Paweł wrote:

Czemu sie tego nie wprowadza? Koszty były by zbyt wielkie - i czy w ogóle już były takie próby, myślano o tym?
Zawsze lepszym wyjściem była by próba takiego zautomatyzowanego lądowania niż lot na pałę aż do utraty paliwa.

Powód mniej więcej ten sam, dla jakiego jeszcze długo nie będzie samojeżdżących samochodów (choć w wypadku problemów samochód wystarczy zatrzymać, jak nie działają hamulce to wyłączenie silnika bez |wrzucania" na luz też doprowadzi do zatrzymania -- w przypadku samolotu zatrzymać to można dopiero po lądowaniu).

Otóż program kierujący pojazdem jest taki sam we wszystkich pojazdach nim kierowanym, i w tej samej sytuacji zachowa się tak samo (prógramów zachowujących się losowo już na pewno nie chcemy -- tu problemy o których kawałek niżej pisze tylko się potęgują). W efekcie, jeśli jest błąd prowadzący w sytuacji x do katastrofy to w każdym wystąpnieniu sytuacji x mamy katastrofę. W przypadku żywego człowieka, zawsze można zrzucić problem na jego błąd. W przypadku maszyny, działającej wg algorytmu czyli procedury, błąd jest w procedurze (maszyna się jako taka nie myli). Odpowiada za niego jej producent. Błąd jest powielony automatycznie we wszystkich maszynach sterowanych wg danego algorytmu.

Trzeba więc zapewnić bezbłędność na ograniczonym z góry bardzo niskim poziomie. Żeby poziom był odpowiednio niski dokonuje się odpowiednich bardzo ściśle formalnych weryfikacji. Żeby móc dokonać tych bardzo ścisłych weryfikacji trzeba najpierw wiedzieć co weryfikujemy, czyli równie ściśle opisać to co się sprawdza. Opis tych warunków musi być na tyle prosty by dało się dla odmiany sprawdzić czy w nim samym nie ma błędów (w szczególności odpowiednio precyzyjny i ścisły opis warunków sam w sobie jest programem komputerowym -- jęzki programowania z rodziny ML są właśnie konkluzją tego pomysłu). W systemach life-critical (sterowanie samolotem, elektorwnią atomową, niebezpieczną aparaturą medyczną, itd) istotnym elementem jest tzw. "traceability" czyli możliwość wskazania wprost i jak jakiś warunek zamienia się w prąd płynący w sterowanym obowdzie, pracę siłownika, itp, i zweryfikowania że rzeczywisty system taką ścieżkę rzeczywiście wykonuje. Jeśli coś zależy od kilku niezależnych warunków to trzeba zweryfikować realizację 6tej zależności nie tylko dla każdego warunku z osobna ale i wszelkich możliwych kombinacji tych warunków. I jeśli nie można precyzyjnie określić jakie kombinacje sa możliwe należy sparwdzić dla wszystkich. Jak warunków jest niewiele (kilkanaście, małe kilkadziesiąt) to to się zrobić daje. Ale problem rośnie wykłądniczo wraz z liczbą warunków.


Do czego zmierzam? Jak widać stosowane standardy już są (bo muszą być) bardzo bardzo ostre. Sama specyfikacja im podlega. Samo wyspecyfikowanie automatycznego lądowania na dowolnym lotnisku z zachowaniem tych standardów jest niezwykle trudne a więc czasochłonne i kosztowne.

Zwróć uwagę, że stosowane systemy są w gruncie rzeczy bardzo proste i (umyślnie) tylko luźno ze sobą powiązane (czyli jak jeden nie działa to nie ciągnie za sobą innych).

pzdr
\SK
--
"Never underestimate the power of human stupidity" -- L. Lang
--
http://www.tajga.org -- (some photos from my travels)