Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Boeing liet 737 Max-software schrijven door onervaren externe programmeurs'

Boeing liet in ieder geval een deel van de software voor het 737 Max-vliegtuig schrijven door externe, relatief goedkope en onervaren programmeurs. Dat schrijft Bloomberg op basis van uitlatingen van voormalige programmeurs van Boeing.

Mark Rabin, een voormalige softwareontwikkelaar van Boeing die aan de 737 Max werkte, zegt dat er werk werd uitbesteed aan het Indiase softwarebedrijf HCL Technologies, schrijft Bloomberg. Daar werden volgens hem nieuwe afgestudeerden aangesteld om op basis van specificaties van Boeing code te schrijven. "Het was controversieel, want het was veel minder efficiënt dan Boeing-technici die de code schreven. Het kostte verschillende rondes heen en weer, omdat de code niet correct werd geschreven", aldus Rabin. HCL was waarschijnlijk medeverantwoordelijk voor de software voor de vluchtbeeldschermen.

Er zouden meerdere Indiase bedrijven betrokken zijn geweest bij de ontwikkeling van de software van Boeing 737 Max. Dit zou zijn gedaan om kosten te besparen. "Boeing probeerde heel veel dingen, alles wat je je maar kan voorstellen, om kosten te besparen", zegt Rick Ludtke, een in 2017 bij Boeing ontslagen vluchtcontroletechnicus. Volgens de ex-Boeing-werknemer had dat te maken met het feit dat de Boeing-technici te duur werden. Zodoende verdwenen er steeds meer banen en verdween in Boeings faciliteiten in Seattle langzaamaan de capaciteit om te ontwerpen. Rabin herinnert zich een vergadering waarbij van hogerhand werd gezegd dat Boeing geen ervaren technici meer nodig had, omdat de producten al volwassen waren. Rabin zegt dat die vergaderruimte vol zat met honderden ervaren technici die volgens Boeing dus overbodig waren.

Twee Boeing 737 Max-vliegtuigen van TUI, die tot nader order verplicht aan de grond staan op Schiphol.

Softwareproblemen liggen waarschijnlijk ten grondslag aan de twee dodelijke crashes met de 737 Max. In oktober vorig jaar stortte een toestel van dit type neer in Indonesië en in maart boorde opnieuw een 737 Max zich in de grond, ditmaal in Ethiopië. Dit wordt vooralsnog toegeschreven aan het MCAS, dat de neus van de vliegtuigen waarschijnlijk sterk omlaag duwde op basis van foutieve data. Dit is een antiovertreksysteem dat is geïmplementeerd om te voorkomen dat het vliegtuig teveel achterover gaat hellen en zodoende snelheid verliest en uit de lucht kan vallen. Boeing zegt dat het geen gebruik maakte van werknemers van HCL voor het ontwikkelen van het MCAS.

Inmiddels lijkt het erop dat het Amerikaanse ministerie van Justitie zijn strafrechtelijk onderzoek naar de certificatie en het ontwerp van de 737 Max heeft uitgebreid naar een ander relatief nieuw toestel van Boeing. Het gaat daarbij om de 787, beter bekend als de Dreamliner. De Seattle Times schrijft dat bronnen die bekend zijn met het onderzoek, dit hebben bevestigd. Bij de productie van de 787 Dreamliner zouden er in de fabriek in de South Carolina nogal wat zaken afgeraffeld zijn. Met de 787 waren er eerder problemen met de lithium-ionaccu's die oververhit raakten en in brand vlogen. De Amerikaanse toezichthouder moest ingrijpen en besloot in januari 2013 voor enkele maanden de gehele vloot aan de grond te houden. Deze problemen staan in principe los van de specifieke problemen bij 737 Max.

Door Joris Jansen

Nieuwsredacteur

01-07-2019 • 20:30

310 Linkedin Google+

Reacties (310)

Wijzig sortering
Het artikel van Bloomberg had ik gisteren al gelezen en het eerste wat me opviel is dat deze externe programmeurs kennelijk _niet_ hebben gewerkt aan het computersysteem wat de crashes veroorzaakt heeft, namelijk MCAS. En des te opmerkelijker is dat deze extern ingehuurden nu naar voren worden geschoven als scapegoat voor de blunders met MCAS.

Waar het uiteindelijk met MCAS misgegaan is, is dat de software te veel vrijheid kreeg om het vliegtuig enorme (en haast onbegrensde) stuurcorrecties te geven, zonder dat dit duidelijk werd voor de piloten, of zonder ze de gelegenheid te bieden het systeem te overrulen/uit te schakelen. Daarbij getriggerd door een enkele sensor, waardoor de kans erg groot was dat het systeem binnen korte tijd op basis van onjuiste data een onterechte stuurcorrectie zou doen, en we zijn 2 crashes en vele doden verder.

Het wrange is dat dit uiteindelijk allemaal specificaties van de engineers van Boeing waren. In de eerste versies was de bewegingsvrijheid van MCAS nog begrensd, waardoor de effecten van een ingreep een stuk kleiner waren. In latere versies is deze vrijheid opgerekt zonder de veiligheidscase opnieuw te bekijken. De software deed verder keurig wat er volgens de specificaties verwacht werd, alleen waren de specs an sich dus al zwaar flawed door de function creep van MCAS, zonder compensatie met een extra sensor of methode voor overrulen.

Dus ja. Zelfs als Indiërs deze software gemaakt hadden (en vermoedelijk niet, aangezien het artikel daar met geen woord over repte), dan kun je nog enorme vraagtekens zetten bij de specs die meegegeven waren, en de veiligheidsassessments die zowel daarvoor als daarna door Boeing gedaan werden.
Ik zie dit persoonlijk niet als scapegoating, maar meer als extra kritiek op Boeing.
Uit het artikel van Bloomberg blijkt uit meerdere passages dat Boeing engineers onder hoge druk stonden om kosten te besparen, en dat dat heeft bijgedragen aan de softwarefouten.
Nergens in het artikel wordt, naar mijns inzien, ook maar de suggestie gewekt dat HCL (het externe bedrijf) verantwoordelijk is voor de fouten, ze schetsen alleen de situatie bij Boeing; (te) ver gaan om kosten te besparen.. Zelfs het ontslaan van senior engineers terwijl ze aan een nieuw type werken hoort blijkbaar bij de besparingen.

"Rabin, the former software engineer, recalled one manager saying at an all-hands meeting that Boeing didn’t need senior engineers because its products were mature. “I was shocked that in a room full of a couple hundred mostly senior engineers we were being told that we weren’t needed,” said Rabin, who was laid off in 2015."

"“Boeing was doing all kinds of things, everything you can imagine, to reduce cost, including moving work from Puget Sound, because we’d become very expensive here,” said Rick Ludtke, a former Boeing flight controls engineer laid off in 2017. “All that’s very understandable if you think of it from a business perspective. Slowly over time it appears that’s eroded the ability for Puget Sound designers to design.”"

"The Max software -- plagued by issues that could keep the planes grounded months longer after U.S. regulators this week revealed a new flaw -- was developed at a time Boeing was laying off experienced engineers and pressing suppliers to cut costs."
Het probleem is de cultuur:

Als je al jaren bij Boeing als programmeur werkt, alles intern is gegaan, en dan ineens een aanzienlijk deel ge-outsourced wordt, iedereen laaiend enthousiast is over hoe snel en goedkoop daar resultaat wordt geboekt, terwijl er brakke ongeteste code wordt geschreven, denk je ook: als ik niet opschiet en een paar hoekjes afsluit dan gaat daar straks mijn baan.

Kwaliteit in software is lastig meetbaar, zeker voor leken. Als bedrijven externe partijen inschakelen die compromiteren op kwaliteit om sneller en goedkoper kunnen werken, zal je zien dat ze intern ook die richting opschuiven uit vrees voor hun baan.
Je hebt het gedeeltelijk goed: MCAS kán uitgeschakeld worden, maar piloten wisten niet eens dat er MCAS in hun toestel zat want dat had Boeing zorgvuldig weggelaten in de handleidingen én de trouble-shoot procedure. Het vermelden van het MCAS-systeem betekende namelijk dat piloten een her-certificering nodig hadden voor de nieuwe 737-MAX en dus liet BOEING vermeldingen van dat systeem doelbewust weg zodat piloten zonder meer van de "oude" naar de "nieuwe" 737 konden switchen.
En dat MCAS is het gevolg van de grotere en hoger op de vleugels gemonteerde motoren die Boeing gebruikt bij de nieuwe 737, waardoor het kantelpunt van de stuwkracht anders komt te liggen en het risico (te) groot is dat door het volledig openen van de throttles de 737 in een overtrek situatie terecht komt. MCAS corrigeert daarom automatisch de "pitch" naar beneden. Om die her-certificering vanwege MCAS te voorkomen, heeft Boeing gekozen om MCAS afhankelijk te maken van de input van 1 sensor ipv van meerdere sensoren zoals gebruikelijk is. Door die 1 sensor input maatregel wordt MCAS door de FIA gezien als een update/upgrade ipv een nieuwe feature.

Had Boeing richting de vliegmaatschappijen en piloten melding gemaakt dat MCAS automatisch ingeschakeld was en wat het precies doet, dan hadden piloten veel beter inzicht gehad in wat er mis ging toen MCAS in de fout ging. Nu hadden ze geen flauw idee waarom een nieuw vliegtuig dat ze goed dachten te kennen omdat het volgens Boeing hetzelfde was als de oudere versie ineens de neus van hun vliegtuig spontaan optrok en dat ook telkens weer herhaalde.
MCAS kán uitgeschakeld worden
Kleine correctie. MCAS zelf kan niet uitgeschakeld worden, alleen onderbroken. Wat wel uitgeschakeld kan worden is het systeem waar MCAS zijn commando's heen stuurt, het stabilizer trim systeem (staartvlak trim). Echter heeft dit als gevolg dat, als het vliegtuig "out of trim" is (niet stabiel), je met de hand aan een wiel moet draaien om het staartvlak weer in trim te brengen. Zoek maar eens een foto op van de 737 cockpit, die zwart/witte trimwielen zaten al in de Boeing 707 cockpit (737 cockpit is hier op gebaseerd) en dit is nooit aangepast om maar te zorgen dat alle 737 varianten onder een zelfde type certificaat kunnen vallen (kosten efficient ivm gereduceerde training).

Dit is een behoorlijk heftig side effect wat in zichzelf kan bijdragen tot het niet tijdig herstellen van issues rond MCAS zoals dat nu in de MAX geplaatst is. Zeker op lagere hoogtes.
Die is er 100% zeker wel. De Runaway Cutout Switches zorgen ervoor dat MCAS wordt uitgeschakeld.

<quote>The MCAS design at the time of these accidents would trim the Stabilizer down for up to 9.26 seconds (2.5 deg nose down) then pause for 5 seconds and repeat if the conditions (high AoA, flaps up and autopilot disengaged) continued to be met. If the pilots used electric pitch trim, it would only pause MCAS for 5s; to deactivate it you have to switch off the STAB TRIM CUTOUT switches</quote>

http://www.b737.org.uk/mcas.htm

Dit was ook al bekent na de LionAir crash via de Emergency Airworthiness Directive (AD) 2018-23-51: https://www.flightradar24.../2018-23-51_Emergency.pdf

In mijn optiek was de ET302 crash te voorkomen geweest. Ze hadden waarschijnlijk wel de cutout switches goed gezet, maar het idee is nu dat het vliegtuig nog aan het klimmen was en de auto throttle nog aan staan.

Deze piloot kan het nog veel beter uitleggen: https://www.youtube.com/w...b3uPp1DS7fDy7I6y11MIMgnbO

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True