Ich hatte in den letzten Jahren Flugangst, und eine der Arten, wie sich diese irrationale Phobie manifestiert, ist die Besorgnis über das Flugzeug, das mitten in der Luft kreist: Triebwerke gehen aus, Steuergeräte schalten ab usw.
Gelegentlich stürzt ein Computer oder Smartphone ab und startet sich neu, oder im schlimmsten Fall fällt die Stromversorgung oder der Akku aus und das Gerät lässt sich nicht mehr einschalten.
Passiert das jemals mit kommerziellen Jets? Ich erwarte, dass sie elektronisch grundlegend anders verkabelt sind als Computer, so dass ein Systemausfall den Rest nicht beeinflusst, aber ich habe noch nie einen Piloten gefragt.
Ich bin Programmierer und Privatpilot, also kann ich vielleicht helfen, einige dieser Ängste zu zerstreuen.
Die Computer, die ein kommerzielles Flugzeug betreiben, sind konzeptionell viel einfacher als der, der Ihr Telefon betreibt. Dies bedeutet eine viel geringere Wahrscheinlichkeit eines Fehlers in der Software, nur weil der Programmierer weniger im Auge behalten muss.
Wenn Ihr Telefon neu startet, gefährdet es niemandes Leben. Das Testen und QA für ein solches Gerät ist also im Grunde das, was das Unternehmen tun möchte. Andererseits werden Computer in der Luftfahrt viel gründlicher getestet, bevor sie zum Fliegen zugelassen werden können.
Analog zu Punkt 1 haben die Computer in einem Flugzeug jeweils nur einen Job. Viele der Abstürze auf einem typischen PC oder Smartphone kommen von verschiedenen Apps, die sich gegenseitig auf die Zehen treten. (Das Betriebssystem soll jede App auseinanderhalten, damit sie das nicht können, aber Punkt 2 gilt auch für Betriebssysteme.)
Das Flugzeug ist kein einzelner Computer, wie Ihr Telefon. Ja, Ihr Telefon verfügt wahrscheinlich über mehrere Prozessoren mit jeweils mehreren Kernen, aber sie sind eng miteinander gekoppelt, um einen Computer zu bilden. Die Computer in einem Flugzeug sind miteinander vernetzt, aber sie sind separate Computer. Wenn Ihr Telefon abstürzt, selbst wenn der Typ, der neben Ihnen sitzt, im selben Netzwerk ist, hat es keine Auswirkungen auf ihn, oder? Wenn der FADEC für ein Triebwerk ausfällt (ein verschwindend seltenes Ereignis, da FADECs konzeptionell zu den einfachsten Computern gehören), wird in ähnlicher Weise nur ein Triebwerk abgeschaltet, ohne dass sich dies auf den Rest des Flugzeugs auswirkt.
Andererseits sind die wirklich wichtigen Computer (zB Fly-by-Wire-Steuerungen) mehrfach redundant. Wenn also einer ausfällt, können die anderen die Lücke füllen. Selbst der Pilot würde es nicht bemerken, außer dem Warnlicht, das im Cockpit aufleuchten würde.
Wenn Sie sehen möchten, was tatsächlich passiert, wenn in einem Flugzeug etwas ausfällt, schauen Sie sich die folgenden Videos an:
Der Pilot flog das Flugzeug von Hand, während er die Avionik abschaltete und neu startete. Der Flug verlief dann normal.
Der Pilot überließ es dem Autopiloten tatsächlich für ein paar Sekunden, nur aus Neugier, wohin es sie bringen würde. Aber als es anfing, mehr zu kippen, als es sollte, schaltete er den Autopiloten aus und übernahm ohne Probleme die manuelle Steuerung.
Der Motor lief weiter, obwohl die gesamte Stromversorgung des gesamten Flugzeugs verloren ging. Er ist sicher gelandet.
Bearbeiten: Nun, gerade vor zwei Stunden, als ich das hier tippe, tauchte zufällig ein weiteres Video eines Flugausfalls in meinem YouTube-Feed auf:
Er schaltete auf seinen Backup-Generator um und hatte außer einem nervigen Heulen in den Kopfhörern keine weiteren Probleme mit dem Flug.
Bevor wir beginnen, ist es wichtig zu sagen, dass Ihre Besorgnis nicht irrational ist. Wenn dies passieren sollte oder wenn die Steuersysteme Ihres Flugzeugs auf andere Weise gefährlich versagen würden, wäre Ihr Leben wirklich in Gefahr.
Du bist aber nicht der Erste, dem das eingefallen ist. Aus diesem Grund haben wir eine Kategorie von Steuerungssystemen, die wir technisch als sicherheitsrelevant bezeichnen , und es gibt einen ganzen Zweig der Technik namens Sicherheitstechnik, der sich der formalen Bewertung dieser Systeme und dem Versuch widmet, Unfälle zu verhindern. Dazu gehören Flugzeugsteuerungssysteme, aber auch Antiblockiersysteme, medizinische Geräte und alle anderen Systeme, bei denen Personen Schaden nehmen könnten, wenn sie schief gehen. Das Ausmaß, in dem Menschen dadurch geschädigt werden können, wird formal als Safety Integrity Level bewertetbasierend auf Risiko. Das Risiko ist eine Kombination aus der Wahrscheinlichkeit des Ereignisses, der Schwere des Ergebnisses und der Frage, ob die beteiligten Personen Abhilfemaßnahmen ergreifen können, und es wird für jede Art von Fehlverhalten eines sicherheitsbezogenen Systems bewertet.
Beachten Sie, dass diese Bewertung möglicherweise nicht so intuitiv ist, wie Sie denken. Ich habe einmal an einem Spreu- und Fackelspendersystem für Militärflugzeuge gearbeitet. Sie würden denken, dass das Risiko, Gegenmaßnahmen zu unterlassen und der Pilot abgeschossen zu werden, Ihr Hauptrisiko wäre - aber die Sicherheitsbewertung (wir haben eine FMEA verwendet) zeigte, dass der Pilot andere mildernde Optionen wie Panzerung und einen Schleudersitz hatte, abgeschossen zu werden war eine Chance, die sie bereits akzeptiert hatten, als sie den Job annahmen, und das Risiko, dass ein Flugzeug abstürzt und Gebäude trifft, war winzig und etwas, das es bereits gab wurde als Teil einer Luftwaffe institutionell akzeptiert. Das größte Risiko bestand tatsächlich darin, dass das System fehlzündete, während ein Waffenschmied es nachlud, weil sie dann aus nächster Nähe eine Salve von 36 Schrotpatronen an den Kopf bekamen. Der Waffenschmied wollte dieses Risiko nicht eingehen, und es gab keine praktische Möglichkeit, sie zu schützen. Infolgedessen musste unser System standardmäßig nicht auslösen, wenn es Abweichungen gab.
Es gibt viele Möglichkeiten, Zuverlässigkeit zu gewährleisten. Redundanz ist die beliebteste. Sie können mehrere Sensoren an mehreren Stellen haben, sodass das System immer herausfinden kann, was los ist, wenn einer (oder vielleicht mehrere) ausfallen sollte. Es gibt normalerweise mehrere Aktuatoren für wichtige Flugflächen oder mehrere Flugflächen, auf denen das Flugzeug die Kontrolle behalten kann, wenn eine oder mehrere beschädigt sind. Passagierflugzeuge haben in der Regel auch mehrere Triebwerke und mehrere Treibstofftanks, die im Schadensfall voneinander isoliert werden können. In einer Reihe von Fällen kann es mehrere Steuersysteme geben, die über die richtige Aktion "abstimmen", sodass eine fehlerhaft funktionierende Einheit ignoriert wird. Im Extremfall kann sogar jedes Steuerungssystem von einem anderen Softwareteam programmiert worden sein, so dass ein Bug in einem Team Es ist äußerst unwahrscheinlich, dass die Software eines anderen Teams in der Software eines anderen Teams vorhanden ist. Und es können andere Backup-Systeme vorhanden sein, wie z. B. mechanische Steuerungen.
Eine weitere gute mildernde Methode ist das Training. Es ist vollkommen akzeptabel, dass etwas schief geht, wenn die Leute, die es betreiben, in der Lage sind, mit diesem Fehler umzugehen und weiterzumachen. Es ist wichtig, nicht zu unterschätzen, wie gut Menschen sein können. Menschen können auch Fehler verursachen und tun dies auch , also kann Training auch darin bestehen, ihnen zu sagen, „tu das nicht“. Große Flugzeuge reagieren relativ langsam auf Steuerungen, daher kommt es relativ häufig vor, dass Piloten überkorrigieren und die Situation verschlimmern. Bei einigen Verkehrsflugzeugen besteht die Standardreaktion, die den Piloten im Falle einer Instabilität beigebracht wird, darin, den Steuerknüppel loszulassen und dem Flugzeug zu erlauben, sich selbst zu korrigieren.
Es ist erwähnenswert, dass diese beiden Faktoren der Grund dafür sind, dass die Boeing-737MAX-Katastrophen so schlimm sind, dass es strafrechtliche Anklagen gegen die Menschen einzeln und die Organisation insgesamt geben sollte. Das betreffende System verwendete keine redundanten Eingänge, obwohl sie verfügbar waren; die Auswirkungen einer nicht korrekten Reaktion des Systems wurden weder bewertet noch gemindert; und die Besatzung wurde nicht darin geschult, wie sie mit ihrem Versagen umgehen sollte, noch wurde ihnen nicht einmal gesagt, dass es existierte. In Großbritannien gibt es das Verbrechen des „Corporate Totschlags“, um genau diese Art von Versäumnissen zu verfolgen.
Das andere Element zu all dem ist jedoch die Qualität , sodass Sie versuchen, sicherzustellen, dass die Systeme gar nicht erst schief gehen. Die Zuverlässigkeit von Software hängt fast ausschließlich von der Anzahl der Überprüfungen und Tests ab, die stattfinden. Ich arbeite derzeit an Software für wissenschaftliche Geräte, und ich schätze, dass ich etwa 10-20 % meiner Entwicklungszeit für Tests aufwende. PCs und Mobiltelefone werden ungefähr gleich sein. Als ich an Automobil- und Luft- und Raumfahrtsystemen arbeitete, war dies völlig umgekehrt – wir schätzten, dass wir etwa 5-10 % unserer Zeit für das Programmieren, 10-20 % unserer Zeit für das Design und den Rest unserer Zeit für das Überprüfen und Testen aufwenden mussten .
Die Änderungskontrolle ist auch radikal stärker eingeschränkt. Microsoft kann ein Upgrade veröffentlichen und dann in den wenigen Fällen, in denen es sich schlecht benimmt, Schadensbegrenzung betreiben und gleichzeitig ein paar zusätzliche Funktionen einschleichen. In der sicherheitsrelevanten Entwicklung ändert man jedoch keine einzige Codezeile ohne formelle Zustimmung, dass (a) jeder versteht, was diese Änderung bewirken wird, (b) dass diese Änderung diesen Fehler behebt und nichts anderes ändert . und (c) dass diese Änderung überhaupt notwendig ist. Viele Bug-Triage-Sitzungen beinhalten, dass wir Bugs entdecken, bei denen wir schließlich entscheiden, dass die Auswirkungen des Bugs gering sind (vielleicht schalten wir zum Beispiel 10 ms später eine Warnleuchte ein), aber das Risiko, den Bug zu beheben, könnte möglicherweise hoch sein, wenn Wir haben es zufällig falsch verstanden, daher ist es sicherer, dass dieser triviale Fehler in der Nähe bleibt.
Wie uns der Fall Boeing-737MAX zeigt, sind all diese Prozesse nur einen Dreck wert, wenn Menschen sie befolgen. Die Prozesse existieren jedoch und sie sind Best Practice in einer Branche mit Zehntausenden von Ingenieuren weltweit, die international viele formale Standards hat, um dies zu etablieren. Die Nichteinhaltung dieser Standards ist fast per Definition grobe Fahrlässigkeit, und die meisten Länder haben Gesetze, die die strafrechtliche Verfolgung von Personen und Unternehmen erlauben, die in diesem Maße fahrlässig handeln. Die meisten Ingenieure möchten ohnehin gute Arbeit leisten; Aber die Gesetze stellen sicher, dass eine Organisation als Ganzes ehrlich bleibt und keine Abstriche macht.
Ihre Bedenken sind begründet und gerechtfertigt. Ein Herunterfahren oder Neustarten mitten in der Luft wäre für ein Verkehrsflugzeug katastrophal. Aus diesem Grund haben die Ingenieure die Systeme so konzipiert, dass dieses Szenario praktisch unmöglich ist.
Ein Verkehrsflugzeug hat mehrere elektrische Energiequellen. Jedes Strahltriebwerk hat einen eingebauten Generator. Wenn sich die Turbine dreht, wird Strom erzeugt. Jeder Generator kann unabhängig voneinander abgeschaltet werden, falls ein Problem auftritt. Die meisten Flugzeuge haben auch eine Auxiliary Power Unit oder APU. Die APU kann im Notfall gestartet werden, um das Flugzeug mit elektrischer und hydraulischer Notstromversorgung zu versorgen, wie es beim berühmten Hudson Riving Landing der Fall war .
Wenn alles ausfällt (zum Beispiel wenn dem Flugzeug der Treibstoff ausgeht), kann begrenzte elektrische Energie durch Windmilling bereitgestellt werden, entweder unter Verwendung der Ram Air Turbine (zB Boeing 777) oder durch Windmilling der Turbinen selbst (zB Boeing 747) als Flugzeug gleitet langsam auf einen Landeplatz zu.
Dann ist da natürlich noch der Akku, der immer geladen ist. Es kann in Notfällen eine begrenzte Leistung bereitstellen.
Alle Flugzeuge sind mit mehreren Flugsteuerungscomputern ausgestattet. Die Einheiten werden von verschiedenen Herstellern, auf verschiedenen CPU-Architekturen und verschiedenen Quellcodes gebaut. Die Wahrscheinlichkeit, dass alle Einheiten gleichzeitig aufgrund eines Fehlers oder Defekts ausfallen, ist sehr gering. Im unwahrscheinlichen Fall, dass eine der Einheiten ausfällt, können die Piloten diese Einheit vom Rest des Systems trennen.
Zum Beispiel hat der Airbus A320 2 Elevator Aileron Computer, 3 Spoiler Elevator Computer und 2 Flight Augmentation Computer. Jede Einheit kann bei einer Fehlfunktion deaktiviert werden.
Für den außergewöhnlich unwahrscheinlichen Fall, dass die Stromversorgung vollständig ausfällt, sind bestimmte Flugsteuerungen mechanisch mit dem Cockpit verbunden und können mit menschlicher Kraft bedient werden. Zum Beispiel besteht das Notfallverfahren bei einem kompletten Flugcomputerausfall im Airbus A320 darin, das Flugzeug nur mit Ruderschlägen, dem Höhenruder-Trimmrad und Drosseln zu landen. Das hat es in der Geschichte noch nie gegeben.
als jemand, der Softwaretests an einem unwichtigen (Klasse D, wird gleich erklären) System für ein Flugzeug durchgeführt, das zum Landen auf zivilen Flughäfen zugelassen werden soll: Im Flugzeug gibt es eine strenge Hierarchie, was Softwarefunktionen bedeuten; sie sind in DO-178B aufgeführt .
Die Logik hier ist, dass ein unwichtiger Systemabsturz niemals die wichtige Systemfunktion beeinträchtigen wird (der Pilot kann wählen, wann er diese ausruhen lässt). Die meisten Systeme in einem Flugzeug sind doppelt redundant. Die verwendeten Mikrocontroller und die HW-Architektur sind so konzipiert, dass einfache Fehler auf einer Platine ihre Auswirkungen begrenzen. Das Hauptnetzwerk (z. B. AFDX) ist ebenfalls redundant, und es werden Maßnahmen in der Schnittstelle getroffen, dass wild laufende Software ihre Grenzen bei der Verwendung der Busse nicht überschreitet.
Normale Reset-Prozeduren sind im Hinblick darauf sicher, das Flugzeug immer in einem kontrollierbaren Zustand zu belassen. Ein Beispiel für ein falsches Reset-Verfahren – das Abschalten beider Flugsteuerungscomputer, was während des Flugs nicht erlaubt ist, weil der Pilot mit den Ergebnissen der Standardmethode zum Zurücksetzen der Computer nicht zufrieden war – war Air Asia Flug 8501 .
Gelegentlich stürzt ein Computer oder Smartphone ab und startet sich neu
Dies kann zwei Gründe haben: einen Softwarefehler oder einen Hardwarefehler. Beides kann dazu führen, dass die CPU die Verarbeitung neuer Anweisungen stoppt ( dh ein "Hängen" ) oder die Maschine veranlasst, sich selbst neu zu starten. Letzteres steht kurz vor einem Stillstand, da das Betriebssystem erkennt, dass es nicht normal weiterarbeiten kann, und einen Hardware-Neustart auslöst.
Die möglichen Ursachen sind endlos, aber die Ergebnisse sind gleich: Der Prozessor kann keine neuen Operationen ausführen und arbeitet daher nicht normal weiter. Dies ist suboptimal, wenn Menschenleben von seinem kontinuierlichen Funktionieren abhängen.
Hardwarefehler können durch eingeschränkte Funktionalität, durch Beschädigung oder Verschleiß verursacht werden. Zum Beispiel ein Netzteil, das nicht immer die erforderliche Leistung liefern kann, oder ein Speichermodul, das durch elektrostatische Entladung beschädigt wird , wodurch zufällige Bits „umkippen“ (eine 1 wird unbeabsichtigt als 0 gelesen oder umgekehrt).
Softwarefehler werden durch Programmierfehler oder Installationsfehler verursacht. Eine saubere Betriebssysteminstallation (Windows, Linux, MacOS, ...) auf Ihrem Computer oder Smartphone mit gut funktionierender Hardware, sofern die Hardware vom Betriebssystem unterstützt wird und die entsprechenden Treiber installiert sind, damit das Betriebssystem ordnungsgemäß mit dem Betriebssystem kommunizieren kann Hardware, stürzt nicht ab . Sicher, vor Jahrzehnten neigten einige Betriebssysteme dazu, abzustürzen, nachdem sie eine gewisse Zeit in Betrieb waren, aber jetzt ist 2020. Diese Probleme wurden alle von modernen Betriebssystemen ausgebügelt.
Das Problem mit Hardware und Software für Endverbraucher ist, dass sie nicht lebenswichtig und nicht redundant ist, und die Leute möchten in der Lage sein, zufällige Anwendungen auf ihren Geräten zu installieren, die von zufälligen Softwareentwicklern vertrieben werden. Sie werden keinen Piloten sehen, der den App Store auf Ihrem Airbus in der Luft öffnet und die neue Christmas Lights-App installiert, um die Kabinenbeleuchtung festlich blinken zu lassen, was zufällig die Kraftstoffpumpen stoppt, weil der Entwickler es nie im Flug getestet hat.
Wie also verhindern Flugzeughersteller, dass dies geschieht:
Speziell in Bezug auf das Power Cycling (im Gegensatz zu softwarebasierten Fehlern im Allgemeinen, die andere Antworten sehr gut detailliert haben), ist dies überhaupt kein Problem. Im Gegensatz zu einem typischen PC oder Smartphone, das Zeit braucht, um sich wieder einzuschalten, und bei einem Stromausfall Daten verlieren können, sind die Steuersysteme in einem Flugzeug normalerweise so konzipiert, dass sie den vollständigen Betrieb wieder aufnehmen, sobald die Stromversorgung wiederhergestellt ist.
Betrachten Sie es eher als Ihren Kühlschrank-Innentemperaturmonitor als als Ihren PC. Wenn Sie es aus- und wieder einschalten, funktioniert es sofort wieder, als wäre nichts passiert.
Neustarts können manchmal auch akzeptabel sein, wenn Sie schnell neu starten können, ohne wichtige Informationen zu verlieren. Dies geschah im Rahmen der Landung von Apollo 11, als sie den 1202-Alarm hatten :
Er erkannte, dass 1202 ein Code war, der bedeutete, dass der Leitcomputer an Bord des Landungsboots mit Aufgaben überlastet wurde. Die Programmierer hatten erwartet, dass diese Überlastung eines Tages auftreten könnte, und hatten daher einen systeminternen Aspekt eingerichtet, der automatisch einen schnellen Neustart und dann eine Speicherwiederherstellung durchführt, um zu versuchen, den Computer wieder in Gang zu bringen.
J...
J...
Markieren
Fuß
Vikki