Aereo Air France scomparso dai radar - Thread tecnico

[vihai]

No, un voter non può diventare un single point of failure perchè è una routine di software.

Il voter è necessariamente un device separato, come è implementato non è rilevante, un baco o un guasto hardware sono considerati alla stessa stregua.

Invece è meglio avere una ridondanza quadruplex invece che triplex se devi per forza di cose stare nel requisito di sicurezza. D'altronde, ripeto, il FCS (dati aria inclusi!) dell'EFA come del M346, ad esempio, è quadruplex.

Ci possono essere altre necessità che hanno portato ad utilizzare un sistema 4-modular ma di certo non l'aumento della tolerance in caso di disagreement.

L'esempio riportato non è applicabile in quanto si tratta di seconda failure, e prima di arrivare ad una situazione di seconda failure abbiamo avuto la prima failure, con una situazione 3 contro 1.

Nel caso in esame c'è stata una triple-failure e quindi non vedo come l'aggiunta di un'altra sonda dello stesso tipo possa migliorare le cose, innanzitutto perché sarebbe stata soggetta alla stessa failure, in secondo luogo perché se non hai informazioni sulla qualità della misura, la tua misura aggiuntiva anche se buona perché dovrebbe essere considerata migliore delle altre che ipotizziamo fallaci?

In seguito, al minimo dopo poche decine di millisecondi, in qualunque momento, dopo la seconda avaria riconfigurare e mostrare al pilota il consolidato dei due rimasti.

Il fatto è che dai per scontato che il computer possa riconoscere una failure e ciò non è sempre detto. Il voter esiste proprio perché l'affidabilità di una misura viene valutata a maggioranza.

Se io rimango con due sensori e uno dei due drifta verso una lettura erronea non posso sapere quale delle due è buona e quindi averne una o due non mi porta a incrementale la tolerance.

Ciao,

[Alien]

Ma nella modalità degradata in cui era (alternate 2, giusto ?) l'autotrim è già inattivo, giusto ?

Non credo, perchè dovrebbe? Se non lo ha disingaggiato il pilota...
Quando le leggi di controllo degradano, significa che si perdono sempre più protezioni, e l'autotrim non è una protezione. A meno che uno non vada in Direct Law, dove il pilota ha (e deve avere) un link diretto con le superfici.

Secondo me, l'autotrim aveva portato a fondo corsa lo stabilizzatore, trimmando l'aeroplano a seguito della continua richiesta a cabrare del pilota sullo stick.

Ho con me uno schema di autotrim longitudinale. Non è quello Airbus, però credo sia molto simile. Anche perchè l'aeroplano in questione (mi dicono) segue la filosofia Airbus. E poi, credo che il principio sia generale.

Il Demand dello stick viene considerato come una richiesta di fattore di carico incrementale (dnz). Attraverso una routine di Pitch Control (dove il segnale tiene conto di altri parametri che ora non interessano), il comando finisce a equilibratore e autotrim. Prima di questo, però, c'è un feedback negativo di fattore di carico (nz). Tale feedback mi azzera il comando (dnz-nz) quando l'aeroplano raggiunge il fattore di carico richiesto (nel Direct Link non è attivo). Nella routine autotrim, il comando genera sia una velocità di azionamento stabilizzatore, sia una richiesta di posizione equilibratore aggiuntiva (aggiuntiva rispetto al comando pilota, che non arriva dall' autotrim). Questa richiesta aggiuntiva di equilibratore serve a coordinare la posizione equilibratore, in modo continuo, con lo stabilizzatore.
Quando il nz voluto viene raggiunto, si azzera il movimento di stabilizzatore (cioè si ferma, velocità nulla), e l'aeroplano risulta trimmato. A questo punto, anzi un po' prima, il pilota deve rilasciare lo stick, altrimenti il FCS interpreta la richiesta come un trimmaggio incompleto. E, normalmente, il pilota rilascia lo stick proprio perchè l'aeroplano ha raggiunto l'assetto che lui voleva, senza bisogno di trim manuale.

Il feedback al pilota viene dato dall'indicatore di posizione stabilizzatore, con cui il pilota stesso vede quanto trim ha ancora a disposizione in tutte e due le direzioni, a cabrare o picchiare. E' essenziale (requisito avionico) che il pilota in ogni istante veda e sappia l'ammontare di trim longitudinale che c'è nel sistema FCS. Infatti, penso che il pilota AF avesse visto che lo stabilizzatore era a fondo corsa, e quindi avesse ben capito che non aveva più trim a cabrare. Proprio perchè (qualunque pilota lo puo' confermare) è essenziale per il pilota saperlo. Se, nonostante ciò, ha deciso di mantenere lo stick a cabrare, ci dovevano essere dei buoni motivi. Probabilmente questi buoni motivi erano dovuti a una qualche errata indicazione e/o valutazione.

[airbusfamilydriver]

Ma nella modalità degradata in cui era (alternate 2, giusto ?) l'autotrim è già inattivo, giusto ?

Non credo, perchè dovrebbe? Se non lo ha disingaggiato il pilota...
Quando le leggi di controllo degradano, significa che si perdono sempre più protezioni, e l'autotrim non è una protezione. A meno che uno non vada in Direct Law, dove il pilota ha (e deve avere) un link diretto con le superfici.

Secondo me, l'autotrim aveva portato a fondo corsa lo stabilizzatore, trimmando l'aeroplano a seguito della continua richiesta a cabrare del pilota sullo stick.

il pilota non può scegliere di disingaggiare l'autotrim,può però intervenire sul controllo manuale del trim superando il controllo automatico,ma nel momento in cui cessa di dare input al trim questo torna ad essere controllato in manuale

il trim automatico non è più disponibile in modalità direct law,mentre è presente in normal ed alternate

Anche secondo me è andata come dice alien riguardo il trimmaggio dello stabilizzatore

[B797]

Buona sera,

sto seguendo questo thread con interesse, e vedo che gli interventi sono tutti molto approfonditi. E' evidente che sapete ciò dite. Volevo solo un vostro parere. Mi ricordo che uno dei msg ACARS di cui si è parlato dopo qualche giorno, facesse riferimento anche ad una depressurizzazione rapida della cabina. Può questa depressurizzazione aver non dico fatto perdere i sensi all'equipaggio, ma aver rallentato i riflessi a tal punto da far perdere gran parte della consapevolezza della situazione?

[Valerio Ricciardi]

Mi ricordo che uno dei msg ACARS di cui si è parlato dopo qualche giorno, facesse riferimento anche ad una depressurizzazione rapida della cabina. Può questa depressurizzazione aver non dico fatto perdere i sensi all'equipaggio, ma aver rallentato i riflessi a tal punto da far perdere gran parte della consapevolezza della situazione?

E' un dubbio che era venuto anche a me, ma mi è venuto anche da pensare che in un adiscesa così tanto repentina mi riesce difficile immaginare potesse crescere il rischio di depressurizzazione, dal momento che il differenziale fra interna ed esterna dele due poteva solo diminuire.
Anzi: a partire da poco più di 2000 m poteva essre la pressione interna a non riuscire più a "seguire" quella esterna, e dunque delle due all'interno aversi una "quota" superiore a quella esterna.

[Valerio Ricciardi]

L'esempio riportato non è applicabile in quanto si tratta di seconda failure, e prima di arrivare ad una situazione di seconda failure abbiamo avuto la prima failure, con una situazione 3 contro 1.

Nel caso in esame c'è stata una triple-failure e quindi non vedo come l'aggiunta di un'altra sonda dello stesso tipo possa migliorare le cose, innanzitutto perché sarebbe stata soggetta alla stessa failure, in secondo luogo perché se non hai informazioni sulla qualità della misura, la tua misura aggiuntiva anche se buona perché dovrebbe essere considerata migliore delle altre che ipotizziamo fallaci?

E questo mi sembra un punto essenziale, che va al di là delle già consolidate critiche allo specifico componente della specifica marca.
E' un fatto di logica: se le sonde sono dello stesso tipo, anche se invece della marca X che in certi casi ha un drenaggio dell'acqua non ottimale adotto massivamente la marca Y che drena meglio e mi dà più fiducia, posso sempre ipotizzare che in determinate condizioni anche la marca Y mi dia failure.

Io debbo avere un sistema che mi lascia un dato utilizzabile più o meno sempre in emergenza, perché proveniente da un sensoore che lavora in modo sufficientemente diverso (anche se un pitot è un pitot).

Nella mercedes 190E, e le successive classi C, il freno di stazionamento e soccorso è meccanico - come al solito, comandato da cavi - ma non collegato alla pinza dei freni posteriori. Adotta due freni a tamburo dissimulati nella parte centrale interna del freno a disco. Così non solo funziona se c'è caduta di pressione nel circuito idraulico, ma anche se oltre a questo ci son problemi proprio alla pinza freno del retrotreno.
Frena meno di un freno a disco? Certo che si, ma intanto frena, è del tutto indipendente dal normale circuito frenante (anche il comando a seconda dei modelli è a leva o con un pedale a parte, non connesso al solito pedale freno il ci fulcro può sempre in teoria rompersi) e con un po' di pazienza e mantenendo maggiori distanze di sicurezza pian piano ci torno a casa.

Resta sempre il fatto che con l'orizzonte artificiale, l'indicazione della potenza erogata e un assetto col giusto angolo l'aereo (consultare tabella stampata nel manuale, grazie) deve poter volare anche senza dati velocità

[ih9]

Mi ricordo che uno dei msg ACARS di cui si è parlato dopo qualche giorno, facesse riferimento anche ad una depressurizzazione rapida della cabina. Può questa depressurizzazione aver non dico fatto perdere i sensi all'equipaggio, ma aver rallentato i riflessi a tal punto da far perdere gran parte della consapevolezza della situazione?

E' un dubbio che era venuto anche a me, ma mi è venuto anche da pensare che in un adiscesa così tanto repentina mi riesce difficile immaginare potesse crescere il rischio di depressurizzazione, dal momento che il differenziale fra interna ed esterna dele due poteva solo diminuire.
Anzi: a partire da poco più di 2000 m poteva essre la pressione interna a non riuscire più a "seguire" quella esterna, e dunque delle due all'interno aversi una "quota" superiore a quella esterna.

lessi nel 2009 e Wiki me lo conferma, che anche una discesa troppo rapida possa generare questo messaggio nell ECAM con sempre la riserva causata da una situazione degenerata della strumentazione (e la discesa lo era rapida 10.912 ft)

"02:14 WARNING ADVISORY Questo messaggio può indicare una discesa troppo rapida o una depressurizzazione dell'aereo, anche se non si può escludere che il messaggio sia falsato dagli errori della strumentazione"

[Alien]

No, un voter non può diventare un single point of failure perchè è una routine di software.

Il voter è necessariamente un device separato, come è implementato non è rilevante, un baco o un guasto hardware sono considerati alla stessa stregua.

No, il baco nel SW non ci deve essere, perchè ha passato la qualifica con debugging. Questo SW dovrebbe infatti, se i dati aria (come sostengo, e FAS mi dava ragione) fossero un sottosistema del FCS, safety critical. Quindi, SW di classe A. Quindi, soggetto a dura qualifica e test. E inserito negli FCC, non come device separati.
Non è contemplato che il SW del voter/monitor fallisca (se inserito negli FCC, come dicevo).

Invece è meglio avere una ridondanza quadruplex invece che triplex se devi per forza di cose stare nel requisito di sicurezza. D'altronde, ripeto, il FCS (dati aria inclusi!) dell'EFA come del M346, ad esempio, è quadruplex.

Ci possono essere altre necessità che hanno portato ad utilizzare un sistema 4-modular ma di certo non l'aumento della tolerance in caso di disagreement.

Sta di fatto che con quattro sensori Pt/Ps invece che tre, dove tutti e quattro inviano i segnali a tutti gli FCC, ho aumentato l'availability del sistema. Quindi, ho aumentato la safety, perche' significa che ho una probabilità più bassa di perdere l'informazione Pt e Ps.
In aggiunta, ma qui non ho ancora capito le opinioni dei piloti in generale, la funzione di voting e monitoring verrebbe eseguita dagli FCC e non dai piloti come adesso.

L'esempio riportato non è applicabile in quanto si tratta di seconda failure, e prima di arrivare ad una situazione di seconda failure abbiamo avuto la prima failure, con una situazione 3 contro 1.

Nel caso in esame c'è stata una triple-failure e quindi non vedo come l'aggiunta di un'altra sonda dello stesso tipo possa migliorare le cose, innanzitutto perché sarebbe stata soggetta alla stessa failure, in secondo luogo perché se non hai informazioni sulla qualità della misura, la tua misura aggiuntiva anche se buona perché dovrebbe essere considerata migliore delle altre che ipotizziamo fallaci?

Certamente, ma avevo anche detto che non ci si dovrebbe arrivare alla tripla failure (sull'EFA non è contemplata).
E non ci si dovrebbe arrivare in quanto l'affidabilità del sensore singolo (il Thales in questo caso) dovrebbe essere migliorata. Questi modelli hanno avuto troppi problemi, ma che sappia io solamente dovuti al cattivo drenaggio. E sembrano risolti, ma bisogna sostituirli tutti.
Sotto l'ipotesi che l'affidabilità dei sensori sia adeguata, allora ce ne vorrebbero comunque quattro se il requisito restasse quello della doppia failure. Con tre soli, il requisito della doppia failure non può essere soddisfatto adeguatamente, in quanto alla seconda failure, quando ne hai solo due buoni, come fai a decidere (sia computer che pilota)?

In seguito, al minimo dopo poche decine di millisecondi, in qualunque momento, dopo la seconda avaria riconfigurare e mostrare al pilota il consolidato dei due rimasti.

Il fatto è che dai per scontato che il computer possa riconoscere una failure e ciò non è sempre detto. Il voter esiste proprio perché l'affidabilità di una misura viene valutata a maggioranza.

Se io rimango con due sensori e uno dei due drifta verso una lettura erronea non posso sapere quale delle due è buona e quindi averne una o due non mi porta a incrementale la tolerance.

Ciao,

Certamente, ma io devo dare per scontato che i computer (tutti i computer, non solo uno: ecco la risposta al tuo commento sulla maggioranza) riconoscano la failure. Così come è adesso, si dà per scontato che sia il pilota a riconoscere la failure, e questo secondo me è più problematico. Delle due, l'una: o i computer, o il pilota; qualcuno deve riconoscere la failure. E i computer sono semplicemente più veloci nelle decisioni. Quindi, meno peggio, se non meglio.

Ciao a te.

[vihai]

No, il baco nel SW non ci deve essere, perchè ha passato la qualifica con debugging.

Da questo ne deduco che non sei un informatico altrimenti ti renderesti conto della portata di quello che dici

Purtroppo non è solo difficile scrivere software senza bachi ma nella stragrande maggioranza dei casi è dimostrato matematicamente che non è possibile dimostrare la correttezza di un algoritmo.

I casi in cui è possibile dimostrare la correttezza è quando lo stato della macchina che implementa l'algoritmo è di dimensione finita e abbastanza piccolo da poter esaustivamente verificare tutti gli stati.

Ma anche in questo caso, l'algoritmo può essere corretto rispetto alle specifiche, ma possono essere errate le specifiche!

Non è contemplato che il SW del voter/monitor fallisca (se inserito negli FCC, come dicevo).

Spero che il "non è contemplato" in realtà sia un "ha p(failure) < x" con x molto piccolo perché mi stupirebbe si facessero assunzioni così assolute

Sta di fatto che con quattro sensori Pt/Ps invece che tre, dove tutti e quattro inviano i segnali a tutti gli FCC, ho aumentato l'availability del sistema.

Sì e no. Se leggi il mio ragionamento il miglioramento dell'availability ce l'hai solo quando sei in grado di rilevare una failure sulla misura cosa che non sempre avviene.

Quindi, ho aumentato la safety, perche' significa che ho una probabilità più bassa di perdere l'informazione Pt e Ps.
In aggiunta, ma qui non ho ancora capito le opinioni dei piloti in generale, la funzione di voting e monitoring verrebbe eseguita dagli FCC e non dai piloti come adesso.

Adesso c'è già una funzione di voting (anche se è distribuita nei primary computer), in più viene affidato al pilota l'operazione di disattivare esplicitamente l'ADIRU che determina essere guasto.

Con tre soli, il requisito della doppia failure non può essere soddisfatto adeguatamente, in quanto alla seconda failure, quando ne hai solo due buoni, come fai a decidere (sia computer che pilota)?

Certamente, ma io devo dare per scontato che i computer (tutti i computer, non solo uno: ecco la risposta al tuo commento sulla maggioranza) riconoscano la failure.

Eh... non sempre è possibile, perché un trasduttore ha una parte "meccanica" che può inficiare la misura senza che sia possibile rilevare il problema, ma anche la parte di trasduttore puro può avere problemi simili.

Per quello parlavo di drift. Se la lettura di pressione va da 250 kt a zero in un secondo è ragionevole dedurre che c'è stato un guasto, se invece va in una decina di secondi da 250 a 200 allora non hai modo di capire se è una misura buona o meno, se non confrontandola con le altre misure (e per questo hai bisogno della maggioranza).

Ciao,

[sigmet]

Le domande che ci dobbiamo porre sono altre.A me non importa se vota lui o voto io. A me serve solo un indicazione di velocita' valida.Punto.
E se un solo pitot,o un solo ADC, o un solo IRS o qualche altra menata puo' portare l'aereo in assetto critico prima che io possa intervenire posso metterne anche otto ma non serve a nulla.
Ho ancora molti dubbi.Se l'A/P mi lascia l'aereo con 20° di AOA a quel punto potrebbe essere tardi.Mi chiedo:quali sono i dati di collaudo? E' stato fatto uno stallo a 38.000 ft ? E come e' stato fatto? Con quale angolo di attacco iniziale ? E con quale decremento di velocita? (il 330 ha perso "virtualmente" piu' di 100 Kts in pochi secondi).L' AOA e' riferito ad una groundspeed ma quale era quello reale?



Tutti parlano dell'aereo stallato pensando allo stallo dell'ala ma nessuno pensa che anche il piano di coda stalla.



E se lo stabilizzatore viene picchiato l'AOA del piano di coda aumenta ulteriormente:A che incidenza stalla il piano di coda?




E come stalla un piano di coda con un camber come quello del 330?






La tecnica di rimesa da un upset "significant nose high" con motori subalari e' antiistintiva poiche' bisogna ridurre la spinta per non incorrere in fenomeni di ulteriore pitch up.(vale anche per Boeing).Anche un pilota di PPLviene insegnato che NON deve trimare l'aereo durante uno stallo!

[Penso che Sigmet .. e pure io cerco di sapere se ci sono similitudini.... si riferisca a questo anche se non è un Airbus. Se ho ben capito (in questo incidente), il trim non era "bloccato", ma se alla fine non si "ricordavano" di ritrimmare manualmente non sarebbero usciti dagli stalli

Si e non solo quello ma anche Perpignan (stessa condizione di trim) a AMS (THY).
Un upset a muso alto a bassa quota in quelle condizioni e' recuperabile?

Questo link e' molto interessante!
http://www.rvs.uni-bielefeld.de/publica ... IT_FBW.pdf

[sigmet]

EDIT:
causa un "montaggio" frettoloso, nel post precedente sono presenti alcune imprecisioni di cui mi scuso e che ora non posso piu' modificare.

[maurom]

Il possibile comportamento del piano orizzontale di coda è stato,seppure brevemente, precedentemente discusso (v. due pagine avanti). In particolare ci si è posta la seguente domanda: nel caso i piloti, almeno nella seconda parte della discesa, avessero tentato di abbassare il muso dell'aeroplano, l'equilibratore, in quella condizione (angolo di rampa di ca.46°, angolo di attacco calcolato intorno ai 65° variabile in funzione di probabili raffiche di vento) sarebbe stato ancora efficace?
Io lo ritengo poco probabile considerando che il piano di coda è investito da un flusso d'aria praticamente sub-verticale al piano stesso, ma naturalmente, il quesito rimane aperto.

[Valerio Ricciardi]

Il possibile comportamento del piano orizzontale di coda è stato,seppure brevemente, precedentemente discusso (v. due pagine avanti). In particolare ci si è posta la seguente domanda: nel caso i piloti, almeno nella seconda parte della discesa, avessero tentato di abbassare il muso dell'aeroplano, l'equilibratore, in quella condizione (angolo di rampa di ca.46°, angolo di attacco calcolato intorno ai 65° variabile in funzione di probabili raffiche di vento) sarebbe stato ancora efficace?
Io lo ritengo poco probabile considerando che il piano di coda è investito da un flusso d'aria praticamente sub-verticale al piano stesso, ma naturalmente, il quesito rimane aperto.

Forse da solo no, ma posso immaginare che ridurre deliberatamente la potenza erogata dai motori avrebbe spostato l'equilibrio dinamico dell'insieme inducendo una rotazione attorno all'asse di beccheggio magari non vistosa, ma forse sufficiente a rimettere in condizione di non stallo i piani di coda.

Ammesso che ci fosse una possibilità, dare impulsi a cabrare colle manette al massimo è comunque fuori da ogni logica, è come spingere con più forza i freni appena sentiamo (senza ABS) che abbiamo bloccato le ruote sul bagnato.
Il problema dell'HF resta prioritario, Thales o non Thales anche se quel modello di sonda non ha perso l'occasione di dar modesta prova di sé.

[Valerio Ricciardi]

Personalmente, in un caso di deep stall del genere (o in un deep stall per ombra aerodinamica sull'equilibratore, come negli aerei con impennaggi a T) una soluzione da proporre l'avrei: dissimulare all'interno della coda uno o più razzi JATO.

Potenza e durata della spinta (raggiungeva i 60" e 1800kg nel lontano 1952 per i modelli che assistevano al decollo gli arcaici B45) ad occhio dovrebbero essere sufficienti per uscire da una situazione altrimenti (se sei riuscito pervicacemente a mettertici) irrecuperabile.

Certo, ciò diminuisce il carico pagante, ma di quanto, in rapporto ad un MTOW di non meno di 230 tnnellate?
Gli JATO esitono di ogni taglia e tarati per differenti durate di accensione... se accettiamo entusiasti l'installazione di un dispositivo pirotecnico come l'airbag in una vettura - destinato se tutto va per il meglio a NON entrare mai in funzione) e montiamo seggiolini ejettabili di peso rispetto al MTOW non irrisorio in tutti i caccia, anche i piccoli MB339... perché no? Troppo poco tecnologico per essere preso in considerazione?

[Valerio Ricciardi]

sulla complacency nei confronti di mezzi evoluti, avanzati e tecnologicamente avanzati bisogna lavorare molto a livello di human factor

Sono integralmente d'accordo, e trovo inquetante - ammettendo che sia così - che non lo sia fatto adeguatamente prima

io lo dico sempre airbus è una macchina ottima in condizioni di volo normali, ma complessa in situazioni abnormal o emergency,

E questo è un problema - tu lo affermi, che lo voli, non astratti detrattori della filosofia FBW - a mio avviso non marginale, ma può essere affrontato e contrastato con adeguate implementazioni e modifiche sia di SW che di HW, senza spero ridurre tutto ad affinamenti di procedure, che risentono troppo dell'HF

...perchè il pilota non lo vedi nella routine di tutti i giorni ma quando le cose si complicano, e l'aereo è degradato...

Anche l'aereo dovrebbe fare, a te pilota, la cortesia di non degradarsi troppo proprio quando le cose si complicano...
Quando voli in condizioni ottimali, temperatura esterna 20°C, centraggio esemplare, poco carico, vento sotto i due nodi, visibilità di dieci miglia, poco traffico, controllore di volo di ottimo umore e nemmeno un passerotto sperduto all'orizzonte che potrebbe finirmi in una ventola presumo non sia troppo stressante nemmeno gestire un DC8/43...
Basta (forse) relativamente poco, che ce vò?

[maurom]

Personalmente, in un caso di deep stall del genere (o in un deep stall per ombra aerodinamica sull'equilibratore, come negli aerei con impennaggi a T) una soluzione da proporre l'avrei: dissimulare all'interno della coda uno o più razzi JATO.

Potenza e durata della spinta (raggiungeva i 60" e 1800kg nel lontano 1952 per i modelli che assistevano al decollo gli arcaici B45) ad occhio dovrebbero essere sufficienti per uscire da una situazione altrimenti (se sei riuscito pervicacemente a mettertici) irrecuperabile.

Certo, ciò diminuisce il carico pagante, ma di quanto, in rapporto ad un MTOW di non meno di 230 tnnellate?
Gli JATO esitono di ogni taglia e tarati per differenti durate di accensione... se accettiamo entusiasti l'installazione di un dispositivo pirotecnico come l'airbag in una vettura - destinato se tutto va per il meglio a NON entrare mai in funzione) e montiamo seggiolini ejettabili di peso rispetto al MTOW non irrisorio in tutti i caccia, anche i piccoli MB339... perché no? Troppo poco tecnologico per essere preso in considerazione?

Sono persuaso che l'idea meriti senz'altro d'essere presa in considerazione. Tanto più che l'applicazione sarebbe favorita dal rapporto momento/spinta, ovvero la distanza tra il punto di applicazione della spinta e l'asse di beccheggio consentirebbe la creazione del necessario momento reddrizzante con una potenza del razzo relativamente limitata. Certo, il problema economico si pone, ma dal punto di vista tecnico-aerodinamico potrebbe essere una valida soluzione.

[FAS]

Personalmente, in un caso di deep stall del genere (o in un deep stall per ombra aerodinamica sull'equilibratore, come negli aerei con impennaggi a T) una soluzione da proporre l'avrei: dissimulare all'interno della coda uno o più razzi JATO.

Potenza e durata della spinta (raggiungeva i 60" e 1800kg nel lontano 1952 per i modelli che assistevano al decollo gli arcaici B45) ad occhio dovrebbero essere sufficienti per uscire da una situazione altrimenti (se sei riuscito pervicacemente a mettertici) irrecuperabile.

Certo, ciò diminuisce il carico pagante, ma di quanto, in rapporto ad un MTOW di non meno di 230 tnnellate?
Gli JATO esitono di ogni taglia e tarati per differenti durate di accensione... se accettiamo entusiasti l'installazione di un dispositivo pirotecnico come l'airbag in una vettura - destinato se tutto va per il meglio a NON entrare mai in funzione) e montiamo seggiolini ejettabili di peso rispetto al MTOW non irrisorio in tutti i caccia, anche i piccoli MB339... perché no? Troppo poco tecnologico per essere preso in considerazione?

Sono persuaso che l'idea meriti senz'altro d'essere presa in considerazione. Tanto più che l'applicazione sarebbe favorita dal rapporto momento/spinta, ovvero la distanza tra il punto di applicazione della spinta e l'asse di beccheggio consentirebbe la creazione del necessario momento reddrizzante con una potenza del razzo relativamente limitata. Certo, il problema economico si pone, ma dal punto di vista tecnico-aerodinamico potrebbe essere una valida soluzione.

la walt disney potrebbe essere interessata alla certificazione del sistema, o addirittura la warner bros...insomma jet mcquack o willy il coyote saranno disposti ad aiutarvi nei test di volo.....

[FAS]

e chi lo dice?

È nei primi capitoli di qualunque testo sui sitemi fault tolerance.

Se aggiungi un sensore ad un sistema n-modular redundant (con n dispari) guadagni capacità di fault detection ma non fault tolerance se non aggiungendo complessità al voter cosa che vuoi evitare perché non diventi lui stesso un single point of failure.

Esempio: se due sensori segnano 200 e due segnano 300 qual è la tua velocità?
Hai guadagnato FT rispetto al caso con tre sensori?

non sono le votazione della giunta comunale

...

Alien è stato già abbastanza esaustivo sulla questione se non risultasse chiaro possiamo aprire una discussione dedicata.
Anzi vorrei cogliere l'occasione per ringraziare Alien per i suoi interventi sempre ricchi e precisi nei contenuti.
Sono onorato e compiaciuto di poter leggere i suoi interventi su questo forum.

[FAS]

a proposito di SW e HW degli FCC
sugli AIB long range si hanno
3 FCPC (Flight control primary computer)
2 FCSC (Flight control secondary computer)
Ognuno, singolo equipaggiamento /box /unità è costituito da elementi di controllo e di monitoraggio con SW differenti....quindi 5 compilazioni differenti...
Inoltre sia gli FCC primari che i secondari hanno non solo differenti HW, ma si ripete anche la differenza nel SW, proprio per ridurre il problema di eventuali errori umani di compilazione.


Confermo che sui militari viene comunque effettuato il debugging, ma gli investimenti economici sono molto piu ampi rispetto al civile....

come da SPEC in REF MIL: the flight control computer SW shall be risk class 1 (safety critical)

[Alien]

Purtroppo non è solo difficile scrivere software senza bachi ma nella stragrande maggioranza dei casi è dimostrato matematicamente che non è possibile dimostrare la correttezza di un algoritmo.

In questo caso non si tratta di baco nel SW (Implementation Error), ma di Design Error.
I primi vengono detettati nella parte bassa” della V di cui parlava FAS (testing a livello di moduli di SW, run time analysis, ecc). I secondi nella parte “alta” della V (testing a livello di integrazione).
Certo, non esistono algoritmi perfetti, però si deve dimostrare che il sistema completo è integrato correttamente, e funziona come deve anche nel caso di failure detection (che è ciò di cui stiamo parlando). Sono d’accordo comunque che non puoi verificare tutti gli stati del SW.

Spero che il "non è contemplato" in realtà sia un "ha p(failure) < x" con x molto piccolo perché mi stupirebbe si facessero assunzioni così assolute

No, i fornitori dei computer affermano categoricamente che il SW non va in avaria. Come immaginavi tu, non sono un informatico (sono un ingegnere aeronautico specializzato in FCS), e quello che preoccupa di più sono i “common mode failure” , sia di SW che di HW.
Resta però in piedi la mia idea di integrare i sensori Pt/Ps nel FCS, con HW e SW dissimile per evitare i common mode failure.

Eh... non sempre è possibile, perché un trasduttore ha una parte "meccanica" che può inficiare la misura senza che sia possibile rilevare il problema, ma anche la parte di trasduttore puro può avere problemi simili.

Se la misura non è inficiata, allora abbiamo una specie di failure dormiente, che al momento non ci dà fastidio. E’ da prevedere pure quella, ma nel momento in cui la misura è inficiata, allora i voter/monitor devono accorgersene. Il tutto è basato sul fatto che abbiamo tre misure buone contro una cattiva (o 2 contro 1).

Per quello parlavo di drift. Se la lettura di pressione va da 250 kt a zero in un secondo è ragionevole dedurre che c'è stato un guasto, se invece va in una decina di secondi da 250 a 200 allora non hai modo di capire se è una misura buona o meno, se non confrontandola con le altre misure (e per questo hai bisogno della maggioranza).

I voter/monitor che conosco io (quelli implementati nel FCS) se ne accorgono in tutti e due i casi. Unica differenza è il tempo che ci mettono. Con un drift lento, ci metteranno un po’ più di tempo, ma la baracca funziona.
Ciao,

Le domande che ci dobbiamo porre sono altre.A me non importa se vota lui o voto io. A me serve solo un indicazione di velocita' valida.Punto.

Comprensibilissimo.
Allora deve votare lui.

E se un solo pitot,o un solo ADC, o un solo IRS o qualche altra menata puo' portare l'aereo in assetto critico prima che io possa intervenire posso metterne anche otto ma non serve a nulla.

Anche questo è comprensibilissimo.
Ma non capisco come si possa ipotizzare che l’assetto critico del 330 AF sia stato causato dalla perdita dei dati aria.
A meno che i dati aria indicassero (prima di ADR DISAGREE) una velocità errata ma senza alcun guasto rilevato (common mode failure di cui parlavo prima). Immagino che un modo Speed Hold che utilizzi una velocità fortemente sovrastimata rispetto al vero, mi piazzi un aeroplano ad un AoA troppo elevato.

Ho ancora molti dubbi.Se l'A/P mi lascia l'aereo con 20° di AOA a quel punto potrebbe essere tardi.

Idem come sopra.
Un autopilota che lascia l’aereo a 20AoA è un autopilota che ha utilizzato dati aria errati. Non vedo altre ipotesi.

E se lo stabilizzatore viene picchiato l'AOA del piano di coda aumenta ulteriormente:A che incidenza stalla il piano di coda?

Mi aspetto qualcosa del genere: con angoli di incidenza normali (piccoli, sotto lo stallo) sullo stabilizzatore, il momento picchiante che serve è dato quasi completamente dalla portanza sullo stabilizzatore stesso.
Con angoli di incidenza abnormi (elevati, oltre lo stallo), il momento picchiante è dato quasi completamente dalla resistenza. Ergo, se il ragionamento è corretto, potrebbe esistere un valore intermedio di incidenza locale dove sia portanza che resistenza potrebbero essere insufficienti. E, forse, questo valore intermedio di incidenza è proprio vicino a quello che aveva con quel settaggio di stabilizzatore, e che lo stava mantenendo stabilmente in una situazione critica. Portando lo stabilizzatore a valori opposti avrebbe avuto possibilità di buttare giù il muso utilizzando però un momento picchiante generato non da portanza ma da resistenza sullo stabilizzatore.

[sigmet]

Un autopilota che lascia l’aereo a 20AoA è un autopilota che ha utilizzato dati aria errati. Non vedo altre ipotesi.

Difatti e' quello che e' successo. L'autopilota stava trimmando (a cabrare) in funzione della perdita di velocita' (fittizia, ma ancora valida per l'A/P) tanto che al suo disinserimento l'aereo ha cabrato violentemente.
La condizione stabilizzante del piano di coda (come dici tu) in quella posizione (secondo me) potrebbe aver messo l'aereo in una situazione non esplorata dell'inviluppo di volo e non identificata correttamente data l'assenza di un AoA indicator. Mi ricorda molto una manovra del volo 3D con bassa velocita' , quasi piena potenza e timoni a fondo corsa a cabrare anche se questa non vuole essere un ipotesi ma solo una mia (sciocca) considerazione.
Qualcosa del genere.(pur se questo e' solo un modello !)

[Alien]

Difatti e' quello che e' successo. L'autopilota stava trimmando (a cabrare) in funzione della perdita di velocita' (fittizia, ma ancora valida per l'A/P) tanto che al suo disinserimento l'aereo ha cabrato violentemente.

Se c'è stato un transitorio così pronunciato nella transizione autopilota->pilota, significa che lo stick stava chiedendo di cabrare ancora di più dell'autopilota. Ma non mi sembra che sia stato così.

Infatti, stando al report BEA, abbiamo la seguente sequenza:

2h10'05"
- A/P si è disingaggiato
BEA non parla di transitorio in pitch. BEA dice che l'aeroplano inizia a rollare sulla destra, implicitamente ammettendo un transitorio (dovuto allo switching tra A/P e stick) di solo rollio.
La BEA dice poi che il pilota "made a left nose-up input", implicitamente ammettendo che dopo il disingaggio (non prima), ci fu un comando a cabrare.
A seguito del comando pilota, pare che
- la velocità indicata crolla di colpo da 275kts a 60kts
- Stall warning
- AoA progressivamente cresce oltre i 10°
- la velocità di salita arriva a 7000 ft/min, per poi scendere a 700 ft/min
- il velivolo raggiunge 37500 ft (era a FL350 prima del disingaggio A/P)
- AoA scende a 4°
- velocità indicata cresce di colpo a 215 kts

Considerando questa serie di eventi a seguito del disingaggio A/P, non mi sembra ci sia un transitorio dovuto al disingaggio in sè, ma piuttosto un esplicito comando a cabrare (a posteriori del disingaggio) combinato con delle velocità indicate sballate. Penso che il pilota volesse correggere il rollio sulla destra e contemporaneamente una velocità (apparentemente) troppo elevata.

Però, purtroppo, la BEA non parla esplicitamente di velocità errate al momento del disingaggio A/P. Quindi, il valore specificato di 275 kts potrebbe anche essere effettivo (AoA era 10°. Mi chiedo se sia compatibile con 275kts. E l' AoA non era in avaria, per quello che so).

Gli eventi fino a qui mi suggeriscono che i problemi grossi siano arrivati dopo, in quanto, se devo credere all'AOA, questo era diventato 4, quindi OK.

La condizione stabilizzante del piano di coda (come dici tu) in quella posizione (secondo me) potrebbe aver messo l'aereo in una situazione non esplorata dell'inviluppo di volo e non identificata correttamente data l'assenza di un AoA indicator.

Direi che è possibile. Avrei due commenti: uno, almeno al simulatore, in sede di sviluppo, in Airbus dovrebbero aver esplorato tutto l’inviluppo; due, se il modo Abnormal entra in funzione oltre 30AoA, allora immagino che sia lasciato al pilota intervenire prima di 30AoA, ma, in questo caso, così, totalmente a naso, mi chiedo che cosa possa fare il pilota oltre i 22-24AoA. Non vorrei che la “zona critica” di cui parlavo prima fosse proprio tra 24 e 30AoA, dove nè pilota nè software riescono ad avere successo. E se questa zona critica esiste, temo proprio che in certe condizioni (per esempio stabilizzatore tutto a cabrare) fosse stabile. Oppure, l’unico modo per uscirne è proprio quello che non hanno fatto: spingere tutto lo stick.

[sigmet]

La BEA dice poi che il pilota "made a left nose-up input", implicitamente ammettendo che dopo il disingaggio (non prima), ci fu un comando a cabrare...
Considerando questa serie di eventi a seguito del disingaggio A/P, non mi sembra ci sia un transitorio dovuto al disingaggio in sè, ma piuttosto un esplicito comando a cabrare (a posteriori del disingaggio) ...

E' vero ma mi rifiuto di pensare che il comando della cabrata associato alla correzione di rollio (cosa peraltro normale) abbia indotto da solo un variometro di oltre 7000 ft !
Nel rapporto non viene detto ma ci si potrebbe divertire a fare un calcolo per vedere quale assetto produca un variometro del genere...A meno che non volessero fare un looping non capisco quale motivo avessero per guadagnare intenzionalmente quei 3000 ft. tanto piu' che la velocita' indicata era comunque in diminuzione.Uno sforamento di quota del genere non e' ipotizzabile se non come un tentativo estremo di diminuire la velocita' (ma quale e perche'?).
L'uso degli speed brakes non viene mai citato.
Nel rapporto si dice:"The airplane’s pitch attitude increased progressively beyond 10 degrees and the plane started to climb. The PF made nose-down control inputs." Quindi il PF reagi' correttamente correggendo il momento a cabrare . tanto che . A 37.500 ft l'aereo era ancora perfettamente volabile (AoA =4° compatibile quindi con un upset recovery)
L'assetto invece sembra quindi passare a "oltre10° in 45 secondi La traiettoria e' comunque ancora positiva.Se l'aereo fosse stato gia' in stallo non sarebbe salito ulteriormente come invece sembrerebbe al momento 2H 11min 04 sec.
L'AoA passa da 6° (soglia dell'intervento dello stall warning) a 16° e in questa condizione l'aereo rimane livellato (AoA 16°) ma lo stabilizzatore ora era a 13° ANU.
nei circa 50 secondi successivi la situazione invece precipitava portando l'aereo a scendere con una Vz di circa 10.000 ft/min. In questi 50 sec non sappiamo esattamente cosa succede se non che l'AoA arriva a valori estremi di circa 40° e i motori ora sono a piena potenza o quasi.

Ricordo che l'A/P era su 2 e che noi abbiamo la registrazione dei dati presenti sul solo pannello CM1.
Nei 30 secondi successivi la BEA ci dice solo che viene applicato un comando a cabrare senza evidenziarne il valore.
Poi ad una riduzione di spinta e poco dopo di assetto l'aereo reagisce coerentemente con un decremento di AoA.Ma proprio in questo momento si ha di nuovo l'intervento dello stall warning.
Non sappiamo se sia stato avvertito e in quale fase un buffeting ,cosa questa invece molto importante,ma solo che a 2h 13' e 32'' veniva registrato un simultaneo intervento sui due sidestick ma non ne viene rivelato il verso.
Mi sembra insomma che i dati siano ancora incompleti e per il momento la registrazione grafica non e' disponibile.

EDIT
In alt law la protezione sul fattore di carico e' ancora disponibile ed e' previsto invece che un decremento della velocita' possa essere compensato dal FCS con un momento a picchiare

The load factor limitation is similar to to that under Normal Law. Amber XX's replace the green = attitude limits on the PFD. A low speed stability function replaces the normal angle-of-attack protection
System introduces a progressive nose down command which attempts to prevent the speed from decaying further.

La potezione e' comunque "overrridable" dal comando

[airbusfamilydriver]

In alt law la protezione sul fattore di carico e' ancora disponibile ed e' previsto invece che un decremento della velocita' possa essere compensato dal FCS con un momento a picchiare

The load factor limitation is similar to to that under Normal Law. Amber XX's replace the green = attitude limits on the PFD. A low speed stability function replaces the normal angle-of-attack protection
System introduces a progressive nose down command which attempts to prevent the speed from decaying further.

La potezione e' comunque "overrridable" dal comando

si ma l'fcom dice anche che la protezione viene completamente persa,e con essa il nose down command in case of dual adr fault or adr disagree,situazione altamente probabile,dal momento che i dati aria come sappiamo erano inattendibili e se non sbaglio l'acars ha trasmesso anche un adr disagree come warning
tutto ciò in ALT 2,mentre in ALT 1 è ancora disponibile salvo avaria del vs1g computation.
non ricordo se fossero in ALT1 o 2

[maurom]

Personalmente, in un caso di deep stall del genere (o in un deep stall per ombra aerodinamica sull'equilibratore, come negli aerei con impennaggi a T) una soluzione da proporre l'avrei: dissimulare all'interno della coda uno o più razzi JATO.

Potenza e durata della spinta (raggiungeva i 60" e 1800kg nel lontano 1952 per i modelli che assistevano al decollo gli arcaici B45) ad occhio dovrebbero essere sufficienti per uscire da una situazione altrimenti (se sei riuscito pervicacemente a mettertici) irrecuperabile.

Certo, ciò diminuisce il carico pagante, ma di quanto, in rapporto ad un MTOW di non meno di 230 tnnellate?
Gli JATO esitono di ogni taglia e tarati per differenti durate di accensione... se accettiamo entusiasti l'installazione di un dispositivo pirotecnico come l'airbag in una vettura - destinato se tutto va per il meglio a NON entrare mai in funzione) e montiamo seggiolini ejettabili di peso rispetto al MTOW non irrisorio in tutti i caccia, anche i piccoli MB339... perché no? Troppo poco tecnologico per essere preso in considerazione?

Sono persuaso che l'idea meriti senz'altro d'essere presa in considerazione. Tanto più che l'applicazione sarebbe favorita dal rapporto momento/spinta, ovvero la distanza tra il punto di applicazione della spinta e l'asse di beccheggio consentirebbe la creazione del necessario momento reddrizzante con una potenza del razzo relativamente limitata. Certo, il problema economico si pone, ma dal punto di vista tecnico-aerodinamico potrebbe essere una valida soluzione.

la walt disney potrebbe essere interessata alla certificazione del sistema, o addirittura la warner bros...insomma jet mcquack o willy il coyote saranno disposti ad aiutarvi nei test di volo.....

Essendo fuori sede ho avuto comunque l'occasione di dare un'occhiata al sito e leggere, seppure in ritardo, la tua risposta/commento. Non nascondo di essere rimasto sbigottito e dispiaciuto.
In 38 anni di attività (sopratutto nella progettazione navale e ricerca off-shore, non escluso seppure marginalmente il settore aeronautico) ho potuto constatare come sia regola generale nei vari team e nei diversi paesi dove ho lavorato, il prendere in considerazione tutte le idee da chiunque proposte, analizzarle, compararle e decidere infine quale adottare. Talvolta, aggiungo, proprio l'idea che inizialmente sembrava la meno fattibile è stata infine quella che meglio ha risolto il problema (vedasi, giusto per fare un esempio macroscopico, le piattaforme "self-elevating").
Ora, venendo all'argomento in oggetto, mi sembra che la proposta di Valerio Ricciardi meriti considerazione. Io ho detto che potrebbe essere una soluzione tecnicamente valida (più arduo in questo caso, trattandosi di un costo aggiuntivo, il discorso di carattere economico: ne so qualcosa anch'io dal momento che nella seconda parte della mia modesta carrira, come project manager, ho dovuto occuparmi più dell'aspetto economico che di quello tecnico: se alla direzione della società o al comitato operativo della joint venture tu presenti un progetto che non abbia una solida base tecnico-economica col cavolo che te lo approvano).
Ovviamente nessun progetto deve essere deciso nè approvato in questa sede, tuttavia mi sembra interessante ascoltare ed eventualmente discutere le idee degli interlocutori.
Io ho detto e ripeto: la proposta di V. Ricciardi potrebbe essere, a mio parere, una soluzione tecnicamente valida e, d'altra parte, mi guarderei bene dal giudicare qualsiasi idea con autosufficienza o, peggio, con derisione (nella scienza come nella tecnica quantomeno il dubbio, nell'approccio de problemi, è d'obbligo).
Chiudo queste poche righe ponendoti una domanda: puoi dimostrare,sulla base di considerazioni tacniche, che E' ESCLUSO che il dispositivo proposto da V. Ricciardi possa essere utile per fare uscire l'aeroplano dal deep stall?

[Valerio Ricciardi]

Mi tiene specificare una cosa. Come son soddisfatto in astratto all'idea che maurom non abbia bollato direttamente e bruscamente come bislacca la mia - lo riconosco - un po' bizzarra pensata, non sono assolutamente mortificato o offeso per la battuta che la stessa ha stimolato in FAS.

Se la prima cosa che gi è venuta in mente sono gli immancabili, micidiali, imprevedibili razzetti rossi comprati per corrispondenza dalla ACME da Willy Coyote, non solo lo capisco, ma ci rido di cuore anch'io (l'inane ingegnosità puntualmente perdente dell'immortale personaggio Warner Bro's mi ha fatto fare fra le risate più argentine e di gusto della mia infanzia).

Però non mi dispiacerebbe, lo confesso, se chi è in grado di farlo - io non lo sono - provasse ad approfondire il ragionamento. E' un problema di momento di inerzia della massa dell'aereo (non poca, cosa sfavorevole), di distanza del punto di applicazione della forza dal centro di gravità e dal centro di spinta (molta, praticamente la massima possibile geometricamente, cosa favorevolissima), di durata della spinta (mai troppo elevata, dunque non hai molti tentativi a disposizione, uno o al massimo due) e di adeguatezza della spinta totale a quanto necessita per tornare ad un gangolo di attacco dei piani di coda che restituisca autorità allo stabilizzatore (da verificare tramite calcoli che io non sono facilmente in grado di fare, anche se in teoria ne intuisco bene il - in fondo - semplicissimo schema logico).

Però per me pesi, costi ed ingombri "ad occhio" non paiono improponibili, specie se penso al costo totale di tutti gli schermini ribaltabili su ogni Airbus che servono solo a farmi vedere il disegnino con la posizione dell'aereo sulla piantina con le terre in verde e i mari in blu... per quelli i soldi ci sono sempre, su ogni aereo?

Ricordo a me stesso che Einstein (mica bau bau micio micio, direbbe Jachetti) soleva dire che nella storia della scienza e della tecnologia una quantità di cose sono state considerate da esperti - competenti, seri e preparati - per decenni non praticamente realizzabili, sinchè non è arrivato uno sprovveduto che banalmente non era stato avvertito della cosa è arrivato, si è messo lì e l'ha realizzata.

Il Common Rail per i motori Turbodiesel fu sviluppato nel Centro Ricerche FIAT di Orbazzano da un giovane ingegnere di 26 anni 26, neoassunto; la Fiat di Romiti gli fece un sacco di complimenti, lo considerò poco più che un esercizio di bella progettazione e decise di non investire nella sua industrializzazione, considerata troppo onerosa in rapporto ai benefici. La BOSCH manifestò interesse per l'idea, acquisì i diritti di industrializzazione e produzione per un asomma che a Torino parve un vero affare, si è visto nei lustri successivi come è andata.

Potesse tornare indietro, penso che Marchionne avrebbe deciso diversamente.

Perciò vi prego, non bisticciate nemmeno un poco su 'sta storia, ma casomai unite le vostre competenze per provare a fare un ragionamento.
Sempre fermo restando che in un deep stall prima di ogni altra cosa dovresti trovare il modo di mettertici.

Io nel mio piccolissimo un precedente lo avrei, i sismometri che registrano gli eventi tellurici su carta termica oggi - se costruiti dopo il 1983 - utilizzano tutti, in giro per il mondo, un brevettino (modello di utilità) applicato all'apparato di registrazione derivante da un accrocchio pensato quando il sottoscritto preparava l'esame di Geofosica Applicata alla Sapienza... un'idea sostanzialmente elementare, una implementazione che richiedeva un circuitino elettronico da due lire, ma intanto funzionò e funziona, e non ho mai pensato di chiedere ad alcunchì monumenti equestri di sorta, di Sgarbi o Giovanni Allevi ve ne sono già troppi in giro...

[bulldog89]

I razzi vanno prima di tutto collocati e già qui è una bella sfida. Ammettendo di trovare una sistemazione ideale i progettisti dovranno creare un impianto per gestire il razzo e ciò comporta peso (oltre a quello del razzo stesso). Poi c'è il combustibile per il razzo, altro peso ed altro possibile incidente catastrofico. Inoltre c'è da considerare che un sistema del genere in caso di failure è potenzialmente catastrofico, tutti morti e perdita totale del mezzo. Infine ci sono i costi di manutenzione e l'addestramento dei piloti che potrebbe risultare non semplicissimo.

Concludendo secondo me l'idea non è da etichettare come non funzionante, ma come non conveniente.

[Valerio Ricciardi]

I razzi vanno prima di tutto collocati e già qui è una bella sfida. Ammettendo di trovare una sistemazione ideale i progettisti dovranno creare un impianto per gestire il razzo e ciò comporta peso (oltre a quello del razzo stesso). Poi c'è il combustibile per il razzo, altro peso ed altro possibile incidente catastrofico. Inoltre c'è da considerare che un sistema del genere in caso di failure è potenzialmente catastrofico, tutti morti e perdita totale del mezzo. Infine ci sono i costi di manutenzione e l'addestramento dei piloti che potrebbe risultare non semplicissimo.

Concludendo secondo me l'idea non è da etichettare come non funzionante, ma come non conveniente.

Osservazioni tutte pertinenti, ma solo alcune correlate al tipo di razzi cui penso io.

Io penso non a specifici razzi da pensare da zero avanti a un foglio bianco, ma all'adattamento degli JATO che sono ultracollaudati, e si sostituiscono con notevole facilità (sono usa-e-getta, credo, o "ricaricati" in fabbrica) e il cui utilizzo spaziava dai Martin Matador ai B45 agli Hercules per determinati scenari etc. - l'USAF li utilizza ancora ogni volta servano, è una tecnologia matura ed abbastanza economica da poter essere utilizzata in modo sistematico.

Non venivano utilizzati per emergenza, ma ad ogni decollo in cui le condizioni di carico e di pista lo suggerissero.

L'impianto di comando costituirebbe in sostanza in un coperchietto che coprisse l'interruttore di armamento, ed in un pulsante con scritto "ON" (concettualmente). Premesso questo, non mi sogno di dire che la cosa sia "pensata e fatta", non son mica matto.

...se ci pensi, anche il paracadute balistico di emergenza per portare a terra "sano" un ultraleggero con dentro passeggero e pilota e tutto, a sentirselo dire per la prima volta, suona fra il ridicolo, l'impossibile e il velleitario. Eppure ce ne sono... e son stati certificati.

[Alien]

Ecco le prime considerazioni, a freddo, che personalmente mi vengono in mente sugli ipotizzati razzi anti-stallo, da punti di vista differenti:

1) Meccanica del Volo

non ce ne vorrebbero più di uno, altrimenti una asimmetria anche piccola mi darebbe un input in rollio/imbardata che sarebbe fatale in quanto potrebbe innescare una vite (molto sensibile ad alta incidenza). Bisognerebbe dare un'occhiata ai parametri aerodinamici del velivolo, però nel caso sfortunato anche un solo razzo, se non perfettamente allineato, potrebbe darmi la componente rollio/imbardata che voglio evitare. I razzi JATO (a parte che non so se siano ancora usati) non davano componenti di momento aerodinamico (agivano piu' o meno lungo il CG), che invece qui si vuole avere espressamente.

2) Safety

L'evento "accensione non comandata del razzo" sarebbe safety critical, e quindi il sistema andrebbe disegnato in modo da avere per questo evento una probabilità inferiore a 1E-9 con i contributi di tutti i componenti, alcuni dei quali sono perfettamente ignoti in quanto si tratta di un sistema che non ha mai accumulato una singola ora di volo. Fattibile, forse, ma complicato.

3) Filosofia di design

Sarebbe completamente automatico, oppure comandato dal pilota?
Se deve essere automatico, allora abbiamo un doppione dell'esistente Abnormal Law (e, come l'Abnormal Law, non potrebbe essere acceso in caso di perdita di parametri essenziali come le velocità). Se deve essere comandato dal pilota, allora non vedo un grosso vantaggio, in quanto è già assodato che il pilota debba evitare a priori di finire in quella situazione, basandosi sulla semplice Airmanship (senza contare che bisognerebbe allora prevenire l'accensione accidentale). Sull'AF sembrerebbe che un tale sistema, anche se funzionante, non sarebbe stato utile, in quanto, se automatico, non sarebbe stato disponibile per le ragioni dette sopra; se manuale, non sarebbe stato utilizzato dal pilota, il quale volutamente, per ragioni ancora oscure, comandava a cabrare invece che a picchiare.

[airplane]

-

Guarda … Guarda… L'Airbus 380 !!

Sull’A 380 sul Primary Flight Display, nella parte inferiore, è stata aggiunta la visione del Picht trim control con i valori di nose up e nose down.

Come anche sull’ E/WD la visione in percentuale del Trust impiegato
ed altro ancora…

-------

Cockpit Thrust indication
ACUTE - Airbus Cockpit Universal Thrust Emulator:

• THR will replace N1 (or EPR/TPR) as cockpit thrust control / monitoring
parameter (providing enhanced cockpit commonality).
• Engine manufacturers will select the thrust control / monitoring
parameter (N1/EPR/TPR) at engine level
– converted to THR thrust indication via the FADEC
• Meaningful thrust indications are displayed as “percentage thrust” using
straightforward reference levels:
– 100% THR = maximum available thrust in actual flight conditions
without air bleed
e.g. Max Take-off thrust in the take-off flight envelope
Max Cont thrust outside take-off flight envelope
– 0% THR = engine shutdown (windmilling)
• Improves readability and improves scale significance
• Fan speed will remain as primary indication (E/WD) and N2 (and N3 for
R-R) will be available as secondary indications

(fonte Airbus)

-

[Alien]

E' vero ma mi rifiuto di pensare che il comando della cabrata associato alla correzione di rollio (cosa peraltro normale) abbia indotto da solo un variometro di oltre 7000 ft !
Nel rapporto non viene detto ma ci si potrebbe divertire a fare un calcolo per vedere quale assetto produca un variometro del genere...

Una velocità verticale di 7000 ft/min corrisponde a 35.6 m/s. Per calcolare l'angolo con la velocità del velivolo mi serve la velocità vera, cioè la TAS, non la IAS, in quanto la velocità verticale è vera.
La TAS viene calcolata da Mach, che conosco, e velocità del suono, che non conosco perchè non conosco la temperatura (non conosco la temperatura totale misurata dal sensore). Ipotizzando allora una velocità del suono dalle tabelle dell'atmosfera standard, ottengo 296.5 m/s a 35000 ft. Considerando Mach = 0.8 (dato BEA), ottengo una TAS = 237.2 m/s.
Le due velocità, verticale di 35.6 e TAS di 237.2 m/s, mi danno un angolo di salita di circa 8.5°. Salvo errori, ma sembra tutto compatibile, tenendo conto che se l'incidenza, come dice BEA (incidenza, non mi pare dica assetto), aumenta fino a oltre 10° , questo aumento di incidenza dovrebbe far progressivamente diminuire la velocità (potrebbe essere stato questo lo scopo della manovra: frenatura aerodinamica?). Le velocità di inizio e fine manovra (rispettivamente 275 e 215 kts) sembrano verosimili: non si spiegano le variazioni brusche intermedie (da 275 a 60 e poi a 215), se non con una avaria tipo parziale ostruzione temporanea di Pt (forse il solito problema di drenaggio).

[sigmet]

Alien attenzione a non confondere l'angolo di rampa (in ° ) con l'angolo di incidenza essendo il primo legato unicamente alla GS mentre il secondo e' invece funzione della velocita' indicata.A 300 Kts di GS avresti un angolo di rampa di oltre 13° (assetto 13°+X°) Comunque anche se la velocita' per assurdo non fosse variata durante la salita e' impensabile che un aumento di 8,5° ( che sommato ai 2,5° darebbe 11°) di assetto sia stato dovuto ad un comando non coordinato cosi' come ad una manovra intenzionale.E' un po' come portare il volante dell'auto a fondo corsa durante una curva veloce in autostrada.
Sono in attesa dei risultati di alcune simulazioni poi sapro' essere piu' preciso.

[sigmet]

Per cio' che riguarda il THS riporto la trascrizione del CVR del volo di Perpignan:

15 h 44 min 46 Okay here we go
15 h 44 min 49 Und ich sag ihr jetzt dass wir im Moment in Dreitausend bleiben
The weight is fifty four
And I say now to her that we are maintaining three thousand at the moment
15 h 44 min 51 Golf X-ray Lima triple eight
Tango can you speed reduce speed again
15 h 44 min 56 We are reducing
15 h 44 min 57 Triple click
15 h 44 min 58 We are still reducing the speed Golf X-ray Lima triple eight Tango (*)
15 h 45 min 03 (*) I will say when the trim stops
The word “stops” is stronger than the rest of the phrase
15 h 45 min 05 SV: Stall ( x13)
Cricket (stall warning)
15 h 45 min 06 Stop ! Noise similar to thrust levers being moved forward to the stop
15 h 45 min 13 (oh oh oh)

15 h 45 min 19 End of stall warning
15 h 45 min 20 Single chime
15 h 45 min 24 Ich nehm die Speed noch mal hoch ja?
(I increase speed ) Yeah?
15 h 45 min 26 Ja it's pitching up all the time
15 h 45 min 27 () Stick forward (*)
15 h 45 min 29 Pitching up
15 h 45 min 30
15 h 45 min 31 It’s (*) alpha floor we’re in manual Single chime
15 h 45 min 33 It's pitching up this…
15 h 45 min 34 Kriegst du das geregelt? Are you able to handle this?
15 h 45 min 35 Nee No
15 h 45 min 36 Gear up SV: Stall (12 times)
15 h 45 min 37 Gear up Cricket (stall warning)
15 h 45 min 39 Gear up Gear up
15 h 45 min 40 (*)
15 h 45 min 42 (…)
15 h 45 min 44 (…)

[FAS]

Air France Ordered to Pay Advance to Rio Crash Victim Families
+------------------------------------------------------------------------------+
Air France Ordered to Pay Advance to Rio Crash Victim Families
2011-07-12 15:00:34.16 GMT
By Heather Smith
July 12 (Bloomberg) -- Air France-KLM Group was ordered to
pay 418,000 euros ($585,000) to the families of two French
couples who died aboard AF447 when it crashed en route from Rio
to Paris in 2009, a lawyer for the families said today.
The court in Toulouse, France, ordered the Paris-based
airline to pay the amount as an advance to the survivors of each
couple on what they might eventually receive, said Marc
Fribourg, a lawyer for the families.
"It is an advance that will credit toward our final"
payout, said Fribourg. The families will next take their case to
Brazil, he said, where they can seek greater damages.
The court refused to include in the order the plane's
maker, European Aeronautic, Defence & Space Co.'s Airbus SAS
unit, saying the investigation into the crash was still ongoing,
Fribourg said.
A preliminary report in May showed the pilots scrambled to
prevent disaster during a three-and-a-half minute fall to the
Atlantic Ocean, when they may have been misled by erratic
instrument readings. The crash killed all 228 people on board.
Brigitte Barrand, a spokeswoman for Air France, and Stefan
Schaffrath, a spokesman for Airbus, declined to comment
immediately on the decision.
For Related News and Information:
News on Air France: AF FP CN
Top transportation news: TOP TRN
Legal Functions: BLAW
French News: NI FRA

--Editors: Christopher Scinta, Anthony Aarons.
To contact the reporter on this story:
Heather Smith in Paris at +33-1-5365-5064 or
hsmith26@bloomberg.net
To contact the editor responsible for this story:
Anthony Aarons at +44-20-7673-2227 or aaarons@bloomberg.net.

[MD-82]

Poco tempo fa hanno trovato le scatole nere di questo Air France, il tubo pitot ha avuto un guasto e l'altimetro non funzionava correttamente, l'aereo ha cominciato a scendere senza che i pioti se ne accorgessero, e quando se ne sono accorti era troppo tardi.
Per loro sfortuna ciò è accaduto nel mezzo dell'oceano, tra l'africa ed il brasile, dove non c'è contatto radar, e quindi nessuno ha potuto informarli che stavano scendendo.
Queste sono le notizie che ho trovato, se avete qualcosa in dpiù!