Ausfallsicherheit im Zeitalter von „Fly by Wire“

Ab Samstag ist der notgelandete Qantas Airbus A380 wieder im Einsatz. Anfang November musste das größte Passagierflugzeug in Singapur mit nur drei, anstatt vier Triebwerken landen. Dass ein Flugzeug mit ausgefallenen Triebwerken noch sicher landen kann, ist dem Fortschritt der Technik zu verdanken. Grund genug, einen Blick in die Abgründe der Flugzeugtechnologie zu werfen.

Fotos: Andreas Schönwälder, Airbus, Boeing

„Fly by Wire“. Ein Begriff den man schon öfter gehört hat oder auch nicht. Falls nicht, hindert es die meisten von nicht daran zu fürchten, wie viel an Technik nicht ausfallen könnte. In den guten alten Zeiten, ja da hat noch jedes Ruder an zwei Seilzügen gehangen und da hat man jede noch so unsinnige Hydraulikleitung bis zum Hebel im Cockpit geführt. Das hat zwar meistens gut funktioniert, allerdings waren zu der Zeit noch zwei Piloten, ein Ingenieur, ein Funker und ein Navigator nötig. Mittlerweile werden die meisten Aufgaben von einem Computer bewältigt und die Zahl solcher Computer hat exponentiell zugenommen.

Zu viele Systeme waren im Flugzeug und jedes einzelne brauchte ein paar Dutzend Steuerleitungen, Seilzüge oder sogar schwere mit Hydraulikflüssigkeit gefüllte Leitungen. Die wahre Flut an Schaltern im Cockpit war damals um das zehnfache höher als heute und von zwei Menschen alleine nicht beherrschbar. Mit der fortschreitenden technologischen Entwicklung wurde dazu übergegangen die Systeme dort zu lassen wo sie benötigt werden und alles fernzusteuern oder gleich einen Computer die Arbeit übernehmen zu lassen.

Dies gilt seit mehreren Jahren auch für die Flugsteuerung. Anfangs hing jede Steuerfläche noch an zwei eigenen Seilzügen, welche quer durchs Flugzeug liefen. Bei einem Jumbo wie dem Airbus A380 konnte das problemlos bis zu 100 Meter ausmachen. Jetzt stellen Sie sich einmal vor, Sie sitzen im Auto und hätten hinter dem Lenkrad eine 100 Meter lange Lenkstange und stellen Sie sich weiter vor, Sie wären der Mechaniker der dies in Stand halten muss. Es ist nicht verwunderlich, dass es nicht sehr effizient ist, den Innenraum alle paar hundert Stunden zu zerlegen um diese Seile zu inspizieren.

Nachdem auch bei Flugzeugen ohne Servolenkung nichts läuft, kamen die Flugzeugbauer rasch drauf, dass man die Seilzüge auch durch Datenleitungen ersetzen kann welche dem Servomotor einfach direkt die gewünschte Position schicken. Aber wie stellt man sicher, dass diese Technik nicht einfach ausfällt?

Bei einem einzelnen mechanischen Bauteil ist alles noch ganz einfach berechenbar. Die Angst, dass die Flügel abbrechen, oder ähnliches, ist daher absolut unbegründet. Man schaut wie hoch die maximale Belastung bei einem Standardflug normal wäre (2,5-fache Erdbeschleunigung) und rechnet jetzt noch ein, wie stark die schlimmsten real erwartbaren Turbulenzen sein könnten. Insgesamt kämen wir dann auf eine geforderte Bruchlast (was der Flügel aushält, bevor er bricht) in der Höhe 3,8-fachen Erdbeschleunigung. Ein normaler Mensch hätte dabei bereits ein Gewicht von 300kg und wäre bei der normalen Sitzposition bereits innerhalb von 4 Sekunden bewusstlos. Um Produktionsmängel und Alterung nicht zu vernachlässigen wird von diesem Ergebnis aber zur Sicherheit 150 Prozent genommen, obwohl in der Regel ein Aufschlag von knapp über 10 Prozent extra genügen würde. In Summe muss der Flügel und alle anderen strukturellen Bauteile also 5,7 Mal das Gesamtgewicht des Fliegers tragen können. Völlig ausgeschlossen, dass dies unter normalen Umständen bricht, oder wie oft haben Sie von einem gerissenen Aufzugseil gehört? Diese verwenden fast die gleichen Berechnungsmethoden für die Zuverlässigkeit.


5,7g (g=Erdbeschleunigung von 9,80665 m/s2 ) müssen die Flügelkonstruktionen aushalten

Sicherheitskritische Technik und Redundanz
In der Technik ist es so, dass nie garantiert werden kann, dass etwas ewig lebt. Wir kennen das beim Flachbildfernseher, der 2 Wochen nach Ablauf der Garantie ausfällt. Es wird also danach getrachtet eine gewisse Ausfallsicherheit für die normale Lebensdauer zu bieten. Im Falle einer Boeing oder Airbus liegt diese bei eins zu einer Milliarde. In der Praxis bedeutet dies, dass von einer Milliarde Schrauben eine während dem Flug brechen darf. Nachdem ein Flugzeug nicht wegen einer einzelnen Schraube abstürzt, kann man damit leben. Das Problem liegt darin, das sich diese Wahrscheinlichkeiten addieren. Bei 10.000 Schrauben ist die Wahrscheinlichkeit also nur mehr 10.000 zu einer Milliarde, also eins zu hunderttausend, allerdings dass eine einzelne Schraube ausfällt.

Wir sehen also, dass bei sehr komplexen Systemen mit vielen Bauteilen diese Sicherheit nicht auf ewig gewährleistet werden kann. Ein Flugzeug hat zig Millionen Bauteile, also wie läuft das? Erstens, man kann die Lebensdauer limitieren. Ein Reifen hält garantiert nicht 20 Jahre, deshalb wird etwa festgeschrieben, dass dieser alle 20 Landungen getauscht wird. Zweitens, man kann Redundanzen einbauen, also Systeme welche die Arbeit übernehmen wenn das andere ausfällt. In diesem Fall hat jedes Flugzeug immer mindestens zwei Reifen pro Fahrwerk, obwohl eines genügen würde (Bei vier würden drei genügen usw.). Der Fall, dass innerhalb von 20 Landungen mehr als ein Reifen pro Fahrwerk ausfällt ist also wieder unter der Milliardengrenze, sofern kein Zwischenfall passiert. Bei Gesamtsystemen kann man sogar folgendes annehmen: Gibt es zwei Triebwerke mit einer Ausfallwahrscheinlichkeit von 1 zu 1000, dann ist die Wahrscheinlichkeit dass beide ausfallen beides multipliziert, also eins zu einer Million. In der Realität ist die Wahrscheinlichkeit, dass beide Triebwerke ausgefallen viel geringer.

Bei „Fly by Wire“ wird also sehr darauf geschaut dass alle Computer so konstruiert werden, dass Sie entweder einen Fehler in einem einzelnen Bauteil erkennen, oder wenn dies nicht möglich ist, dieses gleich komplett abschalten.

Komplett abschalten? Ist das nicht schlimm? Eindeutig nein, denn wir haben ja noch die Redundanzen. Stellen Sie sich vor Sie hätten zwei Gasherde zu Hause. Es ist besser Gasherd Nummer eins schaltet irgendwann ab und Sie verwenden Nummer zwei weiter, als dass Nummer eins im Schadensfall zwar weiterläuft und es irgendwann zu einer Gasexplosion kommt. Im Gasherd gibt es ein Sicherheitsventil, welches das Gas im kalten Zustand abdreht, allerdings kann dies dazu führen, dass der Herd bei schadhaftem Ventil immer ausgeht.

Dieses Prinzip nennen Techniker „Failsafe“. Es kann ausfallen, aber dafür in sicherem Zustand. Im Flugzeug haben weniger wichtige Systeme alle ein „Failsafe“ mit einem „Standby“ oder „Spare“. So werden Systeme genannt, welche zusätzlich mitgeführt werden, also Redundanzen bilden. Ein „Spare“ würde dem Ersatzherd entsprechen und ein „Standby“ ist im Grunde genommen gleich, läuft aber im Betrieb mit, damit im Ernstfall nur mehr rübergewechselt werden muss (ohne hochfahren, kalibrieren, etc.). Bei einem Triebwerk ist allerdings zu beachten dass „Failsafe“ bedeutet, dass die Turbine weiter läuft. Viele Laien haben in Foren bemängelt, warum beim A380-Vorfall Triebwerk Nummer 1 nicht abgedreht werden konnte. Hier wurden gleich beide Möglichkeiten die Triebwerke zu steuern durch die Explosion zerstört. Da nichts schlimmer ist als in der Luft stehen zu bleiben, hat Triebwerk Nummer 1 weiterhin Schub geliefert und damit einen Absturz verhindert.


Ein Test am A380, ob die Software einen Tailstrike verhindert.

Das klingt schon besser? Gut, aber für die Flugsteuerung geht es sogar noch einen Schritt weiter. Wir wollen natürlich nicht, dass während des Flugs die Steuerung beschließt in „Failsafe“ zu gehen und das Flugzeug nur mehr Geradeaus fliegt oder ähnliches. Jetzt kommen wir zu Begriffen wie „Fail passive“ und „Fail operational“. Bei beiden ist ein System mehrfach vorhanden und arbeitet gleichzeitig. Der große Unterschied ist, wie sich ein System verhält wenn es ausfällt. Ein Kleinflugzeug hat einen Autopiloten mit einer Kupplung. Fällt dieser aus, öffnet er einfach die Kupplung und der Pilot muss wieder selbst fliegen. Das wäre „Failsafe“, da ein Ausfall außer erhöhtem Arbeitsaufwand keine Auswirkungen auf die Sicherheit hat.

Nehmen wir einmal an, wir hätten zwei Autopiloten. Wir können jetzt sagen, dass wenn beide beschließen rechts ist richtig, dann wird rechts mit großer Sicherheit stimmen. Sagt jetzt aber einer rechts und einer links, dann machen sie einfach gar nichts. Dieses Phänomen wird als „Fail passive“ bezeichnet. Jedes „Fly by Wire“ Flugzeug besitzt für die Hauptsteuerung aber ein „Fail operational“ System. Für dieses gibt es verschiedene Ansätze, man verwendet drei bis vier Computersysteme die gleichzeitig parallel rechnen.

„Fly by Wire“ in der Praxis:
Bei Boeing 777 und 787 wird ein TMR-System verwendet. Es arbeiten dabei drei Steuerungen gleichzeitig, welche alle auf drei Leitungen gleichzeitig übertragen und dabei im Normalfall drei Steuermotoren über jeweils alle drei Leitungen mit Positionswünschen bedienen. Die Steuerelektronik funktioniert also folgendermaßen. Sagen zwei Computer links und einer rechts, dann ist klar, dass der Computer der rechts sagt gerade nicht vertrauenswürdig ist und wird ignoriert. Fällt einer der Computer ganz aus, dann kann immer noch kontrolliert werden ob die beiden anderen richtig funktionieren indem sie sich gegenseitig vergleichen. Fällt jetzt noch ein zweiter Computer aus, kann trotzdem noch geflogen werden, allerdings gibt es keine weitere Redundanz oder Kontrolle des Ergebnisses mehr. Fallen bei einem Einzelausfall die zwei restlichen Ergebnisse unterschiedlich aus, kann immer noch eingeschränkt geflogen werden, da nur die ungleichen Ergebnisse ignoriert werden. Genau das gleiche passiert, wenn statt einem fehlerhaften Computer eine der Leitungen ausfällt oder einer der Aktuatoren. All diese Szenarien sind jedoch ungefähr so wahrscheinlich als ob die ersten paar Sitzreihen im Flugzeug alle gleichzeitig einen 6er im Lotto schaffen.

Noch sicherer ist es vier Systeme zu verwenden. Dadurch können auch „byzantinische“ Fehler gefunden werden. Im Normalfall kommt von einem Computer wenn er ausfällt nur mehr Schwachsinn oder gar nichts. Es gibt den extrem seltenen Fall, dass ein Computer ausfällt und danach korrekte, aber nicht der Wahrheit entsprechende Werte liefert, deshalb der Begriff „byzantinisch“. Manche Kampfjets verwenden solche Systeme (quadruple redundancy).

Airbus nimmt mit all seinen Flugzeugen einen anderen Weg, welcher die Vorteile von vier bzw. nur zwei Systemen verbinden soll. Nach meinem Wissen werden dort lediglich zwei Computer verwendet, welche wiederum aber aus einem Hauptsystem und einem Kontrollsystem bestehen. Der Aufbau ist dadurch nicht wesentlich teurer als bei zwei Systemen, jedoch gibt es in Summe vier Systeme die sich gegenseitig überwachen, auch wenn nur zwei davon Daten produzieren. Die Daten werden dann von beiden jeweils auf drei Leitungen übertragen.

Auch wenn Airbus und Boeing unterschiedliche Lösungen verwenden, arbeiten beide Systeme ungefähr gleich sicher. Und für alle Pessimisten: Sogar wenn ein Teil der Anlage komplett ausfällt kann meist noch sicher gelandet werden. Statt dem Seitenruder kann mit differentiellem Schub agiert, statt Höhenruder mit der Trimmung und statt Querrudern mit Spoilerons (differentielle Spoilersteuerung) gelenkt werden.


Flugzeuge waren schon immer stabil konstruiert. Technische Innovation haben die Flugzeuge seit damals aber weiter verbessert.

Der alte Softwarebug
Viele fragen sich warum es in der Fliegerei nicht die gleichen Probleme wie am Home-PC gibt. Zuallererst einmal wird auf alles verzichtet was ein System zum Aufhängen bringen kann. Ein Computer kann aus technischen Gründen Programmcode nur der Reihe nach abarbeiten. Wenn er auf etwas Fehlendes wartet, so steht gleich das ganze System. Stattdessen wird alles über Zustände geregelt. Es gibt z.B. einen Zustand „schick mir Daten“, einen „ich warte auf Daten“ und einen „ich habe die Daten“. Anstatt physisch darauf zu warten, dass die Daten ankommen und alles andere ruhen zu lassen wird einfach der Status auf „ich warte“ gesetzt und in der Zwischenzeit was anderes gemacht. Der Zustand wird zyklisch immer wieder abgefragt aber es steht nichts, nur weil ein Zustand gleich bleibt. Insofern ist Aufhängen unmöglich.

Nach dem gleichen Prinzip gibt es eine ganze Reihe an andere Tricks. Zum Beispiel verwenden sicherheitskritische Computer alle einen „Watchdog“. Dieser Wachhund verhindert ebenfalls ein Aufhängen. Auch wenn die Software passt, kann ein Störimpuls ganz schnell einmal alles abstürzen lassen. Im Normalfall dauert eine komplette Berechnung nicht einmal eine zehntel Sekunde. Der Computer muss die komplexesten Entscheidungen schneller als ein Mensch treffen, sonst zahlt er sich nicht aus. Der „Watchdog“ kann etwas primitives wie ein externer Countdown für einen Reset sein: Ist ein Berechnungsdurchgang nicht rechtzeitig fertig, wird einfach neugestartet, da sich das System aufgehängt hat. Im komplexesten Fall rechnet ein „Watchdog“ aber ein paar bestimmte Ergebnisse zusätzlich nach und vergleicht sie oder fragt den Computer zyklisch ob er noch aktiv und funktionabel ist. Letzteres nennt sich „Heartbeat“.

Als letztes macht den Unterschied die Art, wie stark ein System getestet wird. Jede Berechnungsmethode in der Software muss einzeln von einem Experten geschrieben und von einem anderen begutachtet werden („review“). Zusätzlich muss ein dritter Experte kontrollieren wie alle Berechnungen zusammenarbeiten („Funktionstest“) und ein vierter kontrolliert ob das komplette System wie vorgesehen funktioniert („Systemtest“). Der ganze Aufwand ist dann noch einmal nötig sobald auch nur eine einzige von ein paar hunderttausend Codezeilen geändert wurde. So ein Testaufwand würde jedes Computerspiel unrentabel werden lassen. Weil damit aber nicht genug ist, müssen bei „Fail operational“ im Luftfahrtbereich die redundanten Computer von verschiedenen Firmen entwickelt werden. Damit wird dann nun wirklich definitiv ausgeschlossen, dass ein Fehler in zwei Computern gleichzeitig vorkommt und damit gegenüber dem dritten (und vielleicht vierten) in der Abstimmung gewinnt.

Der „quasselnde Idiot“
Schön und gut, wir wissen jetzt dass unsere Computer sehr sicher sind, aber wie sieht es mit der Übertragung aus? Wie oft reißt beim Handy die Verbindung ab und wie oft kommt selbst beim Internet mit physikalischer Anbindung eine Mail nicht an? Wir wissen ja bereits was Redundanz ist und das wird auch hier verwendet. In einem großen Flugzeug ist jede sicherheitsrelevante Leitung bis zu sechsfach ausgeführt. Wir brauchen ja wie besprochen drei Systeme um herauszufinden welches Signal garantiert stimmt. Zusätzlich werden diese Leitungen aber noch an verschiedenen Stellen im Flugzeug verlegt, manchmal sogar jede der drei Leitungen zweifach. Selbst wenn das Flugzeug dann zu einem „Cabrio mit Flex“ wird, können wir sicher sein dass immer noch woanders ein paar Leitungen liegen von denen mindestens zwei Leitungen ein gültiges Signal übertragen.

Anders als beim Internet und ähnlichen System gibt es im Flugzeug eine Datenübertragung welche jedem Teilnehmer nur eine bestimmte Datenmenge erlaubt. Dadurch kann es nie zur Überlastung kommen. Außerdem erhalten wichtige Nachrichten fix definierte Zeitslots in denen sonst nichts anderes gesendet werden darf. Die restlichen Nachrichten werden dann auf freie Slots aufgeteilt, wobei das Datenlimit nicht überschritten werden darf. Wir sehen, dass wenn ein System plötzlich zu spammen beginnt, alles stehen würde. So ein Problem gibt es tatsächlich, die Technicker nennen dies „babbling idiot“. Um dies zu verhindern gibt es eine Überwachung, welche schaut ob nur zu erlaubten Zeitpunkten gesendet wird. In jedem anderen Fall wird einfach dieses System von der Datenleitung getrennt.

Um Störungen zu vermeiden werden die Kabel gegen Störstrahlung abgeschirmt bzw. Glasfaserkabel verwendet. Bei Funkverbindungen ist diese Abschirmung nicht möglich. Der Grund warum die Flugbegleiter alle Passagiere auffordern, die Handys abzudrehen ist simpel: Der Piloten versteht den Funk nicht mehr, weil die Handystrahlung den Funkverkehr verzerrt.

Der Aktuator – wo alle Wege zusammenführen:
Irgendwo müssen alle Signale hinführen. Der Aktuator, die Servolenkung. Diese Hydraulikmotoren steuern alle Ruder. Es gibt jeweils mehrere Motoren pro Ruder welche von jeweils mehreren Versorgungen betrieben werden. Wenn ein Aktuator ausfällt, dann gehen lediglich Geschwindigkeit und Kraft ein wenig zurück. Und selbst wenn ein Aktuator verrückt spielen würde, wären die zwei anderen zusammen stärker und man hätte noch genug Steuerkraft verfügbar. Selbstverständlich sind die Aktuatoren deutlich stärker dimensioniert als nötig, sodass mit einem Drittel der Steuerkraft Fliegen mit leichten Einschränkungen immer noch möglich ist.

Wenn es mal dunkel wird…
Wie bei den Aktuatoren erwähnt, gibt es meist drei unabhängige Versorgungen, sowohl hydraulisch als auch elektrisch. Beim Airbus Hydrauliksystem sind die Systeme als grün, gelb und blau bezeichnet um sie grafisch besser darstellen zu können. Im Normalfall hat jedes Triebwerk eine Hydraulikpumpe und einen Stromgenerator. Alle Triebwerke links und rechts werden jeweils zusammengefasst, die links zu grün und die rechts zu gelb. Zusätzlich existiert noch in jedem Flugzeug eine weitere Turbine, welche lediglich als Energieerzeugung am Boden dient. Diese sitzt im Heck und kann notfalls bei den meisten Flugzeugen auch in der Luft aktiviert werden. Das blaue System wird im Normalfall von einer elektrischen Pumpe betrieben, welche Ihre Energie von der Hilfsturbine im Heck oder einer anderen beliebigen Energiequelle wie Akku oder Generator bezieht.



Beim Tanksystem sieht man die Ventilstellungen und Kraftstoffflüsse in farbiger Darstellung des Treibstoffflusses.

Fällt jetzt zum Beispiel eines der linken Triebwerke aus, dann würde das dazu führen dass die Versorgung grün ausfällt. In diesem Fall würde überall im Flugzeug jeder zweite oder dritte Aktuator ausfallen, da diese abwechselnd mit grün, gelb und blau versorgt werden. Es wäre also noch alles mit fast der maximalen Kraft steuerbar, schlimmstenfalls fahren nur zwei von drei Spoilern aus. Und trotzdem hat es keine Auswirkungen wenn so was passiert. Warum? Wegen einer kleinen Pumpe welche sich „power transfer unit“ nennt. Sobald der Druck in grün sinkt, wird der Druck in gelb verwendet um damit Druck in grün zu erzeugen und umgekehrt. Damit jetzt entweder Kreislauf grün oder gelb ausfällt, müsste schon ein riesiges Loch die gesamte Hydraulik leeren.

Spielen wir einmal den Gedanken weiter. Stellen wir uns vor, wir hätten alle Triebwerke auf einmal verloren. Im einfachsten Fall schalten wir die Hilfsturbine im Heck ein und lassen uns von der über das blaue System versorgen bis wir im Segelflug gelandet sind. Im Segelflug? Theoretisch ist jedes Flugzeug ein Segelflugzeug, nur manche mehr und manche weniger gut. Mit Rädern und Klappen eingefahren können wir mit einem Jet aus Reiseflughöhe noch 150 bis 180 Kilometer weit fliegen. Wer sich „abstürzen“ schrecklich vorstellt, findet es hoffentlich beruhigend, dass ein „Absturz“ bei dem das Flugzeug aerodynamisch steuerbar bleibt, einem ganz normalen 25 Minuten langen Landeanflug gleicht, nur dass die Triebwerke etwas leiser sind und plötzlich einen beeindruckenden Verbrauch von null Liter die Stunde aufweisen.

Selbst wenn jetzt auch noch die Hilfsturbine ausgeht weil der letzte Tropfen Kerosin aufgebraucht wurde, jetzt kommt der letzte Ass im Ärmel: die „Ratte“ (englisch „rat“, Abkürzung für Ram Air Turbine). Wir haben ja noch das blaue System im Hinterkopf. Dieses wird normalerweise elektrisch angetrieben, doch wenn alles auf einmal ausfällt, dann fällt ein kleines Windrad aus dem Rumpf und aktiviert das blaue System wieder. Zwar fallen dabei Bremsklappen oder Innenbeleuchtung aus. Doch ist dadurch eine sichere Landung in einem Radius von 120 km möglich.

Wie viel Angst soll ich jetzt haben?
Alles was hoch geht kommt einmal runter. Nachdem der Mensch nicht fürs Fliegen gebaut ist, verstört es die Menschheit umso mehr, wenn etwas doch fliegt.

Es ist weniger die Tatsache dass etwas passieren kann, als mehr die Tatsache dem dann hilflos ausgeliefert zu sein, die uns zu schaffen macht. Betrachten wir einmal die Medien. Als der Quantas A380 notlanden musste, wurde das weltweit negativ aufgenommen. Nur allzu verständlich, wären bei einem Absturz eines so großen Flugzeugs gleich 500 Menschenleben auf einen Schlag ausgelöscht. Doch eigentlich sollten wir das ganze Desaster nicht ausschließlich negativ betrachten. Der Fall, dass eine Turbine bricht und andere Teile als die Fangblätter (für die gibt es ein Fangnetz aus Kevlar, da sie durch Vogelschlag gefährdet sind) verliert, ist nicht vorgesehen (eine Turbine wird wie ein Tragflügel so überdimensioniert, dass sie im normalen Betrieb nie brechen darf). Dass das Flugzeug trotzdem sicher landen konnte ist eindeutig ein Zeichen dafür, dass die Flugzeughersteller genau wissen was sie wie zu machen haben.


Autor: Andreas Schönwälder
Das ist der Kurztext zu Andreas Schönwälder.

    Special Visitors

    Vueling Airlines / EC-NAJ
    Lufthansa / D-AIHZ
    Rossiya Airlines / VQ-BAS
    Air China / B-2035
    Etihad Airways / A6-BLV
    TUI Airlines Belgium / OO-JAF
    easyJet Europe / OE-IVA

    Unsere Autoren

    Martin Metzenbauer

    Jan Gruber

    Michael Csoklich

    René Steuer

    Carlo Sporkmann