Versagen der Imagination

Manchmal können Designer zu schlau sein.

Ich bin auf einige Beispiele von Systemen gestoßen, die sorgfältig darauf ausgelegt waren, eine Arbeit zu erledigen, aber einige der Umgebungen und Kontexte nicht berücksichtigt haben, in denen das System arbeiten müsste. Ich bin nicht schuld daran, dass die Designer keine sorgfältige Analyse durchführen, weil sie nicht jeden möglichen Kontext berücksichtigen können. Ich bemängele jedoch die Designer, weil sie entschieden haben, dass sie die Ecken schneiden können, um die Dinge einfacher zu machen – das waren Ecken, die nicht hätten geschnitten werden sollen. Als Ergebnis haben die Designer den Menschen, die die Systeme bedienen, Beschränkungen auferlegt und ihr Verständnis dafür, was vor sich ging, verzerrt.

Das erste Beispiel ist der Unfall von Air France 447 im Jahr 2009. Das Flugzeug startete von Rio de Janeiro in Brasilien nach Paris und beförderte 228 Passagiere und Besatzungsmitglieder. Wir werden nie sicher sein, was schief gelaufen ist, aber hier ist der plausibelste Bericht, den ich gefunden habe. Als das Flugzeug durch die Wolken kletterte, bildeten sich Eiskristalle an den Staurohren, die das Flugzeug davon abhielten, seine Geschwindigkeit zu bestimmen. Daraufhin wurde der Autopilot ausgeschaltet.

Das Flugzeug war ein Airbus 330 und verwendete die neueste intelligente Technologie. Die Hersteller hatten Flugbesatzungen dazu gebracht zu glauben, dass es unmöglich sei, das Flugzeug abzuwürgen. Das Flugzeug war einfach zu schlau und erlaubte Piloten keine unsicheren Aktionen, die zu einem Strömungsabriss führen könnten. Und das stimmte, solange die Sensoren arbeiteten.

Bei deaktiviertem Autopiloten waren jedoch alle Wetten deaktiviert. Jetzt könnte das Flugzeug in einen Stall eintreten. Unglücklicherweise wusste der Pilot, der davon fliegen wollte, dies offenbar nicht (oder hatte es ihm nie gesagt). Also stieg er weiter steil auf und fühlte ein falsches Gefühl der Unverwundbarkeit. Das Flugzeug kletterte tatsächlich so steil und seine Fluggeschwindigkeit war so reduziert, dass es auf einer Flugbahn zum Stillstand kam.

Irgendwann scheinen die Pitotrohre ungefroren zu sein, obwohl der Autopilot nicht wieder ankam. Jetzt erkannte das Flugzeug die Fluggeschwindigkeit und identifizierte den Zustand, in dem es fast keinen Stall mehr gab. In der Folge kam eine Stallwarnung an. Diese akustische Warnung verwirrte den Piloten, der dachte, das Flugzeug sei unzerstörbar. Er kletterte weiter.

Und dann ging die Stallwarnung los !! Warum ist es ausgegangen? Eine Spekulation ist, dass die Fluggeschwindigkeit zu langsam war. Niemand erwartete, dass ein Jetliner so langsam fliegen würde. Die Geschwindigkeit würde nur so langsam sein, wenn das Flugzeug auf dem Boden rollte. Sie möchten nicht, dass Stallwarnungen ausgelöst werden, wenn sich das Flugzeug auf dem Boden befindet. Eine Spekulation ist also, dass die Designer ein Minimum festgelegt hatten – wenn die Geschwindigkeit unter diesem Minimum lag, wurden die Stallwarnungen blockiert. Und genau das ist mit Air France 447 passiert. Die Stallwarnung hat wegen der langsamen Geschwindigkeit aufgehört. Der Pilot, der geflogen ist, muss sich erleichtert gefühlt haben, dass die Stallwarnung losging und dies als ein gutes Zeichen anstelle eines sehr ominösen Zeichens nahm.

Dann betrat ein erfahrener Pilot die Kabine und erkannte, dass die Flugkonfiguration äußerst gefährlich war. Er scheint die Kontrolle übernommen zu haben und hat die Nase gesenkt, um die Geschwindigkeit zu erhöhen. Als Ergebnis – die Stall Warnungen kamen wieder auf! Dies geschah, weil die Fluggeschwindigkeit über das Minimum gestiegen war. Jetzt waren die Piloten gründlich verwirrt. Die Nase zu senken (um den Stallbedingungen zu entkommen) ließ sie vom System angeschrien werden, aber weiter zu klettern war absurd. Als sie versuchten herauszufinden, was geschah, stoppte das Flugzeug, und es fiel in den Ozean. Es dauerte einige Jahre, bis das Flugzeug ausfiel und der Flugdatenschreiber wiederhergestellt werden konnte.

Niemand hatte sich vorgestellt, dass ein Jetliner so langsam fliegen könnte. Als Folge davon half die Stallwarnung, die den Piloten helfen sollte, Gefahren abzuwenden, tatsächlich dabei, sie zu töten.

Das zweite Beispiel stammt aus dem Buch Horse Soldiers aus dem Jahr 2009, in dem kurz nach den Anschlägen vom 11. September 2001 über US-Spezialeinheiten in Afghanistan berichtet wird. Die Soldaten mussten aus Usbekistan in Position gebracht werden, um sich mit afghanischen Stammeskriegern zu verbünden, die gegen die Taliban kämpften. Die Hubschrauberpiloten hatten bei der Durchführung dieser Mission mehrere Probleme. Einer war das Terrain, die steil aufragenden Berge bis zu 20.000 Fuß. Die US-Piloten waren es gewohnt, in 3.000 Fuß zu fliegen – 10.000 Fuß fühlten sich an wie ein Maximum, aber in Afghanistan waren 10.000 Fuß eine geringe Höhe für einige der Hügel / Berge, mit denen sie zu kämpfen hatten. Ein zweites Problem bestand darin, dass die Flüge aus Sicherheitsgründen nachts durchgeführt werden mussten; Die Piloten zogen es tatsächlich vor, schwarz zu fliegen (keine Lichter innerhalb oder außerhalb des Flugzeugs), anstatt ein Ziel zu werden. Ein drittes Problem war das Wetter – manchmal schienen sie nicht den Boden der Wolkenschicht zu durchschlagen, eine Art Masse aus Sand und Schnee, die mitten in der Luft schwebten. Ein viertes Problem war, dass die dünne Luft in dieser Höhe (die Hubschrauberoperationen schwierig machte) zu Sauerstoffmangel führte. Der Helikopter verfügte über ein Atemsystem an Bord mit Masken, die mit Sauerstoffflaschen gespeist wurden, aber leider gab es eine Pause in diesem System. Während des ersten Fluges entdeckte der Hauptpilot das Problem, als er seinen Kopiloten und andere irrational agierte. Also schaltete er die Luft für alle an Bord aus, außer für ihn selbst. Er schaffte es, sicher zu landen, aber die komplizierte Anordnung des Hubschraubers verhinderte, dass die Wartungsmannschaft das Leck reparieren konnte, so dass es Teil der Herausforderung wurde.

Für diesen Aufsatz war die wichtigste Herausforderung das Fliegen des Stocks der Erde, um der Entdeckung zu entgehen – manchmal 20 Fuß über dem Boden und bewegte sich 160 Meilen pro Stunde, in einer Höhe, die manchmal 12.000 Fuß erreichte. In der Nacht. Glücklicherweise verfügte der Hubschrauber über ein Multimode-Radar (MMR), das eine Vorausschau-Fähigkeit bot, die zeigte, ob das Flugzeug irgendwelche Felsvorsprünge beseitigen konnte, die sich auf seinem Weg befanden. Die MMR zeigte dem Piloten, ob genug Kraft, Auftrieb und Geschwindigkeit vorhanden waren, um den nächsten Hügel zu erreichen. Gott sei Dank für die MMR.

Außer das System wurde entworfen, um über 5.000 Fuß herunterzufahren! Die Theorie lautete, dass in Höhen über 5000 klar segeln würde. Warum also weitermachen, Strom ablassen? Die Designer hatten nicht daran gedacht, im Norden Afghanistans zu schlafen.

Wenn die Piloten über jeden Grat fahren, wird die MMR ein- und ausgeschaltet, mit Fehlermeldungen über BAD DATA. Erschwerend kommt hinzu, dass es nach dem Ausschalten der MMR ein paar Minuten dauerte, um sie neu zu starten. Sprich über Blindflug.

So haben wir hier ein zweites Beispiel für ein Versagen der Vorstellungskraft. Warum sollte das MMR-System über 5.000 Fuß laufen? Kein Grund, wenn Sie aus einem Luftwaffenstützpunkt in Georgia fliegen (der US-Bundesstaat, nicht das Land). Viele Gründe, wenn Sie nachts aus Usbekistan in den Norden Afghanistans kommen.

Ein drittes Beispiel, viel weniger dramatisch, ist der Aufwand von Display-Designern für Wettervorhersagesysteme, um die Daten zu “glätten” und Trendlinien anstelle des gesamten Rauschens verschiedener Messwerte zu zeigen. Anfänger-Prognostiker schätzen diese geglätteten Displays, die ihnen helfen, die allgemeinen Trends zu sehen. Erfahrene Wettervorhersagen mögen jedoch die Glättung nicht. Sie wollen den ganzen Lärm, die Turbulenzen, die ungeklärten Bedingungen sehen. Dort passiert das Wetter. Die erfahrenen Meteorologen wissen die unruhigen, lauten Gebiete im Auge zu behalten, um zu sehen, wie sich Wettersysteme bilden.

Diese drei Beispiele illustrieren Designentscheidungen, die zur Erfüllung der offiziellen Spezifikationen und Anforderungen, die jetzt bedauerlich erscheinen, vernünftig erscheinen müssen. Wie oben erwähnt, befürworte ich nicht den Versuch, jede Art von Kontingenz zu identifizieren, die auftreten könnte. Es gibt zu viele mögliche Komplikationen und kontextuelle Komplexitäten. Stattdessen denke ich, dass wir vorsichtiger sein sollten, wenn es darum geht, die Fähigkeiten der Entscheidungsträger, sich auf unerwartete und unvorhergesehene Herausforderungen einzustellen, zu reduzieren. Das bedeutet, dass wir keine Warnsignale für langsame Fluggeschwindigkeiten abschalten – stattdessen finden wir einen anderen Weg, die lästige Warnung zu verhindern, während das Flugzeug auf dem Boden ist. Das bedeutet, dass wir wichtige Radarsysteme nicht über eine bestimmte “sichere” Höhe hinaus fahren. Es bedeutet, dass wir einen wichtigen Hinweis, wie z. B. Datenlärm, nicht eliminieren, nur weil es so unordentlich aussieht. Es bedeutet, dass wir versuchen, den Systembetreibern, den Entscheidungsträgern, mehr Möglichkeiten und Klarheit zu geben, anstatt Optionen auszuschließen. Wenn die Arbeit im normalen Betrieb erleichtert wird, kann dies unter abnormalen Bedingungen unmöglich gemacht werden.