Die Autoindustrie will es, die Flugzeugindustrie hat es bereits entwickelt: Systeme, die miteinander kommunizieren und Entscheidungen autonom treffen können. Um die Verantwortung im Verkehr an Computersysteme und Sensoren abzugeben, müssen Maßnahmen gesetzt werden, die den Ausfall der Geräte verhindern und die Sicherheit bestmöglich garantieren. In der Flugzeugindustrie, so Hermann Kopetz, der an der technischen Universität Wien die Gruppe Echtzeitsysteme leitet, heißt Sicherheit vor allem Redundanz.
"Die Grundidee bei den sicherheitskritischen Systemen ist, dass man sich nicht auf ein Ergebnis verlassen kann. Man hat mehrere Ergebnisse, und das eine überprüft das andere. Nur wenn beide oder drei oder vier – ich glaub, in der Boing 777 sind es bis zu neun parallele Kanäle, die berechnen – nur wenn die Mehrzahl der Kanäle das gleiche Ergebnis ergeben, sagt man: Es ist sicher."
Flugzeuge werden einer strengen Prüfung unterzogen, bevor sie zugelassen werden. Das ist nicht nur teuer, sondern auch zeitaufwendig und führt dazu, dass Flugzeuge hinter der Fassade fliegende Computermuseen sind. Während im mobilen Bereich alle halben Jahre ein neues Produkt auf den Markt kommt, bleiben die Hard- und Software Komponenten in einem Flugzeug schon mal bis zu 30 Jahre lang unverändert. Was - nachdem die Hardware auch hier ab und an ausgetauscht werden muss - zu einem gewissen Problem bei der Lagerhaltung führen kann.
"Das Problem ist, dass in sicherheitskritischen Anwendungen das System als Ganzes zertifiziert werden muss. Das heißt, man muss den Entwurf offenlegen und vor einer Zertifizierungsbehörde argumentieren, warum er sicher ist. Wenn man jetzt Teile ändert, so ist der gesamte Sicherheitsnachweis zu wiederholen, weil das nur auf Systemebene und nicht auf Komponentenebene geht. Deshalb ist bei diesen Anwendungen der Wunsch da, dass das System während der gesamten Lebensdauer unverändert bleibt."
In der Automobilbranche geht es bislang nicht so rigoros zu. Schließlich werden dort Sensoren und Mikroelektronik nicht als Ersatz, sondern nur als Zusatz, als Komfortelement am Markt angepriesen. An die 50 Prozent der Herstellungskosten eines Autos entfallen bereits auf Elektronik und Software, schreibt die Zeitschrift MIT Tech Review. Für Tom Henzinger ist dies alles andere als eine gute Nachricht. Der Computerexperte, der in Stanford und Berkeley unterrichtet hat und derzeit in der Nähe von Wien ein neues Forschungsinstitut aufbaut, findet es an der Zeit, diese Entwicklungen grundlegend zu überdenken. Das Problem liege seiner Meinung nach darin, dass hier Systeme miteinander verknüpft werden, die dafür weder geeignet noch geschaffen worden sind.
"Bei einem PC zu Hause ist es nicht so tragisch, wenn er abstürzt. Jeder kennt das. Sicherlich ist das unangenehm, aber im Gegensatz zu einem Flugkontrollsystem gilt so ein Absturz nicht als ein Sicherheitsrisiko. Die Interaktion zwischen einer Maschine und einem tippenden Menschen ist etwas anderes als zwischen einem Flugzeug und der physikalischen Welt."
Die Boing 777 gilt als eines der sichersten Flugzeuge. Trotzdem kam es 2005 zu einem Zwischenfall, bei der sich die Piloten dazu gezwungen sahen, den Autopiloten auszuschalten und das Flugzeug per Hand sicher auf den Boden zu bringen. Fehler sind nicht auszuschließen. Erst recht nicht, wenn man auf Software vertrauen muss. Sieben Millionen Zeilen Code wurden für die Boing 777 geschrieben. Jede Zeile und jede Reaktion des Systems auf einen Sonderfall zu testen, ist unmöglich.
"Softwareprobleme betreffen nicht nur eingebettete Systeme. Computerprogramme können auch dann fehlerhaft sein, wenn sie zwar das richtige Ergebnis liefern, aber dafür zu lange brauchen!"
Es gibt keine fehlerfreie Software. Das weiß auch Edward Lee, von der "University of California" in Berkeley nur allzu gut. Trotzdem spricht er in seinen Vorträgen gerne von der Vision einer ampelfreien Stadt, in der Sensoren und Elektronik für die Einhaltung der Verkehrsordnung sorgen. Nur, diese Idee ist bislang nicht umsetzbar. Nicht etwa weil dafür die notwendigen Teile fehlen würden, sondern weil mit den heutigen Programmiermethoden die einzelnen Komponenten nicht verlässlich zusammenarbeiten können.
"Uns fehlen die Kapazitäten; wir sind noch weit davon entfernt, derartige Systeme so umzusetzen, das sie wirklich sicher sind. Sicherheit und Verlässlichkeit, darum geht es. Aber ich bin sehr optimistisch, dass uns das in Zukunft gelingen wird."
In den 1960er-Jahren wollten die Ingenieure den Verkehrsfluss automatisieren, indem sie Fahrzeuge wie Modellautos auf Schienen zu stellen versuchten. Heute nimmt sich die Autoindustrie nicht mehr die Eisenbahn, sondern die Flugzeugindustrie zum Vorbild, vergisst dabei aber nur allzu oft, dass diese Branche nicht nur bezüglich ihrer Computersysteme, sondern auch bei der Ausbildung ihrer Piloten ganz andere Maßstäbe setzt.
"Die Grundidee bei den sicherheitskritischen Systemen ist, dass man sich nicht auf ein Ergebnis verlassen kann. Man hat mehrere Ergebnisse, und das eine überprüft das andere. Nur wenn beide oder drei oder vier – ich glaub, in der Boing 777 sind es bis zu neun parallele Kanäle, die berechnen – nur wenn die Mehrzahl der Kanäle das gleiche Ergebnis ergeben, sagt man: Es ist sicher."
Flugzeuge werden einer strengen Prüfung unterzogen, bevor sie zugelassen werden. Das ist nicht nur teuer, sondern auch zeitaufwendig und führt dazu, dass Flugzeuge hinter der Fassade fliegende Computermuseen sind. Während im mobilen Bereich alle halben Jahre ein neues Produkt auf den Markt kommt, bleiben die Hard- und Software Komponenten in einem Flugzeug schon mal bis zu 30 Jahre lang unverändert. Was - nachdem die Hardware auch hier ab und an ausgetauscht werden muss - zu einem gewissen Problem bei der Lagerhaltung führen kann.
"Das Problem ist, dass in sicherheitskritischen Anwendungen das System als Ganzes zertifiziert werden muss. Das heißt, man muss den Entwurf offenlegen und vor einer Zertifizierungsbehörde argumentieren, warum er sicher ist. Wenn man jetzt Teile ändert, so ist der gesamte Sicherheitsnachweis zu wiederholen, weil das nur auf Systemebene und nicht auf Komponentenebene geht. Deshalb ist bei diesen Anwendungen der Wunsch da, dass das System während der gesamten Lebensdauer unverändert bleibt."
In der Automobilbranche geht es bislang nicht so rigoros zu. Schließlich werden dort Sensoren und Mikroelektronik nicht als Ersatz, sondern nur als Zusatz, als Komfortelement am Markt angepriesen. An die 50 Prozent der Herstellungskosten eines Autos entfallen bereits auf Elektronik und Software, schreibt die Zeitschrift MIT Tech Review. Für Tom Henzinger ist dies alles andere als eine gute Nachricht. Der Computerexperte, der in Stanford und Berkeley unterrichtet hat und derzeit in der Nähe von Wien ein neues Forschungsinstitut aufbaut, findet es an der Zeit, diese Entwicklungen grundlegend zu überdenken. Das Problem liege seiner Meinung nach darin, dass hier Systeme miteinander verknüpft werden, die dafür weder geeignet noch geschaffen worden sind.
"Bei einem PC zu Hause ist es nicht so tragisch, wenn er abstürzt. Jeder kennt das. Sicherlich ist das unangenehm, aber im Gegensatz zu einem Flugkontrollsystem gilt so ein Absturz nicht als ein Sicherheitsrisiko. Die Interaktion zwischen einer Maschine und einem tippenden Menschen ist etwas anderes als zwischen einem Flugzeug und der physikalischen Welt."
Die Boing 777 gilt als eines der sichersten Flugzeuge. Trotzdem kam es 2005 zu einem Zwischenfall, bei der sich die Piloten dazu gezwungen sahen, den Autopiloten auszuschalten und das Flugzeug per Hand sicher auf den Boden zu bringen. Fehler sind nicht auszuschließen. Erst recht nicht, wenn man auf Software vertrauen muss. Sieben Millionen Zeilen Code wurden für die Boing 777 geschrieben. Jede Zeile und jede Reaktion des Systems auf einen Sonderfall zu testen, ist unmöglich.
"Softwareprobleme betreffen nicht nur eingebettete Systeme. Computerprogramme können auch dann fehlerhaft sein, wenn sie zwar das richtige Ergebnis liefern, aber dafür zu lange brauchen!"
Es gibt keine fehlerfreie Software. Das weiß auch Edward Lee, von der "University of California" in Berkeley nur allzu gut. Trotzdem spricht er in seinen Vorträgen gerne von der Vision einer ampelfreien Stadt, in der Sensoren und Elektronik für die Einhaltung der Verkehrsordnung sorgen. Nur, diese Idee ist bislang nicht umsetzbar. Nicht etwa weil dafür die notwendigen Teile fehlen würden, sondern weil mit den heutigen Programmiermethoden die einzelnen Komponenten nicht verlässlich zusammenarbeiten können.
"Uns fehlen die Kapazitäten; wir sind noch weit davon entfernt, derartige Systeme so umzusetzen, das sie wirklich sicher sind. Sicherheit und Verlässlichkeit, darum geht es. Aber ich bin sehr optimistisch, dass uns das in Zukunft gelingen wird."
In den 1960er-Jahren wollten die Ingenieure den Verkehrsfluss automatisieren, indem sie Fahrzeuge wie Modellautos auf Schienen zu stellen versuchten. Heute nimmt sich die Autoindustrie nicht mehr die Eisenbahn, sondern die Flugzeugindustrie zum Vorbild, vergisst dabei aber nur allzu oft, dass diese Branche nicht nur bezüglich ihrer Computersysteme, sondern auch bei der Ausbildung ihrer Piloten ganz andere Maßstäbe setzt.