http://rudolf-fiala.info      Absturzwahrscheinlichkeit dank komplexer Technik
     
"Je weniger drinnen ist, um so weniger kann versagen"

     © Rudolf Fiala,  18. 6. 2006, 25.8. 2006 ' 

Besuchszahl: 

"Wer schweigt, macht sich schuldig"/Friedrich Nietzsche. Auch die, die trotz Erkenntnissen nicht handeln. Aus Feigheit, aus Interesselosigkeit am Schicksal der Mitmenschen und anderen niederen Motiven.

Zum Hauptthema

Ergänzung 25.8.2006 aus gegebenem Anlass:
 
Und dann gibt es noch jene, die meinen, Menschen mit Sicherheitsbewusstsein, welche versuchen künftige Schäden durch bessere Information mittels Schadensfall-Erforschung zu verhindern, öffentlich in Zeitschriften verdammen zu müssen! Als über irgend etwas unberechtigt dahinfantasierende Spekulanten! Und die Verdammer dabei unberücksichtigt lassen, dass die angenommene Funktions- und Übertragungssicherheit der Fernsteueranlagen auch nur eine Spekulation ist! Keiner der Hersteller oder Vertreiber kann schlüssig die Sicherheit irgend einer Fernsteuerung - rechtlich ein SPIELZEUG! - beweisen oder versprechen. Was selbige auch mit geschriebenen, festgehaltenen und nachweisbaren Worten nicht tun. Nur mittels voll durchorganisierter Imagepflege.
 
Als besonders seltsam erscheint mir, dass jene Piloten, die sich bewußt auf weniger anfällige Modellarten zurückziehen und das auch propagieren, ebenfalls als Sonderlinge verteufelt werden, wenn der Beruf des Verdammers auf dem Fernsteuer-Modellflug und seinem weiteren Wachstum beruht! Einem Wachstum zu immer größer und schneller werdenden Flugzeugen in den Händen immer mehr nur unzureichend Geschulter - "Man(n) ist es sich ja wert", wie in der Werbung zu lesen -, denn das Geld dazu plus Image-Druck am Flugplatz scheint ausreichend vorhanden zu sein. Wenn dann wie in einem "redaktionellen Ordnungsruf" erkennbar ist, dass der Verdammer überhaupt nicht versteht, dass ein großes Modell bei ordnungsgemäßem (erwähntem!) Failsafe samt daraus zwangsläufig eintreten SOLLENDER Motordrosselung aus ca. 20m Höhe keine ca. 100m weit "ins Publikum treiben" kann, sondern das gutgläubig unterstellte Failsafe eben technisch fehlerhaft war, dann wird das polemisierende Verhindern der Aufklärungsversuche total gruselig. Besonders auch, weil nach dem vorliegendem Video des Unfalls die Vermutung nahe liegt, dass keine Failsafe-Motordrosselung erfolgte! Welcher Fernsteuerungsfehler dafür zuständig war oder als ganz seltenes Ereignis sein soll, ist unbekannt. Ja es ist nicht einmal bekannt geworden, ob im tragischen Bezugsereignis überhaupt Motorleerlauf-Failsafe programmiert war. Auf welches Bodenakrobaten zugegebener Weise ohnedies nur zu gerne verzichten, um nicht zB. beim Hovern in Bodennähe von einem plötzlichen Leistungsverlust überrascht zu werden.

Dem gegenüber ist der Satz ein Heft später in einem Bericht von Dipl.Ing. Dieter Perkuhn im MFI 8/2006, Seite 74 sehr interessant, auch persönlich für mich wegen seiner Übereinstimmung mit mir: "Je mehr Einzelkomponenten und Geräte mit Verkabelung und Steckverbindungen vorhanden sind, desto größer ist die statistische Wahrscheinlichkeit eines Fehlers mit den im Bereich Modellflug entsprechenden katastrophalen Folgen."
Na also, Dank an Herrn Ing. Perkuhn, dem elektron. Redakteur und Technikreferenten des deutschen Modellfliegerverbandes, für seine zurechtrückenden Worte im Namen aller sicherheitsbewusster Modellflieger! 


Mich gruselt es schon jetzt vor dem nächsten großen Schadensfall, denn die tatsächliche "Falsches-Failsafe"-Ursache ist heute am 25.8.2006 noch immer nicht aufgeklärt, kann somit jederzeit, auch bei einem Flugtag mit großem Publikum wieder auftreten. Und über die verwendeten Komponenten wird das Deckmäntelchen des Schweigens gebreitet.

Nur zur Klarstellung: Auch bei Betrieb eines Störsenders auf der gleichen Frequenz ("Gleichkanalstörung"), wie leider gehabt,  SOLLTE ein Failsafe-fähiger Empfänger erwartungsgerecht (Siehe zB. MC22-Manual Seite 109 und 110) und möglichst schnell - nämlich mit zB Failsafe auf dem Motorservo - funktionieren. Wenn das auch nur manchmal nicht so ist, wiegen sich alle Verwender von failsafefähigen PPM- oder PCM-Empfängern in falscher Sicherheit.

Falsche Sicherheit quasi durch eine nicht erfüllbare Spekulation auf Basis von blindem Vertrauen auf das "Image" all jener, die an uns Modellfliegern verdienen und künftig mit noch mehr "Image" noch mehr verdienen wollen. Per Produkt, Werbung, etc. bis zu den bezahlten Testern, gesponsorten Verwendern und sonstigen "Meinungsbildnern". Dass ausgerechnet bezüglich künftiger Mehrverdienste manche Forendiskussion kontraproduktiv ist, ist offensichtlich. Wobei gerade jetzt so manche Image-"Blase" in den Foren (zu kleine Reichweiten- und Ausfallmeldungen) am Platzen ist.

Meine heutigen ersten Vorversuche mit bei mir vorhandenen 3 Failsafe-fähigen Empfängern haben sehr zwielichtige Ergebnisse gebracht, aber: MEIN(!) einziger SPCM-Empfänger funktionierte zitterfrei ODER ging bei im Vergleich starkem PPM-Störsignal sauber auf Motorfailsafe und Steuerservo-Hold. Was der SPCM-Empfänger aber macht, wenn er von einem gleichwertigen(!) fremdem, wesentlich stärkerem SPCM-Signal beaufschlagt wird, ist auch klar: Der Empfänger wird "entführt" und das Modell wegen falscher Grundeinstellungen wahrscheinlich gecrasht. Weil ja keine "Sendersignatur" übertragen wird. Die Sendersignatur und weitere Sicherheitsgaranten gibt es erst bei der im Anlauf befindlichen 2,4GHz-Technik, die darauf beruhende erste 6-Kanal Flugfernsteuerung gibt es seit 2005 im amerikanischem Handel.

Fazit: Es würde hochgradig an der Zeit sein, mal die Versprechungen bezüglich Failsafe-Eigenschaften der Empfänger bei Gleichkanalstörungen (inkl. Ober- und Nebenwellen von anderen Frequenzen) einer umfangreichen Produkte-Testreihe zu unterwerfen!

Am Besten in einem entsprechenden Labor mit gutem Messequipment. Von denen es in Modellfliegerkreisen ja einige gebe dürfte. Natürlich auch bei den Verbänden wie dem DMFV, bei dem ja Herr Ing. Perkuhn immer wieder quasi schon wissenschaftlich publiziert.

Und bis dahin: Sich ja nicht auf irgendwelche Failsafe-Werbeversprechen oder -Annahmen verlassen und die eigene persönliche Art seines Flugbetriebes darauf einrichten.  Heute 21.9.06: Die Diskussion im Internet ergab, dass es wie postuliert nach vorliegenden Erfahrungen keinesfalls ratsam ist, sich auf Motor-Leerlauffailsafe zu verlassen.  Es gibt einige Szenarien, bei denen bei Störung eben KEIN Motorfailsafe einsetzt. Leider gerade dann, wenn man es am notwendigsten bräuchte, nämlich bei Gleichkanalstörungen!

Zur besonderen Klarstellung: Gleichkanalstörungen können nicht nur beim Betrieb eines anderen Senders auf der GLEICHEN Frequenz auftreten, sondern sie können auch im fremden oder eigenproduzierten Elektrosmog beinhaltet sein!
Siehe zB. die G3-Problematik, bei der ein Generalreset-Befehl alle ca. 10sec flugzustandsbedingt auch schon mal zu spät erst 9sec nach dem Aufprall vom Sender kommen kann. Statistisch eben 0-10sec nach einem zufälligen Störereignis.
Vorausgesetzt, dass das bisher unbestätigte Gerücht mit einem vorhandenen Generalreset (Watchdog) richtig ist. Die Berichte von Piloten über extrem lange HOLDs ohne Steuerbarkeit - deren Modell das zufällig überlebt hat - scheinen das zu bestätigen.


Siehe auch: 
Ungeklärte immer wieder auftretende Ausfallsprobleme



Zurück zum Hauptthema:

Die Airbus-Hersteller haben das Problem erkannt und mitgeteilt, dass sich die Auslieferung des A380 wegen Elektronikproblemen um Monate verzögern wird.
Trotz einer möglichst optimalen, computerunterstützen und high-tech Herstellungsplanung.

Elektronikprobleme.....!

Genau diese Art der Probleme machen sich im Fernsteuerbereich in zunehmendem Maße seit ca. 1998 bemerkbar.
Trotz bester Installation unerklärliche Abstürze, Total- oder Teilversagen - leider nur manchmal zum Glück noch am Boden vor dem Start - bis zu erheblichen Schäden an Personen und sonstigen Bodenhindernissen. Die wahren Ursachen liegen nach wie vor im Dunkel, besonders ob Pilot, Installation oder irgend eine der verwendeten Teilkomponenten den Absturz verursachte!

Freilich hat auch die gestiegene Anzahl der Piloten, oder das Vorstoßen mancher Piloten in technische oder fliegerische Bereiche, denen sie nicht gewachsen sind, zur Zunahme der absoluten Unfallzahlen geführt.

Aber menschliche Unzulänglichkeiten sollen aus mehreren Gründen nicht Thema dieser Arbeit sein.

Hier geht es ausschließlich um die Steigerung von Absturzwahrscheinlichkeiten - oder Verringerung der Systemsicherheit - durch immer mehr Technik wie Fernsteuerungs- und Triebwerks-relevanter Elektronik. Bei bestmöglich sicherster Auslegung und Verbindung von besten Einzelkomponenten.
(Was man hier sicherheitstechnisch machen kann ist hier seit Jahren veröffentlicht: Stufenplan zur Steigerung der Sicherheit)

"Da können das dann ja nur Fehler sein" denkt sich vielleicht der bisher vorgedrungene Leser.
Stimmt! Aber Fehler in Systemen - OHNE Fehlbedienung, wohgemerkt - treten so zwangsläufig zu irgend welchen Zeitpunkten auf, dass man schon fast von einem Naturgesetz sprechen kann.
Ohne Fehler gäbe es keine Evolution...das ist bewiesen, ist aber eine andere Story.

Aber: Das Auftreten von Fehler wird zB. von Flugzeugherstellern als so quasi naturgesetzlich empfunden, (siehe auch Entropie) dass mittels Redundanzen, auch mehrfachen, versucht wird, Fehlerfolgen eines Systems durch Redundanz zu eliminieren. Zum Prinzip der Redundanz ebenfalls der obere Link.

Das ist eine Anerkennung der Eintrittswahrscheinlichkeit des möglichen Fehlers ohne vorhersehbare Ursache und der darauffolgend logische Fehlerkompensationsversuch.

Wenn man allerdings in den Bereich der jetzt auch für uns zuständigen Mikroelektronik und Prozessortechnik hineinleuchtet wird offensichtlich, dass es zu Fehlern kommen MUSS. MUSS, man kann es nicht genug ausdrücklich festhalten.

Wenn man die Ausfallstatistiken der Auto-Clubs betrachtet wird das völlig klar. Die meisten Pannen sind durch teilweisen oder ganzen Funktionsverlust bei Elektrik oder Elektronik. Je mehr an Bord, um so öfter!

Autos rollen dann aus, lassen sich trotz ABS-Verlust abbremsen und sind schlicht am Boden.

Flugmodelle aber? Die sind in der Luft und zu 100% von ihrer Steuerbarkeit mittels Elektronik abhängig.

Das haben auch einige sehr prominente Piloten erkannt, wie m.E. der seinerzeitige F3A-Referent des ÖAEC und Entwickler eines nutzbaren Turbopropantriebes für Propellermodelle. Ein durchaus gestandener Turbinenflieger, der auf Freundschaftstreffen mit seinem Jet zeigte, dass man mit Turbinen nicht immer bis zur Grenze der Reichweite zwecks maximal spektakulären Hochgeschwindigkeits-Platzüberfluges ausholen muss, sondern auch mit einem Turbinen-Jet einen Kunstflug (F3A)-ähnlichen Stil pflegen kann und nicht einmal den Flugraum von 3-Meter Propellerflugzeugen braucht.
Schlicht sauberes und intelligentes "Konstantspeed"-Fliegen trotz des im Vergleich langsamen Hochfahrens der Turbinenleistung. Für ihn überhaupt kein Problem.
Und dieser Spitzenpilot hat die Liebe zum Slowflyer in der Halle entdeckt. Er weiß warum.
Im schlimmsten Fall ein 200.- Euro Schaden gegen >6000.- Euro. Und 0.2kg gegen >10.0kg plus 3Liter Kerosin. 20km/h gegen 400 km/h Aufprallwucht.

Also jetzt zum Hauptteil dieser Arbeit:

Ohne irgendwelche mir ohnedies nicht mögliche Qualifizierungen von kaufbarer Elektronik zu machen:

Jede Ausfallwahrscheinlichkeit eines Gliedes dieser Elektronik-Kette erhöht die statistische (am ersten Tag - irgendwann - erst sehr spät eintretend) Ausfallwahrscheinlichkeit des Gesamtsystems (Über Redundanzen und ihre extrem verringerten gleichzeitigen(!) Doppelausfall oder Mehrfachausfall-Wahrscheinlichkeiten ist woanders nachzulesen, aus zB. 1 pro 10 Jahre wird dann nämlich 1 pro 100 Jahre)

Beispiel: Ein Ding hat eine angenommene Ausfallswahrscheinlichkeit von 1 pro 10 Jahre, dann treten bei gleichzeitiger Verwendung dreier dieser Dinger wahrscheinlich 3 Ausfälle dieser Dinger in 10 Jahren auf, also rechnerisch 1 Ausfall pro 3 Jahre.
Nicht vergessen: statistisch gleich am Anfang, irgendwo in der Mitte oder überhaupt nicht!
(Die diesen Zeitablauf eventuell verschärfenden Komponenten wie Anfangsausfälle und Alterung braucht hier bei diesen Überlegungen gar nicht berücksichtigt werden!)

Ob das nun 10-20 Servos statt zB. 4-6 Servos sind, oder zusätzliche Komponenten zu einer (bei 4-6 Servos gar nicht notwendigen) Hochstrom-Versorgung, sonstige Mechanik und Elektronik bei technisch aufgepäppelten Modellen wie Turbinenjets, womöglich noch mit Kreiselsystemen (bis zu 6 Kreisel angeblich!) ergibt keinen prinzipiellen Unterschied. Es ist mehr an Bord, viel mehr, und rein statistisch hat jedes Subsystem für sich eine eigene Ausfallswahrscheinlich!

Die mag wohl pro Subsystem unterschiedlich sein, aber egal wie man es betrachtet:
Fällt ein Subsystem irgend wann aus, fällt ein Flugzeug herunter oder ist nicht mehr beschädigungsfrei zu landen.
Das gilt allerdings nur für NICHT redundante Systemteile.

Denn: Was nicht an Bord ist, kann nicht versagen und auch keinen Absturz verursachen. Eine treffende Binsenweisheit!

Erschwerend kommt bei umfangreicher Technik noch dazu, dass sich Subsysteme auch noch gegenseitig stören können und eine Schadensgefahr hervorrufen, noch mehr als durch die statistische Einzelausfalls-Wahrscheinlichkeit der Subsysteme.


Ein typisches Beispiel ist hier nachzulesen: Prozessorstörungen durch Spannungsspitzen
(Nachtrag 8/2006: dagegen beschalten Spannungsweichen-Produzenten jetzt jeden Servoausgang mit je einem (weiteren?) Blockkondensator, wie ich der genau auf dieses Phänomen Bezug nehmenden aktuellen Werbung entnehmen konnte.)

Noch ein Nachtrag zu der oben schon verlinkten RCN-Diskussion:
Hier NOCH ein weiteres Glied in die Kette einzuschleußen, erhöht wieder die kumulative Ausfallwahrscheinlichkeit. Das wurde von einigen Teilnehmern ohnedies erkannt.

Konklusion:

Ich bin mir bewusst, dass ich hier meine ganz private Meinung als langjähriger Großfluglehrer und Modellflieger darlege und meine, dass die Beschränkung auf eine einfache und durchaus reizvolle Modellfliegerei viel Schaden und auch Leid verhindern kann. Mal abgesehen vom notwendigen Kapitaleinsatz

Nämlich auf jenen Art der Modellfliegerei, die mit 6 bis 7 Flugsteuerungs-Servos der ca. 5.x kgcm-Klasse mit max. 1,5A Spitzenstrom auskommt, was bei Konstantspeed- oder 3D-Kunstflug-Motormodellen eine max. Spannweite von etwa 2.2m und unter 10.-kg Gewicht bedeutet.

Keine zusätzliche Servo-Stromversorgungselektronik, keine sich gegenseitig beanspruchenden gekoppelte Servos.
Keine spezielle Antriebs-Management-Elektronik und ähnliches.
Sauber einstellbare Motore, die keine elektronischen Zusatzgeräte brauchen wie getaktete eventuell störende (diese Erfahrung liegt leider vor!) Glühautomatiken.


Und zuletzt gibt es noch die Persönliche Taktik zur Gefahrenvermeidung am Flugplatz

Dass ich nach Jahrzehnten Modellflug nur mehr sehr wenige und ganz bewusst ausgesuchte "Groß-Flugtage" (wegen zB. einer speziellen Neuheit wie Turboprop-Vorführung oder Scale-Modelle) besuche, wird wohl keinen meiner Leser verwundern.

6 verwandte Links von weiteren, die bei diesen jetzt angeführten ohnedies verlinkt sind:

Menschliche Reaktionszeiten und dadurch nicht mehr vermeidbare Schäden

Gastartikel: Die Schreckstarre

Verzögerung Hand bis Servoanlauf
, wieder bewiesen durch die tangentiale Pistenberührung eines mit Fullspeed fliegenden Jetmodells auf einem Großflugtag 8/2006, gesteuert von einem sehr geübten Piloten.

Problematik der Kreiselverwendung

Sender mit HF-Synthesizer

Allgemein physikalisch: Entropie


Rudolf Fiala

Hauptseite ........... Hauptseite ohne Vorwort