Ihr Smartphone hat sie bestimmt auch schon mal aufgefordert, es neu zu starten. Kaum zu glauben, Flugzeuge muss man auch regelmässig „re-booten“, ansonsten fallen sicherheitsrelevante Systeme aus!
Dreamliner wird zum Albtraum
Im Jahr 2015 veröffentlichte die Federal Aviation Administration (FAA) eine sogenannte Airworthiness Derivative (AD). Eine solche wird verfasst, wenn sich nach Zulassung eines Luftfahrtgerätes dessen Mangelhaftigkeit herausstellt, und dadurch die Lufttüchtigkeit eingeschränkt ist.
Betroffen war das damalige Flaggschiff des Boing Konzerns, die Boeing 787 Dreamliner.
Kurz Zusammengefasst wurde folgendes Problem geschildert: Bei jeder Boeing 787 fällt 248 Tage nach dem Aufstarten die elektrische Speisung komplett aus. Egal ob sich das Flugzeug gerade in der Luft oder am Boden befindet!
We are adopting a new airworthiness directive (AD) for all The Boeing Company Model 787 airplanes. This AD requires a repetitive maintenance task for electrical power deactivation on Model 787 airplanes. This AD was prompted by the determination that a Model 787 airplane that has been powered continuously for 248 days can lose all alternating current (AC) electrical power due to the generator control units (GCUs) simultaneously going into failsafe mode. This condition is caused by a software counter internal to the GCUs that will overflow after 248 days of continuous power. We are issuing this AD to prevent loss of all AC electrical power, which could result in loss of control of the airplane.
Die Ursache: Ein Zählerüberlauf
Als Ursache wird ein Zählerüberlauf in der sogenannten Generator Control Unit (GCU) genannt. Jedes Flugzeug besitzt aus Sicherheitsgründen vier solcher GCUs. Da aber alle GCUs den selben Software Bug haben und gleichzeitig gestartet werden, fallen auch alle miteinander aus.
Glück im Unglück
Dieser Fehler wurde glücklicherweise bei Labortests entdeckt. Er wurde aber erst bemerkt, nachdem das Flugzeug in Betrieb genommen wurde! Wie ist das möglich? Er könnte bei den Tests der nächsten Softwareversion entdeckt worden sein. Oder die FAA zertifiziert Flugzeuge, obwohl die Tests der Flugzeugkomponenten zum Zeitpunkt der Zulassung noch nicht abgeschlossen sind. Die Avioniksysteme des Flugzeugs über einen so langen Zeitraum mit Strom zu versorgen und zu prüfen, ob sie noch ordnungsgemäß funktionieren, kann ein solcher Test sein.
Kein Einzelfall! Auch Airbus war schon betroffen
Im Jahr 2017 hatte Airbus mit einem ähnlichen Problem zu kämpfen. Die European Union Aviation Safety Agency (EASA) meldete einen Zählerüberlauf nach 149 Stunden beim A350, welcher zum Ausfall wichtiger Systeme führt. Auch hier wurde als „Lösung“ ein zyklisches Neustarten des Flugzeugs vorgeschlagen.
Wird der Zählerüberlauf in 15 Jahren erkannt?
Es ist doch sehr erstaunlich, dass Zählerüberlaufe nach 149 Stunden bzw. 248 Tagen bei den Sicherheitsprüfungen nicht erkannt werden. Mit Sorge blicken wir deshalb auf den 19. Januar 2038, wenn in sehr vielen Systemen die 32 bit Unixzeit abläuft. Ein einfacher „Neustart“ wird nicht helfen. Das Rad der Zeit kann damit nicht zurück gedreht werden. Wir werden sicherheitshalber Flugzeuge Mitte Januar 2038 meiden!