gilt vielleicht nicht nur für Strassen. Was meinen Sie?

Basel, 15. März 2019, Matthias Zehnder mz@matthiaszehnder.ch

PS: Nicht vergessen – Wochenkommentar abonnieren. Kostet nichts, bringt jede Woche ein Mail mit dem Hinweis auf den neuen Kommentar und einen Buchtipp. Einfach hier klicken. Und wenn Sie den Wochenkommentar unterstützen möchten, finden Sie hier ein Formular, über das Sie spenden können.

---

Quellen:

[1] Hier ein Hintergrund dazu im Atlantic: https://www.theatlantic.com/technology/archive/2019/03/boeing-737-max-8-safe-how-faa-tested-its-software/584848/

[2] Strömungsabriss auf Wikipedia: https://de.wikipedia.org/wiki/Str%C3%B6mungsabriss

[3] Siehe hier: https://www.tagesanzeiger.ch/wissen/technik/wenn-die-maschine-den-piloten-wieder-und-wieder-uebersteuert/story/23811060

[4] Vgl. «Tagesschau», 13.3.2019, https://www.tagesschau.de/ausland/mcas-boeing-101.html

[5] Vgl. https://www.golem.de/news/softwarefehler-in-der-raumfahrt-in-den-neunzigern-stuerzte-alles-ab-1511-117537.html

[6] Eine Liste gibt es zum Beispiel hier: https://de.wikipedia.org/wiki/Liste_von_Programmfehlerbeispielen

[7] Etwa in den Kommentaren zu diesem Artikel hier: https://www.tagesanzeiger.ch/wissen/technik/der-fehler-liegt-im-system/story/11614474

[8] «Der Spiegel», 15.1.1990: http://www.spiegel.de/spiegel/print/d-13501897.html

[9] Verkehrsunfallstatistik: https://www.bfs.admin.ch/bfs/de/home/statistiken/mobilitaet-verkehr/unfaelle-umweltauswirkungen/verkehrsunfaelle.html