Jeg flyr alene

En gang i tiden var det nødvendig med en rekke personer i cockpit på flyet når man skulle fly lengre distanser. På 1950 tallet var to piloter, en ingeniør, en navigatør og en radiooperatør normen på langdistanseflygninger. Den raske utviklingen av kommersiell radio, sammen med en internasjonal enighet om at all kommunikasjon skal skje på engelsk, gjorde raskt at radiooperatøren ble overflødig. Navigatøren forsvant på 60-tallet og med introduksjonen av den moderne jetmotoren på 80-tallet var det ikke lenger bruk for en ingeniør ombord til å justere motoren underveis.

Typical Civil Aviation Flight Deck Crew from the 1940s. Bilden kommer fra artikkelen “Cyber Safety and Security for Reduced Crew Operations” skrevet av Kevin Driscoll / Honeywell.

I dag er det fortsatt et absolutt krav om to piloter i cockpit for alle kommersielle jetfly som frakter passasjerer eller last. Men, helt i tråd med den økende digitaliseringen av vårt samfunn, er det igjen aktuelt å redusere besetningen: kanskje det er mulig å erstatte andrepiloten i cockpit med en løsning der førstepiloten isteden har støtte fra bakken? En studie fra NASA har allerede evaluert et scenario hvor en operatør på bakken sitter klar til å tre inn som andrepilot for opptil 12 fly om gangen.

Ideen er ikke ny – konseptet muliggjøres allerede av eksisterende teknologi. For å sette det på spissen er det (teknisk sett) uansett ikke lenger piloten som flyer flyet. Autopiloten kan programmeres til å styre flyet og brukes allerede regelmessig i større deler av de fleste kommersielle flyvninger. Flyets Flight Manager Computer hjelper til å beregne flyets optimale hastighet og konfigurasjon (bruk av slats, flaps og understell) underveis. Nyere passasjerfly bruker i tillegg “fly-by-wire”, hvilket (i følge Wikipedia) betyr at “piloten ikke har noen direkte fysisk kontakt med flyets styreflater. I stedet sender styrespaken i cockpiten elektriske signaler via en datamaskin som i sin tur sender signaler til en server som enten justerer styreflatene direkte eller som styrer et hydraulikksystem som justerer disse”. Datalink mellom fly og bakke brukes allerede for kommunikasjon mellom pilot og mottakere på bakken via tastatur i cockpit (denne protokollen kalles for ACARS). Helt autonome passasjerfly er derimot ikke noe som flyprodusentene har planer om å satse på – årsaken er helt enkelt at de ikke tror at passasjerene tør å bli med på reisen. En fersk studie avslører at det er kun 17% av oss som ønsker å bli med på et førerløst fly. Én-pilotflygninger er derimot en annen ting; her er det store penger å spare for flyselskapene.

Fra et sikkerhetsperspektiv så oppstår umiddelbart mange spørsmål når man vurderer fjerntilgang til flyet sine systemer i cockpit. Når ansvaret for flyet deles mellom pilot og bakkepersonell kreves det en svært sikker og robust datalink mellom fly og bakke, som har lav forsinkelse og pakketap, samt høy integritet. Ende-til-ende-sikkerhet blir med all sannsynlighet et fundamentalt krav. Dessverre finnes det ikke mye åpne forskningsresultater på dette temaet (cyber sikkerhet har, historisk sett, dessverre ikke vært et prioritert tema i luftfartsbransjen..) men ryktet sier at bl.a. NASA sine forskningssenter Ames og Langley er på saken.

Et interessant spørsmål i denne sammenhengen er hvordan ansvaret fordeles mellom piloten i flyet og bakkepersonell. Dette vil være spesielt viktig fra et sikkerhetsperspektiv. I artikkelen “Cyber Safety and Security for Reduced Crew Operations” så diskuterer Kevin Driscoll fra Honeywell akkurat denne rollefordelingen. Følgende scenarier, med rollefordeling mellom “Airborne Crew (AC)” og “Ground Crew (GC)” presenteres:

AC is pilot in command, GC is just stand-by redundancy.

I dette scenariet har bakkepersonell ingen direkte kontroll over flyet, så lenge alt foregår som normalt. Noen form av automasjon er nødvendig for å kunne avgjøre når piloten blir ute av stand til å kontrollere flyet og hvordan bakkepersonell da skal kunne autoriseres for å ta over kontrollen over flyet.

AC is pilot in command, GC is active second pilot.

I dette scenariet må bakkepersonell agere som et ekstra par øyne, på lik linje med dagens andrepiloter. Imidlertid har ikke eksisterende datakommunikasjonsutstyr tilstrekkelig kapasitet for a tilby videolink, spesielt ikke for transatlantiske flyvninger og flyvning i nordområdene hvor satellittdekningen er begrenset.

GC is pilot in command, AC is active second pilot.

På denne nivået må bakkepersonell ha full kontroll over flyet. Akkurat som i det forrige scenariet er kommunikasjonslinken kritisk; i tillegg vil det bli krav på maksimal forsinkelse og støy på radiolinken. Et annet spørsmål er hvor lang tid det tar før piloten klarer å få tilbake kontrollen over flyet hvis kommuniksjonslinken til bakken skulle gå ned.

GC is pilot in command, AC is just stand-by.

Nå er piloten enda lenger “out of the loop” enn i det forrige scenariet og trenger dermed sannsynligvis lengre tid for å ta tilbake kontrollen over flyet. I tillegg kan det at piloten er “standby” bety mange forskjellig ting: han/hun spiser lunsj, oppdaterer flyets loggbok, sover, tar seg en tur til toalettet osv.

GC is in command, AC is incapacitated/unavailable.

Dette ligner på det forrige scenariet, men nå er piloten ute av stand til å ta tilbake kontrollen over flyet, f.eks. fordi han/hun er blitt syk. Noe som ofte blir oversett når dette scenariet analyseres er at situasjonen lett kan forveksles med det neste beskrevet under – det skjer av og til at en pilot blir syk under en flyvning på en slik måte (slag, demens, etc.) at han/hun kan oppfattes fiendtlig innstilt av bakkepersonale.

GC is in command, AC is an adversary or is suicidal.

Nå har bakkepersonell fortsatt full kontroll over flyet men må å klare håndtere en motspiller, for eksempel hvis noen har kapret flyet og tatt over rollen som pilot, eller hvis det sitter en selvmordspilot bak spakene. Efter “9/11” og “German Wings” tragedien har vi sett en økende interesse for å kunne håndtere denne typen av scenarier, f.eks. gjennom en form for overstyringsmekanisme fra bakken. Dessverre er det lite sannsynlig at man klarer å finne en slik løsning, ikke minst fordi det finnes utallige måter for en angriper med kontroll over cockpit å krasje flyet, men også fordi enhver potensiell teknisk løsning vil åpne døren til et enda farligere scenario (beskrevet under).

AC is pilot in command, GC is an adversary.

Scenariet hvor ondsinnet bakkepersonell kan få til å ta over kontrollen over et fly er selvsagt noe som til enhver pris må unngås og sannsynligvis er det nettopp dette som er det største trusselen mot hele konseptet med én-pilotflygninger.

Driscoll sin artikkel konkluderer ikke med noe foretrukket scenario men gjør leseren oppmerksom på ytterligere problemstillinger som må besvares før en-pilotsflyvninger kan bli virkelighet. For eksempel må det nøye analyseres når og hvordan bakkepersonell får lov til å ta over kontrollen av flyet, og i så fall hvilken/hvilke deler av flyet sine kontrollsystemer de kan få tilgang til.

Motivasjonen for innføring av en-pilotsflyvninger er selvsagt økonomiske besparelser, men spørsmålet gjenstår: vil det være verdt det? Flybransjens strenge regler for sertifisering og sikkerhet innebærer at kostnaden for å implementere de nødvendige mottiltakene sannsynligvis blir altfor høy. Og som sikkerhetsforskere er vi alltid opptatt av trusler og sårbarheter. Man kan neppe forestille seg et verre scenario enn ett der flyene kan bli hacket fra bakken…