Opinie&Analyse
Michael Persson

Op één been kan je niet staan

Ergens in de eerste weken van mijn eerste jaar lucht- en ruimtevaarttechniek in Delft kreeg ik ingeprent dat er zoiets als een veiligheidsfilosofie bestaat, een tamelijk essentieel onderdeel van het denken over vliegtuigen, en het voorkomen van het neerstorten ervan. Ik leerde over het fail-safe principe, de ontwerptruc dat een vliegtuig nog gewoon kan doorvliegen als er een component uitvalt. En dat redundantie, een schijnbaar overbodige verdubbeling van systemen, de simpelste manier is om de veiligheid te vergroten.

Het laatste wat je wilt is een single point of failure, waarbij één mankement tot een ongeluk leidt.

Bij Boeing werken ook genoeg mensen die vliegtuigbouw hebben gestudeerd, en dus zitten er twee vaantjes op de 737 MAX die de hoek van de aanstromende lucht meten. Die invalshoek, alias ‘angle of attack’ is belangrijk, want als die hoek te groot wordt bij te lage snelheid kan het toestel overtrekken – dan verliest het draagkracht en valt naar beneden. Twee vaantjes, terwijl je er maar een nodig hebt: redundantie.

Dat dat geen overbodige luxe is, ontdekte The New York Times. De krant heeft maanden gewerkt een aan groot onderzoek naar de 737 MAX, nadat er twee waren neergestort. In een database van de Amerikaanse luchtvaartautoriteit FAA vonden de journalisten honderden gevallen van beschadigde invalshoek-vaantjes: gebogen, gescheurd, gebroken of gewoon verkeerd geïnstalleerd. Vogels zijn nogal eens de boosdoener: om precies te zijn 122 keer, sinds 1990

En toch besloot Boeing maar één van die twee sensoren te gebruiken als input voor het overtrekbeveiligingssysteem MCAS (werd de invalshoek te groot, dan zou deze nieuwe software de neus van het vliegtuig eigenhandig naar beneden duwen). Dat ging dus mis, tot twee keer toe.

Na het eerste ongeluk met een toestel van het Indonesische Lion Air afgelopen najaar, wilden Amerikaanse piloten weten wat er aan de hand was. Eén uitgevallen sensor? Was dit geen typisch geval van een single point of failure?

Nee hoor, zei Boeings vice-president Mike Sinnett tegen de piloten, ‘dit wordt in het ontwerp en in de certificering niet beschouwd als een single point’. Waarom niet? ‘Omdat het onderdeel en de piloot zij aan zij werken en beide onderdeel zijn van het systeem’, zei hij. Dus het was aan de piloot om de defecte sensor en een foutieve reactie van het MCAS op te vangen.

Alleen: de piloten wisten niet eens dat er zoiets bestond als een MCAS. De nieuwe correctiesoftware was uit het handboek van de 737 MAX gelaten, om te voorkomen dat de piloten uren extra zouden moeten trainen.

Dus toen de toestellen van Lion Air en Ethiopian Airlines ineens naar beneden doken en de piloten wanhopig probeerden op te trekken, lukte dat niet – ze hadden het MCAS moeten uitschakelen, een systeem waarvan ze niet eens wisten dat het bestond. Boeing had eigenhandig en volkomen nodeloos single point of failure geïntroduceerd.

Inmiddels werkt Boeing aan een oplossing waarbij wel twee vaantjes worden gebruikt. Twee ongelukken en 346 doden verder heeft het bedrijf de eerstejaars collegeaantekeningen er nog eens bij gepakt. 

Ontvang de nieuwsbrief, binnenkort 2 keer per week

Meld je nu aan!

Gratis proefabonnement TW

Bestel nu 2 gratis proefnummers TW