Eingebettete Systeme für die kommerzielle und militärische Luftfahrt
Mehr als 10 Millionen Menschen steigen täglich in ein Verkehrsflugzeug, um ihre Familie zu besuchen, Geschäfte abzuschließen oder ihren Urlaub zu genießen. Sicherheit ist bei dieser Art der Beförderung von grundlegender Bedeutung. Flugzeuge wie die Boeing 777 können bis zu 396 Passagiere aufnehmen, während der Airbus A380 Superjumbo bis zu 853 Passagiere fasst. Sollte sich also eine Katastrophe ereignen, sind die Auswirkungen weithin zu spüren. Ingenieure und Softwareentwickler arbeiten Hand in Hand, um sicherzustellen, dass die von ihnen entworfenen eingebetteten Systeme dazu beitragen, dass die Luftfahrtindustrie die sicherste Form des Transports bleibt, die wir haben.
Gleichgewicht zwischen Innovation und Sicherheit in der Luft- und Raumfahrtindustrie
Und dies wird durch die Statistik untermauert. Nach Angaben der IATA (International Air Transport Association) fanden im Jahr 2022 über 32 Millionen Flüge statt. Insgesamt gab es 39 Unfälle, von denen fünf tödlich endeten. Dies ist ein Rückgang gegenüber dem Fünfjahresdurchschnitt (43 Unfälle/7 Todesopfer) und unterstreicht die konsequenten Bemühungen, die kommerzielle Luftfahrt sicher zu halten. Nach Angaben der IATA müsste ein Mensch beim derzeitigen Risikoniveau mehr als 25.000 Jahre lang täglich fliegen, um einen tödlichen Unfall zu erleben1.
Wie also unterstützt die Elektronik- und Halbleiterindustrie diese Metallvögel? Welche Maßnahmen werden ergriffen, um die Sicherheit zu gewährleisten? Und gibt es Nachteile bei der Arbeit in der Luft- und Raumfahrtindustrie?
1 https://www.iata.org/en/pressroom/2023-releases/2023-03-07-01/
Sie möchten das Thema vertiefen?
Auf der embedded world Exhibition&Conference 2025
haben Sie vom 11. bis 13. März 2025 die Möglichkeit,
sich mit Branchenexperten auszutauschen.
Wie man in der Luftfahrtindustrie ein kleines Vermögen macht
Es gibt einen bekannten Witz über Fluggesellschaften, der lautet: „Wie macht man ein kleines Vermögen in der Luftfahrtbranche? Man beginnt mit einem großen Vermögen!“ Und das gilt auch für Flugzeughersteller. Um ein Flugzeug auf den Markt zu bringen, braucht man einen langen Atem und viel Geld.
Die Boeing 747 wurde in den 1960er Jahren entwickelt, als das Fliegen erschwinglicher wurde. Das Flugzeug wurde 1970 bei Pan Am in Dienst gestellt und über 50 Jahre lang weiter produziert. Aber das Programm, das diese Ikone unseres Luftraums hervorbrachte, kostete rund 1 Milliarde Dollar (was im Jahr 2024 etwa 8 Milliarden Dollar entspricht). Daher ändert sich ein Flugzeug nur selten, wenn es einmal gebaut ist und seine Lufttüchtigkeitsbescheinigung erhalten hat.
Trotz des Fortschritts der Elektronikindustrie mit drahtlosen Over-the-Air-Updates (OTA) erhielten die Boeing 747-400 im Jahr 2020 immer noch monatliche Aktualisierungen der Navigationsdatenbank auf einem Stapel von 3,5-Zoll-Disketten2.
Der Avionikschacht der 747 ist mit Line Replaceable Units (LRUs) ausgestattet, dem Begriff der Luftfahrtindustrie für modulare elektronische Systeme. Jedes System erfüllt eine bestimmte Aufgabe, wie zum Beispiel der Flight Control Computer (FCC), die Air Data Inertial Reference Unit (ADIRU) und die Engine Electronic Control (EEC). Sollte ein Funktionsproblem auftreten, können die Techniker eine defekte LRU „vor Ort“ austauschen, wenn das Flugzeug das nächste Mal am Boden ist. Dies trägt dazu bei, dass das Flugzeug weiter fliegt und vereinfacht das Management der Lieferkette.
LRUs werden nach den Normen der ARINC 700-Serie entwickelt3, die die in Serienflugzeugen verwendeten digitalen Systeme und Geräte definieren. Die Module werden dann untereinander und mit den übrigen Flugzeugsystemen über avionikspezifische Vernetzungsprotokolle verbunden, die sich nicht von dem in Industrie- und Automobilsystemen verwendeten Ansatz unterscheiden. Eines dieser Protokolle ist ARINC 429, ein unidirektionaler Broadcast-Bus, der einen Sender mit bis zu zehn Empfängern verbindet. Die Nachrichten werden bis zu 50 Mal pro Sekunde übertragen, wobei der Empfang auf der Empfängerseite synchron erfolgt.
2 https://www.theverge.com/2020/8/11/21363122/boeing-747s-floppy-disc-updates-critical-software
3 https://aviation-ia.sae-itc.com/product-categories/arinc-standards/700-series
Entwurf eines neuen Flugzeugs
Wenn ein neues Flugzeugkonstruktionsprojekt in Angriff genommen wird, sucht das Team nach Konstruktionsentscheidungen, die für zwei oder mehr Jahrzehnte sinnvoll sind. Das Projekt für den Airbus A380, das einzige Doppeldecker-Flugzeug der Welt in voller Länge, begann in den 1990er Jahren, wurde aber erst 2007 in Betrieb genommen. Man entschied sich für einen integrierten modularen Avionikansatz (IMA), der bereits in militärischen Plattformen wie dem F-22 Raptor und dem Tarnkappenflugzeug F-35 Lightning II eingesetzt wird. Es nutzt eine Reihe von eingebetteten Echtzeit-Computermodulen, die über AFDX/ARINC 664 (Avionics Full Duplex Switched Ethernet) verbunden sind, ein Netzwerkprotokoll, das für sicherheitskritische Anwendungen in Flugzeugen entwickelt wurde.
Die Module bieten auch eine gemeinsame Anwendungsprogrammierschnittstelle (API). Wie heute in der gesamten Branche üblich, ist eine solche Architektur so konzipiert, dass sich die Entwickler auf eine Anwendungsschicht konzentrieren können, die auf robusten unteren Schichten aufbaut, die den Zugriff auf Hardware und Netzwerke regeln. Sollte ein Teil des Systems ausfallen, können die Anwendungen sogar auf anderen Modulen im Netz ausgeführt werden. Solche verteilten Datenverarbeitungsansätze werden auch in der Automobilindustrie mit Software-definierten Fahrzeugen (SDV) und ihren zonalen Architekturen eingesetzt.
Avioniksoftware sicher machen
Wie die Automobilindustrie hat auch die Luft- und Raumfahrtindustrie ihre Hardware kontinuierlich verbessert, um das Ausfallrisiko zu minimieren und dazu beizutragen, die Sicherheit der Millionen von Fluggästen zu gewährleisten, die täglich an Bord kommen. Ein großer Teil dieser Hardware ist jedoch von Software abhängig. Die Norm DO-178 mit dem Titel Software Considerations in Airborne Systems and Equipment Certification wird sowohl von der kommerziellen als auch von der militärischen Luft- und Raumfahrtindustrie verwendet, wobei der militärische Schwerpunkt eher auf dem Erfolg der Mission als auf der Sicherheit liegt. Die Norm bietet Anleitungen für den gesamten Softwareentwicklungsprozess, von der anfänglichen Planung bis hin zu integralen und Entwicklungsprozessen.
Ähnlich wie die Sicherheitsintegritätsstufen von Automobil- und Industriesystemen (ASIL/SIL) bewertet DO-178 die Risiken, die mit einer Softwareanomalie und dem daraus resultierenden möglichen Ausfall verbunden sind. Sie definiert fünf Entwicklungssicherheitsstufen, beginnend mit E, bei der ein Fehlerzustand die Betriebsfähigkeit des Flugzeugs nicht beeinträchtigt. Ein Unterhaltungssystem während des Fluges ist ein Beispiel für ein System der Stufe E.
Stufe D gilt als geringfügige Fehlerbedingung, die zu Unannehmlichkeiten führen würde, wie z. B. ein Ausfall des Flugschreibers. Die höchste Stufe, A, ist für potenziell katastrophale Ausfälle reserviert. Ein solcher Vorfall würde die Fortsetzung des sicheren Fluges verhindern, wie z. B. ein Problem mit dem Fly-by-Wire-System.
Ein Kernpunkt von DO-178 ist die Softwareverifikation, die neben dem Testen auch Reviews und Analysen umfasst. Dieser Prozess beginnt mit High-Level-Softwareanforderungen, aus denen eine geeignete Softwarearchitektur und Low-Level-Anforderungen abgeleitet werden. Jede Anforderung erfordert Tests, die beweisen, dass die Anforderung erfüllt wurde. Außerdem ist eine bidirektionale Rückverfolgbarkeit erforderlich, d. h. die Verbindung zwischen den High-Level-Anforderungen und dem Quellcode kann in beide Richtungen nachgewiesen werden. Außerdem darf es keinen toten Code geben, der keinen Bezug zu einer Anforderung hat.
Auch die Codeabdeckung ist erforderlich, von der Anweisungsabdeckung auf Stufe C bis zur modifizierten Zustands-/Entscheidungsabdeckung (MC/DC) auf Stufe A. Die Programmiersprache Ada wird aufgrund ihrer starken Datentypisierung und anderer Merkmale häufig verwendet. In der Luft- und Raumfahrt werden jedoch zunehmend andere Sprachen und Open-Source-Software verwendet.
Angesichts der sich verändernden Landschaft der Softwareentwicklung und der Leistungsfähigkeit eingebetteter Hardware wurde die DO-178C veröffentlicht. Diese neue Version der Norm enthält zusätzliche Dokumentation zu Entwicklungsparadigmen wie modellbasierte Entwicklung und Verifizierung, objektorientierte Technologie und formale Methoden. Bei diesen Ansätzen können Modellsimulationen oder mathematische Techniken zur Verifizierung der korrekten Softwarefunktionalität eingesetzt werden, wodurch einige traditionelle Softwaretestaktivitäten ersetzt werden. Darüber hinaus enthält es zusätzliche Anleitungen zur Qualifizierung von Werkzeugen (DO-330).
Eingebettete Lieferanten für die Luft- und Raumfahrt
In der Vergangenheit wollte die Luft- und Raumfahrtindustrie MIL-SPEC-Geräte, ein Sammelbegriff, der bedeutet, dass etwas eine militärische Norm oder Spezifikation erfüllt. Da sich jedoch viele Halbleiterhersteller aus diesem Markt zurückgezogen haben und die Projektbudgets immer knapper werden, werden zunehmend COTS-Lösungen (Commercial-off-the-shelf) eingesetzt. AFDX/ARINC 664 zum Beispiel wurde zwar für die Luft- und Raumfahrt entwickelt, basiert aber auf dem bekannten Ethernet-Protokoll und kann COTS-Komponenten verwenden.
Ein weiterer Bereich ist die Software. Einige Anbieter haben sich auf die Übernahme von COTS-Software-Stacks und die Entfernung von nicht benötigtem und totem Code spezialisiert. Durch dieses Reengineering und die anschließenden Tests kann die Software für den Einsatz in Luft- und Raumfahrtprojekten zertifiziert werden.
Viele der Echtzeit-Betriebssysteme (RTOS), die die strengen Sicherheitszertifizierungsanforderungen der Luft- und Raumfahrtindustrie erfüllen, haben ein nicht-avionisches Äquivalent vom selben Anbieter. Dann gibt es noch die Tool-Anbieter, die Compiler, Debugger und Software-Testumgebungen anbieten. Auch sie führen zusätzliche Zertifizierungen ihrer Produkte und Tools durch, um den Anforderungen der Entwicklungsteams in der Luft- und Raumfahrt gerecht zu werden.
Langsame Innovation
Flugzeuge sind zwar ein Wunderwerk, aber das Innovationstempo ist langsam. Von der Konzeption bis zum Start kann ein Jahrzehnt oder mehr vergehen, während das Flugzeug selbst zwanzig Jahre oder länger in Produktion sein kann. Daher ergibt sich die Gelegenheit, an der Spitze der Luft- und Raumfahrt zu arbeiten, vielleicht nur zweimal in Ihrer Karriere. Aber wenn Sie damit leben können, zeigen die Fähigkeiten, die sowohl in der zivilen als auch in der militärischen Luft- und Raumfahrt demonstriert werden, unglaubliche Leistungen der Ingenieurskunst.
Und es sind eingebettete Systeme und Software in Verbindung mit einer Sicherheitskultur, die dafür sorgen, dass diese Flugmaschinen bei Zehntausenden von Starts pro Tag sicher sind. Diese Branche beweist, dass Software für unsere Sicherheit sorgen kann und dass unser Leben eingebetteten Systemen anvertraut werden kann.