Bevor wir beginnen, ist es wichtig zu sagen, dass Ihre Besorgnis nicht irrational ist. Wenn dies passieren würde oder wenn die Steuerungssysteme Ihres Flugzeugs auf gefährliche Weise versagen würden, wäre Ihr Leben wirklich in Gefahr.
Sie sind jedoch nicht die erste Person, die daran gedacht hat . Aus diesem Grund haben wir eine Kategorie von Steuerungssystemen, die wir technisch als sicherheitsrelevant beschreiben, und es gibt einen ganzen technischen Zweig namens Sicherheitstechnik widmet sich der formellen Bewertung dieser Systeme und dem Versuch, Unfälle zu verhindern. Dies umfasst Flugzeugsteuerungssysteme, aber auch Antiblockiersysteme, medizinische Geräte und jedes andere System, bei dem Menschen durch einen Fehler verletzt werden könnten. Das Ausmaß, in dem Menschen dadurch geschädigt werden können, wird formell als Sicherheitsintegritätsstufe basierend auf dem Risiko bewertet. Das Risiko ist eine Kombination aus der Wahrscheinlichkeit des Ereignisses, dem schlechten Ergebnis und der Frage, ob die beteiligten Personen mildernde Maßnahmen ergreifen können, und es wird bewertet, wie sich ein sicherheitsrelevantes System schlecht verhalten kann.
Beachten Sie, dass diese Bewertung möglicherweise nicht so intuitiv ist, wie Sie denken. Ich habe einmal an einem Spreu- und Fackelspendersystem für Militärflugzeuge gearbeitet. Sie würden denken, dass das Risiko, dass keine Gegenmaßnahmen ergriffen werden und der Pilot abgeschossen wird, Ihr Hauptrisiko darstellt - aber die Sicherheitsbewertung (wir haben eine FMEA verwendet) hat gezeigt, dass der Pilot andere mildernde Optionen hat, wie z Rüstung und Schleudersitz, abgeschossen zu werden, ist eine Chance, die sie bereits angenommen hatten, als sie den Job annahmen, und das Risiko, dass ein abstürzendes Flugzeug Gebäude traf, war winzig und etwas, das bereits als Teil einer Luftwaffe institutionell akzeptiert worden war. Das schwerwiegendste Risiko bestand tatsächlich darin, dass das System während eines Nachladens durch einen Waffenschmied fehlschlug, da sie dann aus nächster Nähe eine Salve von 36 Schrotpatronen auf den Kopf bekommen würden. Der Waffenschmied hat sich nicht angemeldet, um diese Chance zu nutzen, und es gab keinen praktischen Weg, sie zu schützen. Infolgedessen musste unser System standardmäßig nicht feuern, wenn Unstimmigkeiten auftraten.
Es gibt viele Möglichkeiten, um die Zuverlässigkeit sicherzustellen. Redundanz ist die beliebteste. Sie können mehrere Sensoren an mehreren Standorten haben, sodass das System immer herausfinden kann, was passiert, wenn einer (oder mehrere) ausfallen sollten. Es gibt normalerweise mehrere Aktuatoren für wichtige Flugflächen oder mehrere Flugflächen, auf denen das Flugzeug die Kontrolle behalten kann, wenn eine oder mehrere beschädigt sind. Passagierflugzeuge haben im Allgemeinen auch mehrere Triebwerke und mehrere Treibstofftanks, die im Schadensfall voneinander isoliert werden können. In einigen Fällen kann es mehrere Steuerungssysteme geben, die über die richtige Aktion "abstimmen", sodass eine fehlerhafte Einheit ignoriert wird. Im Extremfall wurde jedes Steuerungssystem möglicherweise sogar von einem anderen Softwareteam programmiert, sodass es äußerst unwahrscheinlich ist, dass ein Fehler in der Software eines Teams in der Software eines anderen Teams vorhanden ist. Möglicherweise sind auch andere Sicherungssysteme vorhanden, z. B. mechanische Steuerungen.
Eine weitere gute mildernde Methode ist das Training. Es ist durchaus akzeptabel, dass etwas schief geht, wenn die Mitarbeiter in der Lage sind, diesen Fehler zu beheben und weiterzumachen. Es ist wichtig, nicht zu unterschätzen, wie gut Menschen sein können. Menschen können auch Fehler verursachen, so dass beim Training auch gesagt werden kann, dass sie das nicht tun sollen. Große Flugzeuge reagieren relativ langsam auf Kontrollen, daher ist es relativ häufig, dass Piloten überkorrigieren und die Situation verschlimmern können. Bei einigen Verkehrsflugzeugen besteht die Standardreaktion für Piloten im Falle einer Instabilität darin, den Steuerknüppel loszulassen und dem Flugzeug zu ermöglichen, sich selbst zu korrigieren.
Es ist erwähnenswert, dass beide Faktoren der Grund für die Boeing-737MAX sind Katastrophen sind so schlimm, dass strafrechtliche Anklagen gegen die einzelnen Personen und die Organisation insgesamt erhoben werden sollten. Das betreffende System verwendete keine redundanten Eingaben, obwohl diese verfügbar waren. Die Auswirkungen des Systems, das nicht richtig reagiert, wurden weder bewertet noch gemindert. und die Besatzung erhielt keine Schulung im Umgang mit ihrem Versagen, noch wurde ihr sogar gesagt, dass es existiert. In Großbritannien gibt es das Verbrechen des "Totschlags von Unternehmen", um genau diese Art von Fehlern zu verfolgen.
Das andere Element bei alledem ist jedoch die Qualität , damit Sie versuchen, sicherzustellen, dass die Systeme überhaupt nicht schief gehen. Die Zuverlässigkeit von Software hängt fast ausschließlich von der Anzahl der durchgeführten Überprüfungen und Tests ab. Ich arbeite derzeit an Software für wissenschaftliche Geräte und rechne mit 10 bis 20% meiner Entwicklungszeit für Tests. PCs und Mobiltelefone werden ungefähr gleich sein. Als ich an Automobil- und Luft- und Raumfahrtsystemen arbeitete, war dies völlig umgekehrt. Wir rechneten damit, dass wir ungefähr 5-10% unserer Zeit für das Codieren, 10-20% unserer Zeit für das Design und den Rest unserer Zeit für das Überprüfen und Testen aufwenden .
Die Änderungskontrolle ist auch radikaler gesperrt. Microsoft veröffentlicht möglicherweise ein Upgrade und führt dann in den wenigen Fällen, in denen es sich schlecht verhält, eine Schadensbegrenzung durch und schleicht gleichzeitig einige zusätzliche Funktionen ein. In der sicherheitsrelevanten Entwicklung ändern Sie jedoch keine einzelne Codezeile ohne formelle Genehmigung, dass (a) jeder versteht, was diese Änderung bewirkt, (b) dass diese Änderung diesen Fehler behebt und ändert nichts anderes und (c) dass diese Änderung sogar benötigt wird. Bei vielen Bug-Triage-Sitzungen werden Fehler entdeckt, bei denen wir schließlich feststellen, dass die Auswirkungen des Fehlers gering sind (vielleicht schalten wir beispielsweise 10 ms später ein Warnlicht ein), aber das Risiko, den Fehler zu beheben, kann möglicherweise hoch sein, wenn Wir haben es falsch verstanden, daher ist es sicherer, dass dieser triviale Fehler anhält.
Wie der Fall Boeing-737MAX zeigt, sind all diese Prozesse nur dann verdammt wert, wenn die Leute ihnen folgen. Die Prozesse existieren jedoch und sind Best Practices in einer Branche von Zehntausenden von Ingenieuren weltweit, die international über zahlreiche formale Standards verfügt, um dies zu etablieren. Die Nichtbeachtung dieser Standards ist fast per Definition grobe Fahrlässigkeit, und die meisten Länder haben Gesetze, die die Verfolgung von Personen und Unternehmen erlauben, die in diesem Ausmaß fahrlässig sind. Die meisten Ingenieure würden sowieso gerne gute Arbeit leisten; Aber die Gesetze stellen sicher, dass eine Organisation als Ganzes ehrlich bleibt und keine Abstriche macht.