Über die menschliche Fahrkompetenz will ich mich schon wegen des Handy-Suchtproblems lieber nicht äußern. Betrifft aber auch Fußgänger, welche beim SMSen die Straße überqueren.

mbr schrieb:
Programme in Assembler geschrieben und mathematisch verifiziert: Wo hast Du den das her ?

Das habe ich noch aus meinem Studium. zugegeben ist es lange her (war so ums Jahr 2001-2003), aber damals hatten wir die Fragestellung mit welcher Programmiersprache man welche Anwendungen programmieren darf und welche eben nicht. Oder: Warum darf man ein ABS-Steuergerät im PKW eben nicht objektorientiert in Java programmieren?

Antwort war damals, daß man generell bei den Hochsprachen nicht wirklich sicherstellen kann, daß es unter keinen wie auch immer gearteten Umständen zu einem Variablenüberlauf oder einer Exception kommt, die das Programm dann in einen undefinierten Zustand bringt. Klar kann man durch Tests die Wahrscheinlichkeit minimieren, aber sie wird nie bewiesen null sein.

Bei einer Maschinensprache oder gar bei der Programmierung direkt im Maschinencode könne man es beweisen, wenn auch mit sehr viel Aufwand.

raller schrieb:
Der Klassiker ist der A340 im Anflug auf New York, der seine Landeklappen nicht ausfahren konnte, weil ein Pilot während des Fluges eine der Borduhren verstellt hat. Er hatte das Datum um 3 Tage in die Zukunft verlegt, woraufhin im Maintanance-Status des Fliegers ein Wartungsintervall für die Landeklappen überschritten schien und aus Sicherheitsgründen ( weil niemand mit einer quasi absichtlich verstellten Uhr gerechnet hat ) verweigerte der Flieger das Ausfahren der Klappen, um damit einen Start (!) zu verhindern.

Der Vorfall läßt für mich nur den Schluß zu, daß die Sicherheitsphilosophie bei Airbus heißt: "Im Zweifelsfall hat der Computer Recht, weil der weniger Fehler macht". Ob die Philosophie jetzt erschreckend ist oder nicht, weil der Mensch evtl. doch mehr Fehler macht, will ich gar nicht beurteilen. Ich würde mir nur wünschen, daß man es offen auch so kommuniziert.

Ich würde den Piloten, solange auf ihm die Schuld (=menschliches Versagen) für Flugunfälle abgeladen wird, als höchste Instanz ansehen. Ich habe jedenfalls noch nie gesehen, daß Flugzeugabstürze strafrechtliche Konsequenzen für die Entwickler zur Folge hatten. Die Piloten sind da einfachere Opfer, da sie meistens tot sind und sich deswegen nicht mehr wehren können. Sollten wir zu dem Schluß kommen, daß die Computer eh besser fliegen und wir uns die Cockpitbesatzung eigentlich sparen könnten, will ich den Programmierer sehen, der auch für die Folgen seines Tuns geradesteht.

Getreu der Philosophie "der Pilot hat das letzte Wort" würde es mir nicht im Traum einfallen irgendeine Programmierung als Entwickler zuzulassen, die aus welchem Grund auch immer in die Flugsteuerung eingreift. Um einen Start zu verhindern die Klappen nicht ausfahren. Das schreit doch förmlich nach Overengineering. Einzige Ausnahme wären Begrenzungen zur Abwendung von Überlastung, Stall usw. ... und die müßte man auch sehr schnell deaktivieren können, also ohne sich mit Checklisten durch zieg Menüs wühlen zu müssen. Das muß jemand im Zustand "Eins minus Panik gleich verdammt wenig" noch bedienen können, sonst hat der Entwickler Murks gebaut. Wenn der Computer dann "aus" ist, fliegt sich der Vogel wie eine alte 707 mit Seilzügen und wenn dann jemand am Sidestick auf die Idee kommen würde mit einer 737 eine Faßrolle zu drehen, wie damals mit der 707, würde die Steuerung auch diese Steuerbefehle umsetzen.

Wobei natürlich ganz grundsätzlich zu fragen ist: Wie kann es sein, daß ein Verkehrsflugzeug, das in einer bestimmten Konfiguration (Klappen eingefahren, Trimmung hecklastig) aerodynamisch instabil ist, überhaupt zugelassen wurde?

Soweit ich hier mitbekommen habe wurde MCAS entwickelt, um eben gerade nicht in die diesen Flugzustand zu kommen, weil die 737 max8 mit den großen Triebwerken wohl damit ein Problem hat. Berichtigt mich bitte, sollte ich mich irren. Gleichzeitig ist mein letzter Stand, daß alle Flugzeuge, die für die zivile Luftfahrt eingesetzt werden, aerodynamisch stabil ohne Computerhilfe steuerbar sein müssen. Wie paßt das alles zusammen?

das kann ich gut nachvollziehen. Bei einer SPSserie eines renommierten Herstellers, hat man erfahren das er unter gewissen umständen total kollabiert.  Die Folge währe in meinem Betrieb das einfallen aller Bremsen und Notbremsen gewesen, mit reel möglichem Personenschaden. wenn die Sps das Einfallen befehlt, nützen alle aussenstehenden Maßnahmen damit dies nicht passiert nichts (Backupbatterie etc). Aber auch hier währe dies mit einer 2 auf 3 Logik, mit verschiedenen Geräten und Sprachen, zu vermeiden.

cbk schrieb:
Bei einer Maschinensprache oder gar bei der Programmierung direkt im Maschinencode könne man es beweisen, wenn auch mit sehr viel Aufwand.

In den USA würde man sagen "ich würde mein Geld von der Hochschule zurückverlangen".

Was für ein Prof hat Euch so einen Scheiss verzapft? Wahrscheinlich sitzt der immer noch im Keller und sucht die Schleifeninvariante beim Hoare-Kalkül.  

Moin CBK,

bei dem Vorfall mit der Uhr hat keiner festgelegt, was zu passieren hat, also wurde weder dem Mensch noch der Maschine Priorität eingeräumt. Der Fall war schlicht nicht vorgesehen. Das Beispiel sollte auch nur verdeutlichen, wie krumm selbst bei simplen Strukturen gedacht werden muss, um Wechselwirkungen zu vermeiden. Und auch mit nem A340 kannst du Fassrollen fliegen, warum sollte das nicht gehen? Wenn du den Level an Schutzeinrichtungen reduzierst durch das Abschalten bestimmter Systeme hast du direkte Verbindung Sidestick zu Steuerfläche. Dann geht alles inklusive Stall, Demontage des Fliegers durch zu hohe G-Last oder Vne-Überschreitung, das volle Programm halt. Nur, wann wäre das sinnvoll? Es gibt den Fall, das du absichtlich die Protektion abstellst, wenn der Flieger aufgrund von Sensor-Fehlern offensichtlich falsch reagiert...

Gruß Raller

raller schrieb:
Es gibt den Fall, das du absichtlich die Protektion abstellst, wenn der Flieger aufgrund von Sensor-Fehlern offensichtlich falsch reagiert...

Das ist bei der z.B. MAX ja schon bissi komisch... Da gibt es einerseit MCAS, was u.U. die Trimmung berechtigterweise loslaufen laesst und andererseits nach Lion Air sensibilisierte Piloten, welche eine unerwartet losrennende Trimmung per cut off switches stoppen, so dass MCAS ebenfalls wirkungslos wird, was aber wegen drohendem Stall auch wieder doof ist.

Wie will man eine unerwartete Reaktion des Fliegers in Stresssituationen richtig bewerten, also Trimmung lieber laufen lassen oder doch manuell stoppen? Schwierig...

---

Chris

skyfool schrieb:
Was für ein Prof hat Euch so einen Scheiss verzapft?

Jener hier: https://cs.uni-paderborn.de/index.php?id=45242

raller schrieb:
Das Beispiel sollte auch nur verdeutlichen, wie krumm selbst bei simplen Strukturen gedacht werden muss, um Wechselwirkungen zu vermeiden.

Und ich wollte verdeutlichen, daß ich rein von der Philosophie her nur den absolut notwendigen Systemen Zugriff auf die Ruderanlage gestatten würde. Alles andere hätte schon von Anfang an in der Entwicklung keinen Zugriff auf solch hochrelevanten Systeme, eben weil niemand vorab so "krumm" denken kann, wie es nachher in der Realität kommt.

Also wenn ein Entwickler kommt: "Hey, ich habe da eine tolle Idee, wie wir das Überziehen der Wartungsintervalle unterbinden können. Wir verunmöglichen einfach dem Piloten ein paar Steuereingaben," würde ich den Entwickler für eine Woche ins Kloster schicken, um über diese bescheuerte Idee noch einmal nachzudenken.

Paradebeispiel für diese Bevormundung der Piloten war der damalige Crash des Airbusses in Warschau.

Sollte die Priorität nicht auf die Perfektionierung der Pilotenausbildung gelegt werden, anstatt einen diesbezüglich möglichen Mangel mittels dieser sogenannten Sicherheitssysteme zu kompensieren? Ich weiß, das ist eine provokante Frage, aber ich darf auch sagen, dass ich damit nicht alleine stehe (Profis im Hintergrund).

sozusagen schrieb:
Sollte die Priorität nicht auf die Perfektionierung der Pilotenausbildung gelegt werden, anstatt einen diesbezüglich möglichen Mangel mittels dieser sogenannten Sicherheitssysteme zu kompensieren? Ich weiß, das ist eine provokante Frage, aber ich darf auch sagen, dass ich damit nicht alleine stehe (Profis im Hintergrund).

Wenn ich exemplarisch nur das unten verlinkte Video schaue, dann finde ich schon die Vermutung von tendenzieller Unprofessionalität eigentlich unverschämt. Wer solche Situationen regelmäßig cool managt, der hat sein Fach drauf. Punkt.

Nun haben die Profis zwar auch nicht jeden Tag solche Bedingungen, aber sie können es. Und sie haben auch Familien und Spaß am Leben und wollen das auch in Zukunft. Das sind keine Hasardeure oder Hirnis, die sich mit fragwürdiger Ausbildung in einen dummen, fliegenden Computer setzen.

Ich habe selbst einmal vor Jahrzehnten mit der Lufthansa Ausbildung begonnen. Dabei lernst du dich selbst und die Anderen kennen. Da gab es nicht einen, der in ein Schema gepasst hätte, was du hier unterstellst, wenn du behauptest, die Ausbildung wäre möglicherweise grundsätzlich fragwürdig.

Solche Zustände würde sicher jemand anderes vor dem UL Forum bemerken. Nämlich die Jungs und Mädels selbst.

https://youtu.be/KZ2LWzayW0A