NEIN, das ist nicht zuviel verlangt. Aber es zeigt, wo die Schwächen bei Boeing in der Entwicklung sind.
Warum:
Grundsätzlich gibt es folgende Möglichkeiten, um auch so einen Flugrechner in der Zeitebene in den Griff zu bekommen:
a) Man hat, wie hier schon diskutiert, ein großes Programm, das arbeitet Aufgaben A B C in dieser Reihenfolge ab, dann wieder A B C usw.
Also einfach eine große Schleife drumdrum. Kann man machen, dann muss man allerdings sicherstellen, dass keine dieser Aufgaben übermäßig viel Zeit in Anspruch nimmt, was im Normalfall recht unproblematisch ist, wenn einfach nur ein Sensor Eingangssignal in bestimmten zeitlichen Abständen ausgewertet werden braucht. Beispiel: wenn Eingangsport Trimmschalter gesetzt, schalte Trimmotor ein, sonst aus. Das ist keine weitere innere Schleife, das Zeitverhalten der äußeren Schleife ist damit sicher definiert. Nachteil: Es braucht immer einen Schleifendurchgang, bis reagiert wird, wenn der aber z.B. auf 10 Millisekunden ausgelegt ist, dann ist das bei dem Trimmschalter völlig unproblematisch, so schnell ist der Pilot nun auch nicht.
Eine Sondervariante, die gemäß o.g. Paper von Airbus man dort wohl gerne nimmt: Man hat einen Systemkern, der A, B, C immer zu bestimmten Zeiten fix startet, eine feste Zeitscheibe.
b) Man nimmt das Modell a), hat aber zusätzlich einen sogenannten "Interrupt", wenn irgendetwas ganz zeitkritisches reinkommt. Der unterbricht die A B C Schleife und schiebt D rein. Wird gerne gamacht, aber, dann tut man gut daran, D für eine bestimmte Zeit davon fernzuhalten, nochmal zu unterbrechen. Hardware regelt das. Weil sonst A B C nicht mehr abgearbeitet werden und dann sind wir bei dem Trimmschalter-Thema (btw.: die könnte man auch auf einen Interrupt legen).
c) Man nimmt ein RTOS, ein Real Time Operating System. Das ist im Gegensatz zum normalen PC Betriebssystem eben "real time", d.h. wenn der Interrupt reinkommt, kann man Prioritäten definieren und sagen, so, jetzt C, vor A, weil es etwas neues gibt, hoppla, da war D noch wichtiger, aber jetzt musss auch A zu seinem Recht kommen (ganz vereinfacht).
Der Punkt bei c) ist: Das ist eine tolle Lösung, wenn es auf kurze Latenzen, also Reaktionszeiten, auf Sensoreingaben ankommt. Aber auch da ist sicherzustellen: Kein Sensor darf durch "Wackeln" den ganzen Rechner für sich in Anspruch nehmen (das macht man z.B. mit einer Holdoff Zeit) und natürlich muss der Rechner *insgesamt* genügend Rechenkapazität haben, um alle A B C D in der maximal vorkommenden Rate mit den definierten Holdoff-Zeiten zu erledigen.
Das kann man alles sehr gut ausrechnen und da ist es völlig schnurz, welche Manöver der FAA Pilot fliegt, auch der kann nur Sensor-Input erzeugen. Wenn man es aber - übertrieben gesagt - so programmtechnisch hintrickst, dass die Rechnerleistung gerade mal für eine D Aufgabe jede Minute reicht, und ansonsten bei einem anderen Manöver, bei dem ein paar mehr D anfallen, plötzlich Aufgabe A wie Trimmschalter nicht mehr zeitig erledigt werden, dann ist das Systemdesign schlecht. Entweder ist es notwendig, dass viele D-Aufgaben anfallen können, dann braucht es einen schnelleren Rechner, oder man sagt nach einem D Sensor Input: Ist ok, System hat adäquat sofort reagiert, aber nächste Abfrage erst in 10ms, egal was er meint.
Das ist es, was ich meine, dass da offensichtlich Boeing keinen Überblick über die eigenen Systeme hat, weil wenn man sowas sauber berechnet, dann passiert es einfach nicht, dass der FAA Pilot irgendein irgendwie geartetes Manöver fliegen kann und es zu Problemen kommt.
Ich rede hier ja nicht von komplett formaler Verifikation der Software per Prädikatenlogik etc., alleine, wahrscheinlich wäre man schon mal froh, wenn da einer bei Boeing per Excel-Sheet einfach zu den Aufgaben A B C D die Produkte aus Zeitbedarf und der Rate des maximalen Auftretens je Zeitzyklus addiert hätte und z.B. per Holdoff sicherstellt, dass dem dann in der Praxis auch so ist, und vor allem: Dass die Gesamtrechenzeit für diese Summe ausreicht. Und nicht "das müssen wir irgendwie noch auf den Rechner quetschen, wird schon gutgehen".
Dann kommt es nicht zu so peinlichen Fehlern wie bei dem FAA Piloten.
und pushen