Boeing MCAS

Zuviel Werbung?
-> Hier kostenlos registrieren
Heinileini schrieb:
Da sind wir doch absolut derselben Meinung. Ich fand lediglich den Vergleich mit dem Not-Halt irreführend bzw. am Thema vorbei.
Zum Vergrößern anklicken....

Nein der Vergleich hat schon seine Berechtigung: bei einer Sicherheitsfunktion mit zweikanaliger Sensorik muss diese ansprechen wenn bereits ein Kanal auslöst.

Das ist der Grund warum das MCAS System bereits aktiv werden muss wenn nur einer der beiden Sensoren einen zu steilen Anstellwinkel meldet.

Zur Erinnerung: der Sinn der Funktion ist es, einen Absturz durch Strömungsabriss zu verhindern weil durch die Verkleidung der Triebwerksgondeln mit steigendem Anstellwinkel zusätzlicher Auftrieb entsteht.

Der zweite Sensor ist dafür da das die Funktion trotzdem auslöst, auch wenn der erste in horizontaler Lage hängen geblieben ist.

Genau so verhält es sich mit den Kontakten im Schlagtaster: wenn einer nicht mehr öffnet dann wird durch den zweiten immer noch der Not-Halt ausgelöst.

Das MCAS erst auslösen zu lassen wenn beide Sensoren den gleichen Wert zeigen wäre in Bezug auf die angedachte Funktion so als wenn man einen Not-Halt in der Steuerung nur auslösen lassen würde wenn beide Kontakte des Schlagtasters öffnen, und nicht nur einer - auch ohne jetzt auf die Architekturen nach 61508 oder 13849 einzugehen dürfte jedem klar sein dass das natürlich nicht sein darf, da man so durch den zweiten Kanal die Funktion nicht sicherer durch Redundanz machen würde, sondern unsicherer, da aus einer logischen "und"-Veknüpfung auf welche die Eingänge wirken eine "oder"-Verknüpfung werden würde.

Das MCAS System hat ja zwei Sensoren, es entstand nur viel Verwirrung in der Berichterstattung durch die Tatsache das es bereits bei ansprechen eines Sensors auslöst. Was es aber muss, in Bezug auf seine angedachte Funktion.

Die Tatsache, dass durch das MCAS System selber eine völlig neue Gefährdung entsteht, und das es daher niemals so verbaut hätte werden dürfen ist eine andere Geschichte, die mit mindestens kompletter Fahrlässigkeit bei der Entwicklung zusammenhängt.

Das eine Sicherheitsfunktion mit zweikanaliger Sensorik ansprechen muss wenn bereits ein Kanal auslöst ist aber sowohl normativ als auch logisch völlig klar.

Würd mich übrigens freuen wenn weitere Kollegen aus dem Bereich funktionale Sicherheit ihre Einschätzung abgeben würden, was z.B. den Diagnosedeckungsgrad der Sensorik angeht, Fehler gemeinsamer Ursache, oder ob ihnen überhaupt eine Architektur einfällt die das Problem lösen kann ;)

Denn nur weil man etwas gern durch eine automatische Sicherheitsfunktion lösen will heißt das ja noch lange nicht das es rein technisch überhaupt möglich ist eine Sicherheitsfunktion zu entwickeln die diese Aufgabe auch erfüllen kann. Manchmal widersprechen halt die Regeln der Logik und Physik.
 
Stell dir vor die zwei Öffner sind die Kontate eines Not-Halt Schlagtasters, und wenn der Ausgang Q abfällt wird die Aktorik spannungslos.

Das macht natürlich nur mit der "und"-Verknüpfung sinn, alles andere wäre kompletter Blödsinn und gefährlich, und niemand würde auf die Idee kommen es mit der "oder" Verknüpfung zu machen.



Jetzt stell dir vor die zwei Öffner sind die Sensoren, die öffnen sobald der Anstellwinkel den erlaubten Bereich überschreitet. Wenn Q abfällt dann werden zwei Ausgänge geöffnet an denen zwei Relais mit Rückführkreis hängen, über deren Öffnerkontakte die zwei Trimm-Motoren mit Spannung versorgt werden (Diagnose der Wirksamkeit der Motoren jetzt mal vereinfachend außen vorgelassen).


Wenn man jetzt hier die "oder" Verknüpfung verwendet wie in dem Bericht der FAA als Lösung vorgeschlagen, dann stürzt das Flugzeug ab wenn einer der Sensoren in horizontaler Lage hängen geblieben ist (z.B. festgefroren weil Heizung ausgefallen), und es zu diesem zu steilen Anstellwinkel kommt den das System verhindern soll.

So als ob der Not-Halt nicht auslöst weil nur ein Kontakt öffnet wenn die Kontakte statt auf eine "und"-Verknüpfung auf eine "oder"-Verknüpfung wirken.


Wenn wie in dem Bericht der FAA vorgeschlagen die Funktion deaktiviert wird dann stürzt das Flugzeug natürlich sowieso ab wenn es zu diesem zu steilen Anstellwinkel kommt. Wie gesagt, völlig irre aus Sicht eines Entwicklers im Bereich funktionale Sicherheit...
 

Anhänge

  • Und oder.png
    Und oder.png
    5,8 KB · Aufrufe: 3
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich find den Vergleich mit den Not-Halt als nicht zielführende Lössung oder Vergleich.
Vielleicht braucht man einen Zusätzlichen Kanal der Divers aufgebaut ist und das für
jeden Sensor. Dieser zusätzliche Kanal muss ein Signal geben, das der Sensor in Ordnung
ist. Meinetwegen wird in bestimmten Zeit-Intervallen eine Blende vor einen der Sensoren
geschaltet, das zur eine Veränderung des Messwertes führt.
 
Scd442 schrieb:
Nein der Vergleich hat schon seine Berechtigung: bei einer Sicherheitsfunktion mit zweikanaliger Sensorik muss diese ansprechen wenn bereits ein Kanal auslöst.
Zum Vergrößern anklicken....
Ich bleibe dabei: der Vergleich hinkt. Die Gemeinsamkeit beschränkt sich auf die Zweikanaligkeit der Sensorik. Im Falle des Nothalt handelt es sich um eine SicherheitsFunktion.
Im Falle des "AssistenzSystems" nicht, jedenfalls nicht um eine SicherheitsFunktion, die auch nur annähernd diesen Namen zu Recht tragen könnte, da ihr Eingreifen in einen "besseren" Zustand führen kann (und soll) ... oder in einen "schlimmeren", wenn die pessimistischere der beiden Meldungen eine FalschMeldung ist.
Das System ist Murks und, dass die Wahl auf eine zweikanalige Sensorik gefallen ist, auch - es wurde am falschen Ende gespart. Aber, aus der nicht angemessenen Zweikanaligkeit auf irgendeine Vergleichbarkeit mit einer SicherheitsFunktion zu schliessen, finde ich bedenklich. Kanäle zählen und abnicken, sobald die Zahl stimmt und beide Kanäle mit UND verknüpft sind, das genügt einfach nicht. Und schon gar nicht, wenn der sichere Zustand ("rechts ranfahren und ADAC rufen") durch den Eingriff nicht herbeigeführt werden kann.
 
rostiger Nagel schrieb:
Ich find den Vergleich mit den Not-Halt als nicht zielführende Lössung oder Vergleich.
Vielleicht braucht man einen Zusätzlichen Kanal der Divers aufgebaut ist und das für
jeden Sensor. Dieser zusätzliche Kanal muss ein Signal geben, das der Sensor in Ordnung
ist. Meinetwegen wird in bestimmten Zeit-Intervallen eine Blende vor einen der Sensoren
geschaltet, das zur eine Veränderung des Messwertes führt.
Zum Vergrößern anklicken....

Zielführend oder nicht, aber eine "oder"-Verknüpfung von zwei Sensoren führt doch eigentlich immer zu einer Hardware-Fehlertoleranz von Null? Somit wäre SIL3 ja gar nicht erreichbar.

Ich hab jetzt den Passus aus der Norm nicht im Kopf, aber ich bin mir eigentlich fast sicher das eine "oder"-Verknüpfung für einen zweikanaligen Eingang nicht zulässig ist (außer wenn laut Norm generell bei HFT=0 "ein definierter sicherer Zustand der Maschine nach einer Fehlererkennung durch eine entsprechende Fehlerreaktion eingeleitet werden kann", was ja hier per se unmöglich ist)

Ein DC von über 90% ist für SIL3 ja in jedem Fall nötig, also auch wenn beide Signale durch "und" verknüpft werden. Somit braucht es eine Art von Testeinrichtung auch wenn das System bereits bei Auslösen eines von zwei Sensoren reagiert, d.h. ein System wie von dir beschrieben oder ähnliches ist eh obligatorisch.

Ganz grundlegend finde ich den Ansatz zu sagen "weil es komplizierter als ein Not-Halt bei einer Drehbank ist muss man die Vorgaben nach dem Stand der Technik nicht so eng sehen" problematisch bzw. nicht richtig.

Wenn es eine Sicherheitsfunktion ist die SIL 3 oder sogar höher erfüllen muss, warum sollten dann laschere Regeln gelten? Der potentielle Schaden ist doch bei einem Passagierflugzeug viel größer als bei einer Drehbank, es müsste ja eigentlich genau andersrum sein (also noch strenger).

Und das die 61508 auch die Basis für die Normen der Luftfahrt darstellt darin besteht doch Einigkeit, oder?


Heinileini schrieb:
Ich bleibe dabei: der Vergleich hinkt. Die Gemeinsamkeit beschränkt sich auf die Zweikanaligkeit der Sensorik. Im Falle des Nothalt handelt es sich um eine SicherheitsFunktion.
Im Falle des "AssistenzSystems" nicht, jedenfalls nicht um eine SicherheitsFunktion, die auch nur annähernd diesen Namen zu Recht tragen könnte, da ihr Eingreifen in einen "besseren" Zustand führen kann (und soll) ... oder in einen "schlimmeren", wenn die pessimistischere der beiden Meldungen eine FalschMeldung ist.
Zum Vergrößern anklicken....

Das was du über Assistenzsyteme und Sicherheitsfunktionen schreibst ist natürlich korrekt, aber wie kommst du drauf dass das MCAS nur ein Assistenzsystem ist, und keine Sicherheitsfunktion?

Es soll doch einen Mangel der mechanischen Konstruktion des Flugzeugs ausgleichen, der eine vom Piloten nicht mehr zu kontrollierende Situation auslösen kann. Sonst gäbe es doch gar keinen Grund ein automatisches System einzubauen das den Piloten "überstimmen" kann?

Das es zu einem Strömungsabriss kommen kann ist ja auch von Boeing unbestritten, als mögliche Folge ein Absturz des Flugzeugs ebenso. Ich sehe nicht wie das System keine Sicherheitsfunktion sein kann (die mindestens SIL3 erfordert).


Übrigens danke allen Beteiligten für die interessante Diskussion ;)
 
sorry ich konnte jetzt nicht den ganzen Verlauf lesen, aber meine Meinung dazu, wie sinnvoll mit den Sensoren umgegangen werden soll.
Wenn beide Sensoren einen zu steilen Anstellwinkel melden dann dementsprechend reagieren. Wenn nur ein Sensor einen zu steilen Anstellwinkel meldet, dann eine Warnung an den Piloten und er soll entscheiden, welcher richtig ist. Wird man ja irgendwie anders auch feststellen/mitbekommen. Höhenmeter, Geschwindigkeit usw.
 
rostiger Nagel schrieb:
OK ich verstehe, dann halten wir uns an der Norm und stürzen weiter ab.
Zum Vergrößern anklicken....

Das musst du mir jetzt genauer erklären. Die Flugzeuge sind doch nicht abgestürzt weil das MCAS dem Stand der Technik entspricht was die funktionale Sicherheit angeht. Sondern weil es wie ausgeführt eben nicht dem Stand der Technik entspricht - sowohl was die Ausführung der angedachten Funktion angeht (Schutz vor Absturz wegen Strömungsabriss, da ich auch bei der Sensorik des ursprünglichen Systems von einem DC von 0 ausgehe), als auch weil die Entwickler die Gefahren durch ein Fehlansprechen völlig ignoriert haben, die durch eine einfache FMEA jedem bewusst geworden wären. Was dann ja auch zu den Abstürzen geführt hat.

Beides (sowohl DC von >90%, als auch Entwicklung nach dem V-Modell und FMEA sowie Software-FMEA) sieht die 61508 als erforderlich bei einer solchen Sicherheitsfunktion vor.


Und das was jetzt von der FAA als "Lösung" vorgeschlagen wurde verleiht dem MCAS eine Hardware-Fehlertoleranz von 0, und ist somit nicht zulässig für diese Funktion.

Oder HFT=0 ganz ohne Verständis der funktionalen Sicherheit ausgedrückt: wenn das System im Flug deaktiviert wird oder nicht mehr anspricht wenn einer der Sensoren ausfällt, dann gibt es keinen Schutz mehr gegen einen Strömungsabriss durch den selbstverstärkenden Effekt auf den Auftrieb wegen der Verkleidung der Triebwerksgondeln bei steilen Anstellwinkeln.

Natürlich wird dadurch ein Absturz wegen Fehlansprechen des Systems weniger wahrscheinlich. Dafür wird ein Absturz wegen Ausfall des Systems, und nicht-erkennen des drohenden Strömungsabriss wahrscheinlich. Denn nur weil sich das System abschaltet oder nicht mehr funktioniert behebt sich doch nicht gleichzeitig das Problem mit dem Auftrieb durch die Verkleidung der Triebwerksgondeln.

Wenn das System dagegen alle Anforderungen an ein SIL3 System aus der 61508 erfüllen würde, dann würde es statistisch nur alle 1100 bis 11000 Jahre Dauerbetrieb ein mal ausfallen (oder halt 10^-7 bis 10^-8 mal pro Stunde Dauerbetrieb).

Gibts da irgendwelche Unklarheiten?
 
stevenn schrieb:
sorry ich konnte jetzt nicht den ganzen Verlauf lesen, aber meine Meinung dazu, wie sinnvoll mit den Sensoren umgegangen werden soll.
Wenn beide Sensoren einen zu steilen Anstellwinkel melden dann dementsprechend reagieren. Wenn nur ein Sensor einen zu steilen Anstellwinkel meldet, dann eine Warnung an den Piloten und er soll entscheiden, welcher richtig ist. Wird man ja irgendwie anders auch feststellen/mitbekommen. Höhenmeter, Geschwindigkeit usw.
Zum Vergrößern anklicken....

Ich bin bis jetzt nur Motorsegler geflogen, und noch nie ein Passagierflugzeug (vom MS Flugsimulator vielleicht mal abgesehen, aber ich denke das zählt eher nicht :ROFLMAO:)

Aber so wie ich es verstanden habe, bzw. in Piloten-Foren gelesen habe, nimmt der Auftrieb gerade in kritischen Situationen wo die Geschwindigkeit niedrig ist und der Anstellwinkel hoch (Start, Landung) durch dieses Problem mit den Triebwerken plötzlich exponentiell zu. Der Steuerknüppel wird ganz "leicht", und die Nase hebt sich schlagartig an.

Das soll, zumindest nach Aussage dieser Leute, in allen Regelwerken sämtlicher Luftfahrt-Aufsichtsbehörden aus gutem Grund strengstens verboten sein.

Die Bedenken sind wohl das es zu einem Strömungsabriss kommt in einer sowieso schon gefährlichen Situation, wenn der Pilot beim Landeanflug wegen starkem Seitenwind plötzliche Korrekturen durchführen, aus irgend welchen Gründen ausweichen oder durchstarten muss.

Dann wäre wohl damit zu rechnen das es keine Rettung mehr gibt wenn es zum plötzlichen Strömungsabriss kommt, weil der Pilot nicht mehr reagieren kann.

Sonst würde sich ja auch gar keine Einstufung wie SIL3 ergeben, und auch wenn ich diesen Teil mangels Fachwissen nicht wirklich beurteilen kann, aber: wäre die Gefahr nicht real, dann wäre das System komplett überflüssig. Das bei Boeing ziemlich unfähige Leute sitzen haben die ja bewiesen, aber eigentlich niemand kann so dumm sein eine solche Funktion einzubauen wenn sie nicht notwendig ist.

Ich denke die Tatsache das Boeing selbst die Notwendigkeit eines solchen Systems annimt zeigt schon das die Gefahr real ist, und nicht einfach durch eine Warnlampe oder sowas behoben werden kann.

Wenn dem nicht so ist, dann hast du natürlich recht. Aber dann wäre das komplette MCAS ja völlig überflüssig.
 
rostiger Nagel schrieb:
Das es keinen Schutz mehr gibt stimmt ja auch nicht, es gibt ja noch die Piloten,
allerdings wurden deren Möglichkeiten zum Eingreifen genommen, durch nicht
vorhandener Betriebsanleitung des System.
Zum Vergrößern anklicken....

Wie grad geschrieben, ich denke nicht das die Leute bei Boeing so dumm sind ein automatisches Überwachungssystem einzubauen, wenn man davon ausgehen kann das die Gefahr auch durch die Piloten in jeder Situation kontrolliert werden kann.

Falls dem doch so ist, dann wären die Fehler die bei der Entwicklung gemacht wurden natürlich noch viel unfassbarer als bis jetzt angenommen.

Das kann ich nicht wirklich beurteilen, sondern nur vermuten.

Ich tendiere aber dazu das man sich bei Boeing sicher war dass eine reele Gefahr besteht das die Piloten eine solche Situation nicht mehr kontrollieren können. Sonst wäre das System überflüssig, und die ganze Diskussion über die funktionale Sicherheit würde sich erübrigen.

Das ist aber wie gesagt nur meine Einschätzung, wissen tu ich es natürlich auch nicht ;)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Scd442 schrieb:
Wie grad geschrieben, ich denke nicht das die Leute bei Boeing so dumm sind ein automatisches Überwachungssystem einzubauen, wenn man davon ausgehen kann das die Gefahr auch durch die Piloten in jeder Situation kontrolliert werden kann.
Zum Vergrößern anklicken....
naja, eine Hilfe kann ja nicht schaden.
zu meiner Meinung.
Im Normalfall (wenn beide funktionieren) wird richtig reagiert, vielleicht auch schneller als der Mensch.
Wenn die beiden etwas unterschiedliches anzeigen, dann kommt eine Warnung und der Pilot muss ran. ( ich bin kein Pilot und weiß nicht ob das möglich/realistisch ist)
so wird der schlechte Anstellwinkel erkannt, im Normalfall wird automatisch reagiert und im Fehlerfall muss der Pilot reagieren
 
Scd442 schrieb:
Wie grad geschrieben, ich denke nicht das die Leute bei Boeing so dumm sind ein automatisches Überwachungssystem einzubauen, wenn man davon ausgehen kann das die Gefahr auch durch die Piloten in jeder Situation kontrolliert werden kann.
Zum Vergrößern anklicken....

Nicht dumm, das meinst du aber jetzt ironisch .
Die Leute waren so dumm, das die Geldgier, den Verstand abgeschaltet hat.
Im übrigen können Piloten schon eingreifen, aber das ist bei diesen Typ nicht
so leicht, aber immerhin möglich.

https://www.tagesschau.de/wirtschaft/boeing-235.html
 
rostiger Nagel schrieb:
Im übrigen können Piloten schon eingreifen, aber das ist bei diesen Typ nicht
so leicht, aber immerhin möglich
Zum Vergrößern anklicken....
Bei der B737 leider nicht immer möglich.
B737 verwendet nicht Fly-by-wire. Um den Horisontal Stabilizer manuell trimmen muss man ein Rad drehen. Diesen Rad ist physikalisch mit den Stabilizer verbunden. Der Pilot muss die Kräfte der auf der Stabilizer die durch die Windströmmung entsteht überwinden. Wenn das Flugzeug in ein unkontrollierte AOA Vinkel gelangen ist kann es passieren dass er die Kräfte nicht überwinden kann. Dann ist es aus.
Hier ein Video von das Phänomen:
https://www.youtube.com/watch?v=aoNOVlxJmow
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Scd442 schrieb:
Wie grad geschrieben, ich denke nicht das die Leute bei Boeing so dumm sind ein automatisches Überwachungssystem einzubauen, wenn man davon ausgehen kann das die Gefahr auch durch die Piloten in jeder Situation kontrolliert werden kann.
Zum Vergrößern anklicken....
Es wird bei Boeing nicht anders sein, als in anderen Firmen auch. Es gibt Leute, die gute Ideen haben und ihre Arbeit gewissenhaft machen möchten. Und es gibt Leute, die den Rotstift als Steuerknüppel in der Hand haben. Letztere fordern natürlich auch, dass etwas gemacht werden muss, z.B. weil es der Markt fordert oder, weil es ein verkaufsförderndes Argument liefert, sich gegenüber Mitbewerbern zu profilieren ... aber kosten darf es selbstverständlich nix.
Wir müssen doch wohl hier nicht diskutieren, dass Boeing sich hier gleich mehrere Klopper erlaubt hat. Der erste wurde versucht, durch einen zweiten auszubügeln. Und der erste und der zweite wurden versucht, durch einen dritten zu kaschieren, damit niemand hellhörig und auf diesen MissStand auch noch hingewiesen wird.
Ich sträube mich dagegen, dieses Paket als SicherheitsFunktion zu bezeichnen und habe es deshalb als AssistenzSystem umschrieben, ohne dadurch AssistenzSysteme diskreditieren zu wollen.
Du vergleichst aber Äpfel mit Birnen, weil Du beim MCAS ein Indiz für Zweikanaligkeit siehst und für Dich mit diesem Stichwort feststeht, aha, die einzig zulässige Art, diese beiden Kanäle verknüpfen zu dürfen, ist durch Normen geregelt und bei Boeing hat man sich daran nicht gehalten.

Apropos UND vs. ODER:
"Deine" UND-Verknüpfung ist "in Wirklichkeit" eine ODER-Verknüpfung, wenn man von "positiver Logik" ausgeht: der sichere Zustand soll herbeigeführt werden, sobald Kanal1 ODER Kanal2 diesen anfordert. Ja ja, ich weiss, DrahtbruchErkennung, DeMorgan u.s.w. ... ;)
 
stevenn schrieb:
naja, eine Hilfe kann ja nicht schaden.
zu meiner Meinung.
Im Normalfall (wenn beide funktionieren) wird richtig reagiert, vielleicht auch schneller als der Mensch.
Wenn die beiden etwas unterschiedliches anzeigen, dann kommt eine Warnung und der Pilot muss ran. ( ich bin kein Pilot und weiß nicht ob das möglich/realistisch ist)
so wird der schlechte Anstellwinkel erkannt, im Normalfall wird automatisch reagiert und im Fehlerfall muss der Pilot reagieren
Zum Vergrößern anklicken....


Das würde voraussetzen dass der Pilot in jeder Situation so reagieren kann das keine Gefahr besteht, und das System somit ein reines Assistenzsystem ist.

Wenn das der Fall ist dann wäre das was Boeing eingebaut hat wohl eine der dümmsten Fehlkonstruktionen der Menschheitsgeschichte, weil es für ein "überstimmen" des Piloten nicht die geringste Notwendigkeit geben würde. Die Verantwortung würde in jeder Situation beim Piloten liegen, und die Einstufung für das System an sich wäre SIL 0.




rostiger Nagel schrieb:
Nicht dumm, das meinst du aber jetzt ironisch .
Die Leute waren so dumm, das die Geldgier, den Verstand abgeschaltet hat.
Im übrigen können Piloten schon eingreifen, aber das ist bei diesen Typ nicht
so leicht, aber immerhin möglich.

https://www.tagesschau.de/wirtschaft/boeing-235.html
Zum Vergrößern anklicken....


Dass das Flugzeug eine Fehlkonstruktion war und mit maximaler Fahrlässigkeit gehandelt wurde steht wohl fest.


Dennoch bleiben bei mir Zweifel ob der weltweit zweitgrößte Hersteller von Luft- und Raumfahrttechnik wirklich so blöd ist das Teil durch ein völlig überflüssiges Assistenzsystem zu einer solchen Todesfalle zu machen, und die größte Krise der Firmengeschichte auszulösen.


Ich hoffe das bei der EASA fähige Leute sitzen die den Stand der Technik bei der funktionalen Sicherheit kennen, und in der Lage sind analytisch an die Sache ranzugehen.

Denn irgendwie hab ich den Eindruck das da etliches total verhunzt und vermischt wurde.

Die erste Frage wäre: kann der Pilot in jeder Situation das Flugzeug so kontrollieren, das keine Gefahr besteht auch wenn das System nicht arbeitet?

Wenn die Antwort darauf "nein" heißt, dann handelt es sich um eine Sicherheitsfunktion, es muss eine Einstufung durch eine Risikoanalyse gemacht werden die bei größer/gleich SIL 3 liegen dürfte, und sämtliche Anforderungen was Architektur, B10 Werte, Diagnosedeckungsgrad, Hardware-Fehlertoleranz, Resistenz gegen Fehler gemeinsamer Ursache usw angeht müssen eingehalten werden, da sonst die Anforderungen des europäischen Produkthaftungsrechts nicht erfüllt werden.

Und ehrlich gesagt seh ich da schwarz wie das technisch umsetzbar ist. Das Problem ist meiner Meinung nach durch ein E/E/PES nur sehr schwer zu lösen, aus den dargelegten Gründen, und noch einigen zusätzlichen Details die ich jetzt schon absehen kann.

Wenn es nur ein "nice to have" Assistenzsystem ist dann kann man es theoretisch auch durch eine Warnlampe ersetzen, und wie es genau funktioniert ist total unkritisch. Natürlich nur so lange es den Piloten nicht überstimmen kann, auch nicht durch eine Fehlfunktion z.B. des Systems, mit dem der Pilot das MCAS dann deaktivieren könnte.

Dafür wäre auch bei einem Assistenzsystem aber wieder ein Sicherheitsnachweis nötig, da sogar jeder Außenstehende anhand der bekannt gewordenen Details erkennen kann dass durch ein Fehlansprechen des Systems ein Gefährdungsszenario besteht, und somit das Abschalten des Systems sicher (nach dem Stand der Technik) ausgeführt werden muss.


Wenn es aber stimmt dass das Verhalten mit dem zunehmenden Auftrieb bei steigendem Anstellwinkel von sämtlichen Zulassungsbehörden auf der Welt aus sicherheitsgründen nicht zugelassen wird, dann erfüllt das System an sich aber schon eine Sicherheitsfunktion, und alle Regeln der Technik aus der funktionalen Sicherheit sind anzuwenden um dem Produkthaftungsrecht genüge zu tun.

Mein Eindruck basierend auf meiner beruflichen Erfahrung ist dass das ganze komplett unsauber wirkt. Auch gerade das was jetzt als "Lösung" präsentiert wird.

Assistenzsystem und Sicherheitsfunktion werden vermischt, und das System führt weder seine Funktion sicher nach dem Stand der Technik aus, noch ist nachgewiesen das nicht durch Fehlfunktionen des Systems wieder neue Gefährdungen entstehen.

Ich denke jeder der wie ich in diesem Bereich tätig ist und mit den CENELEC Normen arbeitet kann meiner Argumentation folgen.

Die Zeitungsberichte der vergangenen Wochen deuten ja bereits an das die "Lösung" auf Widerspruch stößt:

https://www.aerotelegraph.com/boeing-muss-737-max-nach-neustart-weiter-umbauen


Ich weiß das es verwirrend sein kann die Regeln der funktionalen Sicherheit auf ein so komplexes System zu übertragen. Aber die sind ja nicht zum Spaß da, sondern sie sind das gesammelte Ingenieurswissen der letzten 150 Jahre um Personenschäden durch Fehlkonstruktionen zu vermeiden.

Das eine Schutztürüberwachung an einer Drehbank sicher sein muss nach dem Stand der Technik, aber für ein System das ein Flugzeug zum Absturz bringen kann viel laschere Regeln gelten sollen ist nicht bloß logisch totaler Blödsinn, sondern widerspricht auch dem Produkthaftungsrecht.

Die Regeln gelten für jedes Produkt. "Aber es ist viel schwerer es genau so sicher zu machen weil das Produkt komplexer ist" ist keine zulässige Ausrede.

Wenn es nicht sicher gemacht werden kann nach dem Stand der Technik dann ist es eine Fehlkonstruktion die nach unseren Gesetzen nicht in Verkehr gebracht werden darf, alles andere wäre sehr grob fahrlässig und würde zur persönlichen Haftung der Verantwortlichen führen.
 
Scd442 schrieb:
Das würde voraussetzen dass der Pilot in jeder Situation so reagieren kann das keine Gefahr besteht, und das System somit ein reines Assistenzsystem ist.

Wenn das der Fall ist dann wäre das was Boeing eingebaut hat wohl eine der dümmsten Fehlkonstruktionen der Menschheitsgeschichte, weil es für ein "überstimmen" des Piloten nicht die geringste Notwendigkeit geben würde. Die Verantwortung würde in jeder Situation beim Piloten liegen, und die Einstufung für das System an sich wäre SIL 0.
Zum Vergrößern anklicken....
ich würde es als Assistenzsystem ansehen ja. im NOrmalfall reagiert dieses und wenn ein Sensor ausfällt, muss der Pilot denken.
Die Verantwortung wäre somit nicht in jeder Situation beim Piloten (nur wenn die Sensoren unterschiedliches melden). Da das System aber richtig reagieren muss, wenn die Sensoren beide das Gleiche anzeigen, und keine CCF anfallen dürfen, wäre es meiner Meinung nach schon ein hoher Performance Level. Dementsprechend auch ein höherer SIL als SIL0. Man muss meiner Meinung nach nur den Sensorausfall sicher mitbekommen und dann muss der Pilot handeln.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Heinileini schrieb:
Es wird bei Boeing nicht anders sein, als in anderen Firmen auch. Es gibt Leute, die gute Ideen haben und ihre Arbeit gewissenhaft machen möchten. Und es gibt Leute, die den Rotstift als Steuerknüppel in der Hand haben. Letztere fordern natürlich auch, dass etwas gemacht werden muss, z.B. weil es der Markt fordert oder, weil es ein verkaufsförderndes Argument liefert, sich gegenüber Mitbewerbern zu profilieren ... aber kosten darf es selbstverständlich nix.
Wir müssen doch wohl hier nicht diskutieren, dass Boeing sich hier gleich mehrere Klopper erlaubt hat. Der erste wurde versucht, durch einen zweiten auszubügeln. Und der erste und der zweite wurden versucht, durch einen dritten zu kaschieren, damit niemand hellhörig und auf diesen MissStand auch noch hingewiesen wird.
Ich sträube mich dagegen, dieses Paket als SicherheitsFunktion zu bezeichnen und habe es deshalb als AssistenzSystem umschrieben, ohne dadurch AssistenzSysteme diskreditieren zu wollen.
Du vergleichst aber Äpfel mit Birnen, weil Du beim MCAS ein Indiz für Zweikanaligkeit siehst und für Dich mit diesem Stichwort feststeht, aha, die einzig zulässige Art, diese beiden Kanäle verknüpfen zu dürfen, ist durch Normen geregelt und bei Boeing hat man sich daran nicht gehalten.

Apropos UND vs. ODER:
"Deine" UND-Verknüpfung ist "in Wirklichkeit" eine ODER-Verknüpfung, wenn man von "positiver Logik" ausgeht: der sichere Zustand soll herbeigeführt werden, sobald Kanal1 ODER Kanal2 diesen anfordert. Ja ja, ich weiss, DrahtbruchErkennung, DeMorgan u.s.w. ... ;)
Zum Vergrößern anklicken....


Die sinnvolle Verknüpfung der zwei Eingägen durch ein logisches "und" Funktionselement ist nicht durch irgendwelche nebulösen Normen vorgegeben, sondern durch die Tatsache dass das System sonst nicht mehr anspricht wenn ein Sensor defekt ist. Erscheint dir das irgendwie unlogisch?

Zu deiner Info, ein Assistenzsystem ist per Definition ein System bei dem die gesamte Sicherheitsverantwortung beim Bediener liegt. Das Systems selber kann also mit SIL 0 ausgeführt werden.

Unter dem Begriff der Sicherheitsfunktion versteht man eine sicherheitsgerichtete Steuerungsfunktion einer Maschine, die ein von der Maschine ausgehendes Risiko auf ein akzeptables Maß reduziert.

Dieses Risiko wird vorher in einer Risikoanalyse bestimmt und bezüglich der schwere der Auswirkungen und Häufigkeit eingestuft, z.B. der Absturz eines Flugzeugs weil durch die ungünstige Form der Triebwerksbefestigung bei steilen Anstellwinkeln plötzlich der Auftrieb stark zunimmt, so dass der Pilot nicht mehr reagieren kann. Abhängig von dieser Einstufung ergeben sich dann logische Einschränkungen bei der Freiheit der Ausführung der Funktion, die damit zusammenhängen dass die Funktion ausfallsicher sein muss. Damit haben sich schon Leute vor uns seit der Zeit der ersten Dampfkessel-Explosionen beschäftigt, und deren gesammeltes Wissen wie man die Funktion am besten ausführt ist niedergeschrieben in den Normen der funktionalen Sicherheit, um uns die Arbeit zu erleichtern.

Sorry falls das erklärungsbedürftig war. Im Unterforum "Maschinensicherheit - Normen und Richtlinien" bin ich ein bisschen davon ausgegangen dass das Grundwissen ist - genau wie das Ruhestromprinzip ;)
 
@Scd442:
also wer die Maschinenrichtlinie und die dementsprechenden Normen bei Flugzeugen anwendet, sollte sich nicht soweit aus dem Fenster lehnen.;)

Die Verantwortung bei einem Flugzeug liegt immer beim Piloten. Dies kann unterstützt werden durch Systeme (nenn es Assistenzsystem oder nicht, egal wo der Begriff herkommt, er kann auf jeden Fall nicht in Verbindung mit der EN ISO 13849 erwähnt werden. habe ich dort noch nie gelesen. Man sollte hier nicht verschiedene Normen etc. vermischen). Für mich ist dies ein System, was dem Piloten helfen soll.
 

Similar threads

I
No Response RS-232 mit PuTTY
Antworten
9
Aufrufe
4K
PN/DP
PN/DP
B
WinCC Unified TIA19 HmiDetailedParameterControlID anders als unter TIA17?
Antworten
1
Aufrufe
896
BalmungD
B
C
Fehlerausschluss ohne sichere galvanische Trennung möglich?
Antworten
0
Aufrufe
2K
Carsten78
C
JesperMP
EMV Richtline. Welche harmonisierte Standards können relevant sein ?
2
Antworten
24
Aufrufe
6K
s_kraut
s_kraut
R
Anwendung von SIL Zertifizierten Bauteilen in 13849
2 3
Antworten
41
Aufrufe
28K
s_kraut
s_kraut
Zurück
Oben