737 MAX – ANALYSE EINER SYSTEMISCHEN KATASTROPHE

Das Foto zeigt das Cockpit eines Verkehrsflugzeugs mit zwei Piloten beim Start

Aus aktuellem Anlass

Am 18.11.2020 hat die amerikanische Luftfahrtbehörde FAA (Federal Aviation Administration) nach 20 Monaten das Flugverbot für die Flugzeuge des Typs Boeing 737 MAX unter Auflagen aufgehoben. Das Grounding war weltweit verhängt worden, nachdem innerhalb von vier Monaten zwei Flugzeuge dieses Typs abgestürzt waren und die Vorfälle große Ähnlichkeit aufwiesen. Von Anfang an stand die elektronische Flugsteuerung MCAS (Maneuvering Characteristics Augmentation System) – eine Designinnovation der 737 MAX  – in Verdacht, maßgeblich zu den Abstürzen beigetragen zu haben. Insgesamt 346 Menschen waren dabei zu Tode gekommen.

Wir hatten – als Human Factor Excellence GmbH – in 2019  zwei Newsletter zu dem Thema herausgegeben, in denen wir auf die komplexen Ursachenzusammenhänge eingingen. Unsere Aussagen von damals erscheinen uns nach wie vor stimmig und relevant. Daher veröffentlichen wir sie nun in etwas gekürzter und geringfügig aktualisierter Form noch einmal. Mit der Kernbotschaft: Katastrophen sind ein Ergebnis komplexer Driftvorgänge!

Wir betrachten hier eine Katastrophe:

Allein der menschliche Schaden ist unermesslich: Bei den Abstürzen einer Boeing 737 MAX 8 der indonesischen Lion Air am 29.10.2018 (Flug JT610) und einer Maschine gleichen Typs der Ethiopian Air am 10.03.2019 (Flug ET302) wurden insgesamt 346 Menschen getötet. Der direkt aus den Unfällen resultierende materielle Schaden, insbesondere für die Boeing Company, Airlines und Versicherungsgesellschaften, geht in die Milliarden. Und der längerfristige Vertrauensschaden für die Industrie, die Luftfahrt, die staatlichen Aufsichtsbehörden und die Politik ist noch nicht annähernd zu beziffern.  Die COVID-19 Pandemie, insbesondere mit ihren Auswirkungen auf die Luftfahrt, hat das Thema überlagert. Aufgelöst hat es sich ganz bestimmt nicht.

Das Foto zeigt ein Boeing 737 MAX Flugzeug der Lion Air, das am 29.10.2018 abstürzte. Eine Katastrophe als Ergebnis komplexer Driftvorgänge.

Katastrophen sind ein Ergebnis komplexer Driftvorgänge!

Was geschah?

In beiden Fällen kam es nur wenige Minuten nach dem Start zu einem fast vertikalen Absturz. Dem Absturz vorausgegangen waren außergewöhnliche Schwankungen der Steig- bzw. Sinkrate der Flugzeuge. Nach Auswertung der Black-Box-Daten hatten die Piloten der Unglücksmaschinen fortgesetzte Versuche unternommen, einen von dem automatischen Flugsteuerungssystem wiederholt initiierten, steilen Sinkflug zu stoppen und an Höhe zu gewinnen. Letztlich verloren sie den Kampf gegen die elektronischen Steuerungsimpulse und die Flugzeuge zerschellten mit maximaler Sinkflugeinstellung der Höhenleitwerke und sehr hoher Geschwindigkeit im Meer bzw. am Boden.

Was waren die unmittelbaren Ursachen?

Die seit Mai 2017 ausgelieferten Boeing 737 Flugzeuge der Reihen MAX 8 und MAX 9 verfügen über ein elektronisches Flugsteuerungssystem namens MCAS (Maneuvering Characteristics Augmentation System). Dieses System greift automatisch ein, wenn es eine kritische Fluglage, insbesondere einen zu steilen Anstellwinkel erkennt, und korrigiert die Fluglage, indem es das Höhenleitwerk so einstellt („trimmt“), dass die Nase des Flugzeugs nach unten gedrückt wird. Die Messdaten erhält der Bordcomputer von einem der beiden am Flugzeugrumpf montierten Anstellwinkelsensoren.

Bei den beiden Unglücksflügen waren die betreffenden Sensoren offenbar defekt und lieferten falsche Daten an den Bordcomputer. Während des Steigflugs in der Startphase meldeten sie fälschlich extrem hohe Anstellwinkel, die zu einem Strömungsabriss („stall“) führen würden. Das MCAS griff ein, veränderte die Stellung der Höhenflosse und senkte dadurch die Flugzeugnase ab. Tatsächlich brachte es die Maschine aber nicht in einen stabilen Steigflug, sondern in einen Sinkflug. Die Piloten arbeiteten händisch gegen diese destruktiven Steuerimpulse an und zogen die Flugzeugnase wieder nach oben. Jedoch schaltete sich das MCAS mit seinen Aircraft Nose Down Befehlen immer wieder ein.

Beim Flug JT610 vermochten die Piloten innerhalb der 13 Minuten, die der Flug dauerte, 26 mal, den Sinkflug zu stoppen und wieder etwas Höhe zu gewinnen – bis zum finalen Sinkflug und Absturz. Bei ET302 half – nach dem vorläufigen Untersuchungsbericht – auch die Befolgung der nach dem Lion-Air-Absturz von Boeing empfohlenen Prozedur nicht: Trotz Abschaltung der Trimmautomatik konnten die Piloten keine Kontrolle mehr gewinnen. Möglicherweise war es aufgrund der viel zu hohen Geschwindigkeit des Flugzeugs nicht mehr möglich, die Steuerflächen manuell zu betätigen.  

Nach dem Absturz von Flug JT610 wurden von dem renommierten Luftfahrt-Journalisten Dominic Gates von der Seattle Times drei ausschlaggebende Faktoren benannt:

Das Boeing MCAS-System:

Ein einziges defektes Messinstrument, nämlich einer der beiden Anstellwinkelsensoren, konnte offenbar die fatalen Vorgänge auslösen und sie immer wieder triggern, bis zum katastrophalen Ende! Dies ist eine Konstellation, die es in der Luftfahrt nach aller Möglichkeit zu vermeiden gilt.

Die Piloten der Unglücksmaschine:

 
Schon am Vortag war der mit dem MCAS verbundene Anstellwinkelsensor des Lion Air Flugzeugs defekt gewesen und hatte die automatischen Trimm-Aktivitäten ausgelöst. Die Piloten dieses Flugs versuchten zunächst, wie am Tag darauf die Crew von Flug JT610, dem händisch entgegenzuwirken. Es gelang ihnen aber dann, mit Unterstützung durch einen zufällig mitfliegenden, erfahrenen Kollegen, die Steuerungsautomatik komplett auszuschalten und das Flugzeug weiter zu fliegen und zu landen. Den Piloten des Todesflugs war dies leider nicht möglich. Sie waren von dem völlig überraschenden, chaotisch erscheinenden Verhalten des Flugzeugs überfordert.

Der Luftfahrtexperte Dominic Gates bezeichnet in seinem Artikel die Crew als „mitschuldig“ und ihr Versagen als „rätselhaft“. Er zitiert auch einen Luft- und Raumfahrtberater mit den Worten: „This airplane should not have crashed. There are human factors involved.“

Die Fluggesellschaft Lion Air:

Lion Air hat einen schlechten Ruf im Hinblick auf seine Sicherheitskultur und die Qualität seiner Instandhaltung. Bei jedem der vier Flüge vor JT610 zeigte das Unfallflugzeug Probleme mit den Höhen- und Geschwindigkeitsmessungen. Es wurden verschiedene Wartungsarbeiten durchgeführt, zwei Tage vor dem Unglücksflug wurde einer der Anstellwinkelsensoren ersetzt. Das entscheidende Problem wurde aber offensichtlich nicht behoben. 

Soweit die erste Runde der Ursachenermittlung. Wenn wir aber das Entstehen der Katastrophe so verstehen wollen, dass wirksame Schritte zur Verhinderung solcher Vorfälle in der Zukunft ergriffen werden können, müssen wir weiter ausgreifen und tiefer schürfen. Den Unfällen liegt keineswegs eine unglückliche Verkettung von Umständen („chain of events“) zugrunde, sondern eine komplexe Drift in die Katastrophe, primär als Konsequenz unternehmerisch-politischer Prioritätsentscheidungen.

Das Foto zeigt ein Boeing 737 MAX Flugzeug der Ethiopian Airways, das am 10.03.2019 abstürzte. Eine Katastrophe als ERgebnis komplexer Driftvorgänge.

Katastrophen sind ein Ergebnis komplexer Driftvorgänge!

Die Drift in die Katastrophe:

Sidney Dekker, Professor für Human Factors und Systemsicherheit und erfahrener 737-Linienpilot, hat am Beispiel einer Reihe von Katastrophen der vergangenen 50 Jahre das Entstehen der Drift in den Störfall untersucht und dabei fünf Hauptfaktoren herausgearbeitet. Wir legen im Folgenden Dekker’s Analyse an die Geschichte der 737 MAX an: 

1. Ressourcenknappheit und Wettbewerb

Ressourcenknappheit und Wettbewerb sind der Treibstoff für die fortgesetzte Optimierung von Produkten und Organisationen. Bei steigendem ökonomischen Druck nimmt aber die Tendenz zu, ökonomische Ziele zulasten anderer Zieldimensionen wie Sicherheit oder Ressourcenschonung zu priorisieren.

Der Konkurrenzdruck in der kommerziellen Luftfahrt, vor allem hinsichtlich Kosten und Effizienz, ist extrem hoch: Die Fluggesellschaften unterbieten sich gegenseitig in einem teilweise absurd anmutenden Preiswettbewerb. Bei den Flugzeugherstellern hat sich der Markt weitestgehend „bereinigt“ und ein verbissenes Duell der Giganten Boeing und Airbus um Kunden, Marktanteile und Profite herausgebildet.

Die tausendfach verkauften Mittelstreckenmaschinen der Modellreihen Boeing 737(5) und Airbus A320 sind die Cash-Cows der Hersteller. Beide Typen sind schon Jahrzehnte alt (Erstzulassung 737: 1967; A320: 1987) und haben mehrere Design-Überarbeitungen und Modernisierungen erfahren. Der Anstoß zur bislang letzten Überarbeitung kam von Airbus im Dezember 2010 mit der Ankündigung der A320neo Familie – ab 2015 sollten die Modelle A319, A320 und A321 mit modernen, ökonomischeren Triebwerken verfügbar sein.

Boeing hatte bis zu diesem Zeitpunkt geplant, die schon arg in die Jahre gekommene 737 durch ein komplett neues Schmalrumpfflugzeug zu ersetzen. Weitere Überarbeitungen schienen problematisch, vor allem weil das Grunddesign der 737 (anders als die A320) nicht auf elektronische Steuerung (Fly-by-Wire) ausgelegt war und sein kurzes Fahrwerk erhebliche Beschränkungen in Bezug auf die Triebwerkgröße mit sich brachte. Als die A320neo innerhalb weniger Monate einen Auftragsrekord verbuchen konnte und American Airlines im Juli 2011 von Boeing eine 737 mit neuen, effizienteren Triebwerken analog zur A320neo verlangte, ließ Boeing das geplante Neudesign fallen (zuletzt sollte es bis 2030 kommen) und sprang in die Entwicklung der 737 MAX.

Schwierige Ausgangslage

Airbus befand sich in einer erheblich besseren Situation: In zeitlicher Hinsicht, da man an dem A320-Upgrade schon gearbeitet hatte, als Boeing noch den „Clean-Sheet-Plan“ zur Entwicklung eines ganz neuen Flugzeugs verfolgte. Und technologisch, da die A320 in ihrem Grunddesign 20 Jahre jünger und entsprechend moderner ist als die 737. Jedoch wollte Boeing seine führende Stellung bei den Mittelstreckenflugzeugen auf keinen Fall aufgeben und möglichst noch ausbauen. Man entschied sich für einen äußerst herausfordernden und aggressiven Antritt. Boeings Werbeslogan „737 MAX By Design“ drückt es aus: Die Designmodifikation sollte das absolut Maximale aus den 737-Potenzialen herausholen. In kürzester Zeit. Zu niedrigsten Kosten.

So war auch die NASA in den späten 1990er Jahren im Space Shuttle Programm vorgegangen. Der NASA-Slogan damals lautete „Faster. Better. Cheaper.“ Die Explosion der Columbia-Raumfähre im Jahr 2003 beendete diese Phase des aggressiven Aufbruchs. Bei Boeing endete sie spätestens im März 2019.

Zunächst schien Boeing‘s Strategie aber aufzugehen. Anfang 2019 lagen 5.012 Bestellungen für 737 MAX Flugzeuge vor, 387 sind bereits ausgeliefert. Boeing warb erfolgreich mit hervorragenden Flugleistungen, hoher Zuverlässigkeit, niedrigem Verbrauch, reduziertem Fluglärm, geringen Instandhaltungskosten und größtmöglicher Kommunalität mit den 737-Vorgängermodellen, daher nur minimalem Aufwand beim Umstieg auf die MAX-Flieger. So sei für 737-Piloten keine neue Typenzulassung notwendig, nicht einmal nennenswertes Training. Eine gute Stunde Info mithilfe eines Tablets genüge. Doch zur Realisierung dieser Versprechen galt es einige Hürden zu überwinden.

Die modernen, leiseren und effizienteren Flugzeugtriebwerke sind größer als die Vorgänger und mussten an den 737-Flügeln anders positioniert werden. Dies veränderte die aerodynamischen Eigenschaften: Beim Steigflug entsteht starker Auftrieb, der zu einem zu steilen Anstellwinkel und damit sogar zu einem Strömungsabriss führen kann. Damit Piloten nicht dafür trainiert werden müssen, diese Verhaltensweise des Flugzeugs zu beherrschen (das würde sich ja auf der Kostenseite nachteilig auswirken), beschloss man, eine Automatik einzubauen, die völlig autonom, bei diagnostiziertem Bedarf die Nase des Flugzeugs nach unten drückt, das MCAS. Dabei wich Boeing auch von dem bisher eisern vertretenen Prinzip ab, die letzte Entscheidung immer bei den Piloten zu belassen. Ein Paradigmenwechsel!

Gewinnen-Wollen um jeden Preis

Damit bei den Piloten keine Begehrlichkeiten auf Training aufgrund dieser doch tiefgreifenden Veränderung an Design und Verhalten des Flugzeugs geweckt würden, erwähnte man seitens Boeing die Existenz dieses Systems einfach nicht. Man ging davon aus, dass die Piloten von dem System nichts wissen müssten, da es nur bei extremen Flugzuständen, weit außerhalb des normalen Airlinebetriebs eingreifen würde. Und wenn mal eine Fehlfunktion der Trimmautomatik aufträte, gäbe es ja eine (eigentlich für andere Störungen an der Höhensteuerung gedachte) den Piloten schon bekannte Notfallprozedur zur Deaktivierung, die dann angewendet werden könnte. Das „richtige“ Verhalten der Piloten im Umgang mit einem System, von dessen Existenz sie nicht einmal wussten, wurde also als Teil der Sicherheitsarchitektur einkalkuliert! Bis zum Lion Air Absturz. Erst dann wurden alle betroffenen Airlines und Piloten informiert und auf Weisung der Luftfahrtbehörde FAA wurde eine spezielle Prozedur zum Umgang mit Fehlfunktionen des Systems empfohlen.

In der Entwicklung der 737 MAX hat Boeing dem Ziel, im wirtschaftlichen Wettbewerb erfolgreich zu sein, offenbar alle anderen Ziele und Prinzipien rücksichtslos untergeordnet.
Jahrzehnte von Forschung und viele tragisch gewonnene Erkenntnisse über Human Factors wurden vom Tisch gewischt. Und wenn sich Boeing und manche Kommentatoren dann anmaßen, den Lion und Ethiopian Air Piloten Mitverantwortung für die Unfälle zuzuweisen, ist das aus unserer Sicht nur noch zynisch.

2. Veränderung in kleinen Schritten

Eine weitere Komponente der Drift: Die Sicherheitsmargen werden nicht durch eine spektakuläre Entscheidung geschluckt, sondern schmelzen fast unmerklich durch mehrere, kleinere Veränderungsschritte ab.

Der ursprüngliche Plan, auf dem auch die bei der Zulassungsprozedur vorgelegte Sicherheitsanalyse beruhte, war, dass das MCAS-System die Einstellung des Höhenruders pro Impuls um maximal 0,6 Grad verändern könnte. Dann ergaben die Testflüge, dass eine kräftigere Bewegung des Höhenleitwerks notwendig ist, um einen Strömungsabriss bei zu steilem Steigflug und hoher Geschwindigkeit zu verhindern. Erst bei einer Flossenbewegung von 2,5 Grad kam man zu einem befriedigenden Ergebnis und baute diese Spezifikation in die Serienflugzeuge ein. MCAS konnte also nun das Höhenleitwerk mit zwei Impulsen bis zum maximalen Ausschlag von 5 Grad bringen, statt mit acht, wie ursprünglich vorgesehen und in der Sicherheitsanalyse unterstellt. Offenbar nahm niemand zur Kenntnis, wie einschneidend diese Veränderung war, da sie sich Schritt für Schritt einschlich. Die Sicherheitsananalyse wurde jedenfalls nicht überarbeitet, die Zulassungsbehörde nicht darüber informiert.

Oder das Thema Cockpit-Warnlicht: Um den Anforderungen von Billig-Carriern entsprechen zu können, haben die Hersteller die Flugzeugausrüstungen immer mehr individualisiert. Instrumente, Geräte und Systeme, die nicht unbedingt zur Basisausstattung gehören, wurden nicht mehr standardmäßig, sondern nur optional – gegen Aufpreis – angeboten. Wie bei diesem Warnlicht, das anzeigen sollte, dass die beiden AoA (Anstellwinkel)-Sensoren abweichende Messwerte melden und somit wahrscheinlich ein Defekt vorliegt. Dieser Hinweis wäre für die Piloten der Unglücksmaschinen vielleicht hilfreich gewesen. Jedoch waren ihre Flugzeuge nicht mit der Warnfunktion ausgestattet. Was niemandem bewusst war: den Crews nicht, den Airlines nicht, der FAA nicht, zunächst nicht einmal Boeing.

Nicht sicherheitsrelevant?

Die Veränderungen in den Standardkonfigurationen der 737-Flugzeuge waren schrittweise vonstattengegangen. Bei dem Vorgängertyp 737 NG (New Generation) war die Warnanzeige „AoA Disagree Alert“ standardmäßig freigeschaltet, bei der 737 MAX dagegen nur, wenn der optionale, aufpreispflichtige „AoA Indicator“ eingebaut war. Dies war Boeing-Ingenieuren im Rahmen einer Softwareüberprüfung im Sommer 2017 aufgefallen. Bei einer daraufhin angestellten, internen Untersuchung im Engineeringbereich kam man zu dem Schluss, dass keine „negativen Folgen für die Flugsicherheit“ vorlägen und somit nichts weiter unternommen werden musste.

Das Boeing Top-Management wurde nach dem Lion Air Absturz auf das Problem aufmerksam und dann ging die Information auch an die FAA. Wiederum kam man zu dem Ergebnis, es hier nicht mit einem ernstzunehmenden Sicherheitsrisiko zu tun zu haben. Erst im Gefolge des Ethiopian-Absturzes und des weltweiten Groundings der 737 MAX kündigte Boeing nun an, den AoA Disagree Alert ab sofort wieder als Standardfunktion zu implementieren. Obwohl noch in dem Statement von Boeing am 09.06.2019, wiederholt wurde, diese Funktion sei „nicht sicherheitsrelevant“!

3. Der Schmetterlingseffekt (auch „Empfindliche Abhängigkeit von Ausgangsbedingungen“)

Dem Begriff zugrunde liegt das Bild, dass der Flügelschlag eines Schmetterlings in Brasilien einen Tornado in Texas auslösen könne. Was besagt, dass in einem komplexen System beliebig kleine Veränderungen unvorhersehbar große Auswirkungen an anderer Stelle haben können – wenn die Ausgangsbedingungen entsprechend sind. Dieser Effekt ist bei den 737 MAX Katastrophen (wie bei vielen großen Unfällen) zu besichtigen:

Die Fehlfunktion eines einzigen von mehreren Millionen Teilen eines Flugzeugs, eines Anstellwinkelsensors, führte letztlich zu den Abstürzen. Die dazu beitragenden Bedingungen waren, neben vielen anderen: Nur ein Sensor speiste seine Messwerte in den Bordcomputer ein; es gab keine Warnanzeige für die Fehlfunktion des Sensors; Boeing-Ingenieure hatten diesen Sachverhalt zunächst nicht bemerkt und dann als nicht kritisch eingeschätzt; das Flugzeug hatte, anders als seine vorhergehenden Familienmitglieder, problematische aerodynamische Eigenschaften, die zu einem Strömungsabriss führen können und verfügte, um das zu vermeiden, über ein automatisches System, das massiv, und deutlich stärker als eigentlich vorgesehen und gestattet, in die Flugsteuerung eingriff; die Piloten waren auf diese Konstellation in keiner Weise vorbereitet; das MCAS-System ließ sich nicht abschalten und konterkarierte die Pilotenaktivitäten fortgesetzt; Boeing hatte bisher immer die Autorität der Piloten ganz nach oben gesetzt; die Zulassung des Flugzeugs war unter größtem Zeit- und Konkurrenzdruck geschehen;… diese Aufzählung ließe sich noch lang fortsetzen.

Bei Entwicklung und Betrieb von komplexen Hochrisikosystemen gibt es schlechthin keine unkritischen Entscheidungen: Jede vermeintliche Kleinigkeit kann katastrophale Folgen nach sich ziehen.

4. Ungebärdige Technik

Verantwortliche in den Entwicklungsabteilungen setzen blind auf die Zuverlässigkeit von moderner Hochleistungstechnik, wenn sie denn die geforderten Prüf- und Nachweisprozeduren, Tests, Simulationen, Risikokalkulationen, etc. durchlaufen hat. Offenbar hatte niemand an verantwortlicher Stelle bei Boeing oder der FAA damit gerechnet, dass etwas Simples wie ein Anstellwinkelsensor defekt sein könnte. Sonst hätte man wohl zumindest die Standardvorkehrung der Redundanz getroffen und/oder eine Warnfunktion aktiviert.

Tatsache ist, dass sich die tatsächlichen, rauen, stressigen, manchmal ungeordneten, gar chaotischen Bedingungen beim praktischen Einsatz der Technik grundlegend von den sauberen, strukturierten, kontrollierten Bedingungen unterscheiden, die bei der Entwicklung und der Zulassung der Systeme unterstellt wurden. Im alltäglichen Einsatz zeigt sich die Technik oft von einer unerwartet widerborstigen Seite. Häufig wird dem damit begegnet, auftretende Ungebührlichkeiten der Technik, die ja den Betrieb stören, als „bekannt“, „nicht kritisch“, „später zu klären“, … zu klassifizieren und/oder vermeintlich wirksame Abhilfemaßnahmen zu treffen, die einfach und schnell auszuführen sind. Wie etwa bei Lion Air, wo das Unglücksflugzeug seit Tagen Ungereimtheiten bei den Messungen von Geschwindigkeit  und Flughöhe zeigte, man verschiedene Instandsetzungsmaßnahmen durchführte, aber das effektiv kritischste Problem nicht ausräumen konnte.

Da es schlechthin unmöglich ist, das dauerhafte Verhalten der Technik in der komplexen Welt der täglichen Einsätze verlässlich zu antizipieren, sollte die Sicherheitszertifizierung ein fortgesetzter Prozess sein, der sich über die gesamte Lebensspanne eines technischen Systems erstreckt. Und ein abweichendes Verhalten der Technik unter unerwarteten Bedingungen stets als Möglichkeit einkalkuliert werden.

 

5. Mitwirkung der Sicherheitsstrukturen

Kaum ein Bereich der menschlichen Zivilisation ist so aufwändig und akribisch geregelt und mit dem Fokus auf Sicherheit organisiert wie die Luftfahrt. Letztendliche Garanten der Sicherheit in der Luftfahrt sollen die nationalen und übernationalen Zulassungs-, Regulierungs- und Überwachungsbehörden sein, in den USA, und damit zunächst zuständig für Boeing, die Federal Aviation Administration FAA. Leider spielte die FAA bei der 737 MAX eine unrühmliche Rolle als Drift-Faktor.

Die in den späten 1970er Jahren in den USA begonnene Deregulierung und Privatisierung in der Luftfahrt brachte – bei gleichzeitiger, erheblicher Zunahme der Komplexität und Veränderungsgeschwindigkeit in der Industrie – Budgetkürzungen, Leistungs-, Zeit-, Konkurrenz- und politischen Druck für die Behörden mit sich. Die FAA erlebte dies wohl noch deutlich stärker als etwa die europäischen Agenturen. Interne Statements von FAA-Mitarbeitern, ihre sicherheitskritischen Aufgaben aus Kapazitätsgründen nicht annähernd angemessen wahrnehmen zu können, sind in der Vergangenheit jedenfalls wiederholt öffentlich geworden.

Wie bereits ausgeführt, stand die Zertifizierung der 737 MAX unter größtem Zeitdruck, da der Konkurrent A320neo etwa neun Monate Vorsprung hatte. Angesichts der beschränkten Finanzmittel und Ressourcen, die der FAA zur Verfügung standen, musste die schon länger eingeführte Praxis, Zertifizierungsaufgaben an Boeing zu delegieren, nochmals ausgeweitet werden. Dabei sollten die kritischeren Sicherheitsanalysen von FAA-Experten durchgeführt, die weniger kritischen in die Hände von Boeing-Ingenieuren gelegt werden. Im Verlauf des Zulassungsprozesses wurde die verabredete Arbeitsteilung von Seiten des FAA-Managements immer wieder in Frage gestellt und die technischen Experten wurden gedrängt, mehr und mehr Aufgaben an Boeing zu delegieren. Von den technischen Experten dagegen geäußerte Bedenken blieben bei der FAA-Leitung in Washington unberücksichtigt. Teilweise wurden sogar Dokumente, die von den Experten noch nicht adäquat geprüft werden konnten, durch Managementpersonal freigezeichnet. Es galt, die geplanten Termine für die Zulassung einzuhalten.

Die FAA als Driftfaktor

Auch die abschließende Validierung und Freigabe der Systemsicherheitsanalyse des fatalen MCAS wurde Boeing übertragen. Die Tatsachen, dass die durch das MCAS initiierten Bewegungen der Höhenflosse mehr als das Vierfache des ursprünglich vorgesehenen Ausschlags ausmachten, dass sich das MCAS weder in den Pilotenhandbüchern noch im Pilotentraining wiederfand, dass nur ein Sensor die Daten in den Computer einspeiste, es keine Standardwarnanzeige für Fehlfunktionen bei diesem Sensor gab, etc.,etc. – all das passierte die Zulassungsprozedur. Nach dem Lion Air Absturz gab es wohl kurz Diskussionen in der FAA, ob die 737 MAX bis zur Klärung der Unfallursachen mit einem Flugverbot belegt werden solle. Letztlich wurde dann aber Boeing nur angewiesen, die Handbücher und das Pilotentraining zu modifizieren. Es mag kaum verwundern, dass die FAA nach dem Absturz der Ethiopian-Maschine länger brauchte als der Rest der Welt, das Grounding der 737 MAX anzuordnen.  

Die Sicherheitsstrukturen können zu einem gefährlichen Driftfaktor werden, indem sie zusätzliche Schnittstellen, Formalien, Komplexität sowie den beruhigenden Anschein von Sicherheit und unabhängiger Kontrolle beitragen, ohne ihrer Absicherungsfunktion tatsächlich gerecht zu werden. Im Fall der 737 MAX scheinen Ressourcenmangel und politischer Druck dazu geführt zu haben, dass die FAA die Drift in die Katastrophe keineswegs wirksam behindert, sondern sogar gefördert hat.

Das Foto zeigt ein Winglet des Flugzeugtyps Boeing 737 MAX, von dem zwei, als Ergebnis komplexer Driftvorgänge 2018/19 abstürzten

Katastrophen sind ein Ergebnis komplexer Driftvorgänge!

Welche Lehren sollten gezogen werden?

Die Geschichte der 737 MAX ist ein spektakuläres und überaus tragisches Beispiel für eine systemische Katstrophe. Das System „737 MAX im Airlineeinsatz“ ist zusammengebrochen, mit noch nicht einschätzbaren Folgen für das Gesamtsystem „Kommerzielle Luftfahrt“. Eine Drift in den Störfall, die sich aus ungezählten kleineren und größeren Entscheidungen und Ereignissen speiste, lag dem Zusammenbruch zugrunde. Wir erkennen die Katastrophe als Ergebnis komplexer Driftvorgänge.

Drift und Störfall sind Möglichkeiten („emergent properties“ in der Sprache der Systemtheorie) des Verhaltens von komplexen Systemen. Bei komplexen Systemen gibt es viele Komponenten und viele Mitwirkende, die sich gegenseitig und das ganze System beeinflussen, häufig ohne sich dessen bewusst zu sein. Die Einflussfaktoren stammen aus solch unterschiedlichen Sphären wie Technik, Klima, Politik, Kultur, Wirtschaft, Bildung und individueller Physiologie und Psychologie. Es gibt kein übergreifendes Gesamtdesign, keinen Architekten, der alles überblickt und keinen Direktor, der alle Fäden in der Hand hält. 

Das finden Sie in unserem nächsten Beitrag:

Unser nächster Beitrag wird ausführlich darstellen, wie vorzugehen ist, um eine Drift in die systemische Katastrophe nach aller Möglichkeit zu vermeiden. Diese Frage ist nicht nur in Hochrisikobereichen wie der Luftfahrt relevant. Systemische Störfälle können sich auch in Gestalt von Pandemien, Naturkatastrophen, Produktionsstillständen, Qualitätseinbrüchen, Absatzkrisen, Kündigungswellen, Börsencrashs und in vielen anderen, mehr oder weniger spektakulären Ausdrucksformen zeigen. Und Meisterschaft im Umgang mit Komplexität ist keineswegs nur eine Kompetenz für die Defensive: Die gleichen Prinzipien, die helfen, Drift und Störfall zu vermeiden, unterstützen Innovation, Lernen und Agilität, die Grundanforderungen für Erfolg in der digitalen, globalen Welt.  

So viel sei hier vorausgeschickt: Es gibt keine einfachen, linearen, dauerhaft gültigen Lösungen. Auch die Lösungen für komplexe Probleme sind komplex. Im Zentrum aller Lösungsansätze müssen immer besonders qualifizierte und fähige Menschen stehen. Und zwar Menschen mit möglichst unterschiedlichen Wissens- und Erfahrungshintergründen und Persönlichkeiten. Diversität ist ein zentraler Erfolgsfaktor für das Management von Komplexität. Uniformität, Eingleisigkeit und Diktate von oben sind gefährliche Driftfaktoren.