Digitale Transformation

Wenn die Elektronik nicht ausfallen darf

An der Fachhochschule Nordwestschweiz FHNW arbeiten Forschende an einem neuen Computernetzwerk für die Luftfahrt. Dabei müssen sie rigide Sicherheitsvorschriften einhalten, denn Fehler können tödliche Folgen haben.

Moderne Flugzeuge werden heute über Ethernet gesteuert (Photo by Flobrant on Unsplash).

Moderne Flugzeuge werden heute ausschliesslich elektronisch gesteuert. Wenn also der Pilot den Steuerknüppel bewegt, so übertragen keine Stahlseile oder Hydrauliksysteme das Signal an die Steuerflächen. Stattdessen messen Sensoren die Bewegung der Steuerelemente und übertragen diese per Computernetzwerk an die entsprechenden Stellen. «Fly-by-Wire» nennen Fachleute dieses Prinzip, das mittlerweile bei allen kommerziellen Flugzeugen zum Einsatz kommt.

Das Computernetzwerk, auf dem die Daten übertragen werden, basiert auf Ethernet, also der gleichen Technologie, die auch bei einem lokalen Netzwerk (LAN) zuhause oder am Arbeitsplatz benutzt wird. Das Problem: Bestehende Ethernet-Systeme sind relativ komplex und entsprechend teuer. Aus diesem Grund arbeitet das Genfer Unternehmen Mercury Mission Systems International zusammen mit dem Institut für Sensorik und Elektronik FHNW an einer einfacheren, schnelleren und kostengünstigeren Lösung: Das «Avionics Certifiable Ethernet» oder ACE.

Enorme Sicherheitsanforderungen in der Luftfahrt

Für die Forscherinnen und Forscher eine Herausforderung: Denn die Entwicklung von elektronischen Komponenten für die Luftfahrt ist an extrem hohe Sicherheitsstandards gebunden. «Wenn Menschenleben vom Funktionieren der Elektronik abhängen, muss die Wahrscheinlichkeit eines Fehlers verschwindend klein sein», sagt Professor Michael Pichler vom Institut für Sensorik und Elektronik FHNW. Sein Team arbeitet nach der höchsten Sicherheitsanforderungsstufe in der Luftfahrt: DAL-A. Das bedeutet, dass ein Fehler der elektronischen Einheit den Absturz des Flugzeugs zur Folge hätte. Ein Fehler darf dabei höchstens in einer Milliarde Stunden vorkommen. Werden beispielsweise von einem Flugzeugtyp mit einer DAL-A-Komponente 1000 Exemplare gebaut und jedes Exemplar 1000 Stunden pro Jahr geflogen, so darf höchstens alle 1000 Jahre ein nicht korrigierbarer Fehler in der entsprechenden Komponente auftreten.

Zur Person

Prof. Michael Pichler ist Dozent für hardwarenahe Software an der Fachhochschule Nordwestschweiz FHNW. Er leitet die Gruppe Mikroelektronik am Institut für Sensorik und Elektronik FHNW und die Weiterbildung MAS Mikroelektronik.

Wie können die Entwicklerinnen und Entwickler diesen enormen Sicherheitsanspruch gewährleisten? «Wir haben verschiedene Strategien, wie unsere Elektronik sicher wird», sagt Michael Pichler, «eine davon ist der Einbau von Redundanzen». Das heisst: Ein System ist mehrfach vorhanden, obwohl im störungsfreien Betrieb nur eines benötigt wird. Fällt dieses aber aus, kann zum redundanten System gewechselt werden. Genau diese Redundanz fehlte bei den tragischen Abstürzen von Boeing 737 Max in Äthiopien und Indonesien. Das sogenannte MCAS-System, welches den Flugwinkel für den Piloten trimmen sollte, wurde offenbar ohne ausreichende Redundanz konstruiert. Als ein Sensor falsche Informationen lieferte, kam es zur Katastrophe.

Damit dem FHNW-Team keine solche Fehler passieren, wird ihre Arbeit ständig kontrolliert: «Einerseits intern von uns selber», sagt Michael Pichler, «andererseits von unserem Auftraggeber und zu einem späteren Zeitpunkt von den entsprechenden Zulassungsbehörden». Die Luftfahrtbehörden schreiben verschiedene Entwicklungsmethoden und Arbeitsprozesse vor. Innerhalb des Instituts gibt es beispielsweise ein unabhängiges Team, das ausschliesslich die Arbeit des Entwicklungsteams verifiziert. Auch wird jedes Detail sorgfältig dokumentiert, damit allfällige Fehler zurückverfolgt werden können. Dazu durchlaufen alle Projektmitglieder eine gründliche Schulung, um sich die neuen Prozesse zu verinnerlichen. Zudem pflegt das Team eine Fehlerkultur: «Fehler können geschehen, müssen aber unbedingt gemeldet werden», erklärt Michael Pichler, «niemand kriegt aufs Dach, wenn er eine Unstimmigkeit zur Sprache bringt».

Digitalisierung braucht funktionale Sicherheit

Der Entwicklungsaufwand für eine Anwendung mit solch hoher funktionaler Sicherheit ist enorm: «Wir brauchen etwa fünfmal mehr Zeit, als bei einer Entwicklung ohne Sicherheitsaspekt», sagt Michael Pichler. Doch der Aufwand hat auch einen langfristigen Nutzen: Die erworbenen Kompetenzen kann das Team ausserhalb der Luftfahrt einsetzen. Auch bei der Eisenbahn, in autonomen Fahrzeugen oder bei Drohnen kann das Versagen der Elektronik katastrophale Folgen haben. «Durch die Digitalisierung nimmt die Bedeutung der funktionalen Sicherheit von elektronischen Komponenten zu», stellt Michael Pichler fest. Das Wissen aus der Luftfahrt kann das Team deshalb in anderen Projekten und auch bei der Weiterbildung MAS Mikroelektronik anwenden.

Share:

Leave a reply

Your email address will not be published. Required fields are marked *