<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    W dniu 2015-12-15 o 10:49, Richard Carlsson pisze:<br>
    <blockquote
cite="mid:CANKG3zkrPNMMm-ojKEdCN2j_YHFZ3LdyLirVZ7c4qP-SpNY4Kg@mail.gmail.com"
      type="cite">
      <div dir="ltr"><br>
        <div class="gmail_extra">
          <div class="gmail_quote">
            <blockquote class="gmail_quote" style="margin:0 0 0
              .8ex;border-left:1px #ccc solid;padding-left:1ex">
              I still insist that there is need for both: "let it crash"
              and "correct by construction". You wouldn't want to let
              your fly-by-wire system controller crash during landing,
              one meter above the runway. But you also wouldn't want to
              build a correct feature poor in-flight entertainment
              system.<span class="HOEnZb"><font color="#888888"><br>
                </font></span></blockquote>
            <div><br>
            </div>
            <div>If restarting is fast enough (e.g. sub-millisecond),
              then yes, I do want the fly-by-wire system controller to
              crash and get back to a clean state, rather than make a
              poor guess at what to do to fix the problem, or lock up.<br>
              <br>
            </div>
          </div>
        </div>
      </div>
    </blockquote>
    I don't think we fundamentally disagree. AFAIR, they have
    supervision in the form of hardware watchdogs.<br>
    <br>
    Flying an airliner by beam.smp is completely out of question. But I
    would not recommend Erlang even for a small uav autopilot project.
    Would you?<br>
    <br>
    The largest correct by construction effort is probably CompCert.
    Fascinating achievement.<br>
    <br>
    -- <br>
    Wojtek Narczynski<br>
  </body>
</html>