Blackbox in the cloud

Skjellet av et styrtet fly

De senere årene har flere fly styrtet og man har i ettertid hatt lange leteaksjoner etter de svarte boksene for å kunne gi pårørende og verden svar på hva som har skjedd. Dette har medført at flere har tatt til orde for at de svarte boksene burde strømmes ut i skyen. Senest i starten av juni ville NRK vite mer om muligheten for dette fra våre kollegaer Martin Gilje Jaatun og Ivonne Herrera.

Her skal vi ta en kikk på hva disse berømte svarte boksene er for noe, mulighetene som åpner seg om vi legger disse i skyen og selvsagt også noen tuer langs veien (de kan som kjent velte store lass).

Hva er en svart boks?

Siden media har vært så flinke å skrive om at svarte bokser ikke er svarte, anser vi det som unødvendig å opplyse deg om at de egentlig er oransje. Vi vil heller snakke om boksens funksjoner og rolle – samt at «svarte bokser» er et slanguttrykk for ferdsskriver.

Ferdsskriverens oppgave er å lagre all relevant informasjon om hvordan flyet oppfører seg, hvilke manøvrer piloten foretar seg, motortilstand og –oppførsel. En ferdsskriver består av to logiske deler: Flight data recorder og Cockpit voice recorder (jeg har dessverre ikke gode norske ord for disse).

Flight data recorder må lagre et sett på minst 88 spesifikke parametere – flere ganger i sekundet – for å kunne bli godkjent til bruk i dagens fly. Systemet lagrer alle disse parameterne i ca. 20 timer, før man begynner å skrive over fra starten av.

Cockpit voice recorder tar opp all kommunikasjon i cockpit, all radiokommunikasjon mellom cockpit og kabinen, samt all verbal kommunikasjon mellom flyet og bakken. Disse opptakene lagres vanligvis i ca. 2 timer før de overskrives.

Denne store mengden informasjon er derfor meget nyttig for våre venner i Lufthavarikommisjonen når de skal finne årsaken til at noe gikk så galt at et fly styrtet. Derav også frustrasjonen over ikke å finne disse boksene raskt nok.

Fra en sky til en annen

Om man skal dra en billig spøk (og slike muligheter lar man sjelden gå fra seg), kan man hevde at boksene flyttes opp i skyene flere ganger daglig. Dog er det, som nevnt, flere som har tatt til orde for å plassere dem permanent i skyen – og da i den digitale.

Dette ville selvsagt ha den fordelen at materialet var tilgjengelig for etterforskning med det samme ulykken var et faktum. Men i tillegg til det ville man kanskje også kunne forhindre ulykker, siden datasentre på bakken vil kunne ha langt større mulighet til å prosessere og tolke mottatte data enn de begrensede datamaskinene som befinner seg i dagens fly. Det er sådan teoretisk mulig at man vil kunne avdekke avvik før de inntreffer.

Hvorfor er ikke de svarte boksene online allerede?

Med minst to fortreffelige fordeler med å ha ferdsskriveren i skyen, kan vi spørre oss hvorfor dette enda ikke er innført. Her er det nok mange årsaker, og jeg vil nok bare røre ved noen av dem.

For det første er ikke båndbredden på datalinjen mellom flyet og bakken særlig å skryte over i øyeblikket og det å kontinuerlig strømme all denne informasjonen ut i skyen ville legge ytterligere belastning på et allerede overbelastet nett.

Nå rynker du, kjære leser, kanskje litt på nesen og tenker i ditt stille sinn at båndbredden var god nok sist du sjekket epost eller Twitter fra flyet. Dette faktum skal jeg ikke betvile, men heller påpeke at ikke all informasjon på et fly kan gå over samme nettlinje – noe informasjon er regnet som trygghetskritisk (safety critical) og må derfor sendes over datalinjer som er spesielt tilpasset formålet – internettet du blir tilbudt i kabinen er dessverre ikke en slik linje.

Per dags dato har en del fly støtte for VDL og VDL2 – altså VHF Data Link. Her har vi ganske lave bitrater og er allerede på god vei til å sprenge kapasiteten. På strekninger med store innslag av hav (f.eks. transatlantiske) er flyene ofte utstyrt med en satellittlink i tillegg til VHF. Denne benyttes da i områder hvor VHF ikke er tilgjengelig eller har for dårlig kvalitet. Her har vi langt bedre båndbredde.

Når vi så vet at man har bedre båndbredde på SATCOM, så er vel løsningen enkel: introduser SATCOM på alle fly, så får vi ferdsskriver i nettskyen? Her har vi noen ytterligere problemstillinger å kikke på. Den første er pris. Flyselskapene betaler per brukt datamengde på SAT-linken, og ønsker derfor å holde datatrafikken så lav som mulig. Neste mann ut er det vi kaller banking (nok en gang mangler jeg et godt norsk ord – kanskje jeg skulle spørre om å få låne et fra Island?), altså det faktum at et fly ikke alltid befinner seg i en bestemt posisjon, men tilter og svinger. Når et fly oppnår en gitt vinkel – ene eller andre veien – mister det kontakten med satellitten og dermed også muligheten til å sende og motta data via SAT-link. Om ferdsskriveren flyttes helt ut i skyen, er det derfor stor fare for at vital informasjon ikke bare vil være forsinket inn på havarikommisjonens bord, men utebli fullstendig.

Så kommer vi til et annet poeng, alt som skal ombord på et fly (foruten passasjerer og deres bagasje) må sertifiseres. Dette kan være en lang og meget kostbar prosess. Prosessen for at et flyselskap skal få lov å ta i bruk noe ny programvare i underholdningsystemet er nok ikke altfor innfløkt, men når vi begynner å snakke om å bytte ut ferdsskriverne vil man fort måtte ha internasjonalt universelle løsninger. Dette betyr at i tillegg til å kunne sertifiseres utfra et trygghetsperspektiv (safety), må man også kunne enes på tvers av land, produsenter, fiender og konkurrenter. Dette gjøres gjerne gjennom FN-organet ICAO og tar noe tid. Det store fokuset på trygghet (safety) har gjort flybransjen meget konservativ. Eksempelvis kan det nevnes at dagens datautveksling mellom bakke og luft ikke benytter noen IP-protokoll, men en protokoll som ble utviklet på 70-tallet kalt Aeronautical Communication Addressing and Reporting System (ACARS). Vi er nå, sakte, men sikkert på vei over på IP også for flybransjen (noen fly benytter ATN/OSI i noen områder). Migreringene forventes «fullført» rundt 2030.

En nøkkel på et kretskort med påskriften BIG DATA Technology Security

Sikkerhetsutfordringer

Om du nå trodde at jeg hadde glemt at jeg skriver på en sikkerhetsblogg, så kan du nesten ha litt rett i det. Men jeg har ikke glemt det fullstendig, og serverer her noen tanker du kan varme ditt sikkerhetshjerte på eller bruke som argumenter når hodet skal opp av eller ned i sanden.

Det er flere spennende utfordringer å ta tak i når det gjelder ferdsskriveren da den mottar en mengde kritiske data. Vi har personvernsutfordringer, vi har store mengder data som man ikke ønsker at konkurrentene skal ha tilgang til, vi har fare for overvåkning og sikkert en hel del andre ting jeg ikke kommer på i farten (forslag mottas med takk).

Personvern

Per nå er tilgangen til ferdsskriveren begrenset til de som har tilgang til flyet når det står på bakken, samt at data automatisk slettes i det de overskrives etter en gitt tid som følge av begrenset kapasitet. I tillegg må man, så vidt meg bekjent, ha spesielt utstyr for å lese ut innholdet av ferdsskriveren. Nå kan man selvsagt argumentere for at alt dette kan ivaretas også om ferdsskriveren flyttes ut i skyen, men det vil også åpne muligheter (og dermed også fristelser) til å bruke dataene til andre formål. Det øker også muligheten for at uønskede aktører får tilgang til informasjonen.

Det mest kritiske per nå når det gjelder personvern er trolig lydopptaket av alt som blir sagt i cockpit, både over radio og pilotene imellom. Når man sitter i et trangt rom med en god (forhåpentligvis) kollega over lenger tid er det neppe bare «3 degrees left» og «prepare for landing» man samtaler om.

Kommersielle hensyn

Strømming av data fra ferdsskriveren kan også ha kommersielle implikasjoner – i alle fall om noen klarer å fange opp informasjonen som sendes. Om jeg var opportunist, hadde monopol på verkstedtjenester ved en flyplass og fanget opp informasjon om at flyet ditt måtte bytte del X før dere kunne ta av igjen; da hadde prisen på del X kunne blitt høy. Eller om jeg drev et mediehus, og det viktigste var å være først ute med en story, kunne jeg hatt systemer på plass for å detektere fly som hadde problemer, generere en nyhetsartikkel og potensielt «varsle» pårørende om flystyrten før noen andre (og tjene gode penger på det). Nok et alternativ er om jeg får alle detaljerte parameter rundt din flyvning og dermed kan vite dine eksakte kostnader. Mange flere muligheter finnes også om man leter med lys og lykte.

Overvåkning

Det vil oppstå en situasjon hvor flygerne i et flyselskap er under konstant overvåkning så lenge de er på jobb og flyselskapet dermed vil inneha mengder av informasjon de ikke nødvendigvis skulle ha. Fristelsen til misbruk av slike data vil kunne melde seg f.eks. i forbindelse med konflikt mellom pilot(er) og flyselskapet.

Et fly på bakken. Sett fremenfra

Vil de forbli offline?

Så er jo det store spørsmålet om ferdsskriverne vil forbli offline til evig tid. Her må jeg innrømme at krystallkulen min ikke gir noe entydig svar, men jeg kan avsløre min helt personlige spekulasjon:

Man vil beholde en fysisk ferdsskriver ombord i ethvert fly for å sikre seg i de tilfellene man ikke får tilgang på informasjonen på annet vis – trygghet (og marginer) trumfer alt annet i luftfart. Siden de aller fleste overnevnte problemer er løsbare vil man gradvis gå over til å sende mer og mer informasjon fra flyet til bakken (denne delen av setningen er ikke spekulasjon), også langt på vei de data som mates inn i ferdsskriveren (Advarsel: spekulasjon).

Et annet alternativ er at, siden trygghet (safety) trumfer alt annet innen luftfarten, man registrerer, aksepterer og setter til side de overnevnte utfordringer med det argument at man har potensiale til å øke tryggheten.

Et krav for å kunne innføre ferdsskrivere med strømming til bakkebaserte datasentre er stabile datalinjer med tilstrekkelig kapasitet. Her er SINTEF involvert gjennom ESA prosjektet Iris – vi har utviklet PKI-løsningen som skal benyttes over satellitt-linken og jobber nå med den generelle sikkerheten i bakke-luft-SATCOM.