カンタス航空の急降下事故、ソフトウェアのバグが原因だった 61
ストーリー by reo
黒き天使がH/Wに侵入 部門より
黒き天使がH/Wに侵入 部門より
eggy 曰く、
2008 年 10 月 7 日に起きた、豪カンタス航空のエアバス A330 が 2 度も立て続けに急降下した事故により 39 人が病院に運ばれ、うち 12 人が重傷を負うこととなった。同事故に関して調査を続けていたオーストラリア交通安全局の調査報告書によれば、事故の直接的な原因となっていた速度計の不具合は、飛行操縦システムのバグによるものであったとのこと (Stuff の記事、本家 /. 記事より) 。
バグが原因で実際に不具合を起こしたのは 3 つある速度計のうちの 1 つであるが、断続的に全飛行パラメータの誤データを飛行操縦システムに送信し続けていたという。また飛行操縦システムに使用されていた 1990 年代に書かれたアルゴリズムは、速度計から送信される誤データにより急降下を起こす可能性があったことが分かったとのこと。
たった一つのバグが命取り。
鳥と虫では (スコア:1)
蝶々蜻蛉も鳥のうち♪
------------
惑星ケイロンまであと何マイル?
黒い天使 (スコア:0)
Gの降臨
Re: (スコア:0)
正直、ソフトウェアの不具合なのかリアル虫なのか
わからない文章ですね。
Re: (スコア:0)
それはさすがに読解力なさすぎ
Re:黒い天使 (スコア:1)
知らんのだと思うが、速度計って要はピトー管というやつで
管だから実際に虫が詰まったりするんだよ。
Re: (スコア:0)
英語ではもし虫ならincectって書くだろうが
>バグが原因で実際に不具合を起こしたのは 3 つある速度計のうちの 1 つであるが
ではわからんな。
しかも「たった一つのバグ」とかも書いてるし。
Re: (スコア:0)
なんかひどいよね。
機械翻訳なんでしょうか?
Re: (スコア:0)
「飛行操縦システムのバグによるもの」って明記されてる時点で勘違いしようがないですよ
Re: (スコア:0)
そこの文章が#2070238 [srad.jp]にあるように意味不明だ。
Re: (スコア:0)
意味不明かどうかじゃなく
虫のことかソフトウエア不具合か読み取れないって話でしょ
うまく言ったつもりだろうが (スコア:0)
幸いにも命は取られていない
Re: (スコア:0)
比喩って知ってる?
Re: (スコア:0)
慣用句なら
冗長性 (スコア:0)
Re:冗長性 (スコア:5, 参考になる)
www.atsb.gov.au/media/3532398/ao2008070.pdf
そもそも速度計ではなくAOA(迎え角)センサの異常ですね。
5台あるFCC全てが3台あるAOAセンサのデータ取得に同一アルゴリズムを使用していた様です。
こういう時の為に、それぞれ異なるアルゴリズムを使うものだと思っていたんですけどね。
Re: (スコア:0)
ノートPCが原因かもというストーリーがありましたね。
カンタス航空旅客機の急上昇・急降下事故、ノートPCが原因? [srad.jp]
警報音は出ていたらしいから、異常は検出していたと。
Re: (スコア:0)
高度・速度・エンジン・エレベータも正常なのにAOAがおかしいだけで急降下を決定する方がアルゴリズムとして変だと思う。
Re:冗長性 (スコア:1)
Re: (スコア:0)
飛行機にとって迎え角って何よりも優先すべき重要な管理項目ですよ。
たとえていうなら自転車で、速度や進路に異常がなくてもバンク角90度超えは許容するわけにいかない、そのくらい大事。
Re: (スコア:0)
迎え角がとんでもない数値出してたら、人間アルゴリズムの手動操縦だって急降下を選択してしまいそうですよね。
Re:冗長性 (スコア:1)
バグが原因で実際に不具合を起こしたのは 3 つある速度計のうちの 1 つであるが
速度計が3つあるんだから多数決されていそうだけどねぇ…
単純に1個壊れたら別の速度計に切り替えられるだけとか?
Re: (スコア:0)
多数決をするシステムが壊れたら…
Re:冗長性 (スコア:2)
Re: (スコア:0)
多数決を多数決するシステムを導入する。
そして(ry
Re: (スコア:0)
多数決するべき仕様になっていたけど、アルゴリズムにバグがあってそうならなかったという事故ではないかと。
親コメはそもそも仕様の実装にも冗長性をもたすべきという話だけど。
Re: (スコア:0)
バグがひとつって締めが混乱を招いてる気が。
バグは速度計の一つと、それを受け取って処理する操縦システムのアルゴリズムの両方にあったんでしょ。
つまりバグは2つ。
Re: (スコア:0)
カンタス航空は墜落事故を起こしていない (スコア:0)
エンジンが火を吹こうが着陸するのは凄いと思うが
何かが違う。
Re: (スコア:0)
商用機ならエンジンは1つ生き残っていれば着陸できるから
例えば4つ中3つが火を噴いても本体に延焼しなければ問題なし。
Re: (スコア:0)
>4つ中3つが火を噴いても本体に延焼しなければ
あーそれは間違いなく延焼すると思う。
Re: (スコア:0)
>例えば4つ中3つが火を噴いても本体に延焼しなければ問題なし。
それは消火装置が正常に作動して消火できて、エンジンが3つ
止まっても着陸できる。
であって、3つとも火を噴いちゃったら無理ですよ。
あれ? (スコア:0)
同じ様な事故が昔、ボーイングで無かったっけ?
ナショジオかディスカバリーチャンネルで見た様な覚えが有る。
Re: (スコア:0)
ナショジオのメーデー!/航空機事故の真実と真相のシーズン5 の第8話『速度計の警告サイン』だと思う。機体はB-757。
パイロットもFCCもセンサーの情報を元に機体を制御するので、センサーに嘘を突かれると判断基準が狂って簡単に墜落する。
ソフトウェア技術者(あるいはIT土方)からのコメント求む (スコア:0)
ソフトウェアにはバグがつきものだし、だからバグ修正版やパッチが公開される、というのも一理ある。
でも、命に関わる部分は、そういうわけにはいかない。
かといって、無限にコストをかけるわけにもいかないし、かけたところで、
バグを完璧に(理論的に完璧はありえないにせよ、少なくとも自分の命を
あずけてもいいと思える程度に)なくすことは可能なのか。
じゃあどうすればいいのか。
/.JはIT関係者が多そうだし、そのへんの議論を聞きたいですね。
Re:ソフトウェア技術者(あるいはIT土方)からのコメント求む (スコア:1)
マジレスすれば ISO 61508。
もっというと DO-178B。
でも IEC 61513は...
Re:ソフトウェア技術者(あるいはIT土方)からのコメント求む (スコア:1)
ハードだろうとソフトだろうと、人間のやることには欠陥がつき物。
命に関わる部分ならばハードにだって欠陥があってはならないけれど、
かといって無限にコストをかけるわけにもいかないし、かけたところで
欠陥を完璧になくすことは不可能。
そういう意味においては、べつにソフトウエアだけが特別なわけではない。
Re: (スコア:0)
人間の操作ミスより、ソフトウェアの不具合のほうが
対策・改良できる分だけマシという考え方もある。
Re: (スコア:0)
実際、マシなんでしょうか?
というか、比較対象は人間の操作ミスってことでいいの?
Re: (スコア:0)
ソフトウェアは、あらかじめ想定されたことしか対処できない、ということがあります。
ことが起こる前に、すべてのケースを想定し尽くすことが可能かどうか、という問題があります。
ただし、それはソフトウェア技術者ではなく、仕様を決定する段階での問題ですので、
ソフトウェア技術者には責任がありません。
一方、人間がやる場合であっても、すべての場合を考慮したマニュアルを作っておく必要があり、
そのマニュアルに漏れがあった場合、パイロットは途方に暮れるかも知れません。
これは、上記の仕様決定の漏れと同じ問題ですので、人間がやる
Re: (スコア:0)
じゃあ複雑にしなければいいじゃん?
という意見が出てくるわけですが、航空機の場合、単純にすると、急に舵を切ったり
したときに異常振動が発生して舵が壊れたり、致命的なことが起きるので
安全装置を設けるには複雑にならざるを得ない。
しかも軽くするために電子化は避けられない。
というわけですね。
Re:ソフトウェア技術者(あるいはIT土方)からのコメント求む (スコア:2)
コードは開発現場で書くんじゃない! 現場で書くんだ!
とも言いますしね。
http://www.youtube.com/watch?v=hYHdF03wYFw
危険な乗り物 (スコア:0)
Re: (スコア:0)
ジョークかも知れませんが「カンタス航空しか乗らない」
という人は結構いますよ。
映画のレインマンのセリフでもありました。
センサーといえば (スコア:0)
ジャイロのX-Yを間違えて繋いで、速攻墜落したのがありましたね。
コネクタが同一形状?だったのか!?すげーバカだなと思いました。
現場はそんなもん?
Re:センサーといえば (スコア:2)
あれは普通なら繋がらないコネクタを無理矢理繋いであって破壊工作じゃないかとか言われてたような
Re: (スコア:0)
速度計の蓋を外し忘れたまま、夜間に離陸して再度着陸
しようとしたが、目測できる対象もなく失敗して乗員乗客
70名が全員死亡という事故もあります。
割と最近の1996年。
整備不良・確認不足では何が起こっても不思議ではない。
Re:センサーといえば (スコア:1)
http://ja.wikipedia.org/wiki/%E3%82%A2%E3%82%A8%E3%83%AD%E3%83%9A%E3%8... [wikipedia.org]
http://ja.wikipedia.org/wiki/%E3%83%90%E3%83%BC%E3%82%B8%E3%82%A7%E3%8... [wikipedia.org]
この2つですかね。
離陸直前、滑走路走行中に速度計が正常に動いてないのを確認しつつ飛んじゃってるケースもあって、なんだかなって感じです。
速度計≠AIR DATA Computer (スコア:0)
このタレコミ文に書いてある「速度計」というのはAIR DATA Computer
のことなんだろう。
速度計のバグと言われても速度計が信号に変換する箇所にバグなんて
ありそうもないし。
AIR DATA Computerから制御装置に信号がいくが、これはすでに多数決
などで決定した「きれいなデータ」なので、この信号に従って制御装置は
動作する。
ところがAIR DATA Computerにバグがあった場合(どんなバグか想像が
つかないが)、誤った信号によって制御装置が動作する。
制御装置側の動作はバグとも言えるかもしれないが、想定外の信号がきた
ときの動作なので仕様といえるかもしれない。
Re:速度計≠AIR DATA Computer (スコア:1)
タレコミにあるStuffの記事を斜め読みする限りでは、
・3つあるセンサ(air-speed sensor)の一つが誤ったデータを吐き続けた
このエラーは世界でわずかに3例のみ報告されている(何故か全てカンタス航空のエアバス機)
・加えて、main flight computers へ入力されるセンサからの値を解釈するアルゴリズムに不具合があった
1990年代に書かれたこのアルゴリズムは3つのセンサのうち1つからでも誤ったデータが入力されるとその影響を受ける
この不具合は今回の例が初めてで、アルゴリズムは2009年に刷新されたので今後は発生しないはず
Re: (スコア:0)
見出しの「てにをは」からして期待してはいけないレベルだから