Zum Inhalt springen

09.05.2015 | Airbus A400M | Sevilla | Absturz


claudiprien

Empfohlene Beiträge

Wenn so ein Fehler möglich ist und unbemerkt bleibt, dann ist da mehr im argen, als der Trainingsstand einiger Mitarbeiter. Dann muss die Software so komplex sein, dass es nicht sofort auffällt. Solche Fehler müssen einfach beim Power on Self Test auffallen, sonst ist bei der Software etwas nicht korrekt programmiert.

 

Wenn wir einen Zustand erreicht haben, in dem eine vollständige Kontrolle der Software nicht mehr möglich ist, dann ist es Zeit grundsätzlich umzudenken.

 

So ein ausgemachter Blödsinn!

 

Ein Mechaniker (oder Mechatroniker) hat bei der Arbeit einen Fehler gemacht, und eine falsche Software aufgespielt. Das ist nicht "grundsätzlicher" problematisch, als wenn derselbe Mechaniker ein falsches Bauteil einbaut, oder - um einen aktuellen Untersuchungsbericht der deutschen BFU zu zitieren - bei einem Static-Port vergisst, eine Schutzkappe nach der Montage zu entfernen.

 

Kein Mensch würde aus dem B737-Vorfall bei Lugano folgern, dass "ein Zustand erreicht ist, bei dem eine vollständige Kontrolle der Hardware nicht mehr möglich ist und wir deswegen grundsätzlich umdenken müssen" - also nur noch Flugzeuge mit mechanischen Steuerseilen und ebenso mechanischen Fahrtmessern bauen.

 

Eine Software ist heutzutage ein ganz normales Bauteil eines Flugzeuges. Diese sollte deswegen so gut und so schlecht kontrolliert werden, wie jedes physische Bauteil auch. Die Forderung, dass für Software aber bitte zu gelten habe, dass das Flugzeug magisch selbst merkt, wenn etwas nicht stimmt, ist absurd.

 

Florian

Bearbeitet von Chipart
Link zu diesem Kommentar
Auf anderen Seiten teilen

 

Ein Mechaniker (oder Mechatroniker) hat bei der Arbeit einen Fehler gemacht, und eine falsche Software aufgespielt. Das ist nicht "grundsätzlicher" problematisch, als wenn derselbe Mechaniker ein falsches Bauteil einbaut, oder - um einen aktuellen Untersuchungsbericht der deutschen BFU zu zitieren - bei einem Static-Port vergisst, eine Schutzkappe nach der Montage zu entfernen.

Ganz so simpel darf es meiner Meinung nach nicht sehen.

 

Seit wir 1983 gelernt haben, dass ein kleiner Mechanikerfehler (der nie völlig auszuschliessen ist) katastrophale Folgen haben kann, ist es vorgeschrieben bei der Erstellung der Wartungsvorschriften darauf zu achen, das nie ein einziger Mechaniker alle redundanten Systeme mit einem einzigen, nicht offensichtlich entdeckbaren Fehler lahmlegen kann.

Ganz offensichtlich ist diese Grundregel auf moderne computergestützte Systeme so nicht ohne weiteres anwendbar, oder wird bisher nicht angewendet.

Wenn das so ist (ich kann es derzeit nicht beurteilen, aber es sieht wohl gerade so aus), dann ist das ein grundsätzliches Problem.

Wenn es möglich ist, dass ein einziger Mechaniker an allen Triebwerken den selben Fehler machen kann (bzw. an einer einzigen Stelle einen Fehler machen kann, der alle Triebwerke lahmlegt), dann ist das ein "single Failure Cause" der strikt verboten ist. Entweder muss man es unmöglich machen, diesen Fehler zu begehen (falsche Softwareversionen werden automatisch beim Power on erkannt), oder man muss die Aufgabe splitten.

 

Es ist ein bisschen das Uber-Problem. Nur weil nicht Taxi draufsteht, ist gewerbliche Personenbeförderung ohne Personenbeförderungsschein nicht plötzlich legal. Es mag nicht wörtlich dem Gesetzestext entsprechen, da mag eine Lücke sein, aber es ist absolut klar, dass es abgestellt werden muss. Und so haben das natürlich auch alle Gerichte gesehen.

Und auch wenn etwas nicht explizit für Software gefordert ist, so ist es doch eine generelle Forderung der Bauvorschrift, das kein einzelner Fehler zu einem katasprophalen Ereignis führen darf. U.U. muss hier nochmal explizit Software erwähnt werden, und eventuell müssen mehr detaillierte Richtlinien veröffentlich werden (Softwarezulassung verweist ja auf externe Dokumente, man war bei den Luftfahrtbehörden weise genug zu erkennen, dass man kein Softwarespezialist ist). Vielleicht sind die externen Softwarespezialisten und die Luftfahrtspezialisten doch noch nicht überall zu 100% auf der selben Wellenlänge. Vielleicht ist zwar im Bereich Zulassung alles abgedeckt, aber im Bereich Wartung (wohl eher "Administration") oder Produktion ("Installation") eben nicht.

Für das installieren eines Softwareupdates muss das selbe gelten, wie für die Installation eines Flügelbolzen. Man muss sicher stellen, das es das richtige Bauteil ist (richtige Länge, richtiger Durchmesser, richtiges Material, richtige Oberflächenbeschichtung...), es nach einem exakten Verfahren Installieren und auf korrekte Funktion prüfen, und zwar mit 4 Augen Prinzip. Wir brauchen quasi den "Drehmomentschlüssel für Software" den der Inspektor auf korrekte Einstellung prüft, und mit dem ein anderer unter Aufsicht den Bolzen prüft. Wenn derzeit nicht sinngemäßes gemacht wird, dann wird es aber allerhöchste Zeit dafür! Und genauso wie die Festigkeitsklasse eines Bolzen auf dem Bolzenkopf markiert ist, muss jede Software an einer definierten Stelle ihre genaue Markierung (Versionsnummer) haben. Und auch hier muss wieder das 4 Augen Prinzip gelten (analog Lagerist/Mechaniker). Es muss zugelassene Wartungsunterlagen geben, die zulässige Softwareversionen auflisten, und das muss dann geprüft werden, bevor man sie aufspielt. Im Prinzip alles sonnenklar.

Und vielleicht ist der "Mechaniker" ja auch gar kein Flugzeugmechaniker gewesen (macht ja auch nicht unbedingt Sinn), und daher vielleicht auch nicht mit dem notwendigen Sicherheitsbewusstsein ausgestattet. Vielleicht müssen wir da auch noch mal die Ausbildungs- und Lizensierungsvorschriften genau angucken.

 

Auf die vollständige Analyse bin ich gespannt (laut Presse hat ja auch Airbus gerade erst Einblick in die FDR-Daten bekommen). Gut möglich, dass das hier ein Weckruf war, und wir wie schon die gesamte Luftfahrtgeschichte üblich, mal wieder das ein oder andere Detail überdenken müssen.

 

Gruß

Ralf

Link zu diesem Kommentar
Auf anderen Seiten teilen

...Die Möglichkeit "einfacher" Softwareupgrades öffnet dem Chaos, und u.U. Hackern Tür und Tor, und war deshalb in der Luftfahrt immer absolut Tabu....

... und wieder könnte ich Nuhr zitieren...

Nehmen wir einfach mal den A320:

AMM Task 27-93-00-610-001 Uploading of the ELAC Software

AMM Task 27-94-00-610-801 Uploading of the SEC Software

 

Man nehme einen Dataloader und ein wenig Zeit und schon ist die neue Software drin.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wir haben Generationen von weiterentwicklungsfähiger Avionik gehabt, bei der ein Softwareupgrade den Austausch von Eproms (oder ähnlichem) erfordert hat. Die Möglichkeit "einfacher" Softwareupgrades öffnet dem Chaos, und u.U. Hackern Tür und Tor, und war deshalb in der Luftfahrt immer absolut Tabu.

 

Wenn die Sicherheit darauf beruht hat, dann war sie nie gegeben. Wenn man verhindern kann, dass falsche Software auf das EPROM kommt, kann man auch verhindern, dass falsche Software dann auf das EPROM kommt, wenn es schon eingebaut ist.

 

 

Da aber vermutlich heute die Experten für Avionik nicht mehr aus der Luftfahrt, sondern aus der Computerbranche kommen, etablieren sie jetzt all das, was man Jahrzehntelang sorgfältig vermieden hat.

Sind wir jetzt bei wilden Unterstellungen und Rundumschlägen? Dann will ich mich ausnahmsweise mal beteiligen, und behaupte das Gegenteil:

Leuten aus der Computerbranche ist die Problematik seit Jahrzehnten vertraut. Aber wahrscheinlich glauben inzwischen auch die Luftfahrtleute, verstanden zu haben, was ein Computer ist, und müssen jetzt natürlich alle Fehler wiederholen.

 

 

Man kann Computersysteme nur entweder sicher, oder einfach upgradefähig konstruieren. Wenn man das eine haben will, wird man das andere verlieren. Sobald ich in einen Computersystem "Administratorenrechte" einräume, ist der Computer an sich völlig unsicher. Ab da muss ich Sicherheit über Kontrolle der Administratoren garantieren, und wir alle wissen wie zuverlässig Menschen in dieser Hinsicht sind... Und wie schnell sich Hacker diese Administratorenrechte beschaffen.

 

Computer sind nie sicher, und irgendwo gibt es immer einen Administrator.

Bearbeitet von sheckley666
Link zu diesem Kommentar
Auf anderen Seiten teilen

Eine Software ist heutzutage ein ganz normales Bauteil eines Flugzeuges. Diese sollte deswegen so gut und so schlecht kontrolliert werden, wie jedes physische Bauteil auch.

 

Ich drehe das mal um:

Hardware ist auch nur Software. Es ist nur die in der (Struktur der) Materie gespeicherte Information, die ihr Verhalten bestimmt.  Ich sage das, weil ...

 

 

Ganz offensichtlich ist diese Grundregel auf moderne computergestützte Systeme so nicht ohne weiteres anwendbar, oder wird bisher nicht angewendet.

 

... ich meine, dass aus dieser Überlegung folgt, dass auf computergestützte Systeme genau dasselbe anwendbar ist, wie auf konventionelle.

 

Dass in der Luftfahrt zwar (angeblich?) für jedes Schräublein ein Zertifikat gebraucht wird, und penibel dokumentiert wird, in welcher Schachtel dieses Schräublein seine Nächte verbracht hat, das aber nicht mehr gilt, sobald ein Computer im Spiel ist, das wäre dann meine Illusion, die hier platzt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Und wie, bitte, soll das gehen, wenn man die Software später weiterentwickeln will? Nein, weiterentwicklungsfähige Systeme haben es in sich, dass sich erstmal alles draufspielen lässt. Um hier Fehler zu vermeiden gibt es Arbeitsabläufe und Qualitätskontrollen. Hier hat offenbar beides versagt.

Na, eine völlig andere Software wird man im Normallbetrieb nie aufspielen müssen, allenfalls ein Upgrade. Versuch mal ein Android OS auf ein iPhone zu spielen. Zertifikate, Signaturen, Hashes... etc. sind doch alles erprobte Verfahren.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Für das installieren eines Softwareupdates muss das selbe gelten, wie für die Installation eines Flügelbolzen. 

 

Du hättest schreiben sollen: "Für das installieren eines Softwareupdates GILT das selbe, wie für die Installation eines Flügelbolzens".

 

Dann hättest Du die gegenwärtige Situation abschliessend, korrekt und ohne dutzende Zeilen Text übersichtlich beschrieben.

 

Aber genau so, wie es eben passieren kann, dass ein Mechaniker trotz aller Vorschriften, Prozesse und Kontrollen vergisst, eine Kappe von einem Static Port zu entfernen, kann es eben auch passieren, dass eine falsche Software aufgespielt wird - weil die eigentlich vorgesehenen Prozesse zur Qualitätssicherung versagen.

 

Florian

Link zu diesem Kommentar
Auf anderen Seiten teilen

Na, eine völlig andere Software wird man im Normallbetrieb nie aufspielen müssen, allenfalls ein Upgrade. Versuch mal ein Android OS auf ein iPhone zu spielen. Zertifikate, Signaturen, Hashes... etc. sind doch alles erprobte Verfahren.

 

Patrick, diese Verfahren verhindern, dass jemand, der nicht im Besitz von allen Informationen (z.B. eines geheimen Schlüssels) ist, beliebige Software aufspielen kann. Der Hersteller kann jede beliebige Software auf seine Geräte aufspielen, und wenn der schlampert, dann gibt es dagegen keinen technischen Schutz.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Patrick, diese Verfahren verhindern, dass jemand, der nicht im Besitz von allen Informationen (z.B. eines geheimen Schlüssels) ist, beliebige Software aufspielen kann. Der Hersteller kann jede beliebige Software auf seine Geräte aufspielen, und wenn der schlampert, dann gibt es dagegen keinen technischen Schutz.

Der Hersteller kann schon schlampern, aber die Chance, dass er plötzlich die Zertifikate für verschiedene Module vertauscht sind relativ klein. Aber der Techniker, der das Zeugs aufspielen soll, der kann dann nicht mehr schlampern.

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

Aber genau so, wie es eben passieren kann, dass ein Mechaniker trotz aller Vorschriften, Prozesse und Kontrollen vergisst, eine Kappe von einem Static Port zu entfernen, kann es eben auch passieren, dass eine falsche Software aufgespielt wird - weil die eigentlich vorgesehenen Prozesse zur Qualitätssicherung versagen.

Da genau liegt das Problem! Es darf eben nicht ein Mechaniker sein, der an der Software rumfummelt. Potentiell ist das Aufspielen neuer Software per Definition eine große Änderung. (wenn wir jetzt nicht vom IFE oder sowas reden...), und da sollten ganz genaue Arbeits- und Prüfanweisungen für vorliegen. Und natürlich dürfen Mechaniker und Prüfer nicht ein und die selbe Person sein. Und in der Produktion muss (wie sonst auch) das gleiche gelten, sicherheitskritische Arbeitsschritte müssen in einer überwachten Umgebung stattfinden und von einer zweiten Person geprüft und freigegeben werden.

Wenn das Problem laut Airbus SB durch einen simplen Test erkennbar ist, warum ist der dann nicht routinemäßig vor dem Erstflug durchgeführt worden? Warum war der nicht Bestandteil der Stückprüfung?

 

 

Dann will ich mich ausnahmsweise mal beteiligen, und behaupte das Gegenteil:

Leuten aus der Computerbranche ist die Problematik seit Jahrzehnten vertraut. Aber wahrscheinlich glauben inzwischen auch die Luftfahrtleute, verstanden zu haben, was ein Computer ist, und müssen jetzt natürlich alle Fehler wiederholen.

Oder sorum. OK. Entweder Computerleute die glauben genug von Luftfahrt zu verstehen, oder Luftfahrtleute die glauben genug von Computern zu verstehen.

 

 

Computer sind nie sicher, und irgendwo gibt es immer einen Administrator.

Ich habe schon mit Betriebssystemen gearbeitet, bei denen man bestimmte Bereich nach erfolgter Installation vor jedem weiteren Zugriff, auch durch Administratoren, endgültig schützen konnte. Da war sogar mal Bestandteil der DIN für Datenschutz... Ist heute aber nicht mehr zeitgemäß... Heute gehört das ständige Updaten zum Alltag, der Spruch "never change a running System" ist inzwischen vergessen, "Computer auf neuestem Stand halten" wird überall Gebetsmühlenartig gefordert. Zuhause haben wir ja auch schon weitestgehend die Kontrolle über unsere Computer verloren, die werden auch ohne unsere Zustimmung einfach aus dem Internet upgedated, und wir wundern uns, warum bestimmte Dinge plötzlich nicht mehr funktionieren (wegen denen wir den Computer eigentlich mal gekauft haben...).

 

 

Der Hersteller kann jede beliebige Software auf seine Geräte aufspielen, und wenn der schlampert, dann gibt es dagegen keinen technischen Schutz.

Der Hersteller mag alle Software beliebig aufspielen könne ("komplette Neuinstallation"), aber wenn er einzelne Module neu aufspielt, dann sollten die anderen erkennen, wenn es sich dabei nicht um eine zugelassene (oder die falsche) Software handelt, und die Zusammenarbeit beim Power-up verweigern. Das ist ein völlig übliches Vorgehen, dafür gibt es etablierte technische Schutzmechanismen. Wenn die jemand aushebelt, dann ist das mehr als "schlampert". Wenn es easy möglich ist, dann fehlen Schutzmechanismen. 

 

Bin gespannt, was nun genau rauskommt, ob da wirlich nur "ein Mechaniker" sich eigenmächtig über die Vorschriften hinweggesetzt hat, ob da "ein Programmierer" eigenmächtig und an der Qualitätskontrolle vorbei ein Update ungeprüft rausgegeben hat, ober ob da riesige Sicherheitslücken im System klaffen.

 

Gruß

Ralf

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich habe schon mit Betriebssystemen gearbeitet, bei denen man bestimmte Bereich nach erfolgter Installation vor jedem weiteren Zugriff, auch durch Administratoren, endgültig schützen konnte. Da war sogar mal Bestandteil der DIN für Datenschutz... Ist heute aber nicht mehr zeitgemäß... 

 

Das muss lange her sein - Computer, die man wegwerfen muss, wenn ein Teil der Software nicht funktioniert, gibt es schon einige Zeit nicht mehr. Genaunehmen kenne ich keinen einzigen - bei allen die mir spontan einfallen konnte man schon das PROM tauschen....

 

Ausserdem haben wir eben auch gelernt in den letzten 40 Jahren: Fehler beim Update der Software sind das kleinere Übel im Vergleich dazu, Software mit bekannten Fehlern über Jahre weiter verwenden zu müssen.

 

Florian

Link zu diesem Kommentar
Auf anderen Seiten teilen

Bin gespannt, was nun genau rauskommt, ob da wirlich nur "ein Mechaniker" sich eigenmächtig über die Vorschriften hinweggesetzt hat, ob da "ein Programmierer" eigenmächtig und an der Qualitätskontrolle vorbei ein Update ungeprüft rausgegeben hat, ober ob da riesige Sicherheitslücken im System klaffen.

Also erstens stand nirgens, jedenfalls in keiner mir bekannten Pressemitteilung, das Wort "Mechaniker". Keine Ahnung, warum Du da so darauf rumhackst. Zweitens gehe ich, offenbar im Gegensatz zu Dir, jetzt mal ganz naiv davon aus, dass Airbus qualifiziertes Personal und nicht nur Volltrottel beschäftigt. Und drittens wurde als erstes nicht der "Mechaniker", sondern der Werksleiter von Sevilla gefeuert. Das kann man durchaus in eine gewisse Richtung interpretieren, auch wenn das natürlich nur eine Vermutung ist.

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

Das muss lange her sein - Computer, die man wegwerfen muss, wenn ein Teil der Software nicht funktioniert, gibt es schon einige Zeit nicht mehr.

Nicht wegwerfen, Software komplett neu installieren. Es ging um den Schutz vor dem "dran rumfummeln", ohne das jemand was davon merkt.

Und wie gesagt, es war eine Option zu sagen, hier soll nicht mehr gefummelt werden, hier verbiete ich unwiederruflich den Zugriff, anstatt ihn nur mit Password zu schützen. Wenn man das Passwort in "" (niltext) änderte, dann war der Passwortschutz ein für-immer-Zugriffschutz. Dann gab es auch kein Adminpasswort mehr, dann gab es nur noch Löschen und neu installieren des betreffenden Bereichs.

 

 

Fehler beim Update der Software sind das kleinere Übel im Vergleich dazu, Software mit bekannten Fehlern über Jahre weiter verwenden zu müssen.

Bekannte Fehler sind immer das geringere Übel, als unbekannte Fehler.

Die Frage ist, mit welcher Wahrscheinlichkeit hat das Update einen unbekannten Fehler, und da muß in der Luftfahrt bei Fehlern die einen katatstrophalen Effekt haben die Antwort einfach "extrem Unwahrscheinlich" (=Fehler tritt nur alle 109 Flugstunden auf) sein. Wenn sich ein Programmierer nicht zutraut sowas zu liefern (und wer kann das schon), dann muss entsprechende Redundanz verbaut werden.

 

 

das Wort "Mechaniker". Keine Ahnung, warum Du da so darauf rumhackst.

Die Formulierung kam von Florian, und sinngemäß hat auch Airbus das so gesagt, dass da eben "falsche Software aufgespielt" wurde, was ebenfalls eine "Einzeltat" darstellen würde.

 

 

Und drittens wurde als erstes nicht der "Mechaniker", sondern der Werksleiter von Sevilla gefeuert.

Was genauso eine "Verharmlosung" eines potentiell viel größeren Problems darstellt, denn auch das impliziert, dass da nur eine Kleinigkeit im Hangar schiefgelaufen ist. Das "Werk von Sevilla" ist in keinster Weise für die Avionik- oder Softwareentwicklung verantwortlich.

Natürlich sind schon viele Unfälle durch eine einzige kleine Unachtsamkeit im Hangar ausgelöst worden, und natürlich kann sowas auch hier passiert sein. Aber wenn das in der Vergangenheit geschehen ist, dann ist mehr als nur ein Werksleiter entlassen worden, dann ist die ganze Philosophie überarbeitet worden.

Ein Beispiel, ein einziges schief gebohrtes Nietloch hat ein Flugzeug zum Absturz gebracht, das noch nach alten Standards enwickelt und zugelassen wurde. Heute würde soetwas mit einem modernen Flugzeug nie passieren, da diese "Damage Tolerant" zugelassen sind, und Fertigungsfehler bereits mit einplanen (und trotzdem leichter und effizienter sind). 

Die selben Standards erwarte ich von Software. Wir werden sehen, ob es da Defizite gibt, aber allein die Tatsache, dass da irgendwo bei Sevilla rauchende Trümmer rumliegen, legt diesen Schluß nahe. Und genauso wie bei der Struktur ist die Lösung vermutlich relativ einfach, wenn man erstmal verstanden hat, wo man bisher einen Denkfehler bezüglich möglicher Versagensszenarien gemacht hat. Die Computertechnik ist genauso dynamisch wie die Werkstoffentwicklung es mal war, es ist nur natürlich wenn noch niemand alle möglichen Probleme kennt. Und schon gar nicht erwarten wir von einem Mechaniker der ein Loch bohrt oder vom Werksleiter in der Fertigung, dass er alles über Bruchmechanik weiss. Genausowenig können wir es von einem Softwareupdater oder seinem Werksleiter verlangen.

 

Shit happens, am Nietloch wie am USB-Kabel. Die Kunst ist, das Flugzeug und seine Zulassung, Fertigung, Wartung und den Betrieb darauf abzustimmen.

 

Gruß

Ralf

Bearbeitet von Volume
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dann gab es auch kein Adminpasswort mehr, dann gab es nur noch Löschen und neu installieren des betreffenden Bereichs.

Also genau das, was im vorliegenden Fall geschah.

 

Die Frage ist, mit welcher Wahrscheinlichkeit hat das Update einen unbekannten Fehler,

Wenn die bis jetzt bekannten Informationen zutreffen, dann handelte es sich im Vorliegenden Fall nicht um ein Update mit einem unbekannten Fehler, sondern um eine Software(-version?), die nie hätte installiert werden dürfen. Mir scheint, Du diskutierst völlig am vorliegenden Fall vorbei, um Dein Steckenpferd reiten zu können.

Link zu diesem Kommentar
Auf anderen Seiten teilen

 Heute würde soetwas mit einem modernen Flugzeug nie passieren, da diese "Damage Tolerant" zugelassen sind, und Fertigungsfehler bereits mit einplanen (und trotzdem leichter und effizienter sind). 

 

Könntest Du kurz sagen, wo das steht? Ich habe ehrlich gesagt noch nie gelesen, dass Flugzeuge nur zugelassen werden, wenn ihr Design robust gegenüber Fehlern bei der Herstellung ist. Zwei Dinge würden mich besonders interessieren:

 

1. Wie werden die Fehler in der Herstellung die toleriert werden müssen beschrieben?

2. Wozu brauchen wir eigentlich so aufwändig zugelassene Herstellbetriebe, wenn die Designs gegen Fehler in der Herstellung robust sein sollen?

 

Florian 

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

Könntest Du kurz sagen, wo das steht?

Googel mal nach Initial Flaw Concept (kommt aus dem Militärflugzeugbau, wird heute aber auch bei Zivilflugzeugen angewandt).

 

Hier mal ein Auszug aus dem FAA AC25-571-1D, EASA wording ist ähnlich.

 

For single load path structure and for multiple load path and crack-arrest

“fail-safe” structure – where it cannot be demonstrated that load-path failure, partial failure, or

crack arrest will be detected and repaired during the normal maintenance, inspection, or

operation of an airplane prior to failure of the remaining structure – the thresholds should be

established based on crack-growth analyses and/or tests, assuming the structure contains an

initial flaw of the maximum probable size that could exist as a result of manufacturing- or

service-induced damage.

 

Wozu brauchen wir eigentlich so aufwändig zugelassene Herstellbetriebe

Um eine möglicht kleine "maximum probable size" zu haben.

Die basiert auf der Größe, die einem Prüfer unter Verwendung des Standardprüfverfahrens durch die Lappen gehen kann.

 

 

dann handelte es sich im Vorliegenden Fall nicht um ein Update mit einem unbekannten Fehler, sondern um eine Software(-version?), die nie hätte installiert werden dürfen.

Du meinst die verbauen Avionikboxen ohne Software drin, und spielen die erst am Ende der Fertigung auf ?

Ich will das nicht völlig verneinen, aber ich halte das doch für sehr, sehr unwahrscheinlich. Insbesondere wenn wir hier von speziellen ECUs reden, und nicht von CPIOM-Hardware. Ich kann mir nicht vorstellen, das die Triebwerke mit einer "leeren" FADEC ausgeliefert werden.

Ich gehe davon aus, sie haben am Ende der Fertigung ein Update auf die neueste Version (oder mit den neuesten Extras für die Türken, in der Aviation Week war ja von Spritverteilungssoftware die Rede, um bestimmte Manöver zu erlauben) gemacht. Und dabei irgendwas verbockt, was bei den Bodenstandläufen verborgen blieb.

 

 

Gruß

Ralf

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nicht wegwerfen, Software komplett neu installieren. Es ging um den Schutz vor dem "dran rumfummeln", ohne das jemand was davon merkt.

Und wie gesagt, es war eine Option zu sagen, hier soll nicht mehr gefummelt werden, hier verbiete ich unwiederruflich den Zugriff, anstatt ihn nur mit Password zu schützen. Wenn man das Passwort in "" (niltext) änderte, dann war der Passwortschutz ein für-immer-Zugriffschutz. Dann gab es auch kein Adminpasswort mehr, dann gab es nur noch Löschen und neu installieren des betreffenden Bereichs.

Das ist für vernetzte Systeme halt kaum zeitgemäss. Das schützt gegen legitimierten Zugriff, aber nicht gegen das ausnutzen von Softwarefehlern.

 

Bekannte Fehler sind immer das geringere Übel, als unbekannte Fehler.

Fehler die *du* kennst, OK. Fehler, die ein Angreifer kennt, sind dann wohl schon ein grösseres übel.

 

 

Aber wahrscheinlich ist es halt schon so, wie ich vermutet habe: Die Avionikcomputer sind wie früher mikrocontroller simpelst aufgebaut, ohne Signaturprüfugnen, Schutz vor Manipulation etc.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Du meinst die verbauen Avionikboxen ohne Software drin, und spielen die erst am Ende der Fertigung auf ?

 

Keine Ahnung. Ich weiss nur das, was Airbus verlautbart hat, und da steht, dass bei der Endmontage eine falsche Software aufgespielt worden sei, bzw. dass die Software "falsch aufgespielt" worden sei, was auch immer das bedeutet. Ich interpretiere das so, das irrtümlich eine nicht freigegebene Softwareversion geladen wurde und der Fehler wegen mangelndem Qualitätsmanagement nicht entdeckt wurde. Ist aber zugegebenermassen nur meine vorläufige Interpretation.

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

Fehler die *du* kennst, OK. Fehler, die ein Angreifer kennt, sind dann wohl schon ein grösseres übel.

 

OK, ich gehe immer noch davon aus, das Flugzeuge ein gegen Angriffe Hardwaremäßig abgeschottetes System sind.

Bei Fehlern denke ich also an "Bugs", nicht an Einfallstore für Angreifer. In dem Angrissfall sind natürlich bekannte Fehler gefährlich.

Ich kann mir aber auch kaum vorstellen, wie man "offene" Computersysteme im Flugzeug zulassen möchte.

 

Ich glaube auch nicht, dass wir bisher den Bereich "Angriff durch Wartungspersonal" durchdacht haben, weder bei Computern noch bei konventioneller Flugzeughardware. Wenn das unser Hauptaugenmerk werden müsste, könnten wir die Fliegerei vermutlich einstellen.

 

Gruß

Ralf

Link zu diesem Kommentar
Auf anderen Seiten teilen

OK, ich gehe immer noch davon aus, das Flugzeuge ein gegen Angriffe Hardwaremäßig abgeschottetes System sind.

Bei Fehlern denke ich also an "Bugs", nicht an Einfallstore für Angreifer. In dem Angrissfall sind natürlich bekannte Fehler gefährlich.

Ich kann mir aber auch kaum vorstellen, wie man "offene" Computersysteme im Flugzeug zulassen möchte.

OK, ich dachte wir seien immer noch bei dem von dir zurückersehten OS, das sich nicht nachträglich verbessern lässt.

 

Ich glaube auch nicht, dass wir bisher den Bereich "Angriff durch Wartungspersonal" durchdacht haben, weder bei Computern noch bei konventioneller Flugzeughardware. Wenn das unser Hauptaugenmerk werden müsste, könnten wir die Fliegerei vermutlich einstellen.

Was heisst schon Hauptaugenmerk. Es ist wahrscheinlich genau so realistisch wie ein Angriff mit ner Zahnpastatube.
Link zu diesem Kommentar
Auf anderen Seiten teilen

Der Hersteller kann schon schlampern, aber die Chance, dass er plötzlich die Zertifikate für verschiedene Module vertauscht sind relativ klein.

 

Warum ist die Chance, die falsche Software zu zertifizieren, kleiner, als die Chance, falsche Software aufzuspielen?

 

 

Da genau liegt das Problem! Es darf eben nicht ein Mechaniker sein, der an der Software rumfummelt. Potentiell ist das Aufspielen neuer Software per Definition eine große Änderung. (wenn wir jetzt nicht vom IFE oder sowas reden...), und da sollten ganz genaue Arbeits- und Prüfanweisungen für vorliegen. Und natürlich dürfen Mechaniker und Prüfer nicht ein und die selbe Person sein. Und in der Produktion muss (wie sonst auch) das gleiche gelten, sicherheitskritische Arbeitsschritte müssen in einer überwachten Umgebung stattfinden und von einer zweiten Person geprüft und freigegeben werden.

Wenn das Problem laut Airbus SB durch einen simplen Test erkennbar ist, warum ist der dann nicht routinemäßig vor dem Erstflug durchgeführt worden? Warum war der nicht Bestandteil der Stückprüfung?

 

Sehe ich auch so. Wobei ich vermute, dass es Vorschrift gewesen wäre, so zu arbeiten, sonst würde Airbus kein Qualitätsproblem einräumen.

 

Eine andere spannende Frage ist jetzt für mich:

Wieviele Flugzeuge fliegen eigentlich da draussen herum, in deren Herstellerwerk es zum Zeitpunkt ihrer Produktion gerade ein Qualitätsproblem gegeben hat, das still und leise beseitigt worden ist, weil eben kein Flugzeug beim ersten Flug abgestürzt ist?

 

 

Der Hersteller mag alle Software beliebig aufspielen könne ("komplette Neuinstallation"), aber wenn er einzelne Module neu aufspielt, dann sollten die anderen erkennen, wenn es sich dabei nicht um eine zugelassene (oder die falsche) Software handelt, und die Zusammenarbeit beim Power-up verweigern. Das ist ein völlig übliches Vorgehen, dafür gibt es etablierte technische Schutzmechanismen. Wenn die jemand aushebelt, dann ist das mehr als "schlampert". Wenn es easy möglich ist, dann fehlen Schutzmechanismen.

 

Das hilft nichts, sondern verlagert nur den Ort des möglichen Fehlers. Dazu braucht es nämlich eine wie auch immer geartete Datenbank, in der hinterlegt ist, welche Software mit welcher spielen darf. Und die Pflege einer solchen Datenbank ist nicht per-se weniger fehlerträchtig, als das Flashen von Software in Module.

 

 

Nicht wegwerfen, Software komplett neu installieren. Es ging um den Schutz vor dem "dran rumfummeln", ohne das jemand was davon merkt.

Und wie gesagt, es war eine Option zu sagen, hier soll nicht mehr gefummelt werden, hier verbiete ich unwiederruflich den Zugriff, anstatt ihn nur mit Password zu schützen. Wenn man das Passwort in "" (niltext) änderte, dann war der Passwortschutz ein für-immer-Zugriffschutz. Dann gab es auch kein Adminpasswort mehr, dann gab es nur noch Löschen und neu installieren des betreffenden Bereichs.

 

Das macht die Computer nur unveränderlich, aber nicht sicher. Ob es nicht mit irgendeiner Tastenkombination doch eine Möglichkeit gegeben hätte, ein Super-Admin-Passwort einzugeben, wirst du nie wissen.

 

 

Ich glaube auch nicht, dass wir bisher den Bereich "Angriff durch Wartungspersonal" durchdacht haben, weder bei Computern noch bei konventioneller Flugzeughardware. Wenn das unser Hauptaugenmerk werden müsste, könnten wir die Fliegerei vermutlich einstellen.

 

Da bin ich optimistischer. Immerhin reden wir hier von einem Militärflugzeug, einer Waffe im weiteren Sinn. Und wenigstens den Militärs sollte bewusst sein, dass Sabotage der Waffenproduktion nichts neues wäre.

 

Grüsse, Frank

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

das sich nicht nachträglich verbessern lässt.

Das sich nur streng kontrolliert und erkennbar verbessern lässt. Das einzige was verhindert wird, ist das jemand unbefugt, unabgestimmt und unentdeckt daran rumfummeln kann.

 

 

Wieviele Flugzeuge fliegen eigentlich da draussen herum, in deren Herstellerwerk es zum Zeitpunkt ihrer Produktion gerade ein Qualitätsproblem gegeben hat, das still und leise beseitigt worden ist, weil eben kein Flugzeug beim ersten Flug abgestürzt ist?

Tausende? Guck dir allein an, wie oft ADs wegen sowas rausgegeben werden. Und eben weil wir wissen, das sowas passieren kann, ist es im System Luftfahrt von vorneherein mit eingeplant, und geht deshalb meist glimpflich aus.

 

 

Immerhin reden wir hier von einem Militärflugzeug, einer Waffe im weiteren Sinn. Und wenigstens den Militärs sollte bewusst sein, dass Sabotage der Waffenproduktion nichts neues wäre.

Interessanter Aspekt. Denn de facto reden wir von einem Zivilflugzeughersteller, der gerade erst lernt Militär zu sein...

 

Gruß

Ralf

Link zu diesem Kommentar
Auf anderen Seiten teilen

Interessanter Aspekt. Denn de facto reden wir von einem Zivilflugzeughersteller, der gerade erst lernt Militär zu sein...

Ah, ja. Weil jetzt Airbus auf der Halle steht ist die ganze Erfahrung im Militärbereich der ganzen Vorgänger natürlich nicht mehr vorhanden...???

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nein, weil es Airbus ist, ist es mehr als nur eine Halle.

Zwei in England, drei in Deutschland, drei in Frankreich...

 

Airbus Military nutzt weitgehend die Resourcen vom "normalen" Airbuskonzern. Nur Sevilla ist neu.

Natürlich hat z.B. Airbus Hamburg Militärerfahrung (Nordatlas, Transall...) aber das ist ein paar Jährchen her. Und damals sprachen die Saboteure noch russisch...

Und ja, der Eurofighter ist auch irgendwie mit Airbus verstrickt, aber die ganzen Organisationsstrukturen beim A400M sind vom zivilen Airbus abgeleitet, nicht von der CASA oder anderen militärisch erfahrenen Bereichen. Die meisten Entwicklungsteams bestehen aus den selben Leuten, die kurz davor noch A380 gemacht haben, und nicht mal beim Bund waren (ich kenne mehrere).

 

Wie läuft das eigentlich vor Ort, die Flieger bekommen am Ende ja eine Militärzulassung, fliegen zwischenzeitlich aber zivil. Sind da Prüfer von der Militärluftfahrtbehörde (des jeweiligen Empängerlandes ?) zugange, oder zivile ? Gibt es erst eine zivile Stückprüfung, und dann wird das Flugzeug "konvertiert", oder fliegt es nur mit VVZ (PtF) und Prototypenkennzeichen zivil, und bekommt am Ende ausschließlich ein militärisches CofA ? Oder bekommt es ein ziviles "CofA for Export" und wird dann zum Militär des betreffenden Landes "exportiert"? Wird da schon in der Endfertigung Gerät verbaut, das gar keine Zivilzulassung hat, oder wird zunächst ein ziviles Rumpfflugzeug gebaut, zivil stückgeprüft und dann zum Militärflugzeug ausgebaut und "umgemeldet" ? Gibt es für Militärflugzeuge soetwas wie eine NATO-Zulassung, oder macht das jeder Staat für sich ?

 

Gruß

Ralf

Link zu diesem Kommentar
Auf anderen Seiten teilen

Warum ist die Chance, die falsche Software zu zertifizieren, kleiner, als die Chance, falsche Software aufzuspielen?

Weil du an den Zertifikaten eigentlich nichts mehr änderst, wenn sie mal erzeugt sind. Du änderst nur noch den Code. Wie soll nun plötzlich das Zertifikat für einen völlig anderen Code da rein kommen? 
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...