Der Zusammenbruch des britischen Flugsicherungssystems

 (jameshaydon.github.io)
2 Punkte von GN⁺ 2023-09-12 | 1 Kommentare | Auf WhatsApp teilen
  • Am 28. August 2023 führte ein schwerwiegender technischer Fehler beim britischen Flugsicherungsbetreiber NATS zur Annullierung von mehr als 2.000 Flügen und verursachte Kosten von rund 100 Millionen Pfund.
  • Zunächst wurde angenommen, dass die Ursache ein fehlerhafter Flugplan einer französischen Fluggesellschaft sei.
  • NATS ist eine öffentlich-private Organisation, die für die gesamte britische Flugsicherung verantwortlich ist und die sichere horizontale und vertikale Staffelung von Luftfahrzeugen gewährleistet.
  • Das Problem ließ sich auf einen in das Flugplansystem eingegebenen Flugplan zurückführen, der vom Integrated Initial Flight Plan Processing System (IFPS) von Eurocontrol genehmigt worden war.
  • Der Flugplan wurde anschließend an das Sub-system Flight Plan Reception Suite Automated (FPRSA-R) von NATS weitergeleitet, das diese Daten in ein mit dem britischen National Airspace System (NAS) kompatibles Format umwandelt.
  • Das FPRSA-R-System konnte einen Flugplan mit zwei Wegpunkten desselben Namens nicht verarbeiten, wodurch das System ausfiel.
  • Durch diesen Fehler wechselten sowohl das primäre als auch das Backup-FPRSA-R-System in den Wartungsmodus, wodurch die automatische Verarbeitung von Flugplänen gestoppt wurde.
  • Der Vorfall legte einen Bug in der FPRSA-R-Software offen und unterstrich die Notwendigkeit verbesserter Tests und Ausfallmodi für das System.
  • Trotz der technischen Schwierigkeiten gewährleisteten die Fluglotsen während des Vorfalls die Sicherheit aller Flüge im britischen Luftraum.
  • Der Vorfall löste eine Diskussion über den Einsatz formaler Verifikation und von Model Checking in sicherheitskritischen Systemen wie der Flugsicherung aus.
  • Der Artikel erklärt den Prozess zur Abstimmung von ICAO- und ADEXP-Flugplänen, bei dem Start- und Endpunkte abgeglichen werden.
  • Die Abstimmungsfunktion berechnet alle möglichen Abgleiche, um Mehrdeutigkeiten in den Daten zu erkennen, und markiert solche Flugpläne für die manuelle Bearbeitung.
  • Der Artikel bietet eine Schritt-für-Schritt-Anleitung, wie sich der britische Abschnitt eines Flugplans extrahieren lässt.
  • Wenn das System den britischen Abschnitt nicht findet und das Ende des Plans erreicht, gibt es einen Fehler zurück.
  • Der Artikel liefert ein detailliertes Beispiel dafür, wie sich die Abstimmungsfunktion mit einem bestimmten Flugplan testen lässt.
  • Das System kann große Flugpläne mit 158 Wegpunkten von London nach Sydney verarbeiten und liefert das Ergebnis nahezu sofort zurück.
  • Der Artikel betont, dass die Abstimmungsfunktion ICAO- und ADEXP-Daten auch bei doppelten Kennungen im Flugplan korrekt abgleichen und den richtigen Teilpfad definieren kann.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-12
Hacker-News-Kommentare
  • Das britische Flugsicherungssystem fiel aufgrund eines Softwarefehlers aus, der mit den Leitplanken für „geografisch unterschiedliche“ Abfragen zusammenhing.
  • Das System konnte einen Fall nicht verarbeiten, in dem derselbe Waypoint-Name in einer Route zweimal verwendet wurde und dabei unterschiedliche Orte bedeutete; dies war im Softwaredesign nicht vorgesehen.
  • Das System wechselte beim Auftreten einer „kritischen Ausnahme“ in den „Wartungsmodus“ und stürzte ab. Auch das Backup-System stürzte aufgrund desselben Fehlers ab.
  • Es gibt Kritik an dem Fehlen einer Methode namens ValidateFlightPlan, die einen Fehler auslöst, wenn ein Flugplan nicht geparst werden kann, sowie an dem Fehlen einer Funktion, fehlgeschlagene Flugpläne zur menschlichen Prüfung in eine Warteschlange zu stellen.
  • Das Problem konnte erst bestätigt werden, nachdem der Softwareanbieter kontaktiert und Low-Level-Logs überprüft worden waren.
  • Da ein bereits von Eurocontrol akzeptierter französischer Flugplan beschuldigt wurde, gibt es Bedenken über ein mangelndes Verständnis der Funktionsweise der Software.
  • Der Vorfall führte zu erheblichen Reiseunterbrechungen; ein Nutzer berichtete von einer Reisedauer von 15 Stunden statt der üblichen 2 Stunden.
  • Es wurde gefordert, Eingabedaten in Softwaresystemen strenger zu validieren, selbst wenn sie aus vertrauenswürdigen Quellen stammen, um solche Ausfälle zu verhindern.
  • Der Vorfall warf Fragen nach möglichen Konsequenzen für den Softwareanbieter Frequentis auf.