Der Autour dieses Artikels ist David Monniaux, er ist Forscher im Bereich Informatik, Centre national de la recherche scientifique/CNRS, Université Grenoble Alpes/UGA. David Monniaux erhielt Fördermittel von der ANR (PEPR Cybersécurité). Als Mitentwickler des Analysators Astrée erhält er eine Prämie, die sich nach dem Wert dieser Software, also nach deren Verkaufszahlen, richtet.

Airbus A320

Ende Oktober 2025 fordert Airbus die Fluggesellschaften auf, 6.000 A320 nach einem Zwischenfall während des Fluges am Boden zu lassen.

Airbus begründet dies mit einem Software-Update, das empfindlicher auf kosmische Strahlung reagieren soll. Wenn solche Probleme auftreten, werden sie jedoch normalerweise sofort erkannt.

Am 30. Oktober stürzte ein Flug der Fluggesellschaft JetBlue von Cancún nach New Jersey kurz nach dem Start ab, bevor die Piloten nach wenigen Sekunden den Kurs wiederherstellen konnten. Nach einer Notlandung in Florida wurden einige Passagiere medizinisch versorgt.

Infolge dieses Vorfalls musste Airbus dringend eine Steuerungssoftware an 6000 Flugzeugen der A320 austauschen. Es wurde von einer „Störung durch ein einzelnes Teilchen” und der Rolle von Sonneneruptionen gesprochen. 

Was ist dran an diesen Spekulationen?

Die von Airbus vorgeschlagene Abhilfe besteht darin, bestimmte Flugsteuerungssoftware auf eine frühere Version zurückzusetzen.

In Fachforen wird über die technischen Ursachen dieser Fehlfunktion spekuliert, über mögliche zwischen diesen beiden Versionen hinzugefügte Funktionen, die unzureichend gegen die Auswirkungen kosmischer Strahlung auf die IT-Komponenten geschützt sind. Es ist jedoch besser, den offiziellen Bericht über die Untersuchung des Zwischenfalls abzuwarten. In der Zwischenzeit können wir auf die angeführte Erklärung zurückkommen und darauf, inwiefern sie überraschen kann.

Kosmische Strahlung, Feind unserer elektronischen Systeme

Die Erde wird ständig von Teilchen aus dem Weltraum bombardiert – von der Sonne oder von weiter entfernten Körpern.

Die meisten dieser Teilchen werden vom Magnetfeld der Erde abgelenkt, ein anderer Teil wird von der Atmosphäre absorbiert oder umgewandelt, aber einige von ihnen können die Erdoberfläche erreichen.

Sie sind Teil der natürlichen Radioaktivität und treten in Zeiten von Sonneneruptionen häufiger auf.

Diese aus dem Weltraum kommenden Teilchen haben unterschiedliche Auswirkungen. In den Polarregionen, die weniger durch das Magnetfeld der Erde geschützt sind, verursachen sie wunderschöne Nordlichter am Nachthimmel. Da es sich um ionisierende Strahlung handelt, können die empfangenen Teilchen Auswirkungen auf unsere Gesundheit haben. So hat Thomas Pesquet während seines sechsmonatigen Aufenthalts auf der Internationalen Raumstation ISS die für einen französischen Arbeitnehmer zulässige jährliche Höchstmenge an Strahlenbelastung deutlich überschritten.

Partikel aus dem Weltraum können zu Funktionsstörungen in elektronischen Schaltkreisen führen. Um die verschiedenen Hypothesen zu überprüfen, wurden diese Komponenten an der Oberfläche und in einem Salzbergwerk in 140m Tiefe getestet. Im Bergwerk traten die Probleme nicht auf! Nachdem das Problem identifiziert worden war, konnten weitaus weniger anfällige Komponenten und Verwendungsweisen entwickelt werden.

Was ist eine Störung durch ein einzelnes Teilchen?

Häufiger als das Durchbrennen einer Komponente ist es, dass Teilchen die darin gespeicherten Daten verändern. Computer speichern Informationen in Form von 0 und 1, und ein Teilchen kann eine 0 in eine 1 umwandeln oder umgekehrt, was als „Störung durch ein einzelnes Teilchen” oder auf Englisch als „single event upset” bezeichnet wird.

Im Jahr 2003 erhielt eine Liste in der belgischen Gemeinde Schaerbeek bei einer Wahl genau 4.096 Stimmen mehr, was genau der Umwandlung einer 0 in eine 1 innerhalb einer in Binärcode geschriebenen Zahl entspricht. Eine solche Umwandlung lässt sich durch einen „Single Event Upset” erklären.

Natürlich wurden insbesondere für besonders exponierte Anwendungen in der Luft- und Raumfahrt Gegen-maßnahmen entwickelt.

Einige dieser Gegenmaßnahmen sind materieller Natur: So können beispielsweise Arbeitsspeicher mit Fehlerkorrekturcodes ausgestattet werden, die auf spezieller Hardware basieren, um sehr schnell zu codieren und zu decodieren. Dies ist in der Regel beim Arbeitsspeicher von Servern der Fall, also bei Maschinen, die Daten in Rechenzentren speichern, jedoch aufgrund der Kosten nicht bei Desktop-Computern oder Laptops. Diese Codes ermöglichen es, bestimmte Fehler zuverlässig zu korrigieren und in anderen Fällen zumindest zu melden, dass etwas nicht in Ordnung ist.

Andere Gegenmaßnahmen sind softwarebasiert: regelmäßige Überprüfungen durchführen, Daten duplizieren, um sie langfristig zu speichern, vermeiden, Daten zu lange in anfälligen Speichern zu belassen, bestimmte wichtige Informationen so speichern, dass die Umkehrung einer Ziffer einen absurden Wert ergibt, der somit erkennbar ist... Die Möglichkeiten sind vielfältig. Darüber hinaus gibt es Testprotokolle, darunter auch solche, bei denen die Schaltkreise in den Strahl des Teilchenbeschleunigers zu DESY in Hamburg gebracht werden.

Elektrische Flugsteuerungen von einer Störung betroffen

Betrachten wir nun die Auswirkungen auf die Luftfahrt. Die Übertragung der Befehle der Piloten an ihre Steuerflächen, die beweglichen Teile des Flugzeugs, mit denen dessen Flugbahn gesteuert wird, erfolgte in der Vergangenheit über recht komplizierte Systeme aus Kabeln, Rollen oder Hydraulikkreisläufen. Darüber hinaus muss Redundanz gewährleistet sein, d. h. es müssen mehrere Übertragungsmodi für den Fall einer Störung vorgesehen werden.

Seit den 1980er Jahren verwenden neue Flugzeugmodelle elektrische Flugsteuerungen, d. h. diese mechanischen Übertragungen werden durch Verkabelungen und elektronische Rechner ersetzt.

Diese Rechner verringern die Steuerungslast, sie automatisieren Aktionen, die die Piloten sonst manuell ausführen müssten und erhöhen so die Sicherheit. Sie können überprüfen, ob die Piloten ein Manöver befehlen, dass das Flugzeug aus dem Bereich der sicher ausführbaren Manöver herausführen würde, und können beispielsweise ein Strömungsabriss verhindern.

Der Defekt, der zum Rückruf der Airbus-Flugzeuge geführt hat, betrifft einen Rechner namens ELAC, der die Höhenruder und Querruder steuert, also die Steuerflächen am Heckleitwerk des Flugzeugs bzw. an den Flügelspitzen.

Die Flugsteuerung ist besonders sicher

Zunächst einmal können wir beruhigt sein, da Probleme mit Partikeln aus dem Weltraum eher in großer Höhe auftreten, wo die schützende Atmosphäre dünner ist, während die gefährlichsten Phasen eines Fluges eher der Start und die Landung sind. Dies entschuldigt jedoch nicht die festgestellte Fehlfunktion. Schauen wir uns einmal an, warum dieses Problem nicht hätte auftreten dürfen.

Computergesteuerte Rechner in der Zivilluftfahrt werden gemäß den internationalen Standards der Zivilluftfahrt in fünf Kritikalitätsstufen eingeteilt, je nach Schwere der möglichen Folgen einer Fehlfunktion: von Stufe A, wo eine Fehlfunktion zu einer Flugzeugkatastrophe führen kann, bis Stufe E, wo es keine Auswirkungen auf die Sicherheit des Flugzeugs hätte. Elektrische Flugsteuerungen gehören zur Stufe A und unterliegen daher den strengsten Normen. Man kann daher davon ausgehen, dass die Flugsteuerungen der A320 mit Mechanismen zur Erkennung und/oder Behebung von Fehlfunktionen, einschließlich solcher, die durch Strahlung verursacht werden, ausgestattet sind.

Bei den Airbus-Modellen A330/A340 gibt es beispielsweise zwei Ebenen der Flugsteuerung: die primäre und die sekundäre. Es gibt drei primäre Steuergeräte, und wenn eines davon ein Problem hat, wird es vorübergehend deaktiviert – das ist kein Problem, da zwei weitere Geräte zur Verfügung stehen, die diese Aufgaben übernehmen können.

Bei einem generellen Problem mit den primären Steuerungen könnte man mit den sekundären Steuerungen weiterfliegen, die andere Arten von Komponenten verwenden.

Jede primäre Flugsteuerung besteht aus zwei Rechnern, von denen einer die Ruder steuert und der andere den Steuerungsrechner überwacht – sie müssen ungefähr die gleichen Ergebnisse liefern, sonst erkennt das System, dass etwas nicht stimmt.

Normalerweise wird bei einem solchen System im Falle einer Fehlfunktion eines der Rechner das Problem schnell erkannt, das Steuergerät wird deaktiviert, man wechselt zu einem anderen, und ein Absturz wie der im Oktober 2025 ist unmöglich.

Warum haben die Systeme das Problem nicht erkannt?

Ich habe persönlich am Statikanalysator gearbeitet, einem Tool, mit dem überprüft wird, dass Steuerungssoftware niemals in Fehlersituationen gerät. Es wurde insbesondere von Airbus für seine elektrischen Flugsteuerungen verwendet. Im Laufe der Jahre hatte ich Gelegenheit, die Seriosität und den Willen dieses Unternehmens zu schätzen, sich mit modernsten Ansätzen im Bereich der Softwaretechnologien, Verifizierung, auszustatten.

In jüngerer Zeit habe ich auch an Gegenmaßnahmen - Cyberangriffe - für absichtlich durch elektromagnetische Strahlung verursachte Computerfehlfunktionen gearbeitet. Es besteht nämlich die Möglichkeit, dass Personen absichtlich Störungen verursachen, um diese für betrügerische Zwecke auszunutzen. Daher ist es notwendig, daran zu arbeiten, um so etwas zu verhindern.

Die Annahme, dass es sich tatsächlich um eine Störung durch ein einzelnes Teilchen handelt, bleibt plausibel, aber es ist überraschend, dass es mehrere Sekunden gedauert hat, um das Problem zu beheben. 

Das Sicherheitssystem - das von der Strahlung betroffenen Steuergeräts - hätte den Vorfall erkennen müssen, das betroffene Gerät hätte automatisch deaktiviert und das Flugzeug auf ein anderes, als Reserve dienendes Gerät umgeschaltet werden müssen.

Es müssen daher weitere Informationen abgewartet werden, um festzustellen, ob dies die richtige Erklärung ist und wie es dazu kommen konnte, oder ob andere Szenarien in Betracht gezogen werden müssen.