B737 MAX Ethiopian Crashes [Thread Tecnico]

Area dedicata alla discussione sugli incidenti e degli inconvenienti aerei e le loro cause. Prima di intervenire in quest'area leggete con attenzione il regolamento specifico riportato nel thread iniziale

Moderatore: Staff md80.it

Rispondi
airplane
02000 ft
02000 ft
Messaggi: 240
Iscritto il: 31 maggio 2011, 23:03

Re: B737 MAX Ethiopian Crashes

Messaggio da airplane » 16 marzo 2019, 22:10

Lampo 13 ha scritto:Vorrei far notare che sui giornali è riportata la decisione di far decrittare le "scatole nere"
in Europa e non in USA... ci sarà un motivo di ricerca di imparzialità?
>Lampo, una notizia molto attesa da Noi tutti:


On Mar 16th 2019

the BEA reported the CVR has been successfully downloaded, the data were handed to
the Ethiopian Investigation Team. The BEA did not listen to the CVR.

The work on the FDR is going to continue the next day.


Ps.

"l'ascolto dopo l'inizio della virata........."

.
.

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: B737 MAX Ethiopian Crashes

Messaggio da Alien » 17 marzo 2019, 17:48

mcgyver79 ha scritto: Scrivi pure i dettagli qui nell'area tecnica
La mia considerazione numero 1, dalla quale però discendono tutte le altre, in un modo o in un altro, è che il progetto del software è sbagliato. Non il software, attenzione, ma il progetto del medesimo (se qualcuno non capisce cosa intendo, mi faccia per favore un fischio: questa è un'altra inesattezza dei media). La logica del programma è sbagliata. Sbagliata perchè un automatismo del Flight Control System NON deve mai intervenire in modo inappropriato.

Il principio violato nel progetto del MCAS è semplice: mentre un automatismo deve funzionare adeguatamente in caso di normalità, al primo sospetto di utilizzo di dati inaffidabili un automatismo deve assolutamente spegnersi. E una volta spento, deve avvisare il pilota che si è disinserito. E il sospetto sui dati inaffidabili, anzi, la decisione che i dati sono inaffidabili, deve essere presa dall'automatismo, non dal pilota. Altrimenti, un automatismo, per definizione, non è più tale.

I dati (nel caso in esame i Dati Aria) sono fondamentalmente di due tipi, e possono anche coincidere oppure no: i dati sul display per il pilota, e i dati utilizzati internamente dal software per la funzione automatica. E' essenziale, per un ragionamento completo, considerare che su ogni aeroplano esistono informazioni, elaborate in parallelo, di due tipi: quelle visibili nel cockpit e quelle invisibili nel software di diversi computer.
Per una protezione automatica antistallo, generalmente serve l'AoA, l'angolo di attacco. Nel caso del 737max sospetto che ne utilizzi altri, per distinguere uno stallo statico da uno dinamico. Comunque, il parametro più importante è l'AoA. Nel 737max il display di AoA al pilota è un optional: il Lion Air non ce l'aveva (l'Ethiopian non lo so), e quindi il ragionamento deve partire da questo punto. Il dato AoA non arriva al cockpit, ma viene utilizzato dal software MCAS per la protezione antistallo.

Il progetto del 737max quindi, partiva dal presupposto che l'informazione di AoA nel cockpit NON fosse necessaria. Il MCAS riceve i due valori AoA1 e AoA2 dal sistema Dati Aria, e su quelli basa i suoi calcoli e i suoi interventi. Ora, come in tutti i sistemi a ridondanza duplex di input, cioè che in ingresso utilizzano due dati che nominalmente dovrebbero essere uguali, qualcuno deve decidere se i due dati sono affidabili: se io utilizzo due orologi, uno al polso destro e uno al polso sinistro (mio zio amava talmente gli orologi che faceva così), sono tranquillo perchè fintanto che le due ore indicate sono uguali, ho una elevata probabilità che siano corrette. Nel momento in cui i due dati di input divergono, io non conosco più l'ora, o l'AoA corretti, è vero, ma so di non poterla conoscere più. Nel 737max, invece, il software continua a lavorare e l'automatismo interviene anche se i due AoA sono diversi tra loro. Non sa di non sapere. Il confronto tra i due quindi, non può farlo il pilota (perchè a display gli AoA non li vede), e non lo fa il software (per decisione di progetto).
L'errore concettuale si aggrava, poi, dicendo che deve essere il pilota ad intervenire staccando il pitch trim, cioè si dice che la funzione di "voting" (semplice confronto tra i due dati, orologi o AoA) deve eseguirla il pilota (nota: a seguito del Lion Air, la FAA aveva obbligato Boeing a scrivere questa procedura nel Flight Manual. Molti piloti, oltre a quelli caduti, non sapevano che fosse loro richiesto un intervento. Già, si fa fare al pilota il lavoro di confronto-voting dei dati: peccato però che i dati in oggetto non glieli si fa vedere! Ricordiamoci che nel cockpit AoA è optional, e Lion Air non ce li aveva.

Ecco l'errore di progetto fondamentale, che è ora ammesso (ci sono voluti altri 150 morti per accorgersene) dalla stessa Boeing: il software verrà "aggiornato" in dieci giorni. Beh, lasciatemi dire che il verbo da usare non è "verrà aggiornato", ma "verrà corretto".

La CANIC della FAA dice (quoto)
- Design changes include:
 MCAS Activation Enhancements
 MCAS AOA Signal Enhancements
 MCAS Maximum Command Limit
Ora, alla luce di quanto ragionato sopra, io interpreto il primo punto MCAS Activation Enhancements come MCAS Activation Corrections, e le correzioni che si apprestano a fare non sono altro che -scommetto quello che volete- seplicemente, l'attivazione dell'automatismo basata non più sul valore singolo di AoA di input.

Sempre alla luce di quanto detto sopra, scommetto che il secondo punto, MCAS AOA Signal Enhancements altro non significa che l'introduzione di un voting che decida (in modo indipendente dal pilota) di non utilizzare i due AoA quando questi differiscono più di X gradi di alfa. E di utilizzare invece un valore mediato dei due al di sotto della soglia di sicurezza X.

Il terzo bullet non l'ho discusso qui, ma dovrebbe semplicemente essere relativo a una riduzione di "autorità" dell'automatismo sullo stabilizzatore. Una riduzione degli effetti sull'aeroplano. Un automatismo che insiste e fornisce dei comandi non voluti per più di venti volte, fino a mettere in seria difficoltà il pilota (che non immagina che il problema siano i due AoA), è troppo "prepotente", e va ridimensionato. Scommetto che lo faranno intervenire meno volte, e magari con meno comandi per volta, riducendo ad ogni "colpetto" l'angolo di stabilizzatore comandato.

Lasciatemi fare un esempio che più o meno è familiare a tutti: l'ABS della macchina.
L'ABS della macchina, perlomeno quello che avevo io, lavora sui quattro sensori delle ruote, e interviene a totale insaputa del guidatore. Se uno dei sensori si guasta, non è che l'ABS intervenga a rampazzo, destabilizzando la macchina, e richiedendo al guidatore di disinserirlo. Ci mancherebbe. Se c'è un guasto, l'ABS si stacca e si accende l'ALERT giallo "ABS", che informa il povero guidatore che ha perso la funzione di protezione. Si dovrà essere più cauti nelle frenate....
Giorgio

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9643
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: B737 MAX Ethiopian Crashes

Messaggio da tartan » 17 marzo 2019, 19:08

Da come l'hai spiegato sembra così chiaro e semplice che non si capisce come mai non sia stato fatto prima, cioè da subito.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

airplane
02000 ft
02000 ft
Messaggi: 240
Iscritto il: 31 maggio 2011, 23:03

Re: B737 MAX Ethiopian Crashes

Messaggio da airplane » 17 marzo 2019, 19:46

Alien ha scritto:
mcgyver79 ha scritto: Scrivi pure i dettagli qui nell'area tecnica
La mia considerazione numero 1, dalla quale però discendono tutte le altre, in un modo o in un altro, è che il progetto del software è sbagliato. Non il software, attenzione, ma il progetto del medesimo (se qualcuno non capisce cosa intendo, mi faccia per favore un fischio: questa è un'altra inesattezza dei media). La logica del programma è sbagliata. Sbagliata perchè un automatismo del Flight Control System NON deve mai intervenire in modo inappropriato.

Il principio violato nel progetto del MCAS è semplice: mentre un automatismo deve funzionare adeguatamente in caso di normalità, al primo sospetto di utilizzo di dati inaffidabili un automatismo deve assolutamente spegnersi. E una volta spento, deve avvisare il pilota che si è disinserito. E il sospetto sui dati inaffidabili, anzi, la decisione che i dati sono inaffidabili, deve essere presa dall'automatismo, non dal pilota. Altrimenti, un automatismo, per definizione, non è più tale.............

>Alien,

per ora, “se permetti, voglio solo ricordarti ed evidenziare due punti che Tu conosci molto bene"

1° punto. “Tenere sempre presente che in questo caso abbiamo la cosiddetta filosofia Boeing e non quella di Airbus.

2° punto. Hai visto questo mio post sul 3d della Lion Air
a questo link
http://www.md80.it/bbforum/viewtopic.ph ... 75#p994502


Ps
Ho letto solo una piccola parte del post, ma devo leggerlo con molta
attenzione per "poter leggere tra le righe"


By...

.


.

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 17 marzo 2019, 20:00

tartan ha scritto:Da come l'hai spiegato sembra così chiaro e semplice che non si capisce come mai non sia stato fatto prima, cioè da subito.
Mi stupisce che ti stupisca..
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9643
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: B737 MAX Ethiopian Crashes

Messaggio da tartan » 17 marzo 2019, 20:13

sigmet ha scritto:
tartan ha scritto:Da come l'hai spiegato sembra così chiaro e semplice che non si capisce come mai non sia stato fatto prima, cioè da subito.
Mi stupisce che ti stupisca..
Dopo il messaggio che ha preceduto il tuo, mi stupisco anche io he ancora insisto a stupirmi!
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

NH

Messaggio da sigmet » 17 marzo 2019, 22:37

tartan ha scritto:
Dopo il messaggio che ha preceduto il tuo, mi stupisco anche io he ancora insisto a stupirmi!
Quello che ha scritto alien oggi io lo avevo scritto quasi 4 mesi or sono (orologi compresi..).
viewtopic.php?f=5&t=48230&st=0&sk=t&sd= ... 40#p992231
Al di la dell'AD di Boeing non e' cambiato nulla. Hai citato il caso del QNH in AZ. Io ricordo anche quando arrivarono in flotta i 2 A300/B4 che avevano il pannellino radio coi bottoni che funzionavano al'incontrario. Per quella semplice modifica ogni equipaggio fece un corso ad hoc. Forse eravamo stupidi , o forse AZ buttava i soldi a c***o di cane ma in una compagnia seria ci si comportava così'.
Poi vennero gli aerei allungati , accorciati, abbelliti o rinforzati e le compagnie scoprirono che prima un equipaggio al simulatore costava un botto di soldi e invece così con un paio di giorni su FS gli facevi cambiare il girello della giostra a due lire.
Dall'altra parte dell'oceano sta cosa non gli andava giù anche perchè fino a quel momento se la cantavano e se la suonavano e allora hanno copiato, come si faceva a scuola, ma spesso chi copia prende 5.
Leggo che l'industria segue i suggerimenti degli utilizzatori. Era vero fino a qualche tempo fa. Per la mia esperienza quando ero in commissione tecnica ECA ricordo almeno una decina di osservazioni fatte all'airbus (ovviamente alla Boeing ci pensano gli ammericani) rispedite regolarmente al mittente.Ma in fondo gli aerei cascano meno di prima e quindi hanno ragione loro. In compenso ne passo' una che però' costò qualche euro di modifica a tutti i N.. A 320 in giro x il mondo. Il direttore delle vendite si incazzò un pochino ma se ne fece una ragione. Ne fecero un altra solo dopo che un 320 si tuffò al largo di perpignan (come si chiama sta cosa?...Blood priority..? :roll: )
La cosa strana e' che ora che gli aerei non dovrebbero uscire più dall'inviluppo di volo perche' sanno che il pilota e' un c*****e stanno aumentando percentualmente le LOCi. come in questi ultimi due casi.Boh :roll:
La stessa cosa più o meno sta succedendo per le certificazioni. Chi ha voglia di giocare si guardi la FAR 25 al capitolo Stability Augmentation ... e si diverta a trovare la differenza come sulla settimana enigmistica.
Per il resto, caro Tartan, come vedi finora non mi sono espresso su questo incidente poiche' i dati a mia disposizione sono pochissimi e a leggere 3d con aerei che parlano da soli e wide body che si avvitano le mie idee sono ancor più confuse.
Ah, quando passi da FCO sull'area cargo e' parcheggiato un vecchio md80 cui hanno dato una mano di bianco e su cui campeggia la scritta "TRAINING". Lo sai, Tartan, mi fa lo stesso effetto del monumento a Voltaire...
P.S. Continuo ad avere un dubbio ma solo dopo aver visto i tracciati potrò dirimerlo.
Ultima modifica di sigmet il 17 marzo 2019, 22:50, modificato 2 volte in totale.
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

airplane
02000 ft
02000 ft
Messaggi: 240
Iscritto il: 31 maggio 2011, 23:03

Re: B737 MAX Ethiopian Crashes

Messaggio da airplane » 17 marzo 2019, 22:42

airplane ha scritto:
Lampo 13 ha scritto:Vorrei far notare che sui giornali è riportata la decisione di far decrittare le "scatole nere"
in Europa e non in USA... ci sarà un motivo di ricerca di imparzialità?
>Lampo, una notizia molto attesa da Noi tutti:
On Mar 16th 2019
the BEA reported the CVR has been successfully downloaded, the data were handed to
the Ethiopian Investigation Team. The BEA did not listen to the CVR.
The work on the FDR is going to continue the next day.

Ps.
"l'ascolto dopo l'inizio della virata........."
.
NEW INFO.

On Mar 17th 2019
the BEA reported the FDR data have been successfully downloaded and handed over to the Ethiopian Investigation Team. The work on the blackboxes is completed.

On Mar 17th 2019
the Ethiopian Transport Minister said: "Recently, the FDR and CVR of Ethiopian Airlines Flight 302 have been successfully read out. Our experts and US experts have verified the accuracy of the information. The Ethiopian government accepted the information, and the cause of the crash is similar to the Indonesian Flight 610.
A preliminary reported will be published in a month with a detailed analysis. We are grateful to the French Government for its ongoing support."

.

airplane
02000 ft
02000 ft
Messaggi: 240
Iscritto il: 31 maggio 2011, 23:03

Re: B737 MAX Ethiopian Crashes

Messaggio da airplane » 17 marzo 2019, 23:50

.

>Sigmet, "guarda un po' qui sotto"


[...] Our experts and US experts have verified the accuracy of the information. The Ethiopian government accepted the information, and the cause of the crash is similar to the Indonesian Flight 610.[...]


>Non c'è da meravigliarsi se anche in questo incidente si possa vedere "grafici del CWS con Uncoupling "
Una importante differenza potrà esserci in riferimento alla quota di takeoff della pista e relative implicazioni.
...e a seguire la virata per il rientro.

.

By...
.

airplane
02000 ft
02000 ft
Messaggi: 240
Iscritto il: 31 maggio 2011, 23:03

Re: B737 MAX Ethiopian Crashes

Messaggio da airplane » 18 marzo 2019, 8:54

airplane ha scritto:
Lampo 13 ha scritto: Sarei curioso di sapere da chi ci ha volato se questo MAX ha una aerodinamica che lo porta a buttare giù il muso da solo quando prossimo allo stallo o se, invece, tende ad andare fuori inviluppo.
>Lampo, Sarebbe assurdo che vada fuori inviluppo, ne sono convinto, stiamo parlando sempre della Boeing e non di un “Flying coffin” Ovviamente I collaudatori sanno tutto di tutto.

Detto questo, volendo rispondere alla tua domanda, penso che una volta messo in Cutout l’aereo, il prestallo più o meno lo senti lo stesso, ma potrebbe non abbassare il muso come normalmente avviene, ma stallare di colpo e subito dopo in vite.
Il collaudatore, sono sicuro al 99,9% l’avrà fatto e tirato fuori anche dalla vite (magari di un solo giro).
Una volta ho visto le manovre di collaudo del vecchio B747 e devo dirti che oltre agli stalli da impiccato, ho visto viti da brividi per quel bestione, come Tu sai “i collaudatori sono piloti un po’ diversi”
>Lampo, l'ho letta e subito la giro:



[By 737 Flyer on Sunday, Mar 17th 2019 16:51Z

I see many people incorrectly state the purpose of the MCAS - “to prevent a stall.” Not picking on you, Ecumenico - many people have perpetuated this idea on this thread, and in many other aviation websites and articles.

I fly the NG and the MAX.
The MAX does NOT have faulty stalling characteristics which required MCAS. It simply has DIFFERENT stick feel when approaching a stall. That’s it. Stick back pressure is linear in the NG, but it lessens in the MAX, due to engine geometry.
Boeing wanted better commonality. The solution was to add slow, incremental forward trim so the backpressure on the stick would be the same on both planes. A blindfolded pilot wouldn’t be able to tell the difference.

I don’t take issue with the MAX design. I take issue with not telling us about MCAS until one crashed. The Runaway Trim procedure is more than adequate for undesired MCAS activation. But is was a huge oversight not to tell us we had a new scenario that would call for the Runaway Trim checklist.]


.

Avatar utente
JT8D
Administrator
Administrator
Messaggi: 15625
Iscritto il: 2 agosto 2005, 20:38
Località: Limbiate (MB)
Contatta:

Re: B737 MAX Ethiopian Crashes

Messaggio da JT8D » 18 marzo 2019, 12:38

Spostati un po' di messaggi nel thread generico.

Paolo
"La corsa di decollo è una metamorfosi, una quantità di metallo che si trasforma in aeroplano per mezzo dell'aria. Ogni corsa di decollo è la nascita di un aeroplano."

Immagine

Avatar utente
Lampo 13
FL 500
FL 500
Messaggi: 6790
Iscritto il: 21 agosto 2014, 23:44
Località: Lodz - Polonia

Re: B737 MAX Ethiopian Crashes

Messaggio da Lampo 13 » 18 marzo 2019, 12:50

JT8D ha scritto:Spostati un po' di messaggi nel thread generico.

Paolo
Grazie, non mi sono reso conto che ero in "tecniche".

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: B737 MAX Ethiopian Crashes

Messaggio da Alien » 20 marzo 2019, 9:48

Giorgio

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4763
Iscritto il: 22 agosto 2008, 8:33

Re: B737 MAX Ethiopian Crashes

Messaggio da Valerio Ricciardi » 20 marzo 2019, 13:41

Excerpt dall'articolo che hai linkato:

Assessed a failure of the system as one level below “catastrophic.” But even that “hazardous” danger level should have precluded activation of the system based on input from a single sensor — and yet that’s how it was designed.

Questo perché nonostante il dato fosse dotato di ridondanza e i sensori AoA quindi due, per il sw bastava il dato "peggiore" proveniente da uno solo? Ho capito bene?
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 20 marzo 2019, 17:43

[quote="Valerio Ricciardi"

Questo perché nonostante il dato fosse dotato di ridondanza e i sensori AoA quindi due, per il sw bastava il dato "peggiore" proveniente da uno solo? Ho capito bene?[/quote]

Anche questo già scritto 4 mesi fa..

http://www.md80.it/bbforum/viewtopic.ph ... 40#p992231


:roll:
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4763
Iscritto il: 22 agosto 2008, 8:33

Re: B737 MAX Ethiopian Crashes

Messaggio da Valerio Ricciardi » 20 marzo 2019, 19:58

Riletto. E nel post immediatamente dopo il tuo, non capisco perché Alien si chiedesse come mai non avevano implementato un voting fra i dati di due sensori. Come si fa a fare un voting fra due sole fonti della stessa informazione?
Puoi, al massimo, decidere che si disinserisce ovviamente il supporto del il sistema in caso di disagree superiore a una data soglia definita, come leggo starebbero facendo (ADESSO???) ma non hai la possibilità di decidere quale dei due è errato, o più errato.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 20 marzo 2019, 22:18

Voting e' una parola che il pilota non conosce. Teoricamente si puo' fare validando un solo segnale di AoA incrociandolo con quelli di potenza e assetto, come fa il pilota quando le api decidono di accasarsi nel buco sbagliato.
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4763
Iscritto il: 22 agosto 2008, 8:33

Re: B737 MAX Ethiopian Crashes

Messaggio da Valerio Ricciardi » 21 marzo 2019, 9:39

Certo. Perché l'orizzonte artificiale è giroscopico, e del tutto indifferente al funzionamento corretto o meno dell'aletta aerodinamica del sensore di AoA.
Mi chiedo però comunque se faciliterebbe la capacità decisionale del pilota avere sempre presente in cockpit uno strumento che riporti l'indicazione di AoA rilevata, giusta o sbagliata che sia. Posizionato ed evidenziato in modo da non creare ovviamente un elemento di confusione in caso di dato non attendibile. Produrrebbe in condizioni non standard ulteriore carico di lavoro o faciliterebbe il riconoscimento di un problema e la prontezza di decisione operativa al pilota?
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: B737 MAX Ethiopian Crashes

Messaggio da Alien » 21 marzo 2019, 13:41

Valerio Ricciardi ha scritto:Excerpt dall'articolo che hai linkato:

Assessed a failure of the system as one level below “catastrophic.” But even that “hazardous” danger level should have precluded activation of the system based on input from a single sensor — and yet that’s how it was designed.

Questo perché nonostante il dato fosse dotato di ridondanza e i sensori AoA quindi due, per il sw bastava il dato "peggiore" proveniente da uno solo? Ho capito bene?
Premessa: sono amareggiato e soddisfatto al tempo stesso, perché a suo tempo, nel thread Lion Air, avevamo già discusso su un mio sospetto a riguardo della Safety Analysis. Certo, avevamo anche alcune divergenze di opinioni (ricordo Sigmet, che secondo me incolpava ingiustamente i tecnici, e mi riprometto di tornarci su sperando di non farlo arrabbiare... :wink: ), divergenze non sostanziali comunque.

Allora: come già dicevo nel thread Lion Air, io avevo il sospetto che la classificazione di questo Hazard fosse ottimistica. Ipotizzavo che dovesse essere al massimo MAJOR (quindi insufficiente), mentre l'articolo dice che l'evento era stato definito HAZARDOUS (one level below CATASTROPHIC). Quindi la classificazione era più o meno corretta (HAZARDOUS è qualcosa subito peggio di MAJOR), ma, come dice l’articolo, è il requisito probabilistico relativo a HAZARDOUS ad essere stato incorrettamente verificato.

Ripeto per completezza i requisiti a fronte delle criticità definite per ogni evento del volo:
un evento di criticità MINOR deve avere probabilità inferiore a 1E-3 per ora di volo
un evento di criticità MAJOR deve avere probabilità inferiore a 1E-5 per ora di volo
un evento di criticità HAZARDOUS deve avere probabilità inferiore a 1E-7 per ora di volo
un evento di criticità CATASTROPHIC deve avere probabilità inferiore a 1E-9 per ora di volo (e non deve avere una causa singola!)

L’articolo dice, se ho capito bene io, che questo evento non era stato categorizzato CATASTROPHIC pur avendo una causa singola (questo sarebbe stato totalmente sbagliato, perchè, come detto qui sopra, nessun evento CATASTROPHIC deve avere causa singola). Cioè, l’errore grave non era aver definito un input singolo (AoA) per un evento CATASTROPHIC. L’articolo dice che, pur essendo stato definito HAZARDOUS, la probabilità massima richiesta NON poteva essere soddisfatta con un input singolo. In altre parole (e io avevo espresso il desiderio di visionare il Safety Assessment), la non-conformità risiede nel fatto che non è possibile soddisfare il requisito di probabilità 1E-7 con una ridondanza simplex, singola. Nessun sistema simplex è in grado di garantire il funzionamento per 10000000 ore di volo (in media). Nessun sistema simplex viene utilizzato per Hazard classificati al di sopra di MAJOR.
Giorgio

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4763
Iscritto il: 22 agosto 2008, 8:33

Re: B737 MAX Ethiopian Crashes

Messaggio da Valerio Ricciardi » 21 marzo 2019, 14:22

Quindi ci sarebbe SIA un difetto di design della filosofia di intervento del sw, CHE un difetto di equipaggiamento a livello di hw, se ho capito bene - e se nel vostro linguaggio "ridondanza simplex" equivale alla ridondanza semplice della fonte (strumento di misura o quel che è) di un dato di cui parlava Fulchignoni, che a prescindere dall'intervallo dii confidenza attribuibile alla misura, in caso di discordanza impediva di scegliere sia pure su basi probabilistiche quella da considerare più attendibile.

Sono intellettualmente sorpreso, se l'analisi finale dell'evento dovesse confermare, che si siano potuti fare errori simili in un contesto in cui tutto è così attentamente controllato, valutato, progettato, sperimentato.

E' possibile che a monte di tutto si sia ritenuta troppo remota la probabilità di un AoA disagree per malfunzionamento?
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: B737 MAX Ethiopian Crashes

Messaggio da Alien » 22 marzo 2019, 13:55

Valerio Ricciardi ha scritto:Quindi ci sarebbe SIA un difetto di design della filosofia di intervento del sw, CHE un difetto di equipaggiamento a livello di hw,
Sì e no: sì al difetto di design della filosofia del sw, no al difetto di hw (tant’è vero che Boeing non farà alcuna modifica allo hw; salvo capire, come diceva qualcuno qui, se è vero, ma non credo, che Boeing aggiungerà un terzo AoA). Diciamo che il difetto è CONGIUNTO, cioè il difetto è relativo all’accoppiamento tra
- severità Hazard + probabilità massima richiesta,
congiuntamente a
- filosofia di sw.
Con criticità piccole, si disegnano sistemi poco o non ridondati, con criticità elevate, si devono disegnare sistemi ad elevata ridondanza/affidabilità. Nel famoso esempio dell’orologio, diciamo che se non è grave ignorare l’ora esatta, usiamo un solo orologio, se è grave o gravissimo, ne usiamo tre o anche più. Nei casi intermedi, ovviamente, ne usiamo due.
Valerio Ricciardi ha scritto: se nel vostro linguaggio "ridondanza simplex" equivale alla ridondanza semplice della fonte (strumento di misura o quel che è) di un dato di cui parlava Fulchignoni, che a prescindere dall'intervallo dii confidenza attribuibile alla misura, in caso di discordanza impediva di scegliere sia pure su basi probabilistiche quella da considerare più attendibile.
Direi proprio di sì. Però, in genere, per semplificarsi la vita, e non affidarsi all’affidabilità di un sensore singolo, si considera solo ridondanza pura. Boeing, a quanto pare, si è affidata all’affidabilità (scusa la ripetizione, ma è insita nel ragionamento) di un sensore singolo.
Il discorso però, deve ritornare, per via del requisito Safety, alla criticità dell’evento. I requisiti di Safety sono una sezione importantissima delle specifiche di Airworthiness (FAA o EASA). Se la criticità è media, un solo AoA non basta, ma due POTREBBERO bastare: dipende se due canali ridondati diminuiscono la probabilità SOTTO alla soglia minima richiesta.
Valerio Ricciardi ha scritto: Sono intellettualmente sorpreso, se l'analisi finale dell'evento dovesse confermare, che si siano potuti fare errori simili in un contesto in cui tutto è così attentamente controllato, valutato, progettato, sperimentato.
Sono d’accordissimo: dal punto di vista tecnico, c’è -anzi, ci sarebbe- da sorprendersi intellettualmente. Dal punto di vista politico, non c’è da sorprendersi, casomai c’è da indignarsi.
Se diamo credito all’articolo, vediamo subito che non si tratta di errori, ma di certificazione affrettata, e di una qualche strategia manageriale di Boeing. Nel thread Lion Air, avevo il sospetto che ci fossimo trovati di fronte a qualcosa di simile all’incidente dello shuttle NASA Challenger: strategie manageriali che impongono delle rischiosissime deroghe alla Safety. L’articolo, se è genuino, parla proprio di questo: Boeing, essendo di fretta per certificare il nuovo 737, e battere Airbus, ha imposto certe semplificazioni agli ingegneri. E alcuni di questi, insieme a qualcuno della FAA, ha vuotato il sacco.
Valerio Ricciardi ha scritto: E' possibile che a monte di tutto si sia ritenuta troppo remota la probabilità di un AoA disagree per malfunzionamento?
Secondo me, sì, ma, come detto, questo ottimismo era “pilotato” dalle politiche Boeing del profitto. Non crederò mai all’ipotesi per la quale gli ingegneri Boeing non siano più capaci a disegnare un sistema sicuro.
Il concetto è semplice: la sicurezza costa denaro.
Giorgio

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9643
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: B737 MAX Ethiopian Crashes

Messaggio da tartan » 22 marzo 2019, 20:51

Alien ha scritto: Il concetto è semplice: la sicurezza costa denaro.
Quindi la vita dei pax, anche di quelli che smadonnano perchè gli fai pagare il bagaglio in più, costa denaro. Quindi meno pagare meno sicurezza? Oppure meno pagare sicurezza uguale? Oppure pagare poco sicurezza massima? Oppure sicurezza massima pagare il dovuto?
Quale è l'equazione giusta?
L'importante è che il pax sappia a cosa va incontro, poi è libero di decidere.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
Lampo 13
FL 500
FL 500
Messaggi: 6790
Iscritto il: 21 agosto 2014, 23:44
Località: Lodz - Polonia

Re: B737 MAX Ethiopian Crashes

Messaggio da Lampo 13 » 22 marzo 2019, 21:09

tartan ha scritto:Oppure sicurezza massima pagare il dovuto?
Direi questa versione...
Quando entrai in Alitalia m insegnarono che bisognava mirare a 4 cose nello svolgimento del volo:
1 - Sicurezza
2 - 3 - 4 - Puntualità - Regolarità - Economia
La prima non si poteva spostare, era sempre al primo posto, le altre
tre variavano di posizione secondo il momento contingente.
Mai, dico mai nemmeno una volta in 28 anni, mi è stata contestata
una decisione presa per mantenere la certezza della sicurezza del
volo, sono stato chiamato a spiegare il perché della scelta, ma mai
ho avuto problemi.
Come lavorano le altre compagnie non lo so.

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 22 marzo 2019, 22:33

tartan ha scritto:

Quale è l'equazione giusta?

Questa:
Immaginebb&t bank around me
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
musicaldoc
05000 ft
05000 ft
Messaggi: 797
Iscritto il: 20 settembre 2010, 19:31

Re: B737 MAX Ethiopian Crashes

Messaggio da musicaldoc » 23 marzo 2019, 0:43

La mia trasparentissima agitazione leggibile tra le righe dei miei interventi in generiche, era dovuta al quadro che mi stavo disegnando leggendovi e che state sottolineando in questi ultimi vostri interventi.

State dando picconate pesantissime a quello che consideravo un mondo quasi perfetto dove i drammi erano dovuti alla naturale impossibilità di raggiungere la perfezione... qui invece pare palese che vite umane, fiducia e moralità siano state sacrificate in nome di una deriva economico manageriale indifendibile.

Anche la mia frase retorica sulla paura, cha ha attirato esternazioni di altri utenti che hanno fatto innervosire air.surfer, erano non sulle macchine ma sul claudicante contorno che crea e gestisce le macchine.

Spero che tutto questo dolore umano e gestionale possa fare storia ed essere studiato come esempio da chi si formerà in futuro e vorrei tanto, desidererei tanto, che voi professionisti abbiate la possibilità di fare quello che purtroppo gli ingegneri Boeing non hanno potuto o avuto la forza di fare.

Una storia tristissima... scusate se mi sono permesso di scrivere qui in tecnica.

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9643
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: B737 MAX Ethiopian Crashes

Messaggio da tartan » 23 marzo 2019, 15:24

Meno male che fra le molte interpretazioni date, in soccorso o contro alcuni costruttori ci sia qualcuno che sa cogliere il succo degli avvenimenti.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9643
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: B737 MAX Ethiopian Crashes

Messaggio da tartan » 23 marzo 2019, 15:34

sigmet ha scritto:
tartan ha scritto:

Quale è l'equazione giusta?

Questa:
Immaginebb&t bank around me
Che ci sia chi investe i soldi e quindi rasenti la linea del financial management è comprensibile, ma che ci siano degli utenti che pur di portare a bordo con loro questo e quell'altro mondo spendendo poco o niente, facciano lo stesso, per me rimane incomprensibile.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: B737 MAX Ethiopian Crashes

Messaggio da Alien » 25 marzo 2019, 15:34

musicaldoc ha scritto: State dando picconate pesantissime a quello che consideravo un mondo quasi perfetto
In realtà, le picconate sono state sferrate dall’articolo del giornale di Seattle. E queste picconate sono dirette a una parte del mondo aeronautico, nella fattispecie Boeing e FAA, e nell’ambito di un preciso processo di certificazione, il B737max. Può anche essere che queste picconate siano esagerate, e facenti parte di un atteggiamento piuttosto sensazionalista. Ma purtroppo mi sembrano realistiche.
Sono ancora ottimista per quanto riguarda tutto il resto.
tartan ha scritto: Quando entrai in Alitalia m insegnarono che bisognava mirare a 4 cose nello svolgimento del volo:
1 - Sicurezza
2 - 3 - 4 - Puntualità - Regolarità - Economia
Questo è a dir poco sacrosanto. Il triste è che tutto lascerebbe supporre che siamo di fronte ad un caso di grave sottostima della categorizzazione di un Hazard. Quindi, direi io, la colpa principale (ce ne sono altre) risiede in questa sottovalutazione da parte dell’ente Safety della Boeing (e relativa controparte FAA, che però, temo, non esista in quanto tale).
Se posso tentare di risollevare un po’ il morale, voglio allora dire che in altri programmi, e l’ho visto con i miei occhi perchè ci ho partecipato, un evento simile (e cioè dati errati in ingresso alle Leggi di Controllo del Flight Control System, non rilevati come tali, ma anzi utilizzati in “buona fede”) è categorizzato CATASTROPHIC.
Questo significa che la probabilità dell’evento DEVE essere minore di 1E-9 per ora di volo. Questo significa che, per arrivare all’evento, bisogna che almeno tre buchi (uno dei quali piccolissimo) del formaggio si allineino, e cioè:
1) avviene una discrepanza nella ridondanza dei sensori (che quindi già devono essere almeno due)
2) il voter-monitor del SW in ingresso al Flight Control non funziona (quasi impossibile)
3) il warning al pilota non funziona (guasto nell’Avionic System) e lui non ha possibilità di intervenire
Possiamo quindi certificare con serenità un aeroplano perchè il prodotto (cioè la AND dei tre) delle probabilità è dimostrabile essere sotto 1E-9.
Sotto questo punto di vista, posso quindi dire che queste tragedie hanno ribadito la correttezza dell’approccio che si è seguito già precedentemente, e che a maggior ragione si seguirà d’ora in avanti.
Giorgio

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 25 marzo 2019, 15:52

Alien ha scritto:
Questo significa che, per arrivare all’evento, bisogna che almeno tre buchi (uno dei quali piccolissimo) del formaggio si allineino, e cioè:
1) avviene una discrepanza nella ridondanza dei sensori (che quindi già devono essere almeno due)
2) il voter-monitor del SW in ingresso al Flight Control non funziona (quasi impossibile)
3) il warning al pilota non funziona (guasto nell’Avionic System) e lui non ha possibilità di intervenire

In realtà nel caso in esame (lion air) ne e' bastato uno solo . Ma ho una domanda: il 737 MAX e' un aereo Fly by wire? :roll: E perche?
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4763
Iscritto il: 22 agosto 2008, 8:33

Re: B737 MAX Ethiopian Crashes

Messaggio da Valerio Ricciardi » 25 marzo 2019, 20:29

Perdonami, Alien.
Se i sensori son due, e un sistema come SW è progettato per intervenire d'autorità prendendo per buono il primo dato che arriva che suggerisca un assetto da correggere, perdi ogni vantaggio nell'averne due invece che uno.

Con due sensori, puoi stabilire che un certo livello di AoA disagree attiva il disinserimento della protezione dell'inviluppo automatico e la consegna della responsabilità al pilota.

Se non prevedi nemmeno quello, puoi averne anche sei di sensori, ma al primo cane che abbaia nella notte tutto il vicinato esce in giardino col fucile in mano pensando ai ladri, e vedendo in giro tante ombre nella notte finisce che si sparano fra vicini.

Mi sta benissimo la probabilità composta. Il tuo ragionamento basato sui vari "uno alla" è impeccabile.
Ma leggo di una possibile modifica al SW che prevederebbe il disinserimento del MCAS in caso un AoA disagree superi i 5 gradi. A me, cinque gradi di differenza paiono proprio tanti.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 25 marzo 2019, 22:46

Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

SuperManufacturer
Rullaggio
Rullaggio
Messaggi: 13
Iscritto il: 28 maggio 2010, 23:16

Re: B737 MAX Ethiopian Crashes

Messaggio da SuperManufacturer » 25 marzo 2019, 22:53

musicaldoc ha scritto:...quello che consideravo un mondo quasi perfetto dove i drammi erano dovuti alla naturale impossibilità di raggiungere la perfezione... qui invece pare palese che vite umane, fiducia e moralità siano state sacrificate in nome di una deriva economico manageriale indifendibile...
Vi ricordo che l'industria aeronautica è appunto... Un' INDUSTRIA...

Avatar utente
MarcoGT
Software Integration Engineer
Software Integration Engineer
Messaggi: 3987
Iscritto il: 8 dicembre 2007, 9:28

Re: B737 MAX Ethiopian Crashes

Messaggio da MarcoGT » 26 marzo 2019, 7:04

sigmet ha scritto:Alla fine conta l'esperienza:
https://www.flightglobal.com/news/artic ... ro-451828/
Ma non capisco l'articolo, o meglio, si, lo capisco, ma non penso c'entri con questo avvenimento visto che è datato 12.09.2018 e parla di ritardi delle consegne dovuti ai problemi con supplier

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4763
Iscritto il: 22 agosto 2008, 8:33

Re: B737 MAX Ethiopian Crashes

Messaggio da Valerio Ricciardi » 26 marzo 2019, 8:08

Nel frattempo pare che si siano spicciati a concludere (lavoro iniziato come disse MarcoGT sicuramente appena dopo l'incidente LionAir) l'aggiornamento del SW che sovrintende al MCAS.
Ma lo scandalo principale è quello della "leggerezza" nella certificazione, come rimarca SuperMau.

Boeing has a software fix ready for its 737 MAX flight control system.
Flight tests are likely this week.

Boeing is finalizing the proposed software update for its 737 MAX flight control system and is giving details to airlines and regulators this week. Meanwhile, the U.S. DOT announced an expert "special committee" to review the entire FAA procedure for certifying new aircraft.

in dettaglio:

https://www.seattletimes.com/business/b ... red%20User

Il criterio "diamo una piccola mano :wink: all'industria nazionale, non complichiamogli troppo la vita che portano PIL e valuta estera..." alla lunga rivela SEMPRE le sue magagne.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5857
Iscritto il: 23 dicembre 2008, 12:08

Re: B737 MAX Ethiopian Crashes

Messaggio da sigmet » 26 marzo 2019, 12:46

MarcoGT ha scritto:
Ma non capisco l'articolo, o meglio, si, lo capisco, ma non penso c'entri con questo avvenimento visto che è datato 12.09.2018 e parla di ritardi delle consegne dovuti ai problemi con supplier
Era ironico..
La genesi di un errore sta pure nella mancanza di risorse (umane)
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Rispondi