Nach A400M-Absturz: Airbus ruft zu Kontrolle der Triebwerkssteuerung auf
Nach dem Absturz eines Airbus-Militärtransporters vom Typ A400M bei Sevilla am 9. Mai hat die Herstellerfirma alle Nutzer dieses Flugzeugtyps aufgefordert, die Kontrolleinheiten aller vier Propellertriebwerke ihrer Maschinen zu überprüfen. Vor dem nächsten Flug sollten Checks der Electronic Control Units durchgeführt werden, teilte Airbus Defence&Space nach Unternehmensangaben den Betreibern in einer Alert Operator Transmission, einem dringenden Rundschreiben, mit. Nach Informationen von Spiegel Online wurden bei dem Unfall in Spanien durch einen Softwarefehler drei der vier Triebwerke direkt nach dem Start abgeschaltet.
Die Pressemitteilung von Airbus Defence&Space vom (heutigen) Dienstag dazu:
Airbus Defence and Space has today (Tuesday 19 May) sent an Alert Operator Transmission (AOT) to all operators of the A400M informing them about specific checks to be performed on the fleet.
To avoid potential risks in any future flights, Airbus Defence and Space has informed the operators about necessary actions to take. In addition, these results have immediately been shared with the official investigation team.The AOT requires Operators to perform one-time specific checks of the Electronic Control Units (ECU) on each of the aircraft’s engines before next flight and introduces additional detailed checks to be carried out in the event of any subsequent engine or ECU replacement.
This AOT results from Airbus Defence and Space’s internal analysis and is issued as part of the Continued Airworthiness activities, independently from the on-going Official investigation.
Nachtrag: Nach einem Bericht der Süddeutschen Zeitung (Link aus bekannten Gründen nicht) war in der abgestürzten Maschine eine neue Software-Version installiert, die mit Umpumpen des Treibstoffs eine andere Trimmung und damit militärische Flugmanöver erlauben sollte:
Branchenkreisen zufolge wurde bei dem für die Türkei bestimmten Flugzeug eine neue Software eingeführt, die von Beginn an militärische Manöver erlaubt. Dem Vernehmen nach war diese Software fehlerhaft und verursachte bei dem Erstflug der türkischen Maschine den Ausfall mehrerer Triebwerke. (…)
Den Informationen zufolge erlaubt die neue Software militärische Manöver dadurch, dass die sogenannte Trimmung des Flugzeuges verändert, also der Schwerpunkt verlagert wird. Das geschieht unter anderem, indem Treibstoff von einem Tank in den anderen gepumpt wird.
(Das Thema wird hier bereits im vorangegangenen A400M-Thread heftig debattiert; ich verschiebe die dazu aufgelaufenen Kommentare hierher.)
@ Georg
“ … Das dies für die Güteprüfstellen des BWB, bzw jetzt BAAINBw ein Problem darstellt, kann ich mir vorstellen, weiß jedoch auch keine Abhilfe, ohne dass die Bw die alten Strukturen wieder installiert.“
DANKE !!! HIER ist genau mein Punkt und so denken (hoffe ich) viele Fachleute und Insider !
Wir sind auf den völlig falschen Weg begeben worden … Militärischer Flugbetrieb unter maßgeblicher Abstützung auf die Industrie kann NICHT funktionieren !
Wenn Militär arbeiten soll global, dann kostet es was, geht aber nur auf einem bestimmten Weg !!! Oder mit einem „committed to all“-contractor !
@Georg: Also das Umpumpen vom Main-Center-Tank in die Leitwerks-Tanks oder umgekehrt, zwecks Trimmung, hat einen ellenlangen Bart, nicht erst seit dem Sarajevo-Approach! Alles reines Eye Washing bzw. Ablenkungsmanöver. Ein anderes Umpumpen für den taktischen Flugbetrieb gibt es kaum, es sei denn man will die Feedertanks bewußt auf geringem Füllstand halten um das Massenträgheitsmoment zentral im Main Tank zu haben. Glaube aber nicht, daß soetwas Programm eines Erstfluges ist.
Zu dem Nachtrag:
Das Umpumpen von Kraftstoff zur Trimmung ist keine speziell militärische Anwendung sondern wird auch n.m.M beim A380 zum Ausgleich von Schwerpunktverlagerungen softwaregesteuert.
Es fällt auf, dass einerseits eine neue Software bei der CASA 423 verwendet worden sein soll, aber andererseits die bisherigen Nutzer die Kompatibilität ihrer „alten?“ Software mit den Triebwerken vor dem nächsten Flug prüfen sollen.
Es fällt weiterhin auf, dass ein Softwarefehler die wohl einzige Erklärung wäre, die eine sehr kurzfristige Wiederaufnahme des Flugbetriebes erlauben würde. Kommt sie deswegen aus dem Unternehmen und nicht von den Untersuchungsstellen? Was sagt uns das über das Qualitätsmanagement aus, wenn es möglich ist mal eben – ohne dass es auffällt- eine nicht kompatible Software zu installieren.
In diesen Kontext passt auch die Meldung, dass ein amerikanischer Computersicherheitsexperte sich an Bord eines Flugzeugs in das System gehackt haben soll und die Triebwerkssteuerung kurzzeitig „übernommen“ haben soll.
@ SER
Na ganz einfach: da geht man auf die Occar.int Internetpräsenz und liest den Artikel 7 der Convention. Dann schaut man, was erreicht wurde (es reicht schon den Punkt „schedule“ an der Realität zu messen. Dann schaut man in die Anlagen zum Einzelplan 14 und liest, was der Bund jährlich dafür zahlt, dass es nicht klappt. Und dann fragt man :“warum“? Oder auch nicht.
Und das bezieht sich nicht nur auf A400M.
@ Schleppi
Somit ist dies gemeint ???
ARTICLE 7
OCCAR shall coordinate, control and implement those armament programmes that are assigned to it by Member States, and coordinate and promote joint activities for the future, thereby improving the effectiveness of project management in collaborative projects, in terms of cost, schedule and performance.
@ SER
Jepp.
@ all
Wie ist eigentlich mit dem durch Airbus angegebenen Fehler der Flug des Airbus A400M am Dienstag letzter Woche von Toulouse nach Sevilla zu bewerten?
@Schleppi: M.M.N. derart, daß man schon davor wußte was Sache ist bzw. war, denn Raimondo Alonso und der Rest der Crew der EC 004 war auch nicht lebensmüde und ausserdem flog man weit raus in den Antlantik vor Afrika bevor man in Sevilla landete.
Ich kenne jmden der bei der EADS in Manching (damals noch Cassidian, später Airbus Defence and Space) Software-Updates für den Eurofighter entwickelt bzw. diese dann getestet hat. Seinen Angaben zufolge wurde dazu ein gigantischer Aufwand getrieben damit genau sowas wie hier eben nicht passiert. Ist das jetzt ein generelles Airbus-Problem oder beschränkt sich das auf das ehemalige Airbus Military (frühere CASA) in Spanien?
@ Vtg-Amtmann
Ja könnte sein. Nur warum wartet man eine Woche, um die Nachricht dann zu lancieren?
@ emdeema
Wenn ein Programm einen gigantischen Aufwand bei irgendetwas nicht brauchen kann, dann ist es A400M. In dem Spiegelbericht über die Abnahme des deutschen A400M ist zu lesen, dass selbst minimaler Aufwand vermieden wurde.
Das Programm steht wohl unter einem ungeheuren Zeitdruck. Das ist nicht gut.
@Schleppi: weil die Nachricht – deren Klartext wir immer noch nicht vollständig haben – bereits in den jetzigen Fragmenten höchst blamabel für AIRBUS ist und wohl auch, weil noch nicht einmal die Opfer von Sevilla unter der Erde waren.
Alonso wollte nur der PR und des Eye-Washings zu liebe ein Zeichen setzen. Hat er auch, nämlich ein deutliches Zeichen dafür, das AIRBUS mauerte und aus den Telemetriedaten längst Bescheid wußte.
Es sind ja bis heute noch nicht FDR und VDR ausgelesen. Woher hat also AIRBUS seine Schlauheiten über die eigene Schlamperei? Doch wohl aus den Telemetriedaten, oder? Von MSN 023 dürfte da wenig übrig sein und über diesem Schrott dürften noch der Staatsanwalt und die Flugunfalluntersucher ihre Hände haben.
Frontal 21 hat das Programm im Anschluss an den G36 Bericht nochmal zusammen gefasst.
@ emdeema
Zitat: „Seinen Angaben zufolge wurde dazu ein gigantischer Aufwand getrieben damit genau sowas wie hier eben nicht passiert. Ist das jetzt ein generelles Airbus-Problem oder beschränkt sich das auf das ehemalige Airbus Military (frühere CASA) in Spanien?“
Ich würde sagen, beide Gründe treffen zu. Es wird gespart auf Teufel komm raus, weil mit der Herstellung der Flugzeuge laut Aussagen der Presse nichts mehr verdient wird und man das Geschäft mit Service und Support (dazu gehört dann auch nachträglich zu erstellende Dokumentation) während der gesamten Lebensphase der Flugzeuge, also mindestens 40 Jahre, machen will.
Und zweitens haben die Spanier mitunter ein anderes Qualitätsverständnis als die Deutschen. Nachdem bei einem Los Eurofighter der Sprit aus der Tragfläche getropft ist, war schnell klar, dass es die von Spanien produzierte Fläche war.
Wenn jetzt die Produktion seit Jahresanfang hochgefahren werden soll, dann leidet die Qualität. Dies gilt im bestimmten Umfang auch in deutschen Airbus-Werken oder Zulieferern. Die Frage ist immer wie gut ist die Qualitätssicherung in die Produktion integriert und wie weit der Qulitätsgedanke in den Köpfen der Mitarbeiter integriert ist.
Ich vermute immer noch (bis zum Beweis des Gegenteils), dass eine falsche Softwareversion in Kombination der verbauten Hardwareversion der FADEC (oder ECU-Einheit) verwendet wurde.
Genau für diesen Fall wurden und werden beim Eurofighterprogramm ellenlange Liste der kompatiblen Hardware (ca. 30 Bordcomputer) und der verwendeten Software auf dem laufenden Status gehalten.
@Schleppi: Flach und nichts Fundiertes. Bekanntes Frühstückszeitungsniveau.
Nachtrag: Mich verwundert immer noch die Rotznäsigkeit von AIRBUS. Nach dem jüngsten Fehlereingeständnis durch AIRBUS müßte eigentlich die Staatsanwaltschaft in Spanien auf voller Drehzahl laufen, immerhin kostete dieser „Lapsus“ vier Tote und zwei Schwerverletzte und diese durch Schlamperei technisch provozierte Katastrophe hätte im taktischen Einsatz bei der Truppe noch bedeutend mehr Opfer fordern können.
@ all
Darf eigentlich irgendeine Behörde Güteprüfstellen et alteri kontrollieren so als Zulassungs-TÜV ??? Mal so gefragt aus Mangel an eigener Kenntnis …
@ SER 22:13 Uhr
Was meinen Sie genau mit der o.g. Frage ?
@Georg
So eine Software probiert man nicht auf dem Jungfernflug eines Flugzeuges aus.
Kommt drauf an. Wenn sich mit dem Feature-Wunsch auch die Hardware ändert, dann hat man so oder so eine neue Konfiguration. Und ob „neue Hardware mit alter Software“ wirklich besser funktioniert ist fraglich (falls es überhaupt möglich ist). Ganz davon ab dass man eine Konfiguration mehr betreuen muss.
Als Flugtechnik-Laie: Mir erscheint es gar nicht so unplausibel, dass sich der Fehler im Zusammenhang mit den Schwerpunkt-Verlagerungs-Änderungen eingeschlichen hat. Mir erscheint es nicht unstimmig, dass in dem Kontext auch nochmal die Triebwerkssteuerung angepasst wurde.
In dem Fall wäre es durchaus denkbar, dass die entsprechende Triebwerks-Konfigurationen auch bereits in anderen Maschinen verbaut wurden, aber erst in Kombination mit anderen Änderungen dieser Flugzeug-Konfiguration erstmalig zu kritischen Problemen führten. In dem Fall macht es natürlich Sinn, die bereits ausgelieferten Triebwerks-Konfigurationen auf Anfälligkeit für den Fehler zu prüfen.
Mein erster Eindruck ist, dass durchaus ein Problem im Konfigurations-Management dahinter stecken könnte. Das ist halt schon etwas komplexer als Qualitätssicherung in der Produktion, wird aber von Leuten – auch gerade Entscheidern – die nicht direkt damit zu tun haben oftmals unterschätzt. (Anschauliche Beispiele, auch schwerwiegende, hat es im empfehlenswerten „Configuration Management Best Practices“ von Robert Aiello und Leslie Sachs).
In diesem Spannungsfeld kann sich das Zusammentreffen von Zeitdruck und „Das Feature ist für den Kunden ein Blocker“ ganz schnell ganz böse auswirken. Sollte es natürlich nicht, erst recht nicht wenn Menschenleben davon abhängen. Aber Laien die Anforderungen an Software-Qualitätssicherungs-Prozessen verständlich zu machen, kann schwer sein. Und selbst wenn der Prozess im Großen fest etabliert ist (wie emdeema ja andeutet), so kann er im Detail meist leicht aufgeweicht werden (auch gerade welche Komponenten und Konfigurationen wann und vor allem wie getestet werden).
Dabei scheint Airbus Einzelkomponenten ja durchaus gut zu prüfen (siehe etwa den „aiT Worst-Case Execution Time Analyzer“ ). Aber die Komplexität nimmt natürlich zu, je mehr Komponten beteiligt sind. Und Komponenten von Zulieferern machen die Sache nicht unbedingt einfacher.
Wie prüft man, dass die Spezifikation vollständig ist? Wie stellt man sicher, dass sich alle Komponenten nach Spezifikation verhalten? Wie betreibt man Schadensminimierung für den Fall, dass sich eine Komponente nicht nach Spezifikation verhält? etc.
Das ist fast ein Fass ohne Boden. Und "von außen" praktisch nicht zu prüfen.
@ J.R
Zitat: „Mein erster Eindruck ist, dass durchaus ein Problem im Konfigurations-Management dahinter stecken könnte.“
Da sind wir ja einer Meinung nur dass man ein neues Feature (Sprit umpumpen) beim Erstflug implementiert, das glaube ich nicht.
Man testet zuerst das Flugzeug in der bewährten Konfiguration, lädt dann dass Update und testet wieder. Zumindestens würde ich so vorgehen um Schaden zu minimieren. Die neue Softwareversion hat ja bisher nur auf den Teststand funktioniert. Würden Sie diese Version bei dem Jungfernflug eines 140 Millionen Euro teuren Flugzeuges einsetzen ?
Was das testen der Einzelkomponenten anbelangt. Airbus erlaubt den Systemkomponentenherstellern sich auf die Qualitätssicherungsmaßnahmen der „Unterkomponenten“-Hersteller oder Modul-Hersteller abzustützen, ohne dass sie eigene Qualitätsnachweise vorlegen müssen, (so verstehe ich zumindestens die Aussage in der weiter oben verlinkten Präsentation „Integrated Modular Avionics“ auf Seite 37).
@ Georg
So habe ich die IMA auch verstanden. Und beim allerersten Testflug machst du erstmal die basics.
@ J.R.
Wenn das „Fass ohne Boden“ von außen praktisch nicht zu prüfen ist, dann geben wir die Zulassungskompetenz gleich an die Hersteller ?
@ Georg
Man testet zuerst das Flugzeug in der bewährten Konfiguration
Die gibt es nicht mehr. Es wurde die Hardware geändert. Das ist eine andere Konfiguration, so oder so. Und es wäre sehr überraschend, wenn sich daraus keine Software-Änderungen ergeben.
Beispiel, wild aus dem Hut geschüttelt:
Die Zahl der Dateneingänge einer zugelieferten Komponente wird erhöht, etwa von 8 auf 16. Damit kommt die Komponente technisch bedingt vermutlich auch mit ner neuen Firmware. Man könnte die Vorgabe machen, dass es zwei neue Firmware-Versionen geben soll, eine die sich wie 8 Eingänge verhält, und eine wie 16. Dann könnte man, theoretisch, auf der Ebene obendrüber erstmal alles unverändert lassen, Probefliegen, und dann die Firmware von allen mögliche Komponenten upgraden. Kann aber gut sein, dass das gar nicht geht, etwa weil die Komponente jetzt mehr Spannung zieht, damit eine andere Überwachungskomponente feststellt, dass die die bisherige Spannungsobergrenze je Datenkanal überschritten wird und das irgendwo als Fehler weitermeldet. An der Stelle könnte man jetzt beispielsweise an den Überwachungsgrenzen rumspielen, die Überwachung ausschalten, die Fehlermeldung ignorieren oder es mit 16 Eingängen versuchen und hoffen dass das zur alten Software kompatibel ist. Alles ziemlich suboptimale Lösungen. Bei letzterem könnte dann beispielsweise schief gehen, dass die Software intern über alle Eingänge iteriert, aber nur mit 8 Eingängen klar kommt (was ja bei Design und Test nach alter Spezifikation nie ein Problem war). Oder dass die Software wie gewohnt 8 Eingänge initialisiert, die Komponente aber erst Bereitschaft meldet wenn alle Eingänge initialisert wurden.
Vermutlich fährt man in vielen Fällen sicherer, wenn man zu neuer Hardware auch die darauf abgestimmte neue Software verwendet.
@ schleppi
Wenn das “Fass ohne Boden” von außen praktisch nicht zu prüfen ist, dann geben wir die Zulassungskompetenz gleich an die Hersteller ?
Zumindest was die Funktionsweise der Teilkomponenten angeht läuft es in weiten Teilen wohl darauf hinaus. ;)
Was „von außen“ halt definierbar und überprüfbar ist sind wohl vor allem Prozesse und deren Einhaltung (Erstellen von Dokumentation, Anforderungen an die Revisionierung etc.) und eben Vorgaben auf der oberen Design-Ebene (Modularisierung der Komponenten, Redundanz der Komponenten etc.).
Dass tatsächlich jemand „von außen“ beispielsweise eine Testsoftware schreibt, um etwa die Resilienz der Komponenten gegenüber Datenüberlastung oder inkorrekte Befehlsfolgen zu testen scheint mir sehr unwahrscheinlich. Und sei es nur, weil das oft Hersteller-spezifische Protokolle sind, in die sich der Prüfer erstmal einarbeiten müsste. Dass er sich dabei besser anstellt als der Hersteller, der die Komponenten und das Gesamtsystem eben doch besser versteht, bleibt zu bezweifeln.
Ein kleiner Ausflug in die Entwicklung…
Bei der Flugzeugentwicklung des A400M muss die CS-25 nachgewiesen werden. Luftfahrzeughersteller und Behörde handeln dabei die akzeptierbaren Mittel, den Nachweis der Lufttüchtigkeit zu erbringen, aus (acceptable means of compliance). Hierbei entstehen die für die Zulassung nachzuweisenden Prüfpunkte (Certification Review Items).
Diesen Zulassungsvoraussetzungen sind Nachweise auf System-, Subsystem und Geräteebene nachgeordnet.
Die Entwicklungsprogramme sind dabei vollständig auf die Systemsicherheit ausgerichtet.
Im Rahmen von Gremien haben Industrie und Behörden Prozesse erstellt, die einen akzeptierbaren Weg darstellen, die Systemsicherheit zu gewährleisten. Fundamental ist hierbei die von der SAE herausgegebene ARP-4754 (auch für Laien recht gut zu lesen), welche die Systemfunktionen hinsichtlich Kritikalität einstuft und für jede Funktion einen „Development Assurance Level“ (DAL) festlegt, welcher maßgeblich für den Entwicklungsaufwand ist. Funktionen, die im Fehlerfall keine Auswirkung auf die Sicherheit haben, sind beispielsweise als DAL E eingestuft, Systeme, deren Fehlerfall zu einem Absturz führen, sind als DAL A eingestuft.
Wenn ein System, wie z.B. hier die TW-Steuerung des A400M, gemäß ARP4754 nach DAL A eingestuft wird, darf der Fehlerfall beispielsweise nur seltener als jede 1 Mrd. Flugstunde sein (10E-9 1/FH).
Mit fortschreitender Entwicklung werden die Funktionen den einzelnen Systemen-, Subsystemen, Geräten und Komponenten zugeordnet.
Behörden und Industrie haben im Laufe der Jahre Prozesse entwickelt, mit welchen die Forderungen zur funktionale Sicherheit von Geräten gewährleistet werden kann. Hierbei wurden die DO-178 für die SW und die DO-254 für die HW entwickelt. Beide Standards werden von der RTCA herausgegeben und sind mittlerweile in der Luftfahrt sehr weit verbreitet. Sowohl DO-178 als auch DO-254 setzen die funktionale Sicherheit nahtlos von der Systemebene kommend auf die Geräteebene fort. Die DALs auf der Geräteebene (E bis A) sind maßgeblich für den vom Entwickler und Hersteller zu leistenden Aufwand zur Entwicklung der Komponente. Während Geräte des DAL E sehr einfach „wie bisher“ zu entwickeln sind, stellt eine Entwicklung nach DAL A eine wirkliche Herausforderung dar.
Beim A400M (ebenso A340, A380, A350, B787) erfolgte die Entwicklung aller Systeme vollständig nach ARP4754, DO178 und DO254.
Bei der TW-Steuerung handelt es sich um eine sehr komplexe Systemfunktion. Wenn man hier nur von Fehlern in Geräten spricht, hat man das System nicht erfasst.
Bei derartigen Systemen ist der Fehler am wahrscheinlichsten im Zusammenspiel zwischen den verschiedenen Systemebenen zu finden, seltener in einzelnen Geräten.
@Hühnerschrecker
Ein wunderschöner Beitrag von Ihnen ;-) ……denn er zeigt wunderbar die logic of failure im distributed industrial design and engineering auf, die eben allein durch die reine lineare/statische Kategorisierung in Sachen Sicherheitrelevanz („… Funktionen, die im Fehlerfall keine Auswirkung auf die Sicherheit haben, sind beispielsweise als DAL E eingestuft, Systeme, deren Fehlerfall zu einem Absturz führen, sind als DAL A eingestuft……“) das dynamische Systemverhalten in den verschiedenen Konfigurationen schlichtweg ignoriert; will sagen: ein als DAL-E eingestuftes hw/sw-Modul kann im Falle des Versagens durchaus ein DAL-A-Modul zum Absturz bringen.
Sie schreiben ja selber:
„Bei der TW-Steuerung handelt es sich um eine sehr komplexe Systemfunktion. Wenn man hier nur von Fehlern in Geräten spricht, hat man das System nicht erfasst.
Bei derartigen Systemen ist der Fehler am wahrscheinlichsten im Zusammenspiel zwischen den verschiedenen Systemebenen zu finden, seltener in einzelnen Geräten.“
Mir fällt dazu nur „Systematic Group-Think“ ein: alle haben völlig korrekt nach Protokoll gearbeitet und trotzdem ist der verdammte Reaktor durchgebrannt !
@ J.R. 01:26 Uhr
Wurden denn die Hardware geändert ?
So wie ich die Meldung der SZ über die Spritumpumpfunktion verstanden habe, ist dies eine neue Funktion, damit neue Software auf bestehender, gleicher Hardware.
Etwas anderes ist der eigentliche Unfallgrund, nämlich die Software für die Engine Control Unit oder FADEC-Einheit. Hier hat man meiner Meinung nach eine falsche, vermutliche neue Version der Gerätesoftware aufgespielt und die beisste sich dann im Zusammenspiel mit der Bordcomputersoftware, so wie es @ Hühnerschrecker in seinem letzten Satz beschrieben hat.
Zitat: „Bei der TW-Steuerung handelt es sich um eine sehr komplexe Systemfunktion. Wenn man hier nur von Fehlern in Geräten spricht, hat man das System nicht erfasst.
Bei derartigen Systemen ist der Fehler am wahrscheinlichsten im Zusammenspiel zwischen den verschiedenen Systemebenen zu finden, seltener in einzelnen Geräten.“
@ Hühnerschrecker
Der Fehler liegt also ihrer Meinung nach im Zusammenspiel der Gerätesoftware für die ECU als Teil des FADEC-Systems und der Bordcomputersoftware (ich drücke dies jetzt mal laienhaft aus, da ich es nicht besser weiß, also ARINC 653 Operating System in Verbindung mit dem AFDX-Bussystem).
Wie kann man denn in der Entwicklung eine statische Ausfallwahrscheinlichkeit von 10E-9, also ein Ausfall auf 1 Mrd Flugstunde berechnen und sicherstellen (nach DAL A) ?
Mir ist klar, dass man dann in Fehlerfortpflanzungsmodellen die weitere Auswirkung der Fehler im System in der Kombination mit anderen DAL-Stufen berechnen kann. Aber wie komme ich auf meinem ersten Wert von 10E-9 ? Ist der jemals gemessen worden, gibt es für so etwas statische Langzeittests oder ist dies alles nur auf theoretischen Annahmen begründet, die praktisch nie vom Objekt nachgewiesen werden mussten ?
Korrektur:
Streiche: statische Ausfallwahrscheinlichkeit / Langzeittests
Setze: satistische Ausfallwahrscheinlichkeit / Langzeittests
@Georg
Das ist ein Fass ohne Boden….gerade bei militärischen Flugzeugen:
http://de.wikipedia.org/wiki/DO-178B
„……..Die Luftfahrtbehörden FAA und EASA fordern für den Software-Entwicklungsprozess die Einhaltung des Standards. Der Nachweis erfolgt anhand der Dokumentierung und ist Voraussetzung für eine Qualifizierung von Software für den Einsatz in der Luftfahrt. Oft wird auch von einer Zertifizierung der Software gesprochen. Die EASA und auch die meisten militärischen Behörden in Europa kennen allerdings den Begriff der Zertifizierung nur für ein komplettes Flugzeug. Aus diesem Grund ist es nicht ohne weiteres möglich, eine Software von einem Flugzeug für ein anderes zu übernehmen…….“
und nun haben wir ja noch die türkischen Streitkräfte, die afaik die Standards/Specs der US MIL-XYZ zur Anwendung bringen (https://de.wikipedia.org/wiki/United_States_Military_Standard), und da findet man auch so mancherlei in Sachen Entwicklung, Prüfung…….etc.
Der wichtigste Punkt bei all diesen Normen ist aber : „……Die Norm als solche schreibt Herstellern von Ausrüstung nicht vor, dass die in ihr definierten Tests tatsächlich durchgeführt werden und dass das Testobjekt diese auch bestehen muss. Dies wird nicht in der Norm, sondern in den jeweiligen Vertragsbestimmungen zwischen Herstellern/Lieferanten und Abnehmern geregelt……“ BOING !
DIE WELT bzw. Gerhard Hegmann & Gesche Wüpper, welche auch erstmals über den definitiven Ausfall von drei Triebwerken bereits am 11.05.2015 berichteten, stechen heute erneut mit einem sehr substantiierten Bericht positiv aus der Medienfront hervor. Man lese „Neue Software wohl schuld am A400M-Absturz. Offenbar versagte das Programm zur Steuerung der Triebwerke. Airbus rät zum Check aller Militärtransporter“.
Dennoch gilt m.M.n. nochmals und weiterhin, so lange nicht das „Alert Operator Transmission (AOT) to A400M“ von AIRBUS publik ist, also samt aller darin konkret benannten „notwendigen Aktionen“, also den definitiven Prüf- und/oder Austausch-Maßnahmen im Originaltext, diskutieren wir hier um den heißen Brei, aber nicht darüber, warum und wo dieser tatsächlich angebrannt ist
Ich könnte mir vorstellen, wenn eines der großen investigativen Medien diese Airbus-AOT sich im Originaltext samt aller Arbeitsanweisungen verschafft, ist diese nicht nur im Zuge der weiteren Recherchen binnen eines Tages durch für diese Medien arbeitende „externe Spezialisten intern analysiert“, sondern dieses AIRBUS-AOT dürfte auch nach Publikation sofort bei AUGEN GERADEAUS aufgegriffen werden.
Damit dürfte der Fall dann ergänzend und nahezu unter allen Aspekten von weiteren Experten und Insidern abgeklärt sein bzw. an Transparenz gewinnen.
Zumindest die Masse der seit 17.05.2015 aufgelaufenen Kommentare und damit eine Vielzahl an angesprochenen Detailaspekten bei AUGEN GERADEAUS – wie von @klabautermann „eingeläutet“ mit http://augengeradeaus.net/2015/05/spanien-stoppt-testfluege-mit-dem-a400m/comment-page-2/#comment-196832 -, sprechen exakt dafür, daß dann ganz schnell ein solides und umfassendes Konvolut an weiteren „Beurteilungsbeiträgen“ stehen wird.
Gerade die jüngsten Software- vs. Hardware-Diskussionen in AUGEN GERADEAUS sprechen eindeutig für dieses und unterscheidet sich wohltuend von den Binsen- und Stammtischweisheiten bestimmter Foren sowie selbsternannter Luftfahrt-Fachmagazine einer bekannten süddeutschen Verlagsgruppe.
Eine der ganz wenigen wohltuenden Ausnahmenen dürfte das von internationalen und in Masse professionellen Usern und Insidern besetzte PPRuNe Forums (The Professional Pilots Rumour Network sein, vgl. http://www.pprune.org/military-aviation/561162-reports-a400-crash-saville-spain-7.html). Auch dort ist mangels Substanz bzw. Originaltext des AIRBUS-AOT seit gestern 19:37 Uhr mit dem vorläufig letzten Beitrag #136 eine Stagnation in der Diskussion um das „Faß ohne Boden“ zur Einhaltung der Qualitäts-, Eavaluierungs-, Zertifizierungs- und Zulassungs- Standards bei Software-Entwicklungen für die Luftfahrt eingetreten.
Vielleicht sollte AIRBUS in Sachen unfreiwilliger „Elchtest“ mal diesen Artikel studieren:
http://www.krisennavigator.de/Nicht-bestandener-Elch-Test-der-A-Klasse-von-Daimler-Benz-im-Herbst-1997.162.0.html
….und dabei insbesondere den Abschnitt „lesson learnt“:
„Von der eingesetzten Task Force bei Daimler-Benz ist bereits nach kurzer Zeit eine Schlußfolgerung gezogen worden: Zunächst war das Problem der umgekippten A-Klasse als ein fast ausschließlich technisches Problem angesehen worden. Relativ schnell wurde aber erkannt, daß der Kommunikation mit den Zielgruppen und der Öffentlichkeit eine noch weit größere Bedeutung zukommt. ……..Der Anteil des Aufwandes für die Lösung der technischen Probleme darf nicht zu Lasten einer guten Kommunikation gehen. Eng damit verbunden ist die Erkenntnis, daß die Krisenkommunikation besonders sorgfältig vorbereitet werden muß und daß in der Kommunikation mit den Medien „Buzz-Words“, ………. zu vermeiden sind.
Von großer Bedeutung war, daß der Vorstand neben den sachlichen Steuerungs- und Repräsentationsfunktionen intern auch seine Aufgaben mit einer psychologischen Ausrichtung schnell wahrgenommen hatte. Jürgen E. Schrempp gab nicht nur schnell bekannt, daß keine personellen Konsequenzen gezogen würden……….Damit wollte er den am Krisenmanagement beteiligten Mitarbeitern in ihrem Engagement Mut machen und für die Krisenbewältigung bestärken.
Eine weitere Schlußfolgerung aus der Krise war für das Unternehmen, daß Krisenpläne für die Zukunft zu erarbeiten sind…………..Pate dieses Teams war entsprechend der hohen Bedeutung, die die Unternehmensleitung dem Thema Krisenmanagement beimaß, das Vorstandsmitglied für die Konzernentwicklung und direkt geführte industrielle Beteiligungen…………….
Ein weiterer Erfahrungswert ist besonders wichtig, nämlich daß umfangreiche und strenge Qualitätsprüfungen notwendig sind. Um dieses Prinzip noch früher in der Entwicklung, der Produktion und dem Vertrieb umsetzen zu können, sind sogenannte „Quality Gates“ eingeführt worden. Die Besonderheit der Quality Gates liegt in der Zusammenfassung mehrerer Meilensteine einer bestimmten Strecke der Wertschöpfung zu einem „Qualitätstor“…………
Um darüber hinaus gehende weitreichende Veränderungen zu institutionalisieren, ist Anfang 1999 ein permanenter Krisenstab eingesetzt worden………
Eine weitere Verbesserung stellt die im Bereich der Produktkommunikation PKW eingeführte Entwicklung von potentiellen Krisenszenarien zu jeder Neuproduktvorstellung dar. Dabei werden gemeinsam mit externen Experten alle denkbaren Fälle sowohl technischer als auch prozessualer Natur berücksichtigt und mit geeigneten Maßnahmen hinterlegt und abgesichert („präventives Issue Management“)………..
Zwei wesentliche Erkenntnisse sind durch die A-Klassen-Krise für das Unternehmen noch einmal bestätigt worden: Zum einen, daß ein bestehendes und gut funktionierendes Kommunikationsnetzwerk mit den Medien für die Bewältigung einer derartigen Krise sehr wichtig ist. Und zum anderen, daß eine enge Verzahnung der Krisenkommunikation mit dem Krisenmanagement erfolgsentscheidend für die Krisenbewältigung ist.“
Von daher kann man dem @VtgAmtmann mal wieder uneingeschränkt zustimmen:
Nu mal Butter bei die Fische, Tom Enders !
Ich suche verzweifelt die Zeichnungen der Kraftstoffsysteme.Habe einen Screenshot,
weiss aber nicht,ob die linke obere Zeichnung zum A400M gehören soll.
Sollte es das A400M System zeigen ist da einiges durcheinander.
Danke
Airbus hat jetzt eine Ursache benannt und den A400 Kunden mitgeteilt. Als nächstes werden die Lobbyisten die Kunden bearbeiten, dass diese trotz der derzeitigen Dünnen Faktenlage ihre A400 wieder fliegen lassen. Damit dürfte Airbus wie beim NH90 auch Erfolg haben.
@klabautermann: Glaube „Major Tom“ ist sich der Zwickmühle in welcher AIRBUS –Military & Defence sitzt, seit Monaten bewußt, nur ist die Situation Herrn Enders bereits seit Jahren entglitten. Der tragische A400M Crash kam dann noch überraschend (oder auch nicht, weil systemimmanent) oben drauf. Das ist eben der Unterschied zum „Elchtest-Fall“, denn EASA sowie EDA, MAWA samt EMARs sind eben nicht das KBA. Und die Klientel beim A400M ist auch eine andere als bei der A-Klasse. Die m.M.n. originärste „Pleiteerklärung“ stammt vom 20/05/2015 10:16 (hDDp://www.catalunyapress.cat/es/notices/2015/05/airbus-detecta-una-incidencia-electronica-en-el-a400m-y-alerta-a-los-estados-clientes-para-que-lo-re-122197.php). Wenn jetzt noch die Lobbyisten auftauchen, wie @Benedikt prophezeit, wird die Situation für AIRBUS nur noch eklatanter, denn beim A400M reden EASA und EDA ein gewichtiges Wort mit, ganz im Gegensatz zum NH90 und zum SEA LION.
@Noname: Vgl. http://www.fotos-hochladen.net/uploads/fuelsystema400bnk7cvumf2.png. Die longitudinale Trimmung à la Boeing ist allerdings nicht dargestellt (vgl. http://www.boeing-747.com/_Media/boeing-747fuel-layout.gif). Eine asymetrische laterale Trimmung ergibt keinen Sinn, eine Konzentration des Massenträgheitsmoments im Center-Tank könnte jedoch beim (taktischen) extremen Kurvenflug evt. relevant sein.
Danke für den Link.Links oben die Zeichnung vom A400M funktioniert so nicht.
Alle Bauteile sind zwar an der richtigen Stelle eingezeichnet,aber die Farbgebung und
die Legende ist komplett falsch.
@Noname: Alle Grafiken samt Legenden stammen aus Original-PPT, zwecks halbwegs „Quellenschutz“ (z.B. Image-Suchprogramme) wurden die Farben teils gruppenweise ausgetauscht, was aber an der Sinnhaltigkeit nichts ändert. Die APU-Versorgung weicht zwischen der Grafuk obenb-links und unten ab.
Was funktioniert Ihrer Ansicht also beim A400M definitiv nicht und welche der Originallegenden sind falsch?
Bemerkenswert ist von heute in http://www.computing.co.uk/ctg/news/2409316/software-bug-brought-down-airbus-a400m-military-transport-plane „The cause of the crash will only be discovered if Airbus’s findings are being matched with the data from the flight data recorder,“ a military expert told Reuters. That comparison can only be made after the black-box-data is released, it added.
Solange sind die Schuldeingeständnisse oder auch Entschuldigungsversuche von AIRBUS zwar „schön und peinlich“, aber faktisch nicht mehr wert, als das Papier auf dem diese geschrieben sind. Das schleppende Verfahren dürfte m.M.n. seine Begründung wohl darin finden, daß es mit Vorliegen aller Fakten wahrscheinlich noch peinlicher und blamabler wird.
Mit vertauschten LP valves / crossfeedvalves funktioniert das System nie.
In den collectorcells sitzen main und stby Pumpe,keine transfer Pumpe.
Die untere Zeichnung geht garnicht,da die transfer Tanks fehlen.
@Noname: Jetzt würde es aber spannend werden, wenn Sie auf voller Linie Recht hätten! Vgl. PPT des Dipl.-Ing. Klaus Wieland, A400M Chief Engineer, Airbus Deutschland GmbH, Fuel System auf Seite 68, wie auch von @Milliway eingestellt (http://www.fzt.haw-hamburg.de/pers/Scholz/dglr/hh/text_2001_11_29_A400M.pdf).
Recht haben interessiert mich nicht.Das Bild oben links zeigt ja die transfer Tanks.
Das untere Bild (und das aus dem weiteren Link) sind von 2001.Es dürfte sich um einen
allerersten Entwurf halten,noch ohne transfer Tanks.
Wenn man Bilder im Netz des overhead Panels betrachtet,sieht man im fuel Panel
für jeden der beiden transfer Tanks 4 Pumpen.Es dürfte diese Tanks deshalb wohl geben.
„Während die Bundeswehr prüft, ob sie die Maschinen des A400M-Modells überhaupt weiter eingesetzt werden können, droht Airbus eine riesige Geldstrafe. Bis zu 300 Millionen Euro könnte die Summe betragen.“ (Handelsblatt)
@ Zimdarsen | 20. Mai 2015 – 16:03:
Da sind offenbar Schadensersatzforderungen der Angehörigen der 4 Todesopfer noch gar nicht berücksichtigt.
Diese 300 Mio möchte das BMVg von Airbus wegen den A400 Verspätungen verlangen. Von Airbus bekommen und fordern ist schon etwas komplett anderes. Bei der NH90 Einigung über Schadensersatz hat das BMVg am Ende eher teuer draufgezahlt. Die Kosten für den Absturz sind da nicht mit enthalten. Da ist auch die Frage, ob der A400 nicht versichert war.
BMVg hat geprüft ob C160 bis 2021 weiter betrieben werden könnte.
Kann, kostet aber.
@BlueLagoon
Bitte nicht die möglichen deutschen Forderungen durch Laufzeitverlängerung C-160 mit möglichen ganz anders begründeten Forderungen einer spanischen Firma vermengen!
Und die 300 Mio werden nicht wegen der Verspätung verlangt, sondern sind oberflächlich geschätzte Mehrkosten, die zunächst einmal nur durch den verlängerten Betrieb der C-160 entstehen. Kompensationszahlungen für die insgesamt verzögerte Auslieferung aufgrund nicht vorhandener Schutzeinrichtungen müssten nach vertraglichen Gegebenheiten geprüft werden. Irgendwo geht da in dem Artikel etwas arg durcheinander..
Im Artikel ist die Rede von „derzeit“ 24 C-160 die Rede, deren Einsatzdauer verlängert werden könnte. Ist die Flotte schon so weit abgeschmolzen? Oder könnte die Zahl auf eine Größenordnung in 2016/17 bezogen sein, wenn die geplanten Ausphasungen gegriffen haben?
@Zimdarsen: Im Klartext zur AIRBUS Schlamperei: „Rüstungsstaatsekretärin Katrin Suder sagte nach Handelsblatt-Informationen vor dem Verteidigungsausschuss des Bundestages, die finanziellen Ansprüche der Bundeswehr würden derzeit gesammelt und Mitte des Jahres dem Konzern präsentiert. Allein die Kosten durch eine längere Nutzung der Transall könnten sich auf bis zu 300 Mio. € summieren. Hinzu kämen gegebenenfalls vertraglich vereinbarte Kompensationsforderungen für die verspätete Auslieferung der A400M-Maschinen.“
Ich glaube zwar nicht, daß das BMVg den Mut und die Expertise hat, das konsequent durchzuziehen, denn die 300 Mio. € sind nur die „halbe Miete“ bzw. die Hälfte der Ahnungslosigkeit von IBUK und STSin-AIN!
Aber wenn doch, dann kommen die anderen Nutzernationen (ausgenommen wohl Frankreich) und die Angehörigen der sechs „Sevilla-Opfer“ unisono hinterher. Damit dürfte easy going die Zwei-Milliardengrenze überschritten werden.
Die Airbus-Defence & Space hatte in der 2014er Bilanz bereits einen Rückgang beim EBIT um 38 Prozent! Der A400M und dessen Probleme schlugen gnadenlos zu. Extrem teuer zu stehen kommen Verzögerungen bei der Auslieferung und Nachbesserungen beim A400M, worauf die Nutzernationen bestehen. Bereits im 4ten Quartal 2014 mußte ein Abgrenzungsposten i.H.v. 551 Millionen Euro in die Konzernbilanz eingestellt werden. In Folge dessen wurde der bisherige CEO von AIRBUS-Military Aircraft Domingo Ureña-Raso per 31.01.2015 „zurückgetreten“ und ab 01.03.2015 übernahm Fernando Alonso.
Im Bericht zur Bilanz 2014 der Airbus Group heißt es zum „behinderten Kind A400M“ und zur Besänftigung der Aktionäre weiter „Derzeit werden mit den Kunden die Reihenfolge des schrittweisen Ausbaus der militärischen Fähigkeiten und entsprechende Auslieferungen verhandelt, um die revidierte Programm-Baseline sowie den neuen Auslieferungsplan zu berücksichtigen. Im letzten Quartal 2014 hat das Management die Programmentwicklung geprüft, insbesondere mit Blick auf die Herausforderungen beim Ausbau der militärischen Funktionalitäten und des Produktionshochlaufs, sowie damit verbundene Abhilfemaßnahmen. Auf Managementebene wurden Maßnahmen eingeleitet, um künftige Auslieferungen sicherzustellen. Das Programm wird weiterhin genau überwacht.“
Nach dem Crash von Sevilla muß man deshalb zu Major Tom sagen „Satz mit X, war wohl niX, denn wer zuspät kommt, denn bestraft die Geschichte und/oder eben das eigene Laissez Faire“!
Es soll Fallschirmjäger geben, bei denen war schon der erste Sprung einer zuviel. Bei Enders waren es m.M.n. seit 2000 und bereits als Stellvertretender Vorstandsvorsitzender und Mitglied des Lenkungsausschusses der EADS (Head of Defence and Security Systems Division) samt aller anhängigen Beschaffungsvorhaben viel zu viele Sprünge.
@all
Es gibt einen neuen Thread mit dem heutigen Stand.
@Vtg-Amtmann
Bitte der Empörung nicht mit persönlichen Angriffen gegen bestimmte Personen Luft geben.
@Hubi
24 ist verbleibenden Anzahl der C160 ESS nach 2017
@T.W.: Es geht nicht um Empörung und auch nicht um persönliche Angriffe, sondern um knallharte Fakten! Und so langsam sollte man mich als Praktiker und Analytiker kennen. Deshalb auch dieses Statement hier, um eben den neuen Thread nicht gleich „zu versauen“. Wo bleibt also von AIRBUS der Originaltext des AOT???
Geschützter taktischer Lufttransport ist die Überschrift.
Klug wäre sie in Penzing/Lechfeld wegen Nähe Laupheim/Calw zu stationieren, wahrscheinlich wird man wohl Hohn nutzen.
@Vtg-Amtmann
” Wo bleibt also von AIRBUS der Originaltext des AOT???“
Kann es sein, dass nicht Airbus bremst, sondern Spanien und Frankreich?
T.W. hatte im neuen Beitrag darauf hingewiesen:
Soviel zum Thema „gemeinsame europäische Interessen“ und so…
@Zimdarsen: Spanien und Frankreich können soviel bremsen wie sie wollen, wenn Major Tom eine A ….. in der Hose hätte, würde er das AOT publik machen und sein Gesicht bewahren. Für Sch…. mit Schwung hat jeder Verständnis, denn wo gehobelt wird, fallen auch Späne, selbst wenn es peinlich ist. Der Unterschied zwischen peinlich und verlogen ist allerdings auch vehement.
@Voodoo
….und das wäre der Anlass aus dem Programm auszusteigen.
Kann Spanien die Ergebnisse der Flugunfalluntersuchung als geheim einstufen und den Datenaustausch mit dem Hersteller Airbus Militäry S.L. untersagen ?
Das klingt doch völlig abstrus !!!!
Die EASA ist auch eine ausländische Behörde. Wenn die das Ergebnis der Untersuchung nicht bekommt, dann ziehen die das Type certificate und zurück und dann hat der A400M keine Zulassung mehr und Airbus Militäry kann ihn nicht mehr verkaufen.
Also für mich klingt das nach einer konzertierten Aktion zwischen Airbus Miltary und der spanischen Justiz, damit man den bereits erkannten und veröffentlichen Fehler, nämlich das AOT mit der Software für die ECU von gestern nicht als Fehlerursache für den Absturz vom 09.05. eingestehen muss.