Juni 2019

Band 34, Nummer 6

Dieser Artikel wurde maschinell übersetzt.

[Anmerkung des Herausgebers]

Prozessfehler

Durch Michael Desmond | Juni 2019

Michael DesmondLetzten Monat habe ich zu dem gerätezwilling abstürzen Boeing des neuen 737 MAX Fluggesellschaft und die automatisierte Maneuvering Merkmale Ergänzung System (MCAS), die beide Ereignisse unmittelbar vorausging. Die Untersuchungen, die zeigen in Richtung erhebliche Mängel mit MCAS, der wiederholt die Nase des Flugzeugs nach unten am niedrigen Höhe so befolgt wie Pilotprojekte kämpfen, um das Problem zu diagnostizieren. ("Verarbeitung des Fehlers" msdn.com/magazine/mt833436).

Schwerwiegende Fragen zu MCAS und sein Verhalten als die maximale 737 bleiben. Z. B. MCAS Befehl 2,5 Grad fortbewegungsart pro Erhöhung auf der Rückseite Stabilisierung konnte, aber die Dokumentation, die an der FAA übermittelt wurde gezeigt, einen Wert von nur 0,6 Grad. Ebenso MCAS soll aktivieren basierend auf Daten aus einem einzigen Winkel der Angriff (AoA)-Sensor, der auf die Fuselage der Ebene bereitgestellt. Noch System als eine potenzielle Bedrohung auf kontrollierte Flight muss aktivieren, basierend auf mehrere Sensoren.

Was hat zu ist, dass die Integration von Software in Flugzeuge Systeme gemäß den Richtlinien, wie z. B.-178B/ausführen - 178 C ("Software Überlegungen in Luft Systeme und Ausrüstung Zertifizierung") und ("Richtlinien für die Entwicklung von ARP-4754 streng verwaltet wird Strafen Flugzeug und Systeme"). Sowohl erzwingen Sie strengen Dokumentation zu, und überprüfen Sie die Anforderungen für Hersteller mit besonderem Augenmerk auf Sicherheit. -178 konzentriert sich auf die Softwareentwicklung über Planung, Entwicklung, Überprüfung, konfigurationsverwaltung und qualitätssicherung. ARP-4754 ist ein auf Systemebene-Prozess, der die Integration von Software-und Hardwaresysteme und Subsysteme behandelt.

Ich habe mich mit einem langjähriger Aviation Engineer. Er besagt, dass die mehrstufigen Ebenen der Dokumentation, testen, überprüfen und Validierung in-178 und ARP-4754 definierten sollten sicherstellen, dass ein Subsystem wie MCAS auf einfachere Weise implementiert wird, die Risiken zu minimieren.

"Es alle Phasen und Gates ist,", sagt er des Prozesses. "Sind Überprüfungen und Ausgleiche vorwärts und rückwärts. Wenn ein Test fehlschlägt, wir können wechseln Sie zurück, denen die Zeile, und, welcher die Anforderung war, und festzustellen, ob der Code falsch geschrieben wurde, oder wenn Sie den Testfall, falsch entworfen wurde. Es ist ein sehr ausführliches, methodische Prozess Wenn wir dies tun."

ARP-4754 informiert den-178-Vorgang, um den Grad der strenge für die Softwareentwicklung für Flugzeugsystemen wie z. B. MCAS bestimmen. Kippgefahr Fehleranalyse, die im Rahmen der ARP-4754 ausgeführt ermöglicht Entwicklern, Fehlerraten und Risikofaktoren für Flugzeuge Systeme definieren. Diese Daten werden dann verwendet, um die Entwicklung Assurance Level (DAL) von Systemen wie z. B. MCAS in-178 zu berechnen. Die 5-zackiger Skalierung – von Catastrophic mit keine Wirkung – bestimmt den Schweregrad der Auswirkungen sollte ein System in Aktion und das erforderliche Maß an Stabilität in den Code für das System daher fehlschlagen.

Was können Sie von der Abweichung zwischen dokumentiert und tatsächlichen Schrittweite für die der hinteren Stabilisierung? Möglicherweise hat das Feld Tests gezeigt, dass MCAS mehr Berechtigungen erforderlich. Allerdings ändern diese Spezifikationen sollten haben, initiiert eine weitere runde von evaluierungs- und Testzwecken, um zu überprüfen, ob MCAS Verhalten und Fehler während des Flugs Zustände und redundante Sensoreingaben zum Schutz vor unbeabsichtigten Aktivierung beauftragt.

Ein Prozess ist nur so gut wie die Menschen und Institutionen, die ihn durchführen. Dies ist eine der Lehren, die aus der 737 MAX-Katastrophe gezogen werden muss. Sobald unterminiert werden, kann es zu gefährliche Ergebnissen führen.


Michael Desmondist der Chefredakteur des MSDN Magazine.


Diesen Artikel im MSDN Magazine-Forum diskutieren