Die Katastrophe steht am Ende einer langen Fehlerkette
Nach einer gründlichen Überholung gilt die Concorde wieder als „sicher“. Doch was heißt das?, fragt der Duisburger Informatiker Prof. Hans-Dieter Kochs. Er plädiert für mehr Offenheit der Flugzeughersteller und den Aufbau einer umfassenden Datenbank.
Der Absturz der Concorde am 25. Juli 2000, die Ergebnisse der Untersuchungskommission, des Bureau Enquetes Accidents, und die Wiederaufnahme des Flugbetriebs werfen einige grundsätzliche Fragen auf: Konnte die Concorde aus sicherheitstheoretischer Sicht jemals als sicher gelten? Lassen sich Fehlerketten, wie die, die hier zum Absturz führte, in Verlässlichkeitsanalysen als gefährlich entlarven? Und wie hoch ist der „Sicherheitsgewinn“ der nunmehr eingeführten Verbesserungen?
Sicherheit ist nach DIN 31004 definiert als eine „Sachlage, bei der das Risiko kleiner ist als das Grenzrisiko.“ Wertet man die Unfallstatistik der Bundesstelle für Flugunfalluntersuchungen aus, so erhält man für Flugzeuge mit über 5,7 t Startgewicht (MTOW- Maximum Take-off Weight) die Wahrscheinlichkeit eines Unfalles mit Todesfolge von ca. 10-6 pro Flugstunde. Nach vorläufigen Zahlen der ICAO lag im Jahr 2000 für Flugzeuge über 2,25 t MTOW die Unfallrate bei 0,025 Todesopfer pro 100 Mio. Passagierkilometer.
Für große Passagierflugzeuge mit MTOW von etwa 200 t (wie bei der Concorde) dürften die Unfallraten wesentlich kleiner sein, Statistiken darüber sind nicht bekannt. Aber das sind offenbar Risiken, die Flugpassagiere und die Gesellschaft akzeptieren.
Aufgrund der BEA-Berichte wurde der Absturz der Concorde durch folgende Fehlerkette verursacht:
1. Fehler: Auslösendes Fehlerereignis war das Platzen eines Reifens auf der linken Seite, das durch das Überrollen eines Metallteils beim Start mitverursacht wurde.
2: Hochgewirbelte Reifenfetzen beschädigten die Tragfläche und mindestens einen der 13 dort liegenden Tanks mit einer Gesamtkapazität von 119 280 l Kerosin, eventuell auch das Steuerungssystem. Diese Beschädigungen verursachten ein Leck im Tanksystem und Kerosin lief aus.
3: Ein gewaltiges Feuer brach unter der linken Tragfläche aus.
4: und 5: Triebwerke Nr. 1 und 2 verloren Leistung und waren nicht mehr steuerbar.
6: Das Flugzeug war nicht mehr steuerbar und stürzte ab.
Somit folgten auf den auslösenden Fehler 1 innerhalb von ca. 2 Minuten die Fehler 2, 3, 4, 5 und 6.
Bis zu dieser Stelle kann man nicht aussagen, ob das System bezüglich dieser Fehlerkette als unsicher einzustufen ist, denn es könnte ja sein, dass diese Fehlerkette extrem selten auftritt, denn dann wäre das Flugzeug auch bei dieser Katastrophe als sicher zu bezeichnen. Diese Einordnung hängt davon ab, wie zwangsläufig die Fehler 1, 2, 3, 4, 5, 6 aufeinander folgen. Sind diese Wahrscheinlichkeiten nicht mehr vernachlässigbar klein, so ist das System als nicht sicher einzustufen.
Die Kernaufgabe einer Sicherheitsanalyse besteht somit in der Identifizierung von Fehlern, dem Erkennen und dem Bewerten von Abhängigkeiten zwischen den Fehlern und dem Aufspüren von Ursachen, die den gleichzeitigen Ausfall mehrerer Komponenten nach sich ziehen.
Gerade in den Abhängigkeiten liegt eine der Ursachen von Katastrophen.
Mit FMECA (Failure Mode Effect and Criticality Analysis) und Verlässlichkeitsanalysen, die auf wahrscheinlichkeitstheoretischen Verfahren basieren, lassen sich schon während des Systementwurfs Fehler und Schwachstellen aufdecken und Aussagen über die zu erwartende Zuverlässigkeit und Sicherheit machen.
Bei der Concorde sieht der Fall bezüglich der aufgetretenen Fehlerkette bedenklich aus. Aus den konstruktiven Gegebenheiten (Reifen, Fahrgestell, Tanks, Triebwerke, Steuerungssystem) und der Zerstörungskette lässt sich nämlich qualitativ ableiten, dass die Fehler 1, 2, 3, 4, 5, 6 beinahe zwangsläufig aufeinander folgen.
Laut BEA-Bericht traten bei der Concorde 57 Fälle mit Reifenbruch bzw. Reifenzerstörung auf (Fehler 1). In sechs Fällen folgten darauf gefährliche Tankbeschädigungen. Das Platzen eines Reifens war somit bei der Concorde kein seltener Fehler, sondern ein wahrscheinlich auftretender Fehler, d. h. ein Fehler, der sich (öfter) wiederholen kann. Es war bekannt (!), dass bei den hohen Startgeschwindigkeiten der Concorde Reifenteile Tragflächen und Tanks beschädigen oder durchschlagen können. Die Fehler der Fehlerkette bis zum Absturz folgen dann mit Wahrscheinlichkeit zwangsläufig. Auch Fehlentscheidungen der Crew sind in diesen Stresssituationen wahrscheinlich.
Fazit: Ein wahrscheinlich auftretender Fehler 1 mit beinahe zwangsweise folgenden weiteren Fehlern 2 bis 6 hat zum Absturz der Concorde geführt.
In einem technischen System gibt es in der Regel eine große Zahl von Fehlerketten, die in einer FMECA aufgespürt und mit Verlässlichkeitsanalysen bewertet werden müssen. Erst aus einer vollständigen Erfassung und Dokumentation aller Fehlerketten lässt sich sagen, wie zuverlässig und sicher ein System ist.
Ein System, das jedoch schon durch einen Einfachfehler und dazu noch durch einen wahrscheinlichen Einfachfehler eine Gefährdung von Menschen, Umwelt und Material verursacht, ist nicht als sicher zu bezeichnen. Ein einzelner Fehler bzw. eine einzige Fehlerkette kann genügen, um ein System in die Klasse „nicht sicher“ einzustufen – auch rückblickend.
Mit sicherheitstheoretischen Methoden und Verfahren lässt sich die Fehlerkette modellieren und berechnen. Danach errechnet sich für eine einzelne Maschine eine Wahrscheinlichkeit eines Absturzes, nur aufgrund dieser einen Fehlerkette und nur bezüglich des Startvorgangs von ca. 10-7 bis 10-8 pro Start. Dieser Rechenwert ist jedoch mit Vorsicht zu interpretieren, da er auf angenommenen Eingangsdaten beruht, die unscharf sind. Für die Gesamtzahl der Starts der Concorde-Flugzeugflotte von unter 100 000 Starts erhält man damit eine Absturzwahrscheinlichkeit von ca. 10-2 bis 10-3 , was einen bedenklichen Wert darstellt. Auch wenn also diese Katastrophe nicht aufgetreten wäre, wäre die Sicherheit der Concorde aufgrund dieser Fehlerkette als bedenklich einzustufen !
Anhand wahrscheinlichkeitstheoretischer Modelle der hier beschriebenen Fehlerkette lässt sich nachweisen, dass eine signifikante Verbesserung durch die jetzt vorgesehenen Maßnahmen, wie Einsatz verbesserter Reifen und Verhindern von Beschädigungen der Tanks und der Steuerungssysteme in den Tragflächen erzielt werden kann.
Es gibt jedoch noch einige kritische, bisher nicht beantwortete Fragen: Wie hoch ist tatsächlich der quantitative Sicherheitsgewinn? Wie sieht es mit anderen gefährlichen Fehlerketten aus?
In diesem Zusammenhang ist auch die Frage zu stellen, wie es bei anderen Passagiermaschinen aussieht. Verlässlichkeitsanalysen der Flugzeugindustrie sind nicht bekannt. In der Fachliteratur gibt es nur vereinzelt Hinweise auf die Zuverlässigkeit von Flugzeug-Systemarchitekturen.
Bei komplexen Systemen, die in neue Dimensionen bezüglich Geschwindigkeit und Technologien vorstoßen, sollte deshalb gefordert werden, in bestimmten Zeitabständen Verlässlichkeitsanalysen durchzuführen, um die neuesten Erkenntnisse der Verlässlichkeitstheorie und neuer Technologien einfließen zu lassen und bisher nicht analysierte Schwachstellen aufzudecken oder neu zu bewerten.
Die Concorde ist immerhin ein „Oldtimer“. Aussagen wie: „Das System ist sicher“ sollten sich auf umfassende nachprüfbare quantitative Sicherheitsanalysen stützen. Nur aufgrund einer FMECA und einer Verlässlichkeitsanalyse sind Sicherheitsaussagen möglich. In diesem Zusammenhang könnte man darüber nachdenken, Kunden, die eine Leistung, z. B. „Flugschein von A nach B“ kaufen, auch über die Risiken eines schweren Unfalls, z. B. durch Angabe eines Risikos oder wahrscheinlichkeitstheoretischer Kenngrößen auf dem Flugschein, aufzuklären.
Der Aufbau einer umfassenden, der Wissenschaft zugänglichen Datenbank mit Komponenten- und Systemkenngrößen und Zahlenwerten ist wünschenswert. HANS-DIETER KOCHS
Ein Beitrag von:
