Ich bin Programmierer und Privatpilot, also kann ich vielleicht helfen, einige dieser Ängste zu zerstreuen.

1. Die Computer, auf denen ein Verkehrsflugzeug betrieben wird, sind konzeptionell viel einfacher als die das läuft dein Telefon. Dies bedeutet eine weitaus geringere Wahrscheinlichkeit eines Fehlers in der Software, nur weil der Programmierer weniger Zeit hat, den Überblick zu behalten.

2. Wenn Ihr Telefon neu gestartet wird, gefährdet dies nicht das Leben von Personen . Also, das Testen und Q.A. Denn ein solches Gerät ist im Grunde das, was das Unternehmen tun möchte. Auf der anderen Seite werden Computer in der Luftfahrt viel gründlicher getestet, bevor sie für das Fliegen zertifiziert werden können.

3. Ähnlich wie in Punkt 1 haben die Computer in einem Flugzeug jeweils nur einen Job . Viele der Abstürze auf einem typischen PC oder Smartphone sind auf verschiedene Apps zurückzuführen, die sich gegenseitig auf die Zehen treten. (Das Betriebssystem soll jede App auseinander halten, damit sie das nicht können, aber Punkt 2 gilt auch für Betriebssysteme.)

4. Das Flugzeug ist keines einzelner Computer, wie Ihr Telefon. Ja, Ihr Telefon verfügt wahrscheinlich über mehrere Prozessoren mit jeweils mehreren Kernen, die jedoch eng miteinander verbunden sind, um einen Computer zu bilden. Die Computer in einem Flugzeug sind miteinander vernetzt, es handelt sich jedoch um separate Computer. Wenn Ihr Telefon abstürzt, selbst wenn sich der Typ neben Ihnen im selben Netzwerk befindet, hat dies keine Auswirkungen auf ihn, oder? Wenn die FADEC für ein Triebwerk ausfällt (ein verschwindend seltenes Ereignis, da FADECs konzeptionell zu den einfachsten Computern gehören), wird nur ein Triebwerk abgeschaltet, ohne dass dies Auswirkungen auf den Rest des Flugzeugs hat.

5. Andererseits weisen die wirklich wichtigen Computer (wie z. B. Fly-by-Wire-Controller) mehrere Redundanzen auf. Wenn einer versagt, kann der Rest von ihnen die Lücke schließen. Selbst der Pilot würde es nicht bemerken, außer der Warnleuchte, die im Cockpit angezeigt wird.

ol>

Wenn Sie sehen möchten, was tatsächlich passiert, wenn in einem Flugzeug etwas ausfällt, nehmen Sie Schauen Sie sich die folgenden Videos an:

• Vollständiger Avionikfehler über dem Ozean.

Der Pilot flog das Flugzeug von Hand, während er das Flugzeug abschaltete und neu startete Avionik. Der Flug verlief dann normal.

• Autopilot-Fehler. (Ironischerweise derselbe Typ wie der vorherige Link!)

Der Pilot ließ den Autopiloten tatsächlich einige Sekunden lang haben, nur aus Neugier, wohin er sie führen würde. Sobald das Bankgeschäft jedoch mehr als geplant begann, schaltete er den Autopiloten aus und übernahm ohne Probleme die manuelle Steuerung.

• Brandneuer Pilot (weniger als 60 Stunden) Gesamtflugzeit) erleidet nachts einen vollständigen Stromausfall

Der Motor lief weiter, obwohl das gesamte Flugzeug mit Strom versorgt wurde. Er ist sicher gelandet.

Bearbeiten: Nun, vor zwei Stunden, als ich dies tippe, tauchte in meinem YouTube-Feed ein weiteres Video eines Fehlers während des Flugs auf:

• Generatorfehler im Flug

Er wechselte zu seinem Backup-Generator und abgesehen von einem nervigen Jammern Die Kopfhörer hatten kein anderes Problem mit dem Flug.

Bevor wir beginnen, ist es wichtig zu sagen, dass Ihre Besorgnis nicht irrational ist. Wenn dies passieren würde oder wenn die Steuerungssysteme Ihres Flugzeugs auf gefährliche Weise versagen würden, wäre Ihr Leben wirklich in Gefahr.

Sie sind jedoch nicht die erste Person, die daran gedacht hat . Aus diesem Grund haben wir eine Kategorie von Steuerungssystemen, die wir technisch als sicherheitsrelevant beschreiben, und es gibt einen ganzen technischen Zweig namens Sicherheitstechnik widmet sich der formellen Bewertung dieser Systeme und dem Versuch, Unfälle zu verhindern. Dies umfasst Flugzeugsteuerungssysteme, aber auch Antiblockiersysteme, medizinische Geräte und jedes andere System, bei dem Menschen durch einen Fehler verletzt werden könnten. Das Ausmaß, in dem Menschen dadurch geschädigt werden können, wird formell als Sicherheitsintegritätsstufe basierend auf dem Risiko bewertet. Das Risiko ist eine Kombination aus der Wahrscheinlichkeit des Ereignisses, dem schlechten Ergebnis und der Frage, ob die beteiligten Personen mildernde Maßnahmen ergreifen können, und es wird bewertet, wie sich ein sicherheitsrelevantes System schlecht verhalten kann.

Beachten Sie, dass diese Bewertung möglicherweise nicht so intuitiv ist, wie Sie denken. Ich habe einmal an einem Spreu- und Fackelspendersystem für Militärflugzeuge gearbeitet. Sie würden denken, dass das Risiko, dass keine Gegenmaßnahmen ergriffen werden und der Pilot abgeschossen wird, Ihr Hauptrisiko darstellt - aber die Sicherheitsbewertung (wir haben eine FMEA verwendet) hat gezeigt, dass der Pilot andere mildernde Optionen hat, wie z Rüstung und Schleudersitz, abgeschossen zu werden, ist eine Chance, die sie bereits angenommen hatten, als sie den Job annahmen, und das Risiko, dass ein abstürzendes Flugzeug Gebäude traf, war winzig und etwas, das bereits als Teil einer Luftwaffe institutionell akzeptiert worden war. Das schwerwiegendste Risiko bestand tatsächlich darin, dass das System während eines Nachladens durch einen Waffenschmied fehlschlug, da sie dann aus nächster Nähe eine Salve von 36 Schrotpatronen auf den Kopf bekommen würden. Der Waffenschmied hat sich nicht angemeldet, um diese Chance zu nutzen, und es gab keinen praktischen Weg, sie zu schützen. Infolgedessen musste unser System standardmäßig nicht feuern, wenn Unstimmigkeiten auftraten.

Es gibt viele Möglichkeiten, um die Zuverlässigkeit sicherzustellen. Redundanz ist die beliebteste. Sie können mehrere Sensoren an mehreren Standorten haben, sodass das System immer herausfinden kann, was passiert, wenn einer (oder mehrere) ausfallen sollten. Es gibt normalerweise mehrere Aktuatoren für wichtige Flugflächen oder mehrere Flugflächen, auf denen das Flugzeug die Kontrolle behalten kann, wenn eine oder mehrere beschädigt sind. Passagierflugzeuge haben im Allgemeinen auch mehrere Triebwerke und mehrere Treibstofftanks, die im Schadensfall voneinander isoliert werden können. In einigen Fällen kann es mehrere Steuerungssysteme geben, die über die richtige Aktion "abstimmen", sodass eine fehlerhafte Einheit ignoriert wird. Im Extremfall wurde jedes Steuerungssystem möglicherweise sogar von einem anderen Softwareteam programmiert, sodass es äußerst unwahrscheinlich ist, dass ein Fehler in der Software eines Teams in der Software eines anderen Teams vorhanden ist. Möglicherweise sind auch andere Sicherungssysteme vorhanden, z. B. mechanische Steuerungen.

Eine weitere gute mildernde Methode ist das Training. Es ist durchaus akzeptabel, dass etwas schief geht, wenn die Mitarbeiter in der Lage sind, diesen Fehler zu beheben und weiterzumachen. Es ist wichtig, nicht zu unterschätzen, wie gut Menschen sein können. Menschen können auch Fehler verursachen, so dass beim Training auch gesagt werden kann, dass sie das nicht tun sollen. Große Flugzeuge reagieren relativ langsam auf Kontrollen, daher ist es relativ häufig, dass Piloten überkorrigieren und die Situation verschlimmern können. Bei einigen Verkehrsflugzeugen besteht die Standardreaktion für Piloten im Falle einer Instabilität darin, den Steuerknüppel loszulassen und dem Flugzeug zu ermöglichen, sich selbst zu korrigieren.

Es ist erwähnenswert, dass beide Faktoren der Grund für die Boeing-737MAX sind Katastrophen sind so schlimm, dass strafrechtliche Anklagen gegen die einzelnen Personen und die Organisation insgesamt erhoben werden sollten. Das betreffende System verwendete keine redundanten Eingaben, obwohl diese verfügbar waren. Die Auswirkungen des Systems, das nicht richtig reagiert, wurden weder bewertet noch gemindert. und die Besatzung erhielt keine Schulung im Umgang mit ihrem Versagen, noch wurde ihr sogar gesagt, dass es existiert. In Großbritannien gibt es das Verbrechen des "Totschlags von Unternehmen", um genau diese Art von Fehlern zu verfolgen.

Das andere Element bei alledem ist jedoch die Qualität , damit Sie versuchen, sicherzustellen, dass die Systeme überhaupt nicht schief gehen. Die Zuverlässigkeit von Software hängt fast ausschließlich von der Anzahl der durchgeführten Überprüfungen und Tests ab. Ich arbeite derzeit an Software für wissenschaftliche Geräte und rechne mit 10 bis 20% meiner Entwicklungszeit für Tests. PCs und Mobiltelefone werden ungefähr gleich sein. Als ich an Automobil- und Luft- und Raumfahrtsystemen arbeitete, war dies völlig umgekehrt. Wir rechneten damit, dass wir ungefähr 5-10% unserer Zeit für das Codieren, 10-20% unserer Zeit für das Design und den Rest unserer Zeit für das Überprüfen und Testen aufwenden .

Die Änderungskontrolle ist auch radikaler gesperrt. Microsoft veröffentlicht möglicherweise ein Upgrade und führt dann in den wenigen Fällen, in denen es sich schlecht verhält, eine Schadensbegrenzung durch und schleicht gleichzeitig einige zusätzliche Funktionen ein. In der sicherheitsrelevanten Entwicklung ändern Sie jedoch keine einzelne Codezeile ohne formelle Genehmigung, dass (a) jeder versteht, was diese Änderung bewirkt, (b) dass diese Änderung diesen Fehler behebt und ändert nichts anderes und (c) dass diese Änderung sogar benötigt wird. Bei vielen Bug-Triage-Sitzungen werden Fehler entdeckt, bei denen wir schließlich feststellen, dass die Auswirkungen des Fehlers gering sind (vielleicht schalten wir beispielsweise 10 ms später ein Warnlicht ein), aber das Risiko, den Fehler zu beheben, kann möglicherweise hoch sein, wenn Wir haben es falsch verstanden, daher ist es sicherer, dass dieser triviale Fehler anhält.

Wie der Fall Boeing-737MAX zeigt, sind all diese Prozesse nur dann verdammt wert, wenn die Leute ihnen folgen. Die Prozesse existieren jedoch und sind Best Practices in einer Branche von Zehntausenden von Ingenieuren weltweit, die international über zahlreiche formale Standards verfügt, um dies zu etablieren. Die Nichtbeachtung dieser Standards ist fast per Definition grobe Fahrlässigkeit, und die meisten Länder haben Gesetze, die die Verfolgung von Personen und Unternehmen erlauben, die in diesem Ausmaß fahrlässig sind. Die meisten Ingenieure würden sowieso gerne gute Arbeit leisten; Aber die Gesetze stellen sicher, dass eine Organisation als Ganzes ehrlich bleibt und keine Abstriche macht.

Ihre Bedenken sind vernünftig und berechtigt. Ein Herunterfahren oder Neustart in der Luft wäre für ein Verkehrsflugzeug katastrophal. Aus diesem Grund haben die Ingenieure die Systeme so konzipiert, dass dieses Szenario praktisch nicht möglich ist.

Elektrische Energie

Ein Verkehrsflugzeug verfügt über mehrere Stromquellen. Jedes Strahltriebwerk verfügt über einen eingebauten Generator. Wenn sich die Turbine dreht, wird Strom erzeugt. Jeder Generator kann unabhängig voneinander ausgeschaltet werden, falls ein Problem auftritt. Die meisten Flugzeuge haben auch ein Auxiliary Power Unit oder eine APU. Die APU kann im Notfall gestartet werden, um das Flugzeug mit elektrischer und hydraulischer Notstromversorgung zu versorgen, wie dies bei der berühmten Hudson Riving Landing der Fall ist.

Wenn alles ausfällt (z. B. wenn die Flugzeug geht der Treibstoff aus), begrenzte elektrische Leistung kann durch Windmühlen bereitgestellt werden, entweder unter Verwendung der Ram Air Turbine (z. B. Boeing 777) oder durch Windmühlen der Turbinen selbst (z. B. Boeing 747), wenn das Flugzeug langsam ist gleitet auf einen Landeplatz zu.

Dann gibt es natürlich den Akku, der jederzeit aufgeladen ist. In Notfällen kann die Leistung begrenzt sein.

Computer

Alle Flugzeuge werden mit mehreren Flugsteuerungscomputern geliefert. Die Einheiten werden von verschiedenen Herstellern auf verschiedenen CPU-Architekturen und verschiedenen Quellcodes gebaut. Die Wahrscheinlichkeit, dass alle Einheiten gleichzeitig aufgrund eines Fehlers oder Defekts ausfallen, ist sehr gering. In dem unwahrscheinlichen Fall, dass eine der Einheiten ausfällt, können die Piloten diese Einheit vom Rest des Systems trennen.

Zum Beispiel verfügt der Airbus A320 über 2 Querruder-Querrudercomputer, 3 Spoiler-Höhenrudercomputer und 2 Flugcomputer Augmentationscomputer. Jede Einheit kann deaktiviert werden, wenn eine Fehlfunktion vorliegt.

Mechanische Verbindung

In dem außerordentlich unwahrscheinlichen Fall, dass die elektrische Energie vollständig verloren geht, sind bestimmte Flugsteuerungen über mechanische Mittel mit dem Cockpit verbunden und können mit menschlicher Gewalt bedient werden. Zum Beispiel besteht das Notfallverfahren für einen vollständigen Ausfall des Flugcomputers im Airbus A320 darin, das Flugzeug nur mit Ruderschalen, dem Trimmrad des Aufzugs und Drosseln zu landen. Dies ist in der Geschichte noch nie passiert.

als jemand, der Softwaretests an einem unwichtigen System (Klasse D, wird in Kürze erklären) durchgeführt hat, damit ein Flugzeug für die Landung auf zivilen Flughäfen zugelassen werden kann: Im Flugzeug gibt es eine strenge Hierarchie darüber, was Art von Softwarefunktionen bedeutet; Sie sind in DO-178B aufgeführt.

• Klasse-A-Systeme gelten als "fehlerfrei". Sie sind sehr gut getestet. Diese Systeme sind nicht für einen Neustart vorgesehen und werden im Fehlerfall normalerweise nicht ausgeschaltet oder führen keine anderen zusätzlichen Aktionen aus. (Wenn beispielsweise eine Triebwerkssteuerung die Verbindung zum Flugdeck verliert, bleibt sie nur in ihrer letzten Triebwerkseinstellung). Klasse-A-Systeme werden unter einem hohen Maß an Prüfung und Kontrolle entwickelt.
• ...
• für das System (Klasse D), das ich getestet habe, war die Hauptlogik "wenn vorhanden" ist ein Fehler, senden Sie eine Fehlermeldung und verlassen Sie das Netzwerk, halten Sie an und warten Sie auf einen Reset aus dem Cockpit. Selbst Systemtests der Klasse D umfassen Testverfahren, die nicht häufig verwendet werden (z. B. White-Box-Tests mit Hardware-Emulatoren) sind immer noch die am besten getestete Software, die ich in meinem Leben gesehen habe.

Die Logik hier ist, dass ein unwichtiger Systemabsturz die wichtige Systemfunktion niemals beeinträchtigt (der Pilot kann wählen, wann er sich ausruhen möchte Diese). Die meisten Systeme in einem Flugzeug sind doppelt redundant. Die verwendeten Mikrocontroller und die verwendete HW-Architektur sind so konzipiert, dass einfache Fehler auf einer Karte nur eine begrenzte Auswirkung haben. Das Hauptnetzwerk (z. B. AFDX) ist ebenfalls redundant, und Maßnahmen sind redundant In der Schnittstelle wird angenommen, dass Software, die wild ausgeführt wird, bei der Verwendung der Busse nicht über ihre Grenzen hinausgeht.

Normales Zurücksetzen Verfahren sind sicher in Bezug auf das Verlassen des Flugzeugs immer in einem steuerbaren Zustand. Ein Beispiel für ein falsches Rücksetzverfahren - das Ausschalten beider Flugsteuerungscomputer, was in der Luft nicht zulässig ist, weil der Pilot mit den Ergebnissen der Standardmethode zum Zurücksetzen der Computer nicht zufrieden war - war Air Asia Flight 8501.

Gelegentlich stürzt ein Computer oder Smartphone ab und startet sich selbst neu.

Dies kann zwei Gründe haben: einen Softwarefehler oder einen Hardwarefehler. Beides kann dazu führen, dass die CPU die Verarbeitung neuer Anweisungen beendet ( d. H. Ein "Hang") oder dass sich der Computer selbst neu startet. Letzteres steht kurz vor dem Stillstand, da das Betriebssystem feststellt, dass es nicht normal weiterarbeiten kann, und einen Hardwarestart ausführt.

Die möglichen Ursachen sind endlos, aber die Ergebnisse sind gleich: Der Prozessor kann keine neuen Operationen ausführen und arbeitet daher nicht normal weiter. Dies ist nicht optimal, wenn das Leben von Menschen von seiner kontinuierlichen Funktion abhängt.

Hardwarefehler können durch eine beeinträchtigte Funktionalität, durch Beschädigung oder Verschleiß verursacht werden. Zum Beispiel ein Netzteil, das nicht immer die erforderliche Leistung liefern kann, oder ein Speichermodul, das durch elektrostatische Entladung beschädigt wird, wodurch zufällige Bits "umdrehen" (eine 1 wird unbeabsichtigt als 0 oder 0 gelesen) umgekehrt).

Softwarefehler werden durch Programmiererfehler oder Installationsfehler verursacht. Eine saubere Betriebssysteminstallation (Windows, Linux, MacOS, ...) auf Ihrem Computer oder Smartphone mit gut funktionierender Hardware, sofern die Hardware vom Betriebssystem unterstützt wird und die entsprechenden Treiber installiert sind, damit das Betriebssystem ordnungsgemäß mit dem Betriebssystem kommunizieren kann Hardware, stürzt nicht ab . Sicher, vor Jahrzehnten neigten einige Betriebssysteme nach einer gewissen Betriebsdauer zum Absturz, aber jetzt ist es 2020. Diese Probleme wurden alle aus modernen Betriebssystemen herausgebügelt.

Das Problem mit Hardware und Software für Endverbraucher besteht darin, dass sie nicht lebenswichtig und nicht redundant sind und dass Benutzer zufällige Anwendungen auf ihren Geräten installieren möchten, die von zufälligen Softwareentwicklern verteilt werden. Sie werden keinen Piloten sehen, der den App Store in Ihrem Airbus mitten in der Luft öffnet und die neue Weihnachtslicht-App installiert, damit die Kabinenlichter festlich blinken, was zufällig die Kraftstoffpumpen stoppt, weil der Entwickler sie nie im Flug getestet hat.

Wie verhindern Flugzeughersteller dies?

In Bezug auf das Aus- und Wiedereinschalten spezifisch (im Gegensatz zu softwarebasierten Fehlern im Allgemeinen, die in anderen Antworten sehr detailliert beschrieben wurden) ist dies überhaupt kein Problem. Im Gegensatz zu einem typischen PC oder Smartphone, dessen Wiedereinschalten einige Zeit in Anspruch nimmt und bei Stromausfall Daten verlieren können, sind die Steuerungssysteme in einem Flugzeug in der Regel so ausgelegt, dass sie den vollständigen Betrieb wieder aufnehmen, sobald die Stromversorgung wiederhergestellt ist.

Stellen Sie sich das eher wie den internen Temperaturmonitor Ihres Kühlschranks als wie Ihren PC vor. Wenn Sie es aus- und wieder einschalten, funktioniert es sofort wieder, als wäre nichts passiert.

Neustarts können manchmal auch akzeptabel sein, wenn Sie schnell neu starten können, ohne wichtige Informationen zu verlieren. Dies geschah im Rahmen der Landung von Apollo 11, als sie den Alarm 1202 hatten:

Er erkannte, dass der 1202 ein Code war, der bedeutete, dass der Führungscomputer an Bord des Landungsboote wurden mit Aufgaben überladen. Die Programmierer hatten damit gerechnet, dass diese Überlastung eines Tages auftreten könnte, und hatten daher einen systeminternen Aspekt festgelegt, der automatisch einen schnellen Neustart und anschließend eine Speicherwiederherstellung durchführt, um den Computer wieder in Betrieb zu nehmen.