Nervennahrung

Blog Logo

Apple

14 May 2019

Tim Cook hält akademische Ausbildung für Software Entwicklung für entbehrlich. Aktuelle Bildungsansätze seien “überholt”, er gehe gar davon aus, dass eine Uni-Ausbildung überhaupt nicht unbedingt notwendig. Ja, von Software-Entwicklung hat der Herr keine Ahnung (er hat einen Abschluss in Industrial Engineering und einen MBA) und so sieht seit einigen Jahren Apples Software auch zunehmend aus: ein Haufen zusammengehauener Frickelware mit immer weniger Qualitätssicherung und immer mehr kritischen Bugs – siehe meinen alten Beitrag und aktuell z.B. defekte Backupsoftware (mehr als 762.000 Fundstellen!!! und nur ein Beispiel von vielen). Nachdem Apple keine gescheite Hardware mehr bauen kann (Tastatur!) soll jetzt offenbar die SW-Entwicklung nachziehen. Weiter so!

Boeing 737 Max - Update

19 Apr 2019

Ein Student hat mich auf einen hervorragenden Artikel aufmerksam gemacht, den ich Ihnen nicht vorenthalten möchte und der die Ereignisse aus der Sicht eines SW-Entwicklers analysiert - sehr lesenswert!

Vor dem Hintergrund, dass Boeing ein physikalisch, avionisch inhärent instabiles Design auf den Markt gebracht hat und dies mit völlig unzureichender Software “kaschieren” wollte, dass Boeing stillschweigend die Designphilosophie “Pilot First” (gegenüber dem Computer im Unterschied zu Airbus) aufgegeben hat ohne dies an die Fachwelt zu kommunizieren und dass die Aufsichtsbehörden in mehrfacher Hinsicht versagt haben, ist die sich abzeichnende Wiederzulassung des Flugzeugtyps nach lediglich einem Softwareupdate der nächste Skandal.

Der amerikanische Starjurist Ralph Nader bewertet das so: “With 5,000 Max orders at stake, the unfolding criminal investigation may move the case from criminal negligence to evidence of knowing and willful behavior amounting to corporate homicide involving Boeing officials” und fordert “BUT THE BOEING 737 MAX MUST NOT BE ALLOWED TO FLY AGAIN”.

Boeing 737 Max

25 Mar 2019

Boeing 737 Max - ein Lehrstück

Über die beiden Abstürze des Boeing 737 Max Models - im Herbst letzten Jahres der Absturz der Lion Air 610 und vor zwei Wochen der Absturz der Ethopian Airlines Maschine 302 - sowie über deren Umstände ist mittlerweile soviel bekannt, daß man - bei aller Vorsicht - bereits einige sehr interessante Schlussfolgerungen daraus ziehen kann.

Ich bin weder Experte im Bereich Luftfahrtechnik noch Pilot; das bitte ich die Leser bei den nachstehenden Ausführungen zu berücksichtigen.

Zunächst einmal ist die Entwicklung des Models / Musters Boeing 737Max ein Lehrstück darüber, wie Kapitalismus funktioniert. Boeing hat mit der B737 ein Muster im Portfolio, das eins der erfolgreichsten der Luftfahrtgeschichte ist und für den Erfolg des Unternehmens extrem wichtig. Das Design der Maschine wurde im Laufe der Jahre stetig weiterentwickelt, ist jedoch in Grundzügen bereits 50! Jahre alt. Vor ca 10 Jahren hatte der Erfolg des (einzigen!) Konkurrenten Airbus Boeing u.a. mit dem Airbus 320 Neo derart unter Druck gesetzt, da Boeing beschloss, die geplanten Neunentwicklung des Flugzeugs aufzugeben, weil dies zu lange gedauert hätte und zu teuer gewesen wäre, sondern stattdessen entschieden, das Design der BV737 abermals anzupassen. Das Problem dabei war und ist, daß die sparsamen, effizienteren Triebwerke so groß sind, daß sie nicht mehr unter die Flächen passen, weil die Maschine ein - im Vergleich z.B. zum Airbus - kurzes Fahrwerk hat. Ein anderes Fahrwerk hätte aber wiederum eine Neukonstruktion der Flächen (und des Rumpfes) nachgezogen, was sehr aufwändig gewesen wäre. Daher entschieden sich die Konstrukteure, die Triebwerke vor den Flächen zu befestigen (und das Bugfahrwerk als Teleskopfahrwerk um mehrere Zentimeter zu verlängern). Nun ist es aber so, daß die vor den Flächen befestigten Triebwerke nicht nur den Schwerpunkt verändern, sondern eine veränderte Aerodynamik bewirken.Bie zunehmendem Anstellwinkel der Maschine relativ zum Luftstrom (Angle of Attack AoA) verursachen die Triebwerke einen Auftrieb. Dieser bewirkt einen Drehmoment, der den Effekt verstärkt und da die Triebwerke selbst dabei die Anströmung der Flächen reduzieren, verringert sich auch dadurch der von den Flächen erzeugte Auftrieb. Dadurch kann der Auftrieb der Flächen, der die Maschine in der Luft hält abbrechen - der gefürchtete Stall tritt ein, der zum Absturz führen kann. Dieser Effekt war bereits in den Simulationen klar. Das neue Design war - zumindest in Grenzbereichen - deutlich weniger gutmütig als das alte.

Erste Lektion: Im Kapitalismus können Sie als Ingenieur durch marktwirtschaftlichen Druck zu suboptimale Designs verleitet werden.

Ist dies bereits verwerflich? Wie gesagt, ich bin kein Luftfahrtechnikexperte, aber ich weiß, daß man als Ingenieur immer auch betriebswirtschaftlich veranlasste Kompromisse eingehen muss. Insofern könnte die Geschichte bis hierhin noch in Ordnung sein, obschon mir der Instinkt des Software-Engineers hier sagt, daß es schon “schlecht riecht” - ein Passagierflugzeug sollte m.E. immer auf maximale physikalische Stabilität ausgerichtet sein, denn es ist ja kein Kampfflugzeug.

An dieser Stelle hätte Boeing entscheiden können, ob das neue Muster weniger gutmütig ist als das alte und ob dies durch die Flugaufsichten (FAA) genehmigungsfähig wäre. Boeing hat diesen Weg aber nicht beschritten, sondern stattdessen ihre Ingenieure gebeten, mithilfe einer Software, dem MCAS, das Flugverhalten so zu “korrigieren”, daß die Maschine genehmigungsfähig wird und - das ist wichtig - sich für die Piloten “genauso” fliegt wie das bisherige Muster. Sollte dies gelingen, wären die Piloten nicht neu zu schulen, sondern könnten ohne Neuzertifizierung die neue Maschine fliegen - ein wesentliches Kostenargument für die Airlines und damit wichtiges Verkaufsargument für Boeing.

Zweite Lektion: Im Kapitalismus können Sie als Ingenieur durch marktwirtschaftlichen Druck dazu verleitet werden, das Verhalten physischer Artefakte durch Software so zu verändern, daß die Artefakte sich wie andere, wünschenswerte Artefakte verhalten.

Das Problem ist, daß dies immer nur eine Illusion ist - so etwas funktioniert nur in der Matrix, aber nicht in der realen Welt. Sie können unterschiedliches Flugverhalten, verursacht durch unterschiedliche Physik, durch keine Software der Welt angleichen. Die Illusion bricht irgendwann zusammen - in diesem Fall - mit katastrophalen Folgen.

Auf der Suche nach einer Softwarelösung kamen die Ingenieure auf die Idee, die automatische Trimmung zu benutzen. M.a.W. sie schrieben ein paar Zeilen Code, die bewirkten, daß bei AoA Winkeln, die Stall gefährdet sind, das Höhenleitwerk so verändert wird, daß die Nase nach unten gedrückt wird. Nun muss man wissen, daß Boeing eine fundamental andere Philosophie,. was den Einsatz von Computern zur Steuerung des Flugzeugs anbelangt verfolgt als Airbus. Verkürzt gesagt, verfolgt Boeing einen konventionellen, “klassischen” Ansatz, bei dem der Pilot immer das letzte Wort hat, während bei Airbus, der Pilot dem Computer sagt, was dieser tun soll und der Computer das letzte Wort hat (aus diesem Grund fliegen machen Piloten keine oder nur ungerne Airbus-Maschinen). Diese fundamental unterschiedlichen Sicherheitsphilosophien führen aber in der Vergangenheit - das ist beruhigend für uns Passagiere - zu vergleichbaren (und sehr hohen!) Sicherheitsstandards. Mit dem MCAS hat Boeing die eigene Sicherheitsphilosophie aber nun verlassen, denn mit diesem System greift die SW direkt ins Geschehen ein - auch gegen den Willen der Piloten, wie man sah:

Dritte Lektion: Wenn Sie als Ingenieur eine bewährte Sicherheitsphilosophie oder ein Design ändern, wird es gefährlich. Insbesondere, wenn Sie andere Designelemente ad-hoc übernehmen.

Es kommt aber noch viel ärger: Die Ingenieure hatten die Vorgabe, daß die Software-Änderungen keinesfalls eine geänderte Musterzulassung durch die Piloten mit den notwendigen Schulungen nach sich ziehen sollte. Daher entschied man sich, die Existenz dieses Systems zu verbergen - es sollte im Hintergrund laufen und wurde in den Handbüchern lediglich an nicht besonders prominenter Stelle erwähnt. Simulatorschulung etc. wurden nicht geplant. Eine derartige Automatik, die in fundamentale sicherheitskritische Funktionen eingreift, muss nach den allgemeinen Sicherheitsstandards der Fliegerei ausfallsicher, d.h. mehrfach redundant ausgelegt sein. Das MCAS bezieht die Informationen für den kritischen AoA-Winkel aus jeweils einem der zwei AoA Sensoren der B737. Diese werden nicht gegeneinander abgeglichen, vielmehr erhält jeweils der Pilot oder Kopilot die Daten aus einem der beiden Sensoren - je nachdem, wer gerade fliegt. Der Grund dafür liegt vermutlich darin, daß die Systeme bewußt als nicht kritisch gegenüber der Flugaufsicht (FAA) klassifiziert wurden, da man andernfalls die Sensoren mehrfach redundant hätte auslegen müssen - und das wären, so wie es z.B. beim Airbus der Fall ist, dann drei Sensoren gewesen. Drei deshalb, weil man dann weiß, welcher Sensor defekt ist. Im Artikel in der Süddeutschen heißt es: “Die Ingenieure haben anscheinend nicht berücksichtigt, daß auch MCAS selbst zur Gefahr werden kann wenn es zur falschen Zeit eingreift…” Diese Einschätzung der SZ kann ich nicht teilen - vermutlich haben die Rechtsanwälte dazu geraten das so vorsichtig zu formulieren. Es ist schlechterdings völlig undenkbar, daß Ingenieure, die in der Luftfahrtechnik kritische Systeme entwerfen, an so etwas nicht denken. Der wahre Grund dürfte darin liegen, daß man unbedingt eine Einstufung des MCAS als kritisch vermeiden wollte, koste es was es wolle. Zu guter Letzt hat man das System dann so implementiert, daß bei jedem Eingriff die Software die Trimmung neu kalibriert. Dadurch ist es möglich, daß die kleinen Anstellwinkel sich addieren, bis am Ende der maximale Ausschlag eingestellt ist. Bei den havarierten Maschinen wurden in den Trümmern zum Entsetzen der Experten dann auch die Spindeln der Trimmmotoren im Maximalanschlag gefunden. Eine solche Trimmung ist im Normalbetrieb völlig unnötig und mit dem Ruder manuell nicht oder kaum auszugleichen.

Vierte Lektion: Die Aufsicht und Regulierungsbehörden haben versagt

Die Aufsicht (FAA) hatte keine Chance, diese Dinge herauszufinden, weil die FAA seit Jahren bereits Prüfungen der Flugzeughersteller an die Flugzeughersteller delegiert. M.a.W. ausgewählte Boeing-Mitarbeiter zertifizieren “sich selbst” im Auftrag der FAA. (Wie “hervorragend” so etwas funktioniert sehen wir an der Automobilindustrie, aber das ist ein anderes Thema.) Überdies wurden der FAA von seiten Boeings falsche Angaben übermittelt, u.a. in Bezug auf den maximalen Verstellwinkel der Trimmung. Das FBI ermittelt inzwischen auch gegen die FAA. Zur Rolle der FAA auch dieser Artikel.

Fünfte Lektion: Noch mal Kapitalismus – Optional Product Pricing

Die Ingenieure wussten anscheinend, dass die Piloten wenigsten eine Information darüber bekommen sollten, ob das System MCAS überhaupt arbeitet. Anzeigen dafür wurden nur in die höherpreisigen optionalen Varianten der B737 Max eingebaut. Die verunglückten Maschinen hatten diese Zusatzoption nicht gebucht.

Ablauf der Ereignisse

Bei beiden Abstürzen scheint das MCAS durch einen falschen Sensor die NAse immer wieder nach unten getrimmt zu haben. Die Piloten haben sich dagegen “gewehrt”, in dem Sie anzogen, konnten das System aber nicht abschalten - entweder , weil sie von der Existenz gar nichts wußten (Lion Air) oder vielleicht, weil Sie im Stress des Startmanouevers nicht daran dachten (Ethiopian Airline). Den detaillierten Ablauf (falls Sie das noch nicht der Presse entnommen haben) können Sie hier nachlesen.

Fazit

Fassen wir zusammen: Es werden Designfehler durch Software kompensiert, deren Existenz vor den Piloten verheimlicht wird, deren Wirkung nur in den optional erhältlichen “Luxusvarianten” des Flugzeugs angezeigt wird, und deren Funktionsweise diametral der bisherigen Steuerungs- und Sicherheitsphilosophie entgegenläuft. Dieses System wird zudem nicht redundant ausgelegt und dann so implementiert, daß es die Trimmung des Flugzeugs bis zum physikalisch maximal möglichen Winkel verändert. So etwas nimmt man im Englischen “Recipe for Disaster”. Es hat mehreren Hundert Menschen das Leben gekostet.

Was hat das alles mit Ihrer Ausbildung als Ingenieure oder Informatiker zu tun? Nun, zum einen zeigt es an diesem tragischen Fall, was “Mission-“ und “Safety-“ Critical bedeutet und daß gutes Design Leben rettet, bzw. schlechtes Design Leben gefährdet. Es zeigt aber auch im Brennglas auf, wie wichtig ethische Aspekte in der Ausbildung von Ingenieuren oder Informatikern sind. Die Ingenieure und Informatiker standen vermutlich vor der schwierigen Wahl, Dinge zu tun, von denen sie wußten, daß sie unethisch (vielleicht sogar rechtswidrig) sind, oder zu protestieren, zu kündigen zu den Behörden zu gehen - mit all den Konsequenzen: Jobverlust, Privatinsolvenz etc. Sie haben sich falsch entschieden. Mit dem Wissen, daß sie mittelbar zum Tod von Hunderten Menschen beigetragen haben, müssen sie nun ebenso leben, wie mit etwaigen strafrechtlichen Konsequenzen. Je mehr Software in unserem Alltag für kritische Dinge zum Einsatz kommt, desto wahrscheinlicher wird es, daß man als Ingenieur oder Informatiker vor vergleichbare Entscheidungen gestellt wird. Ich wünsche es niemandem, daß er in eine solche Situation gerät (ich war das selbst zum Glück nie), aber wenn es Sie trifft, entscheiden Sie richtig.

Update: Die von Boeing empfohlenen Maßnahmen bei Fehlfunktion des MCAS wurden von den Piloten der Ethopian Airlines wohl befolgt, aber abgebrochen - vielleicht, weil der Notfallplan nicht zuverlässig funktioniert, mehr Details dazu in einem Artikel der Welt und ein Eintrag bei Leeham News basierend u.a. auf einem Artikel des Wall Street Journals. Der entscheidende Passus ist “The combination of the preceding checklist followed by an MCAS Trim Runaway checklist could create a situation where manual trimming after a Trim Cut-Out would be difficult to impossible and would require non-checklist actions.” und “What exactly happened will be known once the preliminary report is there. Today we know the crowing from Western pilots, ‘Typical third world crews,’ was not called for. Anyone who has tried a correctly set up MCAS situation in a simulator is more muted.”

Sprechverbote III

19 Mar 2019

Ich hatte in der Vergangenheit mehrfach (1, 2) über zunehmende Illiberalität an Hochschulen geklagt. Umso mehr freue ich mich, dass unsere Hochschule und ihr Präsident sich offensiv für Redefreiheit einsetzen: “Wenn wir wollen, dass in einer Demokratie die Argumente zählen, können wir nicht nur mit den Leuten reden, die uns genehm sind.”

Dem ist nichts hinzuzufügen.

Wer mitdiskutieren möchte, sei herzlich zur Veranstaltung Diskussion “Europawahl 2019 - Fragen an die Politik” eingeladen, die sehr spannend zu werden verspricht!

KI

07 Mar 2019

Globalisierung:

  1. Die Bundesregierung investiert bis 2025 3 Milliarden Euro in KI (2019: 142 Millionen Euro)
  2. Die Stadt Shanghai investiert bis 2030 15 Milliarden USD in KI.
  3. Eine private Uni, das Massachusetts Institute of Technology (MIT), gründet eine KI-Hochschule - Investitionen: 1 Milliarde USD.

Kooperation Radiologie Goethe Universität

21 Feb 2019

Die Informatik des Fb2 der FRA-UAS hat eine Kooperation mit der Radiologie des Universitätsklinikums Frankfurt der Goethe Universität gestartet. In der Radiologie kommen bildgebende Verfahren wie u.a CT und MRT zum Einsatz, bei denen genuin digitale Daten anfallen. Die Vorbereitung von Untersuchungen und die (Weiter-) Verarbeitung erfolgt jedoch in der Regel manuell und wenig oder gar nicht digital unterstützt. Zur Verbesserung der Effizienz und zur Erhöhung der Qualität bieten sich daher IT-Verfahren in diesem Zusammenhang an. In Kooperation mit Prof. Dr. med. Boris Bodelle vom Institut für Diagnostische und Interventionelle Radiologie haben wir mehrere Bachelor- und Masterarbeiten (Thema 1, Thema 2 und Thema 3) definiert, die in diesem Kontext den Einsatz von IT-Technologien im Rahmen von Prototypen untersuchen sollen. Diese Arbeiten werden entweder von mir oder Kollegen betreut – je nach Thema, Schwerpunkt und persönlichen Vorlieben – ich übernehme jedoch die Koordination. Sie können sich bei Interesse daher an mich wenden. Weitere Arbeiten sind in Planung.

Learning From Data

11 Oct 2018

This winter semester I will give the course learning from data based partially on the excellent book with the same name by Yaser S. Abu-Mostafa, Malik Magdon-Ismail, Hsuan-Tien Lin. In addition to material from the book, I will cover SVMs and Neural Networks (incl. deep convolution networks), a critical review of machine learning from a science philosophy point of view, and some short remarks on the impact of this technology on society. It is a tremendous joy to prepare this lecture and I am looking forward to start! The actual start will be on October 24th as announced on moodle, because I will attend the Wimob 2018 conference next week.

DSGVO

03 Jun 2018

Seit ein paar Tagen ist - nach einer zwei jährigen Übergangsfrist - die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie soll innerhalb der EU den Datenschutz vereinheitlichen und den Bürgern mehr Schutz bieten. Ich hatte im Vorfeld anläßlich einer Wartezeit von 1.5hr am Flughafen mir die Frist gesetzt, in 90 Minuten herauszufinden, was ich tun muss, um diesen Blog DSGVO-konform zu betreiben. Das hat sich als wesentlich schwieriger herausgestellt, als ich dachte. Z.B. ist es mir völlig unklar, ob - und ggf. wie - das Kommentarsystem Disqus, das ich bisher verwendet habe, damit Sie Kommentare (auch anonym!) hinterlassen können, mit der DSGVO in Einklang zu bringen ist. Daher habe ich es abgeschaltet - jetzt kann man eben nicht mehr kommentieren.

Wie ein Kleinunternehmer, eine Zahnärztin oder der Vorstand eines Vereins DSGVO-Konformität regeln sollen, ist mir schleierhaft. Viele Rechtsfragen sind ungeklärt. Ob man z.B. überhaupt noch Digitalphotos von Personen aufnehmen kann, ist bis dato völlig unklar. Schuld daran ist keineswegs schlechtes Handwerk der verantwortlichen Politiker, denn sie wußten, was sie tun. So haben sie Ausnahmen für kommerziell tätige Photographen in die Verordnung geschrieben. Hier offenbart sich m.E. ein mangelhaftes Demokratieverständnis unserer gewählten Vertreter. So steht der digital mündige und politisch aktive Bürger nicht weit oben auf der Prioritätenliste in Brüssel, die Lobbyisten der Konzerne dagegen geben sich die Klinke in die Hand. Wenn Sie sich ein Bild machen wollen, auf welchem intellektuellen Niveau derart wichtige Entscheidungen getroffen werden, so lesen Sie in der Zeit ein Interview mit der EU-Kommissarin Věra Jourová, die maßgeblich an der DSGVO mitgearbeitet hat. U.a. behauptet sie dort ernsthaft: “Ich kenne mich auch nicht mit Technik aus, meine Kinder lachen mich deswegen sogar aus. Ich versichere Ihnen aber, dass selbst ich die Regeln der DSGVO umsetzen kann.” Nun, ich versichere Ihnen, dass jemand, der sich mit Technik nicht auskennt, sicher nicht entscheiden kann, welches Wordpress-Plugin gegen die DSGVO verstößt, geschweige denn, dass er es deaktivieren kann.

Aber gegen die großen Datenkraken hilft die DSGVO doch bestimmt? Nun, Facebook und Co haben genug Anwälte, die das regeln und man klickt jetzt halt auf jeder kommerziellen Seite die Cookie-Zustimmung weg, so dass die Werbeindustrie uns wie gewohnt tracken kann. (Falls die Cookie-Zustimmungsorgien zu nervig sind, macht man es einfach so, ohne explizite Zustimmung, denn hier hilft das “berechtigte Interesse” weiter, das die DSGVo vorsieht und das die Online-Werber fraglos haben.) Und Facebook genehmigt sich noch dreist die Zustimmung zur Gesichtserkennung unter dem Deckmäntelchen der DSGVO.

Meines Erachtens ist die DSGVO trotz einiger guter Ansätze gescheitert und ein untauglicher Versuch, für mehr Datenschutz zu sorgen. In der Praxis stellt sie sich als bürokratisches, mittelstandsfeindliches Monstrum heraus, das gegenüber den Datenkraken des Internets weitgehend zahnlos ist. So sieht es auch die FAZ, Sascha Lobo im Spiegel und viele andere. In der Zeit finden Sie Tipps, wie Sie Ihre Seite DSGVO-konform machen. Viel Spaß! Ein besonderer Vorwurf ist dem deutschen Gesetzgeber zu machen, der die DSGVO nicht in deutsches Recht umgesetzt - und so ggf. hätte anpassen und konkretisieren können - sondern die Richtlinie einfach so stehen lässt. Und nur in Deutschland existiert das unsägliche Abmahnwesen, das - insbesondere für Privatleute und Kleinunternehmer - das ganze so brisant macht. Auch dieses hätte per Gesetz entschärft werden können. Aber dahinter steht ja eine andere Lobby…

Blockchain

25 Apr 2018

Schöner Artikel in der NZZ über Blockchain. Der Artikel ist weniger aus Informatikerperspektive geschrieben, sondern beschreibt das ökonomische und gesellschaftliche Potential, das in dieser Technologie liegt. Aber Informatiker, die sich für derartige Technologien interessieren, sollten auch die gesellschaftlichen Implikationen verstehen.

Sprechverbote II

22 Apr 2018

Ich hatte mich vor einiger Zeit über die zunehmende Tendenz zu Rede- und Sprechverboten - gerade auch an Universitäten - besorgt geäußert und kritisiert. Daher habe ich mich über das Interview unseres Präsidenten, Herrn Prof. Dr. Dievernich, in der FAZ vom letzten Wochenende sehr gefreut: “‘Eine Hochschule darf eine Veranstaltung nicht absagen, weil diese gegen den ‘guten Ton’ verstößt’, mahnt der Präsident der Frankfurt University of Applied Sciences und Sprecher der hessischen Hochschulen für angewandte Wissenschaften. ‘Der wahre gute Ton ist der Ton des Diskurses.’” Dem ist nichts hinzuzufügen.

Das sind die aktuellen Beiträge; alte Beiträge gibt es im Archiv.