Birleşik Krallık hava trafik sisteminde meydana gelen yazılım kaynaklı bir problem sebebiyle, 28 Ağustos 2023 tarihinde sistem devre dışı kalmış ve 2000’den fazla uçuş iptal edilmek veya ertelenmek durumunda kalmıştır [1]. IATA’ya göre yaşanan olay havayolu firmalarına; uçuş iptalleri, uçuşu ertelenen yolcuların otel masrafları gibi kalemler sebebiyle yaklaşık 126 milyon dolar maliyete yol açmıştır [2]. Bu yazıda, olaya ilişkin NATS tarafından hazırlanan rapor [3] temel alınarak yazılım kaynaklı olduğu değerlendirilen arıza incelenecektir.
Birleşik Krallık’ta gerçekleştirilen ticari uçuşlar kontrollü hava sahası içerisinde gerçekleştirilmektedir. Kontrollü hava sahasında uçuşlar aletli uçuş kuralları (IFR) uygulanarak yapıldığı için, uçuş öncesinde uçuş planı hazırlanıp ilgili mercilere teslim edilmektedir. Avrupa hava sahasında gerçekleşecek olan IFR uçuşlara ait uçuş planları Eurocontrol tarafından ilgili ülkelerin hava trafik kontrol birimlerine iletilmektedir. Hava trafik kontrol birimleri, uçakların uçuşları esnasında diğer uçaklardan yatay ve dikey olarak emniyetli mesafede kalmasından sorumlu olmaktadır.
Kontrollü hava sahasında uçuş gerçekleştirmek isteyen havayolu firmalarının, uçak tipi, hız, çağrı işareti ve rota bilgilerini içeren uçuş planlarını uçuştan belirli bir süre önce bildirmeleri gerekmektedir. Hava Seyrüsefer Hizmet Sağlayıcıları bu bilgileri kullanarak kontrol ettikleri hava sahasındaki hava trafiğini emniyetli ve verimli bir şekilde yönetmektedirler. Avrupa hava sahasını kullanacak uçuşlar için, uçuş planlarının Eurocontrol tarafından işletilen Entegre Uçuş Planı İşleme Sistemi (IFPS)’e girilmesi gerekmektedir. IFPS’e girilen plan IFPS’in gerektirdiği parametre şartlarını sağladığı takdirde kabul edilmekte ve ilgili havayolu firmasına bilgi verilmektedir. Ardından IFPS tarafından kabul edilen uçuş planları, ilgili Hava Seyrüsefer Hizmet Sağlayıcıları’na iletilmektedir. 28 Ağustos 2023 tarihinde Birleşik Krallık’ta meydana gelen olay özelinde, olaya yol açan uçuş planı Birleşik Krallık’ta Hava Seyrüsefer Hizmet Sağlayıcısı olarak hizmet vermekte olan NATS firmasının sistemine iletilmiştir. NATS firmasının sistemine iletilen uçuş planları ise aşağıdaki şekilde verilen akışı izleyerek hava trafik kontrol birimlerine iletilmektedir.
NATS firmasının sistemine IFPS’ten gelen uçuş planları, sistemin içinde yer alan FPRSA-R (Flight Plan Reception Suite Automated) adlı alt sisteme ulaşmaktadır. FPRSA-R alt sistemi, kendisine gelen ADEXP formatına uygun uçuş planlarını, Birleşik Krallık Ulusal Hava Sahası Sistemi (NAS)’nin işleyebileceği formata çevirmektedir. FPRSA-R alt sistemi en son 2018 yılında güncellenmiş, o zamandan günümüze kadar 15 milyondan fazla uçuş planını başarılı şekilde NAS’ın işleyebileceği formata çevirmiş ve herhangi ciddi bir problem yaşanmamıştır. Ayrıca FPRSA-R alt sistemi kendi içinde yedekli bir sistem olup, 2018’den günümüze kadar kullanıldığı süre zarfında hem ana hem de yedek sistemin aynı anda kaybedildiği herhangi bir durum ile karşılaşılmamıştır. Ek bir önlem olarak, FPRSA-R alt sisteminde bir sıkıntı yaşanması durumunda uçuşların aksamaması için, NAS sistemi 4 saatlik uçuş planı verisini önden depolamaktadır. Böylece FPRSA-R alt sistemi bir süreliğine çalışmasa bile, 4 saat boyunca uçuşlar aksamadan devam ettirilebilmektedir.
Olayın gerçekleştiği 28 Ağustos 2023 tarihinde, Birleşik Krallık dışındaki bir ülkeden (ABD Los Angeles Uluslararası Havalimanı - LAX) saat 04:00 (İngiliz Yaz Saati – BST) ‘de havalanıp, Birleşik Krallık hava sahasını kullandıktan sonra gene Birleşik Krallık dışındaki bir ülkeye (Fransa Paris Orly Havalimanı - ORY) saat 15:00’te iniş yapması planlanan bir uçuşa ait uçuş planı Eurocontrol’un sistemi olan IFPS’e girilmiştir. İlgili uçuş planı IFPS sistemi tarafından uygun bulunmuş ve kabul edilmiştir. IFPS sistemi ilgili uçuş planını, uçak Birleşik Krallık hava sahasına girmeden 4 saat önce NATS sistemine iletmiştir. Saat 08:32’de uçuş planı NATS sisteminde yer alan FPSRA-R alt sistemine ulaşmıştır. Kalkış ve/veya iniş ülkesi Birleşik Krallık olmayan, ancak Birleşik Krallık hava sahasını kullanan uçuşlar için, FPSRA-R alt sisteminin görevi, ilgili uçuş planının Birleşik Krallık hava sahasına giriş ve çıkış noktalarını belirlemek ve bu bilgileri ilgili hava trafik kontrol birimlerine iletmektir. ICAO4444 formatına uygun şekilde hazırlanmış olan uçuş planları, IFPS tarafından ADEXP formatına çevrilmektedir. Bu çevrim esnasında orijinal uçuş planında yer alan yol noktalarına (waypoint) ek olarak, uçağın Avrupa hava sahasından çıktıktan sonra izleyeceği güzergahı anlamak adına ek yol noktaları da bulunmaktadır. IFPS tarafından ADEXP formatına çevrilmiş olarak FPSRA-R’a iletilen olaya konu uçuş planında, aynı yol noktası (waypoint) tanıtma koduna sahip ancak konumları farklı olan iki adet yol noktası mevcuttu. Bu noktalardan bir tanesi uçuş planının başlangıç kısmında yer alırken, diğeri ise uçuş planının bittiği kısımda yer alıyordu. ICAO ve diğer kuruluşlar tarafından yol noktalarının eşşiz tanıtma kodlarına sahip olması için çalışma yürütülüyor olmasına rağmen, birbirinden coğrafi konum olarak yeterince uzak olan yol noktaları için acil bir güncelleme faaliyeti yapılmamakta ve bu durumun yol noktaları birbirinden yeterince uzakta olduğu için emniyete aykırı bir durum oluşturmadığı değerlendirilmektedir. 28 Ağustos 2023 tarihli olaya konu uçuş planında yer alan aynı tanıtma koduna sahip olan yol noktaları (waypoint) birbirinden yaklaşık 4.000 hava mili (7.408 km) uzakta konumlandıkları için, ICAO’nun genel yaklaşımına aykırı bir durum mevcut değildir. FPRSA-R alt sistemi uçuş planını işlerken plan dosyayı içerisinde uçağın Birleşik Krallık hava sahasına giriş yol noktasını bulduktan sonra, uçağın hava sahasından çıkış yol noktasını bulmaya çalışırken, aynı tanıtım koduna sahip olan iki yol noktasından birini bulmuştur. Ancak uçuş plan dosyasında çıkış noktası olarak bulunan yol noktasının tanıtım koduna sahip olan bir diğer yol noktası uçuş planının başlangıç bölümünde yer aldığı için, bulunan giriş ve çıkış noktaları arasında çizilen rota Birleşik Krallık hava sahası üzerinden geçmemekte bu sebeple de geçerli bir rota oluşturulamamıştır. Uçuş planında yer alan ve tanıtma kodu DVL olan iki adet farklı yol noktası sebebiyle bu olay meydana gelmiştir. Tanıtma kodu DVL olan bu yol noktalarının açık adları ve konumları şu şekildedir:
DVL - Devil's Lake - Wiskonsin - ABD
DVL - Deauville - Normandiya - Fransa
FPRSA-R alt sistemi yazılımı oluşan bu hata durumu üzerine kritik istisna (critical exception) oluşturmuş asıl FPRSA-R sistemi çalışmayı durdurup bakım moduna geçmiştir. Bunun üzerine kontrol yedek FPRSA-R sistemine geçmiş, ancak bu sistem de aynı uçuş planı dosyasını işlemeye çalışırken aynı durumla karşılaşmış ve benzer şekilde kritik istisna (critical exception) oluşturup çalışmayı durdurmuştur. Dolayısıyla yaklaşık 20 saniye içerisinde hem asıl hem de yedek sistem devre dışı kalmıştır. Bu noktada önceden belirttiğimiz üzere NAS sisteminde bulunan 4 saatlik uçuş planı verisi ile uçuşlar yürütülmeye çalışılmış, ancak FPRSA-R sisteminin tekrar çalışır duruma getirilmesi 4 saatten uzun sürdüğü için olaya konu uçuş erteleme ve gecikmeleri yaşanmıştır. FPRSA-R sistemi saat 14:27 (BST) itibarıyla tekrar devreye girip normal işleyişine başlamıştır [4]. NATS’ın yaptığı açıklamaya göre olayın yaşandığı gün saat 11:00 (BST) itibarıyla önlem olarak Birleşik Krallık üzerindeki uçuşlar kısıtlanmaya başlanmış, uçuşların normale dönmesi ise saat 18:03 (BST) itibarıyla gerçekleşmiştir[4]. Bu durum sonucunda Transatlantik uçuşlarının %4 iptal edilmiş, toplamda 65.250 dakikalık uçuş gecikmesi yaşanmıştır [4].
Bu örnek olay, emniyet-kritik yazılım geliştirme yaklaşımları açısından oldukça önemli dersler içermektedir. İlk olarak çoklu sürüm farklı yazılım (Multiple version dissimilar software) yapılmadıkça, yazılım için gerçek anlamda bir yedekleme sağlanamadığı görülmektedir. Asıl sistem hataya yol açan girdileri işleyip devre dışı kaldıktan sonra, görevi devralan yedek sistem de aynı girdileri birebir aynı şekilde işlemeye çalıştığı için o da devre dışı kalmaktadır. Dolayısıyla yazılım içeren bir sistemde gerçek anlamda yedeklilik sağlamak için çoklu sürüm farklı yazılım (Multiple version dissimilar software) yaklaşımı yapılmalıdır. Bir diğer önemli sonuç, emniyet-kritik yazılım geliştirilirken girdilerin olası geçerli değer senaryolarının alan bilgisi olan uzmanlarla da yakın çalışılarak tam olarak anlaşılması ve gereksinimlere doğru şekilde aktarılmasıdır. Bu örnek olayda, iki adet aynı tanıtma koduna sahip yol noktası içeren bir uçuş planı sebebiyle yazılım devre dışı kalmıştır. ICAO kuralları gereği aynı tanıtma koduna sahip yol noktaları birbirlerinden yeterince uzak olmaları kaydıyla mümkün olabilmektedir. Ancak yazılım geliştirilirken bu durumun tam farkında olunmadığı ve yazılım tasarımının bu durumu ele alacak şekilde yapılmadığı anlaşılmaktadır. Son olarak yazılım testleri gerçekleştirilirken bu olaydaki gibi zorlayıcı senaryoların da mutlaka denenmesi gerekmektedir. Yazılım test ekiplerinin bu anlamda yaratıcı olması şarttır. Aksi durumda sadece basit senaryolarla test edilen yazılımlar yıllarca sağlıklı çalışsalar bile, bu örnek olayda olduğu gibi günün birinde hataya sebebiyet verip ciddi maddi sonuçlara yol açabilmektedir.
28 Ağustos 2023 tarihinde yaşanan bu olayda herhangi bir can kaybı yaşanmamıştır. Ancak bu tip olaylardan gerekli dersler çıkarılıp uygulanmaya alınmadığı takdirde bir sonraki benzer olayın ne gibi bir emniyet-kritik sistemde hangi şartlar altında tekrarlanacağını ve can kaybına yol açıp açmayacağını öngörmek oldukça zordur. Bu sebeple bu tip örnek olaylar emniyet-kritik yazılım geliştirme ekipleri açısından yol gösterici özelliğe sahiptir.
NOT: Yazıda geçen havacılık terimlerinin Türkçe karşılıkları için DHMİ tarafından hazırlanmış olan "Havacılık Terimleri Sözlüğü" (Gözden geçirilmiş ve güncellenmiş 2. baskı) temel alınmıştır.
Kaynaklar:
The Guardian. "UK air traffic failure blamed on ‘extremely rare’ circumstances as CAA opens inquiry". Erişim: 28 Eylül 2023. https://www.theguardian.com/business/2023/sep/06/uk-air-traffic-failure-blamed-on-extremely-rare-circumstances-as-caa-opens-inquiry
Reuters. “UK air traffic meltdown 'one in 15 million' event”. Erişim: 28 Eylül 2023. https://www.reuters.com/world/uk/uk-aviation-regulator-review-air-traffic-control-failure-2023-09-06/
Civil Aviation Authority. “CAP2582: NERL Major Incident Preliminary Report”. 6 Eylül 2023. https://publicapps.caa.co.uk/modalapplication.aspx?appid=11&mode=detail&id=12321
AeroTime. “UK ATC system meltdown caused by two identical ATC waypoints 4,000 nmi apart”. Erişim: 28 Eylül 2023. https://www.aerotime.aero/articles/uk-nats-failure-report
Comments