Sie heißt weiterhin 737, doch flugtechnisch ist die Boeing
737 Max 8 keine stufenlose Weiterentwicklung bisheriger Versionen des
meistverkauften Flugzeugmodells der Welt. Um die besonders leisen und
treibstoffsparenden, aber auch besonders großen Triebwerke der 737 Max
unterzubringen, haben die Boeing-Ingenieure die Aufhängung unter den Flügeln
deutlich verkürzt. Das führt dazu, dass es bei einem überzogenen Steigflug eher
zu einem gefährlichen Strömungsabriss kommt als bei den Vorgängerversionen.
Eine MCAS genannte Software soll das verhindern. Doch sie steht jetzt im
Verdacht, innerhalb von fünf Monaten den Absturz zweier fast fabrikneuer 737
Max 8 Maschinen in Indonesien und Äthiopien zumindest mitverursacht zu haben.
346 Menschen starben.

Zwar liegt im ersten Fall noch kein Abschlussbericht der
Unfalluntersuchung vor und im zweiten Fall hat sie noch gar nicht richtig
begonnen. Trotzdem ist die Sorge um eine Fehlfunktion der neuen Software
offenbar so groß, dass die Luftaufsichtsbehörden von China über die EU bis in
die USA ein Flugverbot für die neue 737-Version angeordnet haben, das auch von
Boeing selber unterstützt wird. Jetzt ist die Verunsicherung groß – und eine
alte Debatte lebt neu auf: Ist die Aufrüstung mit immer mehr Computersteuerung
eine Gefahr für die Flugsicherheit?

Tatsächlich spielt Software in modernen Verkehrsflugzeugen
aller Hersteller eine immer wichtigere Rolle. Nicht aber als Ursache von Unfällen. Im Gegenteil: Der Einsatz komplexer Software hat dazu geführt, dass
der Flugverkehr in den vergangenen Jahrzehnten immer sicherer geworden ist. Die
größte Gefahr geht inzwischen von den Menschen im Cockpit aus. Weil die Technik
immer besser funktioniert, sind Pilotenfehler für rund die Hälfte aller
schweren Unfälle verantwortlich. Mechanisches Versagen, Unwetter und
Terrorismus folgen als weitere Ursachen. Zu diesem Ergebnis kommt Simon Bennett
von der Universität Leicester in einer 2015 veröffentlichten Auswertung. Ein
Fall, in dem ausschließlich Softwarefehler für den Absturz eines Flugzeugs
verantwortlich gewesen wären, ist bisher nicht bekannt.

“In der Softwareentwicklung arbeitet niemand so sorgfältig
wie die Luftfahrtindustrie”, sagt der Informatiker Holger Hermanns, der an der
Universität des Saarlandes zur Sicherheit von Softwaresystemen forscht. Während
die Assistenzsysteme moderner Autos von Software gesteuert werden, die von
verschiedenen Herstellern stammt und über die Jahre recht wildwüchsig
zusammengewachsen ist, gelten in der Luftfahrtindustrie strenge Vorschriften
und Kontrollen. Dazu gehöre zum Beispiel ein Vieraugenprinzip, so Hermanns:
“Jedes Stück Code, das ein Programmierer heute schreibt, wird morgen von einem
Kollegen Zeile für Zeile überprüft.” Und anders als bei der Zulassung neuer
Automodelle verlangen die zuständigen Behörden bei der Zulassung neuer
Flugzeuge einen Nachweis für die Fehlerfreiheit der verwendeten Software.

Der ist bei vielen Millionen Programmzeilen allerdings nie
vollständig möglich. Denn für die Suche nach Softwarefehlern muss wiederum
Software genutzt werden. Und wenn die Fehler findet, kann sie nicht
gleichzeitig garantieren, dass keine Fehlalarme darunter sind, die im Anschluss
aufwändig manuell geprüft werden müssten. Umgekehrt kann sie zwar Fehlalarme
ausschließen, dann aber nicht garantieren, dass alle Fehler gefunden wurden.
Als Satz von Rice ist dieser
Zusammenhang Informatikern seit 60 Jahren bekannt. Die Suche nach
Softwarefehlern muss deshalb immer einen praktikablen Kompromiss zwischen
diesen beiden Polen finden.