Qualunque macchina possiede failure potenzialmente catastrofiche. Questo è intrinseco alle funzioni della macchina stessa, e bisogna conviverci. Esempio per l'automobile: "distacco di una ruota", "perdita della funzione frenante", ecc.Daniele77 ha scritto: Se dovessi scegliere quale mezzo prendere per andare a Roma, non ho dubbi che sceglerei l'aereo (tariffa permettendo) ma quello che mi sembra di intuire, almeno per quanto riguarda i post precedenti, è che in una determinata situazione, una macchina scientificamente programmata per volare potrebbe avere delle failures potenzialmente catastrofiche.
Quello che mi colpisce, per l'esattezza, è che a fronte di quanto ho sempre letto e cioè della sistematicità dei controlli e delle procedure di sicurezza sia pre (soprattutto in fase di progettazione in questo caso) che post volo, sia possa creare un contesto di imprevidibilità tecnica tale da mettere ko anche scafatissimi professionisti del volo
All'inizio del progetto di un velivolo si deve preparare la FHA (Functional Hazard Assessment). Questo è un documento che, a livello velivolo, elenca tutti gli hazard, cioè le situazioni di rischio per il volo.
Ad ogni hazard bisogna poi allocare un livello di criticità. Queste categorie di criticità sono quattro: Catastrophic, Hazardous, Major e Minor.
Le norme assegnano un valore massimo accettabile di probabilità ad ogni categoria, rispettivamente 1E-9, 1E-7, 1E-5 e 1E-3 per ora di volo (FH). Ciò significa che, a norma, un hazard catastrofico deve accadere meno di una volta ogni miliardo di ore di volo (1E-9/FH).
La norma ha un suo fondamento. I legislatori hanno fatto la seguente considerazione per il valore 1E-9. Hanno considerato che, storicamente, c'è stato un incidente catastrofico ogni milione di ore di volo (1E-6/FH). Poi hanno considerato che, sempre storicamente, il 10% circa di questi eventi fosse dovuto ai sistemi di bordo. Il numero diventa quindi 1E-7/FH. Poi hanno considerato che su un generico velivolo ci sono circa 100 eventi catastrofici sui quali ripartire il valore di probabilità. Ecco che alla fine il numero diventa quindi 1E-9/FH, e questo numero, basato su dati storici e statistici, non deve allora essere superato per soddisfare il principio che i velivoli futuri devono essere sicuri almeno quanto quelli precedenti.
Scritta questa FHA a livello velivolo, il tutto, cioè gli hazard, viene ripartito e ridefinito per i vari sistemi (Propulsion, FCS, Avionica, ecc).
A questo punto ogni gruppo di progetto prende la FHA del sistema e comincia dagli hazard che sono catastrofici. Un paio di esempi per il FCS sono "perdita totale controllo in beccheggio" e "perdita rudder associata a spinta asimmetrica motori".
Partendo quindi dal requisito numerico, i progettisti definiscono tutti i guasti che concorrono ad un certo hazard catastrofico e dimostrano che il totale resta sotto il valore di 1E-9.
In aggiunta, e questa è una norma essenziale, non deve esistere nessuna failure singola che sia catastrofica.
Il problema è che tutto questo ragionamento (obbligatorio per la certificazione) considera sempre le failure singole come indipendenti una dall'altra. Ma esistono i cosiddetti "common mode failure", cioè quei modi di guasto singoli che però si presentano simultaneamente nella ridondanza del sistema.
E un esempio potrebbe essere che il Pentium, con quei particolari input (speciali finchè vuoi, ma possibili), tutti i Pentium di tutti i computer diano i numeri allo stesso modo ed io perdo la ridondanza con una failure sola, e non soddisfo più la safety.
Da tutto ciò si puo' capire come questi modi comuni di guasto siano la maledizione dei progettisti, e debbano essere analizzati ed evitati al massimo. Per esempio, usando processori diversi che fanno le stesse funzioni. Cioè hardware e software diversi per le stesse funzioni ridondate.
Comunque, qui il fatto di perdere il dato di velocità su tutti e due i canali simultaneamente puzza un poco di common mode. Il Qantas ha avuto problemi dall'ADIRU 1 (ormai è ufficiale). E mi sembra di capire che non si sia ancora giunti a comprendere il modo di guasto. Se si trattava di una failure indipendente, casuale, vabbè. Ma se si trattava di un potenziale common mode, allora potrebbe capitare su due ADIRU su tre simultaneamente, e in questo caso i margini di sicurezza sarebbero piuttosto ridotti. Ancora peggio tre su tre.
E qui gli "scafatissimi professionisti" potrebero anche non riuscire a capire la situazione per farci fronte. In condizioni di emergenza, avendo perso completamente l'informazione di velocità, i piloti hanno una procedura di emergenza che dice di affidarsi ad attitude e manetta. Settando opportunamente la manetta motore, e verificando l'attitude (che arriva dall'inerziale, non dai dati aria persi), dovrebbero riuscire a tenere il velivolo nei margini di velocità. Ma temo che non riescano ad atterrare.
Però, se guardo la FHA dell'avionica (ne ho una, ma non dell'A330) leggo che la "loss of airspeed data on both PFDs" risulta definita Major, mentre la "complete loss of airspeed data on both PFDs and stand-by instruments" risulta Catastrophic.
