Meinung: Warnung für die Autoindustrie

Autonomes Fahren soll die Mobilität revolutionieren. Software sei Dank. Eine andere Revolution ist nachweislich da: Flugzeuge, die wie von Geisterhand abstürzen. Für Autohersteller sollten die Unglücke eine Warnung sein.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
Meinung: Warnung für die Autoindustrie

(Bild: "Boeing's new "split tip" winglet" / Oleg V. Belyakov / cc-by-sa-3.0)

Lesezeit: 4 Min.
Von
  • Holger Hermanns

Hermanns ist Professor für Informatik an der Universität des Saarlandes und Sprecher des Sonderforschungbereichs 248 für verständliche Softwaresysteme.

Zwei Flugzeugabstürze innerhalb eines halben Jahres, 346 Tote, die Flugzeuge vom Typ 737 Max 8 weitgehend am Boden, deren Hersteller Boeing ebenso. Und das ausgerechnet in einer Branche, die sehr stark reglementiert ist und bisher sehr gewissenhaft gearbeitet hat, um die wohl sichersten Produkte herzustellen, mit denen Menschen direkt in Berührung kommen. Dazu gehörte das Prinzip, alle kritischen Soft- und Hardwarekomponenten doppelt und dreifach auszulegen, damit kein einzelner Ausfall katastrophal endet. Hier hagelt es Vorwürfe gegen Boeing, weil das bei einem Sensor offensichtlich nicht der Fall war.

Ein weiteres Prinzip: Aus jedem Fehler sofort lernen, damit er nie wieder passiert. Doch auch das ist Boeing innerhalb von fünf Monaten nicht gelungen. Dies ist das wirklich Besorgniserregende.

Im Fokus steht dabei das "Maneuvering Characteristics Augmentation System" (MCAS). Es ist eine Art zweiter Autopilot, der einige Besonderheiten der neuen Baureihe Max 8 wie von Geisterhand korrigieren soll. Die Bauform der 737-Flotte ist seit mehr als 50 Jahren weitgehend unverändert, während sich die Triebwerke in Form, Größe, Leistung und Verbrauch weiterentwickelt haben, was teilweise kritische aerodynamische Eigenschaften nach sich zieht.

Bis zum Vorfall in Jakarta hatte Boeing die Existenz dieser Software den Piloten der Baureihe jedoch verschwiegen. Sie wussten daher nicht damit umzugehen. 26-mal hat die digitale Geisterhand während der Startphase die Nase des Flugzeugs Richtung Boden gedrückt, beim 27. Mal hat sie schließlich gegen den Piloten gewonnen.

An diesem Punkt unterscheidet sich der Vorfall in Jakarta vom aktuellen Absturz in Äthiopien. Denn man muss davon ausgehen, dass die Piloten von ET 302 von der Existenz der Geisterhand zumindest wussten, aber das hat augenscheinlich nicht geholfen. Boeing steht massiv unter Druck und hat eilig ein Software-Update versprochen. Damit soll eine neue Geisterhand die Kontrolle übernehmen.

Das Verstörende an dem Absturz von Flug ET 302 ist, dass dieser zu belegen scheint, dass selbst die eigentlich vorbildliche Luftfahrtindustrie die Auswirkungen ihrer Software nicht mehr kontrollieren kann.

Für andere Branchen und deren Kunden bedeutet dies nichts Gutes. Digitale Geisterhände sind der Kern vieler Innovationen. Sie waschen unsere Wäsche mit weniger Waschmittel und weniger Wasser noch sauberer, sie bereiten den Espresso zu wie ein Barista, und sie reinigen die Abgase unserer Autos. In den Geisterhänden steckt oft viel künstliche Intelligenz, maschinelles Lernen und ähnlich moderne Magie. Manche Geisterhände sind großartig, manche nicht. Dazu zählen Programme, die Schaden anrichten oder gar töten können.

Wenn autonomes Fahren irgendwann Realität ist, werden möglicherweise viele Geisterhände ineinandergreifen, die potenziell töten können – Fahrer oder Passanten. Hier im Katastrophenfall die Frage zu klären, welche Hand warum wohin gegriffen hat, wird eine Herkulesaufgabe werden, denn die Automobilindustrie ist sehr viel weniger reglementiert als die Luftfahrtbranche. Hier herrscht nicht das Prinzip, aus Fehlern sofort zu lernen.

Dabei gibt es Software, die so einfach, offen und überschaubar ist, dass man mit rigorosen Methoden beweisen kann, dass diese stets genau so agiert wie gewünscht. Daraus lassen sich dann – auch wenn dazu noch einige Fortschritte in der Forschung nötig sind – komplexere Systeme konstruieren, denen man ebenfalls mit gutem Grund und in jeder Situation vertrauen kann.

Doch die Existenz der Verfahren allein reicht nicht, damit sie auch angewendet werden. Bei den heutigen Gegebenheiten werden sie beispielsweise keine verlässliche, verständliche und beweisbar optimale Abgasregelung in unsere Dieselautos bringen. Dafür braucht es eine deutlich striktere Regulierung der automotiven Softwareproduktion – die in jedem Fall geboten erscheint – sowie entsprechende Kompetenz in den Regulierungsbehörden.

Diese Art Software zu entwickeln ist zugegeben sehr aufwendig und daher teuer. Für Software in Espressomaschinen mag der Weg daher unverhältnismäßig sein. Aber er ist mehr als sinnvoll für jede Software, die bei schlechter Programmierung Menschen schaden kann. Wenn die Marktzulassung von sicherheitskritischen Programmen konsequent durch den Gesetzgeber orchestriert würde, wäre das auch ein langfristiger Standortvorteil im Sinne von "Software made in Germany".

Die Alternative ist eine Dystopie, in der wir von Systemen umzingelt sind, die uns im Normalfall sehr komfortabel und effektiv unterstützen, aber auch – scheinbar wahllos – versagen, ohne dass die Gründe nachvollziehbar sind und wir daraus sofort lernen können.

(bsc)