Parte 1 (prime risposte)
sigmet ha scritto:
Qui parliamo però di certificazione del"sistema".
Secondo la terminologia dell'Airworthiness, così mi hanno sempre spiegato, a essere certificato è un aeroplano intero, mentre un sistema viene “qualificato” (contribuendo alla certificazione globale). Un sistema ha un fornitore, generalmente esterno al costruttore del velivolo, e questo fornitore deve qualificare il suo sistema a fronte di requisiti di sistema, cioè una specifica di sistema, scritta dal costruttore a fronte di una specifica velivolo, la quale specifica velivolo contiene tutti i necessari requisiti di Airworthiness più quelli di Performance.
Questo comunque possiamo lasciarlo da parte: in questa sede direi che ad essere sotto la lente è il sistema Air Data, limitato a come gestisce i dati di AoA, e il sistema FCS, limitandoci a considerare la Stall Protection.
Però, direi che esistono degli indizi piuttosto forti per una terza focalizzazione del problema anche nell'area Maintenance.
sigmet ha scritto:
Prima di tutto mi sono andato a leggere la FAR 25 (l’aereo e’ americano) e ti invito a fare altrettanto prestando attenzione ai punti 25,143- 25.601-25.161(trim) 25.173- 25.1302.
Conosco questi requisiti dalla CS europea, che sono poco differenti da quelli FAR, ma penso che in questo discorso non tutti siano applicabili.
Il 25.143 è di responsabilità Handling Qualities, e non Air Data o FCS.
Il 25.161 è anche di responsabilità HQ e richiede di dimostrare che il velivolo mantiene il trimmaggio in certe condizioni ben specificate. E richiede di considerare le velocità superiori a 1.4*VS1. Ora, sempre per induzione, perchè non ho dati, immagino che lo Stall Protection sia disegnato per velocità inferiori a 1.4*VS1, cioè al di sotto dell’intervallo richiesto dalla certificazione. Ancora una volta, se lo Stall Protection è intervenuto a velocità superiori a quella limite del requisito, è perchè c’è stato un errore di maintenance che ha inficiato la certificazione. Volendo essere critici, e dobbiamo esserlo, bisognerebbe chiedere a Boeing se la protezione interviene a velocità superiori, e, se affermativo, perchè è permesso a design che contravvenga al requisito.
Il 25.173 è ancora HQ. Richiede di dimostrare la stabilità statica longitudinale, ma di nuovo, al di sopra di 1.4*VS1. Stesso discorso: la protezione Boeing è disegnata per intervenire anche al di sopra di 1.4*VS1? Sembrerebbe di sì, ma, come sappiamo, il ragionamento induttivo può in generale essere sbagliato. Ciò non toglie che si potrebbe, dalle tracce, correlare i valori di AoA con quelli di speed.
Il 25.601 è molto generico, e nei Certification Basis (almeno quelli a cui ho contribuito) viene coperto dai suoi sottoparagrafi dettagliati. Si applica certamente agli apparati ADS e FCS, e le dimostrazioni di rispondenza ai requisiti sono sempre stati accettati per tutti gli aeroplani certificati. Cioè, anche per il 737max, i requisiti coperti dal 26.601 sono sicuramente stati dimostrati. Ma qui, in questo caso, ancora una volta, non c’è stata alcuna failure/avaria.
Il 25.1302 è responsabilità degli avionici, e del Human-Machine Interface, perchè riguarda il Cockpit. Non mi pronuncio, ma mi sembra che non sia applicabile al nostro ragionamento, che riguarda ADS, FCS e Maintenance.
sigmet ha scritto:
Detto questo iniziamo proprio dalla Risk Analysis partendo dalla root cause (Single AoA loss) e lo faccio ponendo degli interrogativi. Cominciamo dai più importanti:
1) Quale RA e’ stata fatta sulla perdita di un AoA in relazione al MCAS?
2) Quali interazioni ci sono tra AoA e Air data computer ?
Questo caso però non è relativo ad una single AoA loss, perchè non c'è stata alcuna AoA loss. Dalle tracce, vediamo come ambedue i sensori AoA fossero funzionanti.
Inizio dal punto 2), perchè lo ritengo abbastanza semplice: ogni ADIRU (o ADC) invia i due AoA al FCS. Nulla da FCS viene inviato al sistema Air Data. Almeno, questo è un design generale.
Sul punto 1), invece, c’è da grattarsi la testa perchè non conosco i dettagli.
Normalmente, sta al FCS, in ricezione, preoccuparsi dei due valori separati di AoA e della loro integrità.
Comunque, considerando la perdita di un AoA, bisognerebbe andare a vedere a quali Top Event a livello velivolo contribuisce, cioè in quale Fault Tree si inserisce dal basso verso l'alto. Ma qui, come detto, non abbiamo una perdita di AoA. E poichè, giustamente, parli della AoA loss in relazione al MCAS (che è una cosa a me ignota, in quanto nuovo design), io andrei a vedere il Top Event relativo ai falsi input al FCS. Voglio dire, qual è la criticità della situazione che vede un input sbagliato oppure, meglio, degli input divergenti trasmessi dall'Air Data al FCS?
Dei due scenari:
a) single AoA input failed
b) AoA inputs divergenti
io tralascerei, almeno al momento, a) e considererei b).
La RA da cercare, quindi, sarebbe quella relativa agli effetti sul velivolo provocati dal FCS che riceve due AoA divergenti, cioè con offset costante tra loro.
E qui arriva il mio ragionamento induttivo. Poichè la Stall Protection NON viene staccata dal FCS in caso di AoA divergenti (le tracce lo dimostrano), direi che gli effetti sul velivolo sono relativi a una Stall Protection che interviene se anche uno solo dei due AoA supera la soglia massima ammessa per lo stallo.
Ora, da quanto dice Boeing, si parla anche di AoA failed. Cioè, mettono insieme i due casi a) e b) di cui sopra. Quindi, sempre per induzione, immagino che per loro sia lo stesso se un AoA è elevato rispetto all'altro, oppure elevato rispetto al vero (per esempio a fondo scala). In ogni caso, si interviene con procedura pilota (ok, sembra che l'avessero dimenticata, e ciò è abbastanza grave), in quanto l'evento velivolo è "intervento stabilizzatore comandato dalla Stall Protection".
Sempre per induzione, poichè questo aeroplano è stato certificato, immagino che questo tipo di evento abbia criticità molto minore di quella di altri eventi come "azionamento non voluto di elevator o altro primario". Boeing parla di “Stabilizer Runaway”, quindi presumo che nella FHA abbiano inserito questo scenario nel generico stabilizer runaway, magari chiamandolo Pitch Trim Runaway. Sotto l’ipotesi che la criticità del runaway dello stabilizzatore dipenda dall’entità del movimento stesso (per es. catastrophic a fondo corsa, hazardous o anche solo major con entità minori di movimento), presumo che Boeing abbia certificato l’evento sulla base che i movimenti prodotti dalla protezione sono di entità limitata e quindi di criticità limitata. Senza un discorso di questo genere, direi che non avrebbero certificato l’aeroplano.
Certamente, nessun aeroplano certificato possiede una probabilità di stabilizer runaway a fondo corsa maggiore di 1E-9.
In sostanza, bisognerebbe vedere la FHA e la definizione dell’evento, cioè fare un approccio “top-down” più che “bottom-up” seguendo il RA che suggerisci tu più sotto.
Nuovamente, devo sottolineare che ragiono per induzione, quindi potrei sbagliarmi, ma, se così fosse, non significa comunque che tecnicamente io approvi. Fornisco una spiegazione ipotetica, non una approvazione o giustificazione.
Su altri velivoli FBW alla prima avaria Air Data si perdono le protezioni. Su altri più vecchiotti, come lo ATR per esempio, esiste lo Stick Pusher: in caso di stallo, la barra viene spinta in avanti, e l'effetto è lo stesso di uno stabilizzatore azionato dal FCS. Però, nel caso dell'ATR, se i due AoA sono divergenti, lo Stick Pusher non interviene e si ha un warning al pilota per avvisarlo che ha perso l'anti-stallo automatico.
sigmet ha scritto:
Bene, ora passiamo al singolo sensore:
E’ stato fatto un risk assessment sulla possibilità di danneggiamento dell’AoA (bird strike , ghiaccio, grandine etc)?
Perche’ il sistema MCAS lavora su un singolo AoA se ce ne sono due??
La ridondanza viene prevista proprio per aumentare l’affidabilità del sistema (tenendo pero’ presente che questa non sarà mai superiore a quella dell’elemento meno affidabile).
Qui però, non si discute di affidabilità (reliability), ma di sicurezza (safety) e di manutenzione/manutenibilità (maintenance): tant'è vero che nel progetto abbiamo tre distinte discipline, siglate RMS (c'è anche la T, testability, ma anche questa non mi sembra sia in gioco).
La ridondanza serve ad aumentare la safety, non la reliability: la reliability scende se si aumenta la ridondanza.
Tipico è l'esempio dell'attraversamento dell'oceano: se passo da un bimotore a un trimotore o quadrimotore, aumento la safety, perchè abbasso la probabilità di perdere tutti i motori (ho la AND delle p), ma diminuisco la reliability perchè aumento la probabilità di un guasto ad un motore (ho la OR delle p).
Qui il focus è su safety e soprattutto maintenance, secondo me. Il design può essere criticabile, ma qualcuno ha dimostrato che era certificabile.
Sicuramente, la failure singola di AoA non deve essere catastrofica. Ma allora, quale criticità possiede l'evento "perdita della stall protection"? Sul Sukhoi Superjet, il passaggio da Normal Mode a Direct Mode (perdita di tutte le protezioni) è classificato Major. Neanche Hazardous, ma Major, perchè in linea di principio, ogni pilota sa che cosa significa non dover uscire dall'inviluppo di volo, e sa come non far stallare l'aeroplano. Quindi, secondo me, si dovrebbe accettare di perdere una protezione a seguito falsa avaria, piuttosto di accettare di avere un intervento della protezione a seguito falsa avaria.
Comunque, per ritornare alla domanda perchè la protezione lavora su un singolo AoA, io ho un sospetto che richiede altro spazio per essere spiegato, e lo rinvio a dopo.
sigmet ha scritto:
Non proprio (vedi sopra): a fronte di una o più avarie, dipende dalla criticità dell’evento risultante, potremmo avere una situazione minor, major, hazardous o catastrophic.
E l’evento risultante in questo caso secondo te qual’e’?
Come dicevo più sopra, non lo so, ma posso immaginare che la criticità dipenda dall’entità del movimento.
Catastrophic a fondo corsa, hazardous a corse intermedie, forse major con corse piccole, come quelle generate dalla protezione.