ATR 72 Bari-Djerba

Area dedicata alla discussione sugli incidenti e degli inconvenienti aerei e le loro cause. Prima di intervenire in quest'area leggete con attenzione il regolamento specifico riportato nel thread iniziale

Moderatore: Staff md80.it

Avatar utente
Aldus
FL 350
FL 350
Messaggi: 3791
Iscritto il: 25 luglio 2005, 22:06
Località: Varese

Re: ATR 72 Bari-Djerba

Messaggio da Aldus » 30 luglio 2009, 8:18

Alien ha scritto:
Temo di sì, invece. Quella che chiami carta è la legge. Prendetevela con chi scrive la legge, se questa va cambiata.
Qui non si tratta di "legge".
Si tratta di buon senso quando si progettano le cose.
La legge non dice che quel pezzo devi progettarlo per forza così, e mai te lo dirà.
Quando una azienda progetta chessò una CPU per Pc non aspetta la "legge" o le "normative" che gli dicano di metterci sopra una ventolina di raffreddamento, sennò la CPU brucia.
Ci arriva il progettista a capirlo da solo (se è sufficientemente intelligente).
Così come ci arriva a capire che la sua CPU marca X per nessun motivo deve inseririrsi nello zoccolo progettato per il modello Y, altrimenti il sistema dà fuori di matto.
Nel caso del FQI degli ATR quella che chiami "la legge" si è limitata solo ad osservare il problema (se poi l'ha visto!) e anzichè imporre di rimediarlo fisicamente, si è limitata a stilare giù quattro raccomandazioni cartacee del tipo "mi raccomando, state attenti quì, state attenti là" pensando (poveri loro) che bastino delle parole per evitare un incidente.
La legge, le parole, le normative, servono, certo che servono.
Ma ci sono casi (come questo) dove anzichè "parlare" bisogna saper progettare le cose nel modo giusto, usando un minimo di buon senso, e un minimo di intelligenza in più.
E quando dico un minimo, intendo veramente un minimo.
Non si dice nè si chiede di rifare tutto un aereo, ma di fare almeno due connettori di tipo diverso.
Ci vuole tanto?
E' così "ingenieristicamente" difficile fare una pirlata del genere?
Alien ha scritto: Per niente. Il FQI si puo' guastare.
Certo che si può guastare.
E infatti il FQI originale si era guastato, e i piloti avevano chiesto di sostituirlo.
Ma chi andava più a pensare che quando te lo sostituiscono ne montano uno sbagliato?
Perchè l'hanno montato sbagliato?
Perchè le parole non permettono di evitare un simile errore!
Deve essere il progetto che alla base deve impedire un simile errore.

Ti racconto un breve storia.
Qualche anno fa mi si è rotto l'ingranaggio della quinta marcia della mia Audi80.
Porto la macchina dal mio meccanico (che presumo sappia fare il suo mestiere) il quale prende i manuali e i codici del pezzo, e li inoltra alla Autogerma (importatore Audi in Italia) per avere il ricambio.
Il pezzo arriva dopo una settimana.
Il mio meccanico lo monta e.....porca miseria non va bene.
Telefona all'Autogerma dicendogli che gli hanno mandato il pezzo sbagliato, ma quelli si impuntano e gli dicono che il pezzo è GIUSTO, corrisponde al codice, è stato prelevato dal cassetto in cui sono contenuti quei pezzi, non ci sono errori.....insomma che la colpa è del mio meccanico che non sa fare il mestiere, e non sa montare giustamente quel pezzo.
Questa assurda tiritera del "no ho ragione io, no abbiamo ragione noi" va avanti per più di un MESE (e il sottoscritto nel frattempo era a piedi!), finchè un bel giorno, stufo di queste paturnie, prendo da casa il mio meccanico, e con la macchina di mia sorella (ovvio la mia era guasta) andiamo insieme alla Autogerma con il pezzo incriminato a chiarire una volta per tutte la questione.
L'accoglienza non è delle migliori, ma fa niente, ci portano giù nei magazzini, ci mostrano il cassetto etichettato XYZ che contiene SOLO quel ricambio, confrontiamo il pezzo che abbiamo in mano con quelli presenti nel cassetto ed.....è DIVERSO!
Lo sa la madonna il perchè, il pezzo che ci hanno spedito appartiene al modello Audi A4, non Audi80, ma chissà come (se lo sono chiesti anche loro!) quel pezzo (e soltanto quello!) era finito erroneamente dentro il cassetto dei ricambi Audi80, ingranaggio quinta marcia.
E' la dimostrazione lampante che un errore procedurale può avvenire.
Ma non solo.
Devo ringraziare Dio (anzi no, i progettisti) che quel pezzo, nonostante fosse praticamente identico all'altro NON si innestava sul supporto dell'altro.
Per fortuna!
Se i progettisti avessero fatto la vaccata di progettare quel pezzo non in quel modo, tutti i bei loro codici, le pratiche, le normative, i data base, gli "accurati" stoccaggi di magazzino, etc etc, potevano infilarseli in quel posto.
Io a quest'ora sarei in giro con un pezzo nel cambio difettoso, o comunque non corretto.
Una cosa gravissima che fortunatamente è stata risolta in fase di progetto facendo una dentallatura interna leggermente diversa, tale da consentire al mio meccanico (bravo o non bravo che fosse) di sgamare l'errore e di rimediarlo efficacemente al 100%.
E senza aver letto una riga su carta.
O si innesta (quindi è il pezzo giusto), o non si innesta (quindi è il pezzo sbagliato).
Fine del problema.

Avatar utente
Valerio Ricciardi
FL 500
FL 500
Messaggi: 5438
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 30 luglio 2009, 9:15

tartan ha scritto:Comunque, quello che volevo contestare, in breve, era l'affermazione che le procedure possano supplire a carenze di progettazione. Non accetto che ci si ripari dietro le procedure. Se viene definito safe un solo indicatore, non può essere accettata come safe la possibilità che si possano montare indicatori che danno indicazioni differenti nello stesso posto giustificando la decisione con il rispetto delle norme e la presenza di una procedura.
Ecco, ad esempio questa affermazione di Tartan la quoto in quanto la condivido al 100%.

Per una volta cercherò di essere un po' sintetico (il che per me è qualcosa di prossimo all'eroismo).

La cosa che mi accomuna di più con Aldus è che ritengo che l'oggettivazione del design finalizzato alla sicurezza debba essere sempre in vetta ai pensieri di ogni progettista. Perché gli oggetti devono andare in mano ad esseri umani che prima o poi sbagliano. E tendono anche a ripetere gli errori.

A differenza (forse) di Aldus, penso che per il pregresso si debba constatare con amarezza che a un indicatore scambiato non avevano pensato, e che purché rimedi con prontezza - eliminando il rischio alla radice tramite oggettivazione, prima ancora di diffondere suggerimenti, avvertenze e procedure - posso anche ammettere di non dare addosso alla Casa costruttrice.

A differenza di Aldus, temo che non tutto l'hardware può con sicurezza essere progettato "fool safe": questo deve essere un asintoto cui tendere con tutte le forze, ma a volte gli accorgimenti "fool safe" vengono aggirati (vedi l'esempio della soda caustica trasferita da una bottiglia di sicurezza e a prova di bambino ad una bottiglia per acqua minerale... in un bar!!!!)

La cosa che più mi accomuna con Alien è la convinzione che perciò, comunque nella vita non tutto si può delegare solo alla qualità del design e all'ingegnerizzazione, in quanto il design non può prevedere mai completamente tutto e perciò ci vogliono "anche" procedure (per me, condividendo in pieno Tartan, purché non siano mai "pezze a colori" applicate in via più che transitoria per rimediare a "bachi" di progetto)

A differenza di Alien, penso che è cosa virtuosa che la norma si adegui adottando e abbracciando entusiasticamente e decisamente le procedure di oggettivazione della sicurezza, e rendendole parte integrante delle specifiche di prestazione richieste per la certificazione, e non che la norma cerchi "a monte" di essere "da sola" tanto seria, ben congegnata e coerente da minimizzare l'errore. L'errore esiste, ed ogniqualvolta potrei evitarlo oggettivando la sicurezza es. "il connettore non si infila, perciò non posso COMUNQUE nemmeno se ubriaco attaccare a un controller E-Ide un hard disk SCASI in un computer del Pentagono che poi dà i numeri e scatena la terza guerra mondiale lanciando i missili" io HO IL DOVERE DI FARLO SUBITO - o, almeno, non appena ne ho contezza.

Da un punto di vista pratico, non riesco nemmeno a capacitarmi che un incidente in cui una procedura di oggettivazione anche banale (ok, non lo sapevi, non potevi pensare a tutto, ma adesso lo sai, attaccati al telefono e detta una soluzione di oggettivazione agli ingengeri tuoi assistenti che disegnano gli esecutivi) avrebbe da sola contriibuito ad interrompere la catena degli eventi che hanno portato all'incidente, debba per ora produrre RACCOMANDAZIONI e procedure.
Se ATR non lo ha fatto prima (ammetto che non si possa immaginare tutto, Aldus) non ce l'ho con lei, ma se ATR adesso non si mette subito - in accordo con gli organi di controllo - ad oggettivare a tappeto tutti i FQI cambiando coppie di connettori o forme di buchi o quel che volete, allora DA ORA ce l'ho con ATR, la quale DOPO le risultanze dell'inchiesta NON PUO' moralmente farsi scudo della non obbligatorietà di qualcosa limitandosi a procedure e raccomandazioni. Anche perché il costo di molti interventi è risibile.

La PRIMA volta che si vede un bambino di tre-quattro anni che sale su un vaso da fiori di un balcone per affacciarsi e vedere meglio la mamma che va in ufficio la mattina

- o si tolgono le fioriere
- o si mettono i graticci di sopraelevazione delle ringhiere
- o tutte e due le cose,

carissimo Alien, e lo si fa qui e adesso; non ci si limita a spiegare al bambino con calma che non si fa, che se si appoggia con la pancia sulla ringhiera potrebbe perdere l'equilibrio e volare giù dal quinto piano. Nè si inizia con metodo a progettare un serio e intelligente disegno di legge che innalza di 20 cm l'altezza minima richiesta per le ringhiere nelle nuove costruzioni, altrimenti all'ispezione a fine costruzione non ti concedo l'abitabilità.

Poi, con calma, si può fare anche questo. E si può inserire nel programma scolastico per la materna e le elementari dei criteri educativi per i bimbi che insegnino loro a prevenire gli incidenti più comuni: i bambini sono molto recettivi, prima inizi e meglio lo imparano. Tutte cose buone e giuste: procedure, sensate ed utili.

Ma intanto sposto subito le fioriere e il giorno stesso metto i graticci. Quando? Ora, dieci minuti dopo aver visto il pargolo accennare a qualcosa di pericoloso. E benedicendo la fortuna di averlo visto, e di poter intervenire... a bimbo vivo.

Se sul cockpit di quell'ATR ci fosse stato "per forza" il "suo" FQI, nulla e nessuno avrebbe potuto impedire che non venissero rispettate le procedure di calcolo dei consumi e rifornimento, nessuno avrebbe reso più meticoloso e responsabile il pilota, ma spento il primo motore CPT e FO invece di sprecare la gran parte della preziosa quota disponibile in inutili e velleitari (ancorché corretti, se ci fosse stato carburante) tentativi di riaccensione, avrebbero messo in IDLE o comunque a régime di minimo consumo l'altro motore iniziando immediatamente una procedura di planata col rate di discesa "ottimale" per massimizzare la distanza coperta a motori spenti, e probabilmente a giudicare da quota e distanza avrebbero potuto arrivare a terra.
Stimatissimo Alien, scusa se è poco...
"The curve is flattening: we can start lifting restrictions now" = "The parachute has slowed our rate of descent: we can take it off now!"
Chesley Burnett "Sully" Sullenberger

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9893
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da tartan » 31 luglio 2009, 19:58

Caro Alien tu ti spieghi benissimo, sono io che non riesco a spiegarmi. Sono anche in accordo con le tue tesi che il progetto che rispetta le norme ed è certificato non può essere ritenuto responsabile. Mi rammarico che il progettista, per puri motivi di costo, non vada oltre e si attenga solo alle norme o leggi che dir si voglia.
E' vero che non è un mistero né uno scandalo che la sicurezza costi, lo scandalo e il mistero consistono nel fatto che le regole, le norme, le leggi vengano "addomesticate" per motivi economici e che ci si limiti al rispetto di norme, a volte assurde pur di non spendere troppo anziché proporre varianti, anche costose, che però aggiungano sicurezza alla sicurezza, senza pretendere la perfezione o tirare in ballo l’esilarante legge di Murphy.
Potrei farti tanti esempi di regole "adattate" in corso d'opera per motivi economici, ma per ora mi limito ad un esempio facile facile, uno dei tanti da cui usciamo vincitori noi di AZ (quella vera)
DC9/30 (roba vecchia, non c’è più, nessuno si arrabbia)
Peso massimo di atterraggio limitato dalla riattaccata.
Norma (ancora in vigore). Il peso massimo di atterraggio deve sviluppare un gradiente minimo con avaria motore pari al 2.1% ad una velocità NON Superiore alla 1.5 della velocità di stallo (mancano altri requisiti, ma non interessano ora).
Perché una velocità massima? Perché passando dalla Vs a velocità più alte le prestazioni migliorano e quindi si è voluto limitare la corsa a velocità alte e poco operative al fine di aumentare il peso di atterraggio. Quindi il “progettista”, nel rispetto della norma, può determinare il peso massimo alla velocità che preferisce, entro il limite specificato.
Nel flight manual esiste un grafico che fornisce il peso massimo relativo alla 1.5 Vs (perfettamente in linea con la certificazione).
Sempre nel flight manual vengono fornite le velocità da usare in riattaccata, valide anche in caso di avaria motore, anche queste “certificate”, però calcolate come 1.3 della VS.
Secondo AZ c’è una incompatibilità fra il peso massimo “certificato” e le velocità “certificate”. Fatta notare al progettista la risposta è stata che si tratta di due certificazioni diverse, una per la scelta del peso, l’altra per la scelta della procedura di riattaccata. Ambedue sono certificate FAA e quindi sono applicabili.

Tutte le compagnie interpellate usano i dati del flight manual, AZ no. AZ decide di ridurre il peso di riattaccata a quello relativo alla 1.3 Vs, autolimitandosi. Naturalmente siamo sbeffeggiati da tutto il mondo aeronautico, finché un giorno non si presenta sulla scena aeronautica un “progettista” europeo che la pensa, guarda caso come AZ e protesta aspramente con “progettisti” oltre oceano per la concorrenza sleale. La faccio breve, ora tutti i “progettisti" forniscono dati compatibili fra peso massimo e velocità di riattaccata.

Ci voleva tanto a capire che non si può certificare un peso ad una velocità e poi usarne un’altra, sempre certificata, nelle operazioni? Che ci frega, erano tutte e due certificate, quindi safe.

E’ questo che cerco di spiegare. Anche se le norme lo prevedono, il bravo “progettista” va oltre, a meno che non ci sia il vil denaro di mezzo.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
Valerio Ricciardi
FL 500
FL 500
Messaggi: 5438
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 31 luglio 2009, 21:55

tartan ha scritto: Sono anche in accordo con le tue tesi che il progetto che rispetta le norme ed è certificato non può essere ritenuto responsabile. Mi rammarico che il progettista, per puri motivi di costo, non vada oltre e si attenga solo alle norme o leggi che dir si voglia.
... lo scandalo e il mistero consistono nel fatto che ... ci si limiti al rispetto di norme, a volte assurde pur di non spendere troppo anziché proporre varianti, anche costose, che però aggiungano sicurezza alla sicurezza, senza pretendere la perfezione o tirare in ballo l’esilarante legge di Murphy. (...)
E’ questo che cerco di spiegare. Anche se le norme non lo prevedono, il bravo “progettista” va oltre, a meno che non ci sia il vil denaro di mezzo.
Bravo Tartan, quoto al 100% (benché se la mia incommensurabile ignoranza mi abbia fatto ben intuire il senso, ma non capire nel dettaglio tecnico, l'esempio del DC9-30 che citavi).

Caro Alien, se trovo condivisibile quello che scrive Tartan, riferendosi a interventi che hanno costi elevati e richiedono un impegno significativo delle aziende per affrontarne la logistica...
pensa che opinione posso avere di chi non si sbrigasse a montare "connettori incompatibili" su due diversi strumenti che non debbono essere scambiati... quanto gli costerebbe, due euro e cinquanta di materiale e una mezzor'etta di intervento di tecnico specializzato ad aeromobile? Ma, dico, vogliamo scherzare?
Puoi eliminare a costi risibili una potenziale criticità di progetto (che ammetto pure tu non abbia notato prima) che se tutto va storto può co-generare un grave incidente, e ti ripari dietro una certificazione e il pur dimostrabile rispetto delle norme attualmente vigenti?
"The curve is flattening: we can start lifting restrictions now" = "The parachute has slowed our rate of descent: we can take it off now!"
Chesley Burnett "Sully" Sullenberger

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 6367
Iscritto il: 23 dicembre 2008, 12:08

Re: ATR 72 Bari-Djerba

Messaggio da sigmet » 31 luglio 2009, 22:23

tartan ha scritto:E’ questo che cerco di spiegare. Anche se le norme lo prevedono, il bravo “progettista” va oltre, a meno che non ci sia il vil denaro di mezzo.
Hai ragione Tartan ma il 30 riattaccava da solo,a 1 motore a due motori e senza motore.Con l'AB inserita entrava in orbita e diventava supersonico a SL.Atterrava in 800 mt e faceva i tonneaux in asse,il looping lo faceva a 2G e se lo mettevi in holding andava in hovering.Da FL 300 scendeva in 15 NM e sull'outer marker eri ancora a 400 nodi!

Potessi solo farci un altro giro... :(
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 2 agosto 2009, 0:05

Amici, non fraindendetemi per favore.

Mettiamola così: non sto dicendo che non ci voglia una differenziazione tra i due FQI, sto dicendo che una differenziazione tra i due FQI non era prevista a progetto per questioni di safety.

Sono comunque d'accordo che una differenziazione ci voleva.

Ci vedo almeno due motivi per questo, ma nessuno dei due poteva essere legato alla safety (almeno, prima dell'incidente: è solo adesso che risulta facile criticare, visto che l'incidente c'è stato).

I due motivi sono:

1) configurazione

Se ho capito bene, il FQI ha un Part Number unico, valido sia per il 42 che per il 72. Ma, essendoci la possibilità di installare software diversi (per 42 o per 72), abbiamo che un unico P/N di hardware copre due P/N di software. Questa è una menata, anche grossa, ma non di progetto. In linea di principio, se mettiamo software diversi abbiamo P/N diversi. A meno che, non facciamo un P/N unico, sia di hardware che di software, e il software si configura a seconda se viene montato su un 42 o un 72 (secondo me, l'idea migliore).

2) break-down test

Ogni volta che si cambia un equipaggiamento sul velivolo, bisogna eseguire la cosiddetta procedura di break-down. Tale procedura (lo dico ovviamente per chi non ha familiarità) esegue una verifica per collaudare la funzionalità e quindi la corretta installazione dell'equipaggiamento. Non conosco affatto la break-down procedure del FQI, ma evidentemente, o era stata eseguita male, o non era stata eseguita, o non esiste. In ognuno di questi casi, non c'è colpa per il progetto.

Ci sarebbe un terzo motivo, ma non conosco sufficientemente l'avionica. Avere un FQI che non funziona o sbagliato, il che è lo stesso, viene definita una dormant failure, un'avaria dormiente. All'accensione, il preflight automatico dell'avionica (esiste per il FCS) dovrebbe beccarmi tutte le dormant failure possibili. In questo caso, sembrerebbe che il preflight non sia in grado di beccarmi la dormant failure del FQI. Qui la colpa sarebbe allora di Maintainability, e di nuovo, non di progetto.

Ecco, scusate se insisto, ma volevo solamente ribadire che io allocherei le colpe su aree diverse da quella di progetto.
Giorgio

Avatar utente
Valerio Ricciardi
FL 500
FL 500
Messaggi: 5438
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 2 agosto 2009, 1:18

Alien ha scritto:Mettiamola così: non sto dicendo che non ci voglia una differenziazione tra i due FQI, sto dicendo che una differenziazione tra i due FQI non era prevista a progetto per questioni di safety.
Nel senso: che se tutti avessero operato come loro dovere, come correttamente indicato nei manuali di manutenzione e di volo e come chiaramente ed inequivocamente prescritto dalle procedure, un malfunzionamento dell'indicatore (previsto come possibile, e che sul piano pratico immagino che sia indistinguibile dal montaggio dell'indicatore errato) non avrebbe potuto diventare origine di una catastrofe?
A dire il vero nessuno di noi lo negava, tutto ciò: e la magistratura ha correttamente individuato delle responsabilità penali in tal senso (la responsabilità penale è personale, ed evidentemente un "disegno su carta da lucido" non è una persona).
Ma noi sostenevamo che se fosse stata oggettivata fisicamente l'impossibilità di scambiarli, quantomeno nessun errore di procedura e nessuna responsabilità per omissione di controllo avrebbe potuto comunque far scambiare gli indicatori. E a me che ciò non sia avvenuto sinora dispiace, sorprende, nulla di più; ma la sorpresa diventerebbe grave perplessità se non indignazione se dall'incidente - norma o non norma - non si prendessero immediati provvedimenti per circoscrivere tramite oggettivazione, prima che affinamento di procedura, questo rischio.
Alien ha scritto:...nessuno dei due poteva essere legato alla safety (almeno, prima dell'incidente: è solo adesso che risulta facile criticare, visto che l'incidente c'è stato).
Per la verità io non ho affermato: l'incidente è avvenuto per una facilmente individuabile lacuna di progetto.
Mentre affermavo e affermo: adesso che lo sai, rendi non intercambiabili per errore gli strumenti, nemmeno da un operatore ubriaco e ottenebrato dalla sconfitta cocente della propria squadra calcistica del cuore per via di un arbitraggio scandaloso (e mentre chi dovrebbe controllarlo sta invece scaricando filmini porno da Internet).
Se per fare ciò basta rendere incompatibili (in fabbrica sui nuovi strumenti, negli hangar sostituendoli con pochissima spesa) due connettori, o la posizione dei fori di fissaggio sulle plance delle staffe di supporto, lo si faccia. Adesso.
Alien ha scritto:Se ho capito bene, il FQI ha un Part Number unico, valido sia per il 42 che per il 72. Ma, essendoci la possibilità di installare software diversi (per 42 o per 72), abbiamo che un unico P/N di hardware copre due P/N di software. Questa è una menata, anche grossa, ma non di progetto.
E direi proprio, e il fatto che non sia di progetto dal punto di vista dei defunti del volo Bari-Djerba non cambia poi molto, converrai. E ribadisco: poter fare a buon diritto l'affermazione "è colpa del progetto/del progettista" non è minimamente un mio obiettivo morale, ideologico. Mi interessa il risultato per il futuro (il risultato per il pregresso è sufficientemente insoddisfacente).
Alien ha scritto:A meno che, non facciamo un P/N unico, sia di hardware che di software, e il software si configura a seconda se viene montato su un 42 o un 72 (secondo me, l'idea migliore).
Non mi è chiaro se per "si configura" intendi una condizione in cui lo strumento, montato sull'aeromobile, viene riconosciuto dal software di bordo che "se lo configura lui da solo" facendo diventare così un "FQI per ATR t.t." un "FQI per ATR42" piuttosto che 72; se il metodo risulta affidabile mi potrebbe anche star bene. Perché avrei in qualche modo oggettivato la "taratura" dello strumento (non affidandola alla serietà, efficienza, attenzione e preparazione di chi lo monta/sostituisce: a me QUESTO interessa. Se detta configurazione però dovesse essere affidata alla serietà di un operatore umano potenzialmente fallace, saremmo punto e daccapo.
Alien ha scritto:Ogni volta che si cambia un equipaggiamento sul velivolo, bisogna eseguire la cosiddetta procedura di break-down. Tale procedura (lo dico ovviamente per chi non ha familiarità) esegue una verifica per collaudare la funzionalità e quindi la corretta installazione dell'equipaggiamento. Non conosco affatto la break-down procedure del FQI, ma evidentemente, o era stata eseguita male, o non era stata eseguita, o non esiste. In ognuno di questi casi, non c'è colpa per il progetto.
No che non c'è, ma se gli indicatori fossero stati all'origine non interscambiabili per errore, in qualunque punto della catena delle operazioni - dal magazzino ricambi di Tolosa all'hangar sotto il cocente sole tunisino - eseguita o non eseguita su quel cockpit ci sarebbe stato in ogni caso sicuramente l'indicatore "giusto".
Il che mi pare comunque meglio che poter avere quello giusto, o se tutto va storto quello sbagliato.
Alien ha scritto:Ci sarebbe un terzo motivo, ma non conosco sufficientemente l'avionica. Avere un FQI che non funziona o sbagliato, il che è lo stesso, viene definita una dormant failure, un'avaria dormiente. All'accensione, il preflight automatico dell'avionica (esiste per il FCS) dovrebbe beccarmi tutte le dormant failure possibili. In questo caso, sembrerebbe che il preflight non sia in grado di beccarmi la dormant failure del FQI. Qui la colpa sarebbe allora di Maintainability, e di nuovo, non di progetto.
Può darsi (se tu sei uno che non conosce l'avionica, puoi immaginare io a che livelli sto nei tuoi confronti), il che dimostra che non tutto si risolve al 100% con una banale oggettivazione "fisica" in sede di ingegnerizzazione. Ma aiuta e costa spesso poco.
Un DC10 americano si è perso un motore dall'ala sinistra perché nel corso di un suo smontaggio e riattacco i tecnici della manutenzione della Compagnia aerea non hanno rispettato la chiara e precisa procedura di smontaggio e montaggio, sovrasollecitando un bullone dell'attacco posteriore al pilone, lesionandolo in modo non abbastanza vistoso se non agli ultrasuoni; il bullone ha ceduto poco dopo il decollo, il motore ha ruotato sul supporto anteriore che poi ha strappato cadendo sulla pista, nel distaccarsi ha tranciato i condotti idraulici presso il bordo di attacco dell'ala sinistra il che ha fatto retrarre flap e slat per mancanza di pressione; i piloti non potevano saperlo, e tentando di ridare potenza al motoree "superstite" sull'altra ala hanno aggravato inconsapevolmente la situazione perché l'ala destra aveva ancora flap e slat estesi, l'aereo ha imbardato verso l'ala sinistra meno portante con un angolo di bank dell'ordine di 90°, è venuto giù, son morti tutti.
Non è colpa del progetto: certo, se i condotti idraulici non fossero stati situati fisicamente relativamente vicini al bordo di attacco... magari non si tranciavano, ma questa non è la causa dell'incidente che è piuttosto una microcricca del bullone causata da operatori di terra che non hanno rispettato la procedura.
E per non rispettarla han dovuto essere anche abbastanza ingegnosi, perciò non mi illudo che il 100% dei problemi di una cert0 tipo siano risolvibili d'incanto con l'oggettivazione.
Ma il fatto che per ragioni "metallurgiche" un bullone destinato a sostenere massimo 10 KN di sforzo - ed il suo foro relativo di fissaggio - abbia ovviamente di massima diametro assai diverso da quello di un bullone progettato per 150 KN, costituisce quantomeno una forma di oggettivazione perché il bullone più "debole" nel foro di quello più "forte" ci sciacqua di brutto, e se lo scambi la cosa salta all'occhio anche di un deficiente. E' escluso che il motore di un 747 possa essere agganciato al suo pilone utilizzando i bulloni destinati ad attaccare una terna di sedili dei passeggeri alle loro guide sul pavimento, perché codice o non codice, operatore attento o distratto, fax con la matricola che si legge bene o in cui un 2 sembra un 7 perché la linea è disturbata, segretaria in prova al magazzino ricambi desiderosa di far rapidamente carriera mettendosi in evidenza per la propria precisione e meticolosità... o intenta a farsi asciugare lo smalto sulle unghie mentre con un occhio guarda il monitor e con l'orecchio poggiato sulla spalla ascolta il moroso al telefonino, non posso in ogni caso scambiarli per sbaglio. Sono troppo diversi e incompatibili.
Che è ciò che desidero io. Essere soggetto, per il mio destino, il meno possibile alla qualità dell'elemento umano che con la mia vita interagisce in modo potenzialmente foriero di serie conseguenze. Chiedo troppo alla vita?
"The curve is flattening: we can start lifting restrictions now" = "The parachute has slowed our rate of descent: we can take it off now!"
Chesley Burnett "Sully" Sullenberger

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9893
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da tartan » 2 agosto 2009, 14:48

Valerio Ricciardi ha scritto:
Alien ha scritto:Mettiamola così: non sto dicendo che non ci voglia una differenziazione tra i due FQI, sto dicendo che una differenziazione tra i due FQI non era prevista a progetto per questioni di safety.
Nel senso: che se tutti avessero operato come loro dovere, come correttamente indicato nei manuali di manutenzione e di volo e come chiaramente ed inequivocamente prescritto dalle procedure, un malfunzionamento dell'indicatore (previsto come possibile, e che sul piano pratico immagino che sia indistinguibile dal montaggio dell'indicatore errato) non avrebbe potuto diventare origine di una catastrofe?
A dire il vero nessuno di noi lo negava, tutto ciò: e la magistratura ha correttamente individuato delle responsabilità penali in tal senso (la responsabilità penale è personale, ed evidentemente un "disegno su carta da lucido" non è una persona).
Ma noi sostenevamo che se fosse stata oggettivata fisicamente l'impossibilità di scambiarli, quantomeno nessun errore di procedura e nessuna responsabilità per omissione di controllo avrebbe potuto comunque far scambiare gli indicatori. E a me che ciò non sia avvenuto sinora dispiace, sorprende, nulla di più; ma la sorpresa diventerebbe grave perplessità se non indignazione se dall'incidente - norma o non norma - non si prendessero immediati provvedimenti per circoscrivere tramite oggettivazione, prima che affinamento di procedura, questo rischio.
Alien ha scritto:...nessuno dei due poteva essere legato alla safety (almeno, prima dell'incidente: è solo adesso che risulta facile criticare, visto che l'incidente c'è stato).
Per la verità io non ho affermato: l'incidente è avvenuto per una facilmente individuabile lacuna di progetto.
Mentre affermavo e affermo: adesso che lo sai, rendi non intercambiabili per errore gli strumenti, nemmeno da un operatore ubriaco e ottenebrato dalla sconfitta cocente della propria squadra calcistica del cuore per via di un arbitraggio scandaloso (e mentre chi dovrebbe controllarlo sta invece scaricando filmini porno da Internet).
Se per fare ciò basta rendere incompatibili (in fabbrica sui nuovi strumenti, negli hangar sostituendoli con pochissima spesa) due connettori, o la posizione dei fori di fissaggio sulle plance delle staffe di supporto, lo si faccia. Adesso.
Alien ha scritto:Se ho capito bene, il FQI ha un Part Number unico, valido sia per il 42 che per il 72. Ma, essendoci la possibilità di installare software diversi (per 42 o per 72), abbiamo che un unico P/N di hardware copre due P/N di software. Questa è una menata, anche grossa, ma non di progetto.
E direi proprio, e il fatto che non sia di progetto dal punto di vista dei defunti del volo Bari-Djerba non cambia poi molto, converrai. E ribadisco: poter fare a buon diritto l'affermazione "è colpa del progetto/del progettista" non è minimamente un mio obiettivo morale, ideologico. Mi interessa il risultato per il futuro (il risultato per il pregresso è sufficientemente insoddisfacente).
Alien ha scritto:A meno che, non facciamo un P/N unico, sia di hardware che di software, e il software si configura a seconda se viene montato su un 42 o un 72 (secondo me, l'idea migliore).
Non mi è chiaro se per "si configura" intendi una condizione in cui lo strumento, montato sull'aeromobile, viene riconosciuto dal software di bordo che "se lo configura lui da solo" facendo diventare così un "FQI per ATR t.t." un "FQI per ATR42" piuttosto che 72; se il metodo risulta affidabile mi potrebbe anche star bene. Perché avrei in qualche modo oggettivato la "taratura" dello strumento (non affidandola alla serietà, efficienza, attenzione e preparazione di chi lo monta/sostituisce: a me QUESTO interessa. Se detta configurazione però dovesse essere affidata alla serietà di un operatore umano potenzialmente fallace, saremmo punto e daccapo.
Alien ha scritto:Ogni volta che si cambia un equipaggiamento sul velivolo, bisogna eseguire la cosiddetta procedura di break-down. Tale procedura (lo dico ovviamente per chi non ha familiarità) esegue una verifica per collaudare la funzionalità e quindi la corretta installazione dell'equipaggiamento. Non conosco affatto la break-down procedure del FQI, ma evidentemente, o era stata eseguita male, o non era stata eseguita, o non esiste. In ognuno di questi casi, non c'è colpa per il progetto.
No che non c'è, ma se gli indicatori fossero stati all'origine non interscambiabili per errore, in qualunque punto della catena delle operazioni - dal magazzino ricambi di Tolosa all'hangar sotto il cocente sole tunisino - eseguita o non eseguita su quel cockpit ci sarebbe stato in ogni caso sicuramente l'indicatore "giusto".
Il che mi pare comunque meglio che poter avere quello giusto, o se tutto va storto quello sbagliato.
Alien ha scritto:Ci sarebbe un terzo motivo, ma non conosco sufficientemente l'avionica. Avere un FQI che non funziona o sbagliato, il che è lo stesso, viene definita una dormant failure, un'avaria dormiente. All'accensione, il preflight automatico dell'avionica (esiste per il FCS) dovrebbe beccarmi tutte le dormant failure possibili. In questo caso, sembrerebbe che il preflight non sia in grado di beccarmi la dormant failure del FQI. Qui la colpa sarebbe allora di Maintainability, e di nuovo, non di progetto.
Può darsi (se tu sei uno che non conosce l'avionica, puoi immaginare io a che livelli sto nei tuoi confronti), il che dimostra che non tutto si risolve al 100% con una banale oggettivazione "fisica" in sede di ingegnerizzazione. Ma aiuta e costa spesso poco.
Un DC10 americano si è perso un motore dall'ala sinistra perché nel corso di un suo smontaggio e riattacco i tecnici della manutenzione della Compagnia aerea non hanno rispettato la chiara e precisa procedura di smontaggio e montaggio, sovrasollecitando un bullone dell'attacco posteriore al pilone, lesionandolo in modo non abbastanza vistoso se non agli ultrasuoni; il bullone ha ceduto poco dopo il decollo, il motore ha ruotato sul supporto anteriore che poi ha strappato cadendo sulla pista, nel distaccarsi ha tranciato i condotti idraulici presso il bordo di attacco dell'ala sinistra il che ha fatto retrarre flap e slat per mancanza di pressione; i piloti non potevano saperlo, e tentando di ridare potenza al motoree "superstite" sull'altra ala hanno aggravato inconsapevolmente la situazione perché l'ala destra aveva ancora flap e slat estesi, l'aereo ha imbardato verso l'ala sinistra meno portante con un angolo di bank dell'ordine di 90°, è venuto giù, son morti tutti.
Non è colpa del progetto: certo, se i condotti idraulici non fossero stati situati fisicamente relativamente vicini al bordo di attacco... magari non si tranciavano, ma questa non è la causa dell'incidente che è piuttosto una microcricca del bullone causata da operatori di terra che non hanno rispettato la procedura.
E per non rispettarla han dovuto essere anche abbastanza ingegnosi, perciò non mi illudo che il 100% dei problemi di una cert0 tipo siano risolvibili d'incanto con l'oggettivazione.
Ma il fatto che per ragioni "metallurgiche" un bullone destinato a sostenere massimo 10 KN di sforzo - ed il suo foro relativo di fissaggio - abbia ovviamente di massima diametro assai diverso da quello di un bullone progettato per 150 KN, costituisce quantomeno una forma di oggettivazione perché il bullone più "debole" nel foro di quello più "forte" ci sciacqua di brutto, e se lo scambi la cosa salta all'occhio anche di un deficiente. E' escluso che il motore di un 747 possa essere agganciato al suo pilone utilizzando i bulloni destinati ad attaccare una terna di sedili dei passeggeri alle loro guide sul pavimento, perché codice o non codice, operatore attento o distratto, fax con la matricola che si legge bene o in cui un 2 sembra un 7 perché la linea è disturbata, segretaria in prova al magazzino ricambi desiderosa di far rapidamente carriera mettendosi in evidenza per la propria precisione e meticolosità... o intenta a farsi asciugare lo smalto sulle unghie mentre con un occhio guarda il monitor e con l'orecchio poggiato sulla spalla ascolta il moroso al telefonino, non posso in ogni caso scambiarli per sbaglio. Sono troppo diversi e incompatibili.
Che è ciò che desidero io. Essere soggetto, per il mio destino, il meno possibile alla qualità dell'elemento umano che con la mia vita interagisce in modo potenzialmente foriero di serie conseguenze. Chiedo troppo alla vita?
Quoto.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
JT8D
Administrator
Administrator
Messaggi: 18903
Iscritto il: 2 agosto 2005, 20:38
Località: Limbiate (MB)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da JT8D » 26 aprile 2013, 19:07

EASA certifica la modifica dei Fuel Quantity Indicator dell' ATR72:
Incidente ATR 72 marche TS-LBB: l’EASA dà positiva attuazione ad una raccomandazione di sicurezza emanata dall’ANSV

Nell’ambito della relazione finale d’inchiesta relativa all’incidente occorso il 6 agosto 2005, al largo di Palermo, all’ATR 72 marche di identificazione TS-LBB, l’ANSV aveva, tra le altre, indirizzato all’EASA (European Aviation Safety Agency) la raccomandazione di sicurezza n. ANSV-16/443-05/4/A/07. Quest’ultima, in particolare, chiedeva all’EASA di considerare – nelle more dell’eventuale modifica dei Fuel Quantity Indicator (FQI) sulla flotta ATR 42/72, come richiesto dall’ANSV con la raccomandazione di sicurezza n. ANSV-7/443-05/2/A/05 – quanto segue:
- la possibilità di richiedere agli operatori nella cui flotta siano compresi ATR 42 e ATR 72 di mettere in atto delle procedure manutentive ad hoc per evitare che possano essere montati dei Fuel Quantity Indicator eleggibili per ATR 42 su ATR 72 e viceversa;
- la possibilità di realizzare delle etichette da applicare sugli stessi Fuel Quantity Indicator, tali da evidenziare che trattasi di Fuel Quantity Indicator eleggibili per ATR 42 o ATR 72.
L’EASA, con una nota dell’11 aprile scorso, ha al riguardo comunicato all’ANSV di aver certificato una modifica (ATR Change 6062) del connettore elettrico del FQI e del relativo connettore presente sull’aeromobile, così da eliminare fisicamente la possibilità di installare sugli ATR 72 un FQI diverso rispetto a quello previsto.
La suddetta modifica sarà implementata su tutti gli ATR 72, ad esclusione di quelli modificati come da ATR Change 5948, che prevede l’installazione di un display unit che assolve anche alle funzioni di FQI.
http://www.ansv.it/It/Detail.asp?ID=1695

Paolo
"La corsa di decollo è una metamorfosi, ecco una quantità di metallo che si trasforma in aeroplano per mezzo dell'aria. Ogni corsa di decollo è la nascita di un aeroplano" (Staccando l'ombra da terra - D. Del Giudice)


Avatar utente
Valerio Ricciardi
FL 500
FL 500
Messaggi: 5438
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 26 aprile 2013, 23:15

JT8D ha scritto:EASA certifica la modifica dei Fuel Quantity Indicator dell' ATR72:
Incidente ATR 72 marche TS-LBB: l’EASA dà positiva attuazione ad una raccomandazione di sicurezza emanata dall’ANSV...
...
L’EASA, con una nota dell’11 aprile scorso, ha al riguardo comunicato all’ANSV di aver certificato una modifica (ATR Change 6062) del connettore elettrico del FQI e del relativo connettore presente sull’aeromobile, così da eliminare fisicamente la possibilità di installare sugli ATR 72 un FQI diverso rispetto a quello previsto.
La suddetta modifica sarà implementata su tutti gli ATR 72, ad esclusione di quelli modificati come da ATR Change 5948, che prevede l’installazione di un display unit che assolve anche alle funzioni di FQI.
Paolo
Oggettivazione. Posso dire sommessamente di provare un briciolo di commozione, dopo quanto ci siamo scritti?
Rileggetevi le ultime tre pagine... :oops:
"The curve is flattening: we can start lifting restrictions now" = "The parachute has slowed our rate of descent: we can take it off now!"
Chesley Burnett "Sully" Sullenberger

Avatar utente
a_ndrea
02000 ft
02000 ft
Messaggi: 359
Iscritto il: 25 agosto 2010, 11:04
Località: Roma
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da a_ndrea » 27 aprile 2013, 11:22

A mero titolo informativo e senza intenti polemici, come mai ci vogliono otto anni dall'incidente (sei, se non erro, dall'individuazione del montaggio dell'indicatore sbagliato) per emanare una norma e certificare un mero cambio di connettore?
Non sono un ingegnere, ma non credi ci voglia molto tempo a riprogettare e ricollaudare un cambio di connettore elettrico.
Cosa avviene, in dettaglio, in questi casi (dopo l'accertamento della concausa)?

Rispondi