Airbus A320 – Starke Sonneneinstrahlung kann zu Schäden an kritischen Flugdaten führen

 (airbus.com)
1 Punkte von GN⁺ 2025-11-29 | 1 Kommentare | Auf WhatsApp teilen
  • Nach der Analyse kürzlicher Vorfälle bei A320-Familienflugzeugen wurde bestätigt, dass intensive Sonneneinstrahlung in der Lage sein kann, kritische Daten zu beschädigen, die für die Flugsteuerung benötigt werden.
  • Airbus hat daraufhin ein mögliches Risiko für eine Vielzahl der derzeit operierenden A320-Derivatflugzeuge identifiziert.
  • Das Unternehmen hat ein Alert Operators Transmission (AOT) herausgegeben, um in Kooperation mit den Luftfahrtbehörden sofortige präventive Maßnahmen umzusetzen, die als Emergency Airworthiness Directive (EAD) der EASA übernommen werden sollen.
  • Airbus räumt ein, dass diese Maßnahmen zu Störungen in den Betriebsabläufen von Passagieren und Kunden führen können, und arbeitet eng mit den Betreibern zusammen, um darauf zu reagieren.
  • Die höchste Priorität aller Maßnahmen ist die Sicherstellung der Flugsicherheit.

Überblick zu präventiven Maßnahmen für die A320-Familie

  • Bei der Analyse jüngster Vorkommnisse bei A320-Familienflugzeugen wurde festgestellt, dass intensive Sonneneinstrahlung (intense solar radiation) das Kerndatenmaterial des Flugsystems beschädigen kann, das für die Flugsicherung benötigt wird.
    • Dieses Phänomen kann die Integrität der Daten beeinflussen, die für die Flugsteuerfunktionen (flight controls) erforderlich sind.
  • Airbus geht davon aus, dass eine beträchtliche Anzahl aktuell eingesetzter A320-Derivatflugzeuge von dem Problem betroffen sein könnte.

Präventive Maßnahmen und Zusammenarbeit mit Behörden

  • Airbus hat ein Alert Operators Transmission (AOT) herausgegeben, um in Zusammenarbeit mit den Luftfahrtbehörden sofortige präventive Maßnahmen umzusetzen.
    • Das AOT enthält Richtlinien zur Anwendung von Software- und/oder Hardware-Schutzmaßnahmen, die den sicheren Flugbetrieb garantieren sollen.
    • Diese Maßnahme soll offiziell in die Emergency Airworthiness Directive (Emergency Airworthiness Directive) der Europäischen Agentur für Flugsicherheit (EASA) übernommen werden.

Auswirkungen auf den Betrieb und Reaktion

  • Airbus räumt ein, dass es aufgrund dieser Maßnahmen zu einigen Verzögerungen oder Störungen im Reiseplan von Passagieren und Kunden kommen kann.
  • Das Unternehmen wird mit den Betreibern eng zusammenarbeiten, um die Umsetzung der Maßnahmen zu unterstützen und die Sicherstellung der Sicherheit als oberste Priorität aufrechtzuerhalten.
  • Airbus hat seine Entschuldigung für die Unannehmlichkeiten zum Ausdruck gebracht.

Relevante Unterlagen

  • Ein dem Pressemitteilungsinhalt entsprechendes PDF-Dokument (126.02 KB) wird bereitgestellt.
    • Dokumenttitel: Airbus update on A320 Family precautionary fleet action
    • Ein Download-Link ist auf der offiziellen Website veröffentlicht.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-29
Hacker-News-Kommentare

  • Ich würde wirklich gern wissen, bei welcher Mikrocontroller-Familie dieses Problem entdeckt wurde.
    Falls es sich um einen Safety-Prozessor mit Lockstep, ECC usw. handelt, würde das bedeuten, dass Bit-Flips aufgetreten sind, die von ECC nicht erkannt wurden.
    Wenn es sich um Datenkorruption handelt, könnte es statt eines einfachen Neustarts auch eine Situation sein, in der innerhalb eines Wortes mehrere Bits gleichzeitig gekippt sind.
    Wenn die Umgebung nicht besonders anders war, könnte man auch die Spannungsmargen verringert haben.
    Ich frage mich auch, ob es sich um NVM oder SRAM handelt.

    • Wie in einem anderen Thread erwähnt, hatte das betreffende System kein EDAC.
      Es war kein MCU, sondern ein aus mehreren Chips bestehendes System, das in den 90ern entworfen wurde; erst 2002 kam eine neue Hardware-Version mit EDAC hinzu.
      Unter solchen Umständen konnten Bit-Flips durchaus auftreten.
      Details stehen im ATSB-Bericht.
    • Frühe Revisionen des Raspberry Pi 2 sind abgestürzt, wenn sie starkem Licht wie einem Kamerablitz ausgesetzt wurden.
      Besonders Xenon-Blitze waren problematisch.
      Beispiele dazu gibt es im Forenbeitrag, in der weiteren Diskussion, im offiziellen Blog und im YouTube-Video.
    • Eine saubere SEU-(Single-Event-Upset)-Abwehr braucht mehr als nur ECC.
      Satelliten arbeiten in deutlich größerer Höhe als ein A320, und die meisten nutzen Triple Modular Redundancy.
      Siehe TMR-Erklärung und SEU-Konzept.
      Bei bemannten Flügen erhöht die NASA N auf 5.
      Man kann auch Caches vollständig deaktivieren oder ECC-RAM laufend refreshen.
      Es gibt außerdem Hardware-Maßnahmen, um Latch-up in digitalen Schaltungen zu verhindern.
    • Es ist beunruhigend, ein Hardwareproblem per Software-Patch lösen zu wollen.

  • Wenn man lange genug in der Computerbranche ist, sieht man solche Bit-Flip-Vorfälle mehrfach.
    ECC rettet einen meistens, aber manchmal ist Software auch so ausgelegt, Ausreißerwerte zu erkennen und zu ignorieren.
    In Echtzeit- und sicherheitskritischen Systemen validieren oft mehrere Systeme Fehler per Abstimmungsverfahren.
    In den 90ern habe ich mich wegen eines Bit-Flips in einer CPU-Cache-Line monatelang damit herumgeschlagen.

    • Wir haben so etwas auch in unseren Logs gesehen.
      In einem Service mit sehr hohem Traffic haben wir enum-artige Werte aggregiert und dabei ein paar unmögliche Werte gefunden.
      Als wir sahen, dass ein String mit genau einem Bit Unterschied falsch protokolliert worden war, vermuteten wir den Einfluss von kosmischer Strahlung.
    • Ich hatte früher einen Kollegen, der die Ursache von Problemen immer auf Neutrinos schob.
      In Wirklichkeit war es ein reproduzierbarer Bug, und erst nachdem er Kernel, Treiber und Client verdächtigt hatte, gab er seinen eigenen Fehler zu.
      Trotzdem war er ein Genie, und bei diesem A320-Vorfall hatte er vielleicht wirklich recht.

  • The Aviation Herald enthält mehr technische Details.

    • Besonders dieser Satz ist beunruhigend:
      „Diese Schwachstelle könnte im schlimmsten Fall unkommandierte Höhenruderausschläge verursachen und damit die strukturellen Grenzen des Flugzeugs überschreiten.“

  • Die Luft- und Raumfahrtbranche hat schon lange Gegenmaßnahmen gegen Bit-Flips.
    Die aktuelle Korrektur von Airbus/Thales verschärft die Fehlerprüfung und startet betroffene Komponenten bei Problemen automatisch neu.
    Mehr dazu steht im BEA-Bericht.

  • Das hat etwas von BoFH-Stil.
    „Ich komme Freitag früh zur Arbeit, das Telefon klingelt, ich blättere durch die Ausredenliste, und da schaut mich 'Solar Flares' an …“

    • Im BoFH Excuse Generator fand ich Solar Flares immer am lustigsten.
      Link
    • Sonnenstürme sind die beste Ausrede. Man muss einfach nur kurz warten.

  • Ich frage mich, wie dieser Vorfall diagnostiziert wurde.
    Ich weiß nicht, ob der FDR (Flugdatenschreiber) auch Low-Level-Fehler aufzeichnet oder nur Eingabewerte auf höherer Ebene speichert.
    Wenn es ein strahlungsbedingter Bit-Flip war, wie hat man das erkannt?
    Vielleicht wurde so etwas wie ein Abstimmungsfehler zwischen den Hauptflugcomputern protokolliert.

  • Es gibt einen hervorragenden Postmortem-Bericht zu einem ähnlichen SEU-(Single-Event-Upset)-Fall.

  • Das lädt zu Witzen ein wie: „Zu nah an der Sonne geflogen.“

  • Ich frage mich, ob man deswegen wirklich die gesamte Flotte stilllegen muss.
    Wenn es über Jahre hinweg nur einen einzigen Vorfall bei Zehntausenden Maschinen gab, sollte es doch reichen, zwei Monate Zeit für die Korrektur zu geben.

    • Tatsächlich waren nicht Jahre betroffen, sondern nur die neueste ELAC-Firmware-Version.
      Die Lösung ist ein Downgrade oder der Austausch gegen Hardware mit einer früheren Version.
    • Die Kosten wird vermutlich die Fluggesellschaft tragen.
      Aus Sicht von Airbus ist der direkte Verlust durch die Stilllegung gering, aber falls ein Unfall passiert, wären Reputations- und Klagerisiken deutlich größer.
    • Es wird betont: „Das ist nicht Boeing, sondern Airbus.“
    • Aus Airbus-Sicht könnte das sogar ein Marketingeffekt sein.
      So nach dem Motto: „Wir handeln proaktiv, während die Konkurrenz erst nach einem Unfall reagiert.“
    • Ich persönlich würde in diesen zwei Monaten nicht in diesem Flugzeug sitzen wollen.

  • Laut Medienberichten ist die Maßnahme diesmal ein Rollback eines Software-Updates.
    Ich frage mich, wofür das ursprüngliche Update gedacht war und wie oft die Software der Flugcomputer überhaupt aktualisiert wird.