BSH SMART CITY 
NACHHALTIGE DIGITALISIERUNG: MADE IN GERMANY

Modellbasierte Sicherheitsarchitekturen und ihre Abwesenheit: Lehren aus dem Unfall von Air Canada: Warum ein modellbasiertes Fehlermanagement Leben hätte retten können



Der Flugunfall eines Regionalflugzeugs der Air Canada am LaGuardia Airport stellt ein prägnantes Beispiel für das Versagen komplexer soziotechnischer Systeme dar. Während erste Berichte das Ereignis als tragischen Einzelfall oder als Folge individueller Fehlentscheidungen interpretierten, offenbart eine tiefergehende Betrachtung ein deutlich umfassenderes Problem: das Fehlen eines integrierten, modellbasierten Fehlermanagement-Systems, das in der Lage gewesen wäre, die Eskalation frühzeitig zu erkennen und zu unterbrechen.

Moderne Luftfahrtsysteme gehören zu den am stärksten regulierten und technologisch fortgeschrittenen Infrastrukturen weltweit. Dennoch zeigt dieser Vorfall, dass selbst hochentwickelte Sicherheitsmechanismen an ihre Grenzen stoßen, wenn sie primär auf statischen Regeln, fragmentierten Informationsflüssen und menschlicher Entscheidungsfindung basieren. Insbesondere in dynamischen Hochrisikoumgebungen wie dem Flughafenbetrieb entstehen Gefahren nicht isoliert, sondern durch das Zusammenwirken mehrerer Faktoren – etwa parallele Bewegungen auf der Start- und Landebahn, Zeitdruck, Kommunikationsschnittstellen und unvollständige Lagebilder.

Vor diesem Hintergrund gewinnt der Ansatz der Systemtheorie zunehmend an Bedeutung. Er ermöglicht es, Unfälle nicht als lineare Ketten einzelner Fehler zu verstehen, sondern als Resultat komplexer Wechselwirkungen innerhalb eines Gesamtsystems. Ergänzend dazu betont die Forschung im Bereich Human Factors die inhärenten Grenzen menschlicher Wahrnehmung und Entscheidungsfähigkeit – insbesondere unter Stress und Zeitdruck. Beide Perspektiven legen nahe, dass nachhaltige Sicherheit nur durch systemische, modellgestützte Ansätze erreicht werden kann.

Ein modellbasiertes Fehlermanagement-System verfolgt genau dieses Ziel: Es integriert Echtzeitdaten, simuliert mögliche Systemzustände und identifiziert potenzielle Konflikte, bevor sie kritisch werden. Damit verschiebt sich der Fokus von einer reaktiven Fehlerbehandlung hin zu einer proaktiven Risikoerkennung und -vermeidung. Im vorliegenden Fall stellt sich daher nicht nur die Frage, welche konkreten Fehler gemacht wurden, sondern vor allem, warum das bestehende System nicht in der Lage war, diese Fehler rechtzeitig zu kompensieren.

Die folgende Fehleranalyse untersucht den Unfall daher nicht als isoliertes Ereignis, sondern als Ausdruck struktureller Defizite im Sicherheitsmanagement. Besonderes Augenmerk liegt dabei auf den Folgen des fehlenden modellbasierten Ansatzes und der daraus resultierenden Unfähigkeit, kritische Systemzustände frühzeitig zu erkennen, zu bewerten und zu entschärfen. Ziel ist es, aus der Analyse nicht nur die Ursachen des Unfalls abzuleiten, sondern auch grundlegende Anforderungen an zukünftige, resilientere Sicherheitssysteme zu formulieren.

1. Ausgangssituation und Ereignisverlauf
Beim Landeanflug kollidierte ein Regionalflugzeug mit einem Feuerwehrfahrzeug, das sich auf der Landebahn befand. Die unmittelbaren Folgen waren:
  • Der Tod von Pilot und Copilot.
  • Zahlreiche Verletzte unter Passagieren und Bodenpersonal.
  • Massive strukturelle Schäden am Flugzeug.
Diese Art von Unfall – eine sogenannte Runway Incursion – ist selten, aber in der Regel auf mehrdimensionale Systemfehler zurückzuführen.

2. Klassische Fehlerkette vs. systemisches Versagen
Traditionelle Unfallanalysen betrachten häufig lineare Fehlerketten:
  • Fehlfreigabe für das Bodenfahrzeug.
  • Unzureichende Kommunikation durch die Flugsicherung.
  • Fehlende rechtzeitige Intervention.
Ein modellbasiertes Fehlermanagement hingegen hätte das System als vernetztes Ganzes betrachtet, in dem Mensch, Technik und Organisation dynamisch interagieren.

3. Was ist ein modellbasiertes Fehlermanagement-System?
Ein solches System basiert auf Konzepten aus der Systemtheorie und der Sicherheitsforschung. Es zielt darauf ab:
  • Risiken nicht nur reaktiv, sondern proaktiv zu modellieren,
  • Wechselwirkungen zwischen Teilsystemen sichtbar zu machen und.
  • kritische Zustände frühzeitig zu erkennen und zu verhindern.
Mehr dazu finden Sie hier.

4. Identifizierte Systemlücken im vorliegenden Fall
4.1 Fehlende Echtzeit-Konfliktmodellierung
Ein modellbasiertes System hätte kontinuierlich alle Bewegungen auf der Landebahn analysiert. Die gleichzeitige Freigabe von:
  • Flugzeug im Landeanflug und
  • Bodenfahrzeug auf der Piste.
hätte als kritischer Konfliktzustand erkannt und automatisch blockiert werden können.
Folge des Fehlens:
 Die Entscheidung lag ausschließlich bei menschlichen Akteuren unter Zeitdruck.
4.2 Unzureichende prädiktive Warnmechanismen
Moderne Fehlermanagement-Systeme nutzen Vorhersagemodelle, um gefährliche Entwicklungen Sekunden oder Minuten im Voraus zu erkennen.
Im vorliegenden Fall fehlte:
  • eine automatisierte Kollisionsprognose
  • eine priorisierte Warneskalation
Folge:
 Die Warnung an das Feuerwehrfahrzeug kam zu spät.
4.3 Keine integrierte Systemsimulation in Echtzeit
Ein modellbasiertes System hätte den gesamten Flughafenbetrieb als dynamisches Modell abgebildet:
  • Flugbewegungen.
  • Bodenverkehr.
  • Notfalleinsätze.
Folge des Fehlens:
 Es gab keine zentrale Instanz, die widersprüchliche Freigaben systemisch überprüfte.
4.4 Übermäßige Abhängigkeit von menschlicher Entscheidungsfindung
Ohne modellbasierte Unterstützung liegt die Verantwortung vollständig bei einzelnen Akteuren:
  • Fluglotsen,
  • Einsatzfahrern und
  • Cockpitbesatzung.
Dies widerspricht grundlegenden Erkenntnissen der Human Factors.
Folge:
 Ein einzelner Fehler konnte nicht durch Systemmechanismen abgefangen werden.

5. Eskalationsdynamik des Unfalls
Das Fehlen eines modellbasierten Systems führte zu einer typischen Eskalation:
  1. Initialer Konflikt (gleichzeitige Nutzung der Landebahn).
  2. Nicht erkannter Risikozustand.
  3. Verspätete Reaktion.
  4. Unkontrollierbare Kollision.
Ein robustes Fehlermanagement hätte mindestens eine dieser Stufen unterbrochen.

6. Systemische Folgen
Die Auswirkungen gehen weit über den unmittelbaren Unfall hinaus:
Operative Folgen
  • Flughafenschließung.
  • Unterbrechung internationaler Flugketten.
Menschliche Folgen
  • Verlust von Menschenleben.
  • Traumatisierung von Beteiligten.
Institutionelle Folgen
  • Vertrauensverlust in Flugsicherungsprozesse.
  • Regulatorischer Druck auf Behörden und Betreiber.

7. Schlussfolgerung
Der Unfall ist weniger als isoliertes Versagen einzelner Personen zu verstehen, sondern vielmehr als Versagen eines unzureichend vernetzten Systems.
Das Fehlen eines modellbasierten Fehlermanagement-Systems hatte entscheidende Konsequenzen:
  • Keine frühzeitige Konflikterkennung.
  • Keine automatisierte Risikoabschätzung.
  • Keine systemische Absicherung menschlicher Entscheidungen.
In hochkomplexen Umgebungen wie der Luftfahrt ist Sicherheit nicht allein durch Erfahrung und Protokolle gewährleistet. Erst durch die Integration modellbasierter, prädiktiver Systeme kann verhindert werden, dass aus kleinen Fehlern katastrophale Ereignisse entstehen.

8. Ausblick
Die Untersuchung des Unfalls dürfte zu verstärkten Investitionen in:
  • KI-gestützte Flugsicherungssysteme,
  • digitale Modellierung von Flughäfen und
  • integrierte Sicherheitsarchitekturen,
führen.
Die zentrale Erkenntnis bleibt:
 Nicht der einzelne Fehler war entscheidend – sondern das System, das ihn nicht verhindern konnte.