Boeing MCAS

[Scd442]

Zuviel Werbung?
-> Hier kostenlos registrieren

ich würde es als Assistenzsystem ansehen ja. im NOrmalfall reagiert dieses und wenn ein Sensor ausfällt, muss der Pilot denken.
Die Verantwortung wäre somit nicht in jeder Situation beim Piloten (nur wenn die Sensoren unterschiedliches melden). Da das System aber richtig reagieren muss, wenn die Sensoren beide das Gleiche anzeigen, und keine CCF anfallen dürfen, wäre es meiner Meinung nach schon ein hoher Performance Level. Dementsprechend auch ein höherer SIL als SIL0. Man muss meiner Meinung nach nur den Sensorausfall sicher mitbekommen und dann muss der Pilot handeln.

Bei allen Gutachtern mit denen ich bis jetzt zu tun hatte war ein "Assistenzsystem" immer ein Synonym für ein System ohne jegliche Sicherheitsverantwortung, da diese komplett beim Bediener liegt.

Diese Definition ist sicher nicht in Stein gemeißelt, und oft ist es ja auch nicht so wichtig wie man etwas nennt, sondern viel mehr was es macht.

So wie du es schreibst würde es ja dann wieder eine Sicherheitsfunktion übernehmen, und den Stand der Technik erfüllen.

Der Knackpunkt wäre aber wieder ob der Pilot grundsätzlich überhaupt so schnell reagieren kann, das er den Strömungsabriss erkennen und abwenden kann - falls ja, dann wäre das System ja eigentlich immer überflüssig.


Diese von dir beschriebene Übergabe der Verantwortung an sich ist auch ein schwieriges Thema, worüber es viele Diskussionen gibt wegen automatisierten Fahrfunktionen bei PKW. Bis jetzt gibts das noch nicht, und die existierenden Fahrerassistenzsysteme wie der "Autopilot" von Tesla erfordern laut Kleingedrucktem das der Fahrer jederzeit die volle Aufmerksamkeit über das Geschehen behält, um bei einem Fehler des Systems eingreifen zu können.

Mittlerweile besteht ja eigentlich Einigkeit darüber, dass allein das ein Sicherheitsrisiko ist, da der Mensch nicht dauerhaft 100% aufmerksam bleiben kann wenn er das Gefühl hat die Kontrolle abgegeben zu haben. Allein das lässt mir eine Übergabe der Verantwortung ein bisschen als semi-optimal erscheinen.

 

[oliver.tonn]

Der Knackpunkt wäre aber wieder ob der Pilot grundsätzlich überhaupt so schnell reagieren kann, das er den Strömungsabriss erkennen und abwenden kann - falls ja, dann wäre das System ja eigentlich immer überflüssig.

Wäre es vermutlich, wenn hier nicht Menschen mit am Werk wären die auch mal Fehler machen oder etwas übersehen.
Airbus und Boing begrenzen z.B. auch den Anstellwinkel, heißt ich kann wie verrückt am Stick ziehen oder drücken, aber der Flieger wird trotzdem nicht steiler steigen oder sinken als wie maximal zulässig. Auch das könnte ein Pilot mit einem Blick auf den künstlichen Horizont erkennen und trotzdem gibt es dieses System.

 

[Scd442]

Zuviel Werbung?
-> Hier kostenlos registrieren

@Scd442:
also wer die Maschinenrichtlinie und die dementsprechenden Normen bei Flugzeugen anwendet, sollte sich nicht soweit aus dem Fenster lehnen.

Die Verantwortung bei einem Flugzeug liegt immer beim Piloten. Dies kann unterstützt werden durch Systeme (nenn es Assistenzsystem oder nicht, egal wo der Begriff herkommt, er kann auf jeden Fall nicht in Verbindung mit der EN ISO 13849 erwähnt werden. habe ich dort noch nie gelesen. Man sollte hier nicht verschiedene Normen etc. vermischen). Für mich ist dies ein System, was dem Piloten helfen soll.

Sorry nix für ungut, aber da sind für mich jetzt ein paar zu viele "gefühlte" Fakten und "alternative" Wahrheiten drin um das noch ernst zu nehmen

"Sie bezieht sich nicht auf bestimmte Anwendungen. Systeme, die auf Anforderung eine Sicherheitsfunktion ausführen, sind zum Beispiel das Antiblockiersystem bei einem Kraftfahrzeug und Systeme, die auf ständige Ausführung der Sicherheitsfunktion angewiesen sind, zum Beispiel die Steuerungseinheit einer Trägerrakete."

https://de.wikipedia.org/wiki/IEC_61508

"Sie kann bei allen sicherheitsrelevanten Systemen, die solche Komponenten enthalten und deren Ausfall ein maßgebliches Risiko für Mensch oder Umwelt bedeutet, herangezogen werden."

https://www.blog.scope-engineering.de/single-post/IEC61508

Na, auf welche Norm hab ich mich gleich nochmal die ganze Zeit bezogen?

Falls du dich wirklich für die Unterschiede im Detail interessierst:

"Der DO-178B umfasst, anders als der IEC 61508, nur den SoftwareLebenszyklus. Es sind zwar Schnittstellen zum System-Lebenszyklus definiert, dieser wird aber nicht speziell betrachtet."

http://amser.hs-weingarten.de/dokumente/Students_work/Proj_Thesis_Hondorf.pdf

Nochmal zu deiner Info, die IEC 61508 ist "die" sektorübergreifende Basisnorm für die funktionale Sicherheit weltweit. Die Prinzipien darin sind allgemeingültig. Ich merk schon das "Norm" für dich eher was ist worin irgendwelche Bürokraten dem armen Bürger vorschreiben welchen Krümmungswinkel eine Banane haben muss.

In der 61508, den abgeleiteten C-Normen und den sehr ähnlichen Sektornormen wie diejenigen für die Luftfahrt werden Grundsätze beschrieben die sich aus der Logik ergeben. Ob man das Ruhestromprinzip oder HFT>0 nutzt ist keine Einstellungs- oder Meinungssache, die Physik gibt uns das halt so vor wenn es ausfallsicher sein soll.

Beruflich nutze ich auch die 50128 oder 50657, trotzdem kenne und verstehe ich die 61508-3. Steht ja sowieso sinngemäß das gleiche drin. Ich kenne die DO-178B nicht auswändig, lass mir aber gern von dir die unterschiede zur 61508-3 im Detail erklären

 

[Scd442]

Wäre es vermutlich, wenn hier nicht Menschen mit am Werk wären die auch mal Fehler machen oder etwas übersehen.
Airbus und Boing begrenzen z.B. auch den Anstellwinkel, heißt ich kann wie verrückt am Stick ziehen oder drücken, aber der Flieger wird trotzdem nicht steiler steigen oder sinken als wie maximal zulässig. Auch das könnte ein Pilot mit einem Blick auf den künstlichen Horizont erkennen und trotzdem gibt es dieses System.

Was du schreibst ist korrekt, aber keines der erwähnten Flugzeuge hat die Triebwerke so weit vor den Tragflächen wie die Boeing 737 Max.

Wie gesagt, ich hab darüber viel gelesen von Leuten die behaupten sich auszukennen. Ob es stimmt weiß ich nicht, aber die Tatsache das Boeing selbst die Notwendigkeit für ein System sieht welches den Piloten überstimmt lässt schon irgendwie den Schluss zu dass der plötzlich stark zunehmende Auftrieb zu einer Situation führt auf die der Mensch nicht mehr schnell genug reagieren kann. Angeblich widerspricht die Charaktersitik welche das Flugzeug in diesen Situationen hat den Vorgaben der Luftfahrtbehörden für eine Zulassung.

Wenn das wirklich so wäre dann wäre das MCAS System grundlegend anders als die bestehenden Systeme, da es Situationen geben kann die der Pilot nicht mehr selber kontrollieren kann, und das System hätte die Sicherheitsverantwortung.

Da ich keine Einblicke in die Unterlagen der FAA habe und dieses Flugzeug nie selber geflogen bin kann ich dazu aber genau so wenig definitves sagen wie jeder andere.

 

[stevenn]

Sorry nix für ungut, aber da sind für mich jetzt ein paar zu viele "gefühlte" Fakten und "alternative" Wahrheiten drin um das noch ernst zu nehmen

"Sie bezieht sich nicht auf bestimmte Anwendungen. Systeme, die auf Anforderung eine Sicherheitsfunktion ausführen, sind zum Beispiel das Antiblockiersystem bei einem Kraftfahrzeug und Systeme, die auf ständige Ausführung der Sicherheitsfunktion angewiesen sind, zum Beispiel die Steuerungseinheit einer Trägerrakete."

https://de.wikipedia.org/wiki/IEC_61508

"Sie kann bei allen sicherheitsrelevanten Systemen, die solche Komponenten enthalten und deren Ausfall ein maßgebliches Risiko für Mensch oder Umwelt bedeutet, herangezogen werden."

https://www.blog.scope-engineering.de/single-post/IEC61508

Na, auf welche Norm hab ich mich gleich nochmal die ganze Zeit bezogen?

Falls du dich wirklich für die Unterschiede im Detail interessierst:

"Der DO-178B umfasst, anders als der IEC 61508, nur den SoftwareLebenszyklus. Es sind zwar Schnittstellen zum System-Lebenszyklus definiert, dieser wird aber nicht speziell betrachtet."

http://amser.hs-weingarten.de/dokumente/Students_work/Proj_Thesis_Hondorf.pdf

Nochmal zu deiner Info, die IEC 61508 ist "die" sektorübergreifende Basisnorm für die funktionale Sicherheit weltweit. Die Prinzipien darin sind allgemeingültig. Ich merk schon das "Norm" für dich eher was ist worin irgendwelche Bürokraten dem armen Bürger vorschreiben welchen Krümmungswinkel eine Banane haben muss.

In der 61508, den abgeleiteten C-Normen und den sehr ähnlichen Sektornormen wie diejenigen für die Luftfahrt werden Grundsätze beschrieben die sich aus der Logik ergeben. Ob man das Ruhestromprinzip oder HFT>0 nutzt ist keine Einstellungs- oder Meinungssache, die Physik gibt uns das halt so vor wenn es ausfallsicher sein soll.

Beruflich nutze ich auch die 50128 oder 50657, trotzdem kenne und verstehe ich die 61508-3. Steht ja sowieso sinngemäß das gleiche drin. Ich kenne die DO-178B nicht auswändig, lass mir aber gern von dir die unterschiede zur 61508-3 im Detail erklären

nicht gleich eingeschnappt sein. ist ja gut.
Nochmal zu deiner Info, warum ist das eine Sicherheitsfunktion, bei der die 61508 angewendet werden kann und kein Assistenzsystem? In meinem Beispiel wäre es ein Assistenzsystem und würde auch zum Erfolg führen.
Und über ein Forum zu urteilen, wie ich Normen handhabe finde ich auch interessant. Ich habe auch nie behauptet die DO-178B auswendig zu kennen, ich denke ihr Ziel ist aber auch das das Flugzeug nicht abstürzt. Aber lassen wir das persönliche. Akzeptiere meine Meinung / Idee / Vorschlag oder lass es sein, ist mir egal