ATR 72 Bari-Djerba

Area dedicata alla discussione sugli incidenti e degli inconvenienti aerei e le loro cause. Prima di intervenire in quest'area leggete con attenzione il regolamento specifico riportato nel thread iniziale

Moderatore: Staff md80.it

Avatar utente
imperterrito
02000 ft
02000 ft
Messaggi: 435
Iscritto il: 24 agosto 2008, 15:41

Re: ATR 72 Bari-Djerba

Messaggio da imperterrito » 15 luglio 2009, 15:29

Alien ha scritto:Scusate l'intromissione repentina, ma vorrei fare una considerazione puramente tecnica, da sistemista quale sono: se non sbaglio, l'indicatore del fuel sul ATR è unico. Se è così, allora significa che si accetta che possa guastarsi. E se si accetta che si possa guastare, allora bisogna che le procedure pilota comprendano una controverifica indipendente.

Dal puro punto di vista della Safety, il fatto che l'indicatore sia quello sbagliato o che si possa guastare, è lo stesso. Anzi, è molto meno grave che sia quello sbagliato, rispetto al caso del guasto in volo, in quanto l'errore viene (dovrebbe essere) rilevato a terra prima del volo e non durante il volo, quando ovviamente i problemi sono peggiori.

Non voglio accusare qualche innocente, nè difendere qualche colpevole, ma correggete la mia logica se vi sembra sballata.
Il problema, anche dopo aver seguito il documentario sull'incidente su NG, non è che non sapevano quanto carburante avessero...il fatto è che erano CONVINTI che ci fosse! E l'indicatore sbagliato è stato solo un evento negativo. Il primo errore è stato commesso ancor prima di partire. Il comandante non ha trovato la bolla del rifornimento (perchè non esisteva!), non sapeva quanto carburante avessero immesso. Ma è decollato lo stesso, cosa contraria alle procedure standard. Poi si è verificato il "problema" all'indicatore. Poi, ma qui il comandante aveva responsabilità limitate non sapendo che erano senza carburante, non sono state effettuate tutte le procedure per procedere al meglio con il volo in "planata".

Imperterrito

P.S. Chiedo scusa se ho scritto qualche inesattezza.
Immagine

Avatar utente
JT8D
Administrator
Administrator
Messaggi: 15721
Iscritto il: 2 agosto 2005, 20:38
Località: Limbiate (MB)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da JT8D » 15 luglio 2009, 22:34

Abbaimo avuto l'installazione di uno strumento sbagliato: già il fatto che i due strumenti siano identici, inercambiabili, e senza differenze esteriori (a parte la scritta che indica la massima quantità per serbatoio) è un punto a rischio, potenziale generatore di errori. Ciò che cambia è l'algoritmo di calcolo del fuel presente nei serbatoi, in base alle informazioni ricevute dalle sonde capacitive presenti nei serbatoi stessi.
A parte il discorso che i piloti avrebbero duvuto accorgersi che c'era quancosa di strano, e quindi verificare con le dripstick, c'è un aspetto tecnico dell'impianto che viene evidenziato: l'indicazione di low fuel (ottenuta con due spie sullo strumento e dall'attivazione del master caution) si basa sull'FQI stesso. Non esiste un sistema sdoppiato per l'indicazione del fuel e per l'avviso di low fuel, ma l'attivazione dell'avviso è comandata dall'FQI e si attiva quando il livello scende sotto un dato valore (è anche vero che la normativa non prevedeva per un velivolo classe ATR il sistema di avviso low fuel indipendente dal sistema di indicazione).
Questa è un'altra questione tecnica che avrebbe potuto creare una ulteriore barriera verso l'incidente, nell'ottica di avere maggiore protezione.

Paolo
"La corsa di decollo è una metamorfosi, una quantità di metallo che si trasforma in aeroplano per mezzo dell'aria. Ogni corsa di decollo è la nascita di un aeroplano."

Immagine

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 16 luglio 2009, 10:37

E' umano e perfettamente accettabile che ognuno abbia la tendenza a difendere la propria categoria: io sono un tecnico progettista e forse sto dando l'impressione di voler difendere ATR, ma sto solo cercando di essere obiettivo. Se qualcuno desse un'occhiata al thread sull'Air France, vedrebbe subito che sto criticando il design Airbus.

Sono d'accordo che il P/N dell'indicatore sia unico per 42 e 72; la differenziazione dovrebbe essere fatta sull'interfaccia cockpit, in modo da impedire l'installazione sbagliata. Ma il mio discorso vuole porre l'accento sul fatto che questa soluzione bene o male era stata certificata.

L'indicatore è unico, quindi, potendo guastarsi in ogni momento, va "trasformato" da sistema simplex in sistema duplex con una procedura aggiuntiva di cross-check.
Per quanto ne so io, il comandante è il primo responsabile della quantità di carburante al decollo, quindi, al rifornimento, il sistema duplex consiste nel verificare la quantità effettivamente immessa con l'indicazione dello strumento. Se avesse seguito questa procedura, si sarebbe accorto che le due quantità (indicata e effettiva) erano incongruenti. Non vedo dubbi in proposito.
Da notare che questa procedura risulta valida sia nel caso di errore nel rifornimento sia nel caso di errore nell'indicatore. Ed infatti, visto che sono effettivamente rimasti senza carburante, il rifornimento era sbagliato a prescindere dall'indicatore.

D'altronde, questo indicatore unico per ATR42 e 72 è stato certificato. Quindi, secondo la mia modesta opinione, tutti avevano già implicitamente accettato il fatto che non fosse critico, e che si potesse guastare. E infatti non lo è, ma bisogna eseguire i cross-check per poter salvaguardare la sicurezza. La certificazione di un sistema aeronautico rimane valida a condizione che le procedure anch'esse certificate, vengano sempre seguite. Altrimenti la certificazione stessa non vale più. Questo ovviamente sia per le procedure di volo (pre e post), sia per quelle di manutenzione.
Se si inizia a considerare che un sistema del velivolo deve anche rimediare alle mancanze del pilota, allora, scusate, ma sbagliamo filosofia di design. Nelle auto esiste forse un dispositivo che impedisce al guidatore di investire i pedoni o passare col rosso?

O meglio, forse che un autovelox settato sui 70 non mi deve punire se per caso io viaggio agli 85 con l'indicatore che mi dice 65? Provate a contestare la multa su queste basi...
Giorgio

Avatar utente
sigmet
FL 500
FL 500
Messaggi: 5902
Iscritto il: 23 dicembre 2008, 12:08

Re: ATR 72 Bari-Djerba

Messaggio da sigmet » 16 luglio 2009, 19:29

Alien,ho letto quella relazione per diverse volte e ti assicuro che da come sono andate le cose era una trappola per chiunque.
La causa primaria e' stata indicata nella errata sostituzione del pezzo. Il resto e' andato come e' andato ma rigurdando la dinamica dell'evento mi sono accorto che la sfortuna(in pratica e' come se tu facessi il pieno e l'indicatore di carburante ti va a fondo scala quando invece il serbatoio e' a meta'),ci ha messo lo zampino rendendo quasi "invisibile" un errore determinante.Come detto da Paolo in aviazione bisogna partire da un concetto di "fool proof".Con quell'indicatore teoricamente l'incidente era praticamente inevitabile non potendo comunque stabilire una volta in volo la reale quantita' di carburante.
La colpa poi e' stata addossata in fase processuale prevalentemente all'equipaggio e penso sinceramente che sia stata una cosa vergognosa tanto piu' che dopo quell'incidente sono state emesse tre raccomandazioni a carico del costruttore e della manutenzione.
Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati.

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 17 luglio 2009, 11:51

Quoto Boeing (Aeromagazine No. 8 ):

"Regardless of the nature of erroneous flight instrument indications, some basic actions are key to survival. [...] Some normal procedures are designed, in part, to detect potential problems with erroneous flight instruments to avoid airplane upsets."

L' articolo dice anche che

"During the past 10 years, more than 300 accidents and incidents have been reported as a result of erroneous flight deck information"

Prima di ribadire la mia considerazione su questo indicente in particolare, vorrei partire dalla considerazione generale Boeing.

Esistono procedure disegnate apposta per neutralizzare una situazione critica dovuta a indicazioni errate. Quindi, in altre parole, il mancato conseguimento di una procedura implica un peggioramento volontario della condizione critica, con conseguente drastico abbassamento dei livelli di sicurezza.

Vorrei solamente che qualcuno mi dicesse dove sto sbagliando in questo ragionamento. Se nessuno mi dimostra dove sbaglio, lo considero corretto.

Nel caso particolare, l'indicatore FQI risulta essere un punto singolo. Ora, nei sistemi i punti singoli vengono accettati a patto che la singola failure, che mi fa perdere la funzionalità del punto singolo, non sia catastrofica (norma CS 25-1309 b1 ii). Non conosco la classificazione del FQI, ma se è stato certificato, e sicuramente lo è, visto che vola, essendo singolo non puo' essere stato classificato catastrophic.
Ergo, puo' a tutti gli effetti essere un punto singolo. Quindi, si accetta che si possa guastare, considerando che il back-up sia (come dice Boeing) il conseguimento di una Normal Procedure, per evitare un upset (non una catastrofe come invece è successo alla Tuninter).
E la procedura normale dice che il pilota deve verificare il rifornimento di carburante.

Se voglio essere coerente, e quindi tento di esserlo, dico allora che, fermo restando che il personale responsabile delle procedure di manutenzione Tuninter va severamente punito per aver autorizzato l'installazione di un FQI ATR42 su un ATR72, anche il personale di volo, responsabile delle procedure di volo, va severamente punito per non averle seguite correttamente.

Vorrei aggiungere un aneddoto, per coloro che hanno avuto la pazienza di leggermi. Ero su un volo AA Honolulu-San Francisco. Prima dell'accensione motori, siamo stati fermi un po' di tempo, e il comandante ha quindi deciso di spiegare il motivo dell'attesa della clearance al decollo. Il motivo era che lui stava semplicemente aspettando la conferma via radio che il carburante caricato fosse sufficiente (una tratta così non ha possibili dirottamenti). Io ne avevo dedotto che quindi il livello di safety richiesto fosse ancora superiore ad altri voli non oceanici, visto che oltre al cross-check del pilota si richiede un cross-check aggiuntivo.
Giorgio

tristar
05000 ft
05000 ft
Messaggi: 754
Iscritto il: 17 novembre 2006, 21:16
Località: padova

Re: ATR 72 Bari-Djerba

Messaggio da tristar » 17 luglio 2009, 13:33

Alien ha scritto:Quoto Boeing (Aeromagazine No. 8 ):

"Regardless of the nature of erroneous flight instrument indications, some basic actions are key to survival. [...] Some normal procedures are designed, in part, to detect potential problems with erroneous flight instruments to avoid airplane upsets."

L' articolo dice anche che

"During the past 10 years, more than 300 accidents and incidents have been reported as a result of erroneous flight deck information"

Prima di ribadire la mia considerazione su questo indicente in particolare, vorrei partire dalla considerazione generale Boeing.

Esistono procedure disegnate apposta per neutralizzare una situazione critica dovuta a indicazioni errate. Quindi, in altre parole, il mancato conseguimento di una procedura implica un peggioramento volontario della condizione critica, con conseguente drastico abbassamento dei livelli di sicurezza.

Vorrei solamente che qualcuno mi dicesse dove sto sbagliando in questo ragionamento. Se nessuno mi dimostra dove sbaglio, lo considero corretto.

Nel caso particolare, l'indicatore FQI risulta essere un punto singolo. Ora, nei sistemi i punti singoli vengono accettati a patto che la singola failure, che mi fa perdere la funzionalità del punto singolo, non sia catastrofica (norma CS 25-1309 b1 ii). Non conosco la classificazione del FQI, ma se è stato certificato, e sicuramente lo è, visto che vola, essendo singolo non puo' essere stato classificato catastrophic.
Ergo, puo' a tutti gli effetti essere un punto singolo. Quindi, si accetta che si possa guastare, considerando che il back-up sia (come dice Boeing) il conseguimento di una Normal Procedure, per evitare un upset (non una catastrofe come invece è successo alla Tuninter).
E la procedura normale dice che il pilota deve verificare il rifornimento di carburante.

Se voglio essere coerente, e quindi tento di esserlo, dico allora che, fermo restando che il personale responsabile delle procedure di manutenzione Tuninter va severamente punito per aver autorizzato l'installazione di un FQI ATR42 su un ATR72, anche il personale di volo, responsabile delle procedure di volo, va severamente punito per non averle seguite correttamente.
come non quotare, penso sia assurdo dire il contrario. Questo non significa dire che l'equipaggio vada crocefisso come invece ha fatto intendere certa stampa, semplicemente che ha sbagliato, come sbagliamo tutti, e in avizione purtroppo a volte gli sbagli si pagano cari. Quando in un'analisi di un incidente si riportano gli errori dell'equipaggio, questo non va inteso come una persecuzione dello stesso, semplicemente come un dato oggettivo che possa portare a migliorare le procedure a seguito dell'incidente stesso. Va anche detto che questo è un forum di aviazione, perciò appena tocchi i piloti o figure professionali simili, vai immediatamente a colpire la sensibilità di qualcuno, che ti risponderà subito come la loro professionalità sia infinita e via di questo passo. Penso che questo tipo di equivoci nasca principalmente da questo fatto.

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9749
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da tartan » 17 luglio 2009, 19:03

Alien ha scritto:Quoto Boeing (Aeromagazine No. 8 ):

"Regardless of the nature of erroneous flight instrument indications, some basic actions are key to survival. [...] Some normal procedures are designed, in part, to detect potential problems with erroneous flight instruments to avoid airplane upsets."

L' articolo dice anche che

"During the past 10 years, more than 300 accidents and incidents have been reported as a result of erroneous flight deck information"

Prima di ribadire la mia considerazione su questo indicente in particolare, vorrei partire dalla considerazione generale Boeing.

Esistono procedure disegnate apposta per neutralizzare una situazione critica dovuta a indicazioni errate. Quindi, in altre parole, il mancato conseguimento di una procedura implica un peggioramento volontario della condizione critica, con conseguente drastico abbassamento dei livelli di sicurezza.

Vorrei solamente che qualcuno mi dicesse dove sto sbagliando in questo ragionamento. Se nessuno mi dimostra dove sbaglio, lo considero corretto.

Nel caso particolare, l'indicatore FQI risulta essere un punto singolo. Ora, nei sistemi i punti singoli vengono accettati a patto che la singola failure, che mi fa perdere la funzionalità del punto singolo, non sia catastrofica (norma CS 25-1309 b1 ii). Non conosco la classificazione del FQI, ma se è stato certificato, e sicuramente lo è, visto che vola, essendo singolo non puo' essere stato classificato catastrophic.
Ergo, puo' a tutti gli effetti essere un punto singolo. Quindi, si accetta che si possa guastare, considerando che il back-up sia (come dice Boeing) il conseguimento di una Normal Procedure, per evitare un upset (non una catastrofe come invece è successo alla Tuninter).
E la procedura normale dice che il pilota deve verificare il rifornimento di carburante.

Se voglio essere coerente, e quindi tento di esserlo, dico allora che, fermo restando che il personale responsabile delle procedure di manutenzione Tuninter va severamente punito per aver autorizzato l'installazione di un FQI ATR42 su un ATR72, anche il personale di volo, responsabile delle procedure di volo, va severamente punito per non averle seguite correttamente.

Vorrei aggiungere un aneddoto, per coloro che hanno avuto la pazienza di leggermi. Ero su un volo AA Honolulu-San Francisco. Prima dell'accensione motori, siamo stati fermi un po' di tempo, e il comandante ha quindi deciso di spiegare il motivo dell'attesa della clearance al decollo. Il motivo era che lui stava semplicemente aspettando la conferma via radio che il carburante caricato fosse sufficiente (una tratta così non ha possibili dirottamenti). Io ne avevo dedotto che quindi il livello di safety richiesto fosse ancora superiore ad altri voli non oceanici, visto che oltre al cross-check del pilota si richiede un cross-check aggiuntivo.
Io non mi sento di dimostrare che sbagli, però vorrei fare alcune considerazioni:
Delegare per principio ad una procedura un margine di sicurezza che consente una certificazione, rendendo la procedura parte integrante della certificazione stessa mi mette terrore. Ammettere, da parte del progettista, che una carenza del progetto sia eliminata da una procedura lo ritengo foriero di disgrazie. La mia opinione è che sul progetto non ci deve piovere mai. Nel caso che si riscontrasse una falla, la procedura deve essere provvisoria ed enfatizzata al massimo, mentre la falla deve essere turata al più presto possibile.
Anche io inserisco un aneddoto che già riportai in altro post.
Quando AZ acquistò gli MD11 l'FMC forniva tutte le velocità operative di decollo e di atterraggio, comprese quelle di riattaccata. AZ non ha MAI voluto usare quelle velocità se non come controllo che il personale navigante avesse fatto correttamente i conti soliti, contrariamente a quanto fatto da altre compagnie che usavano direttamente i dati forniti dall'FMC, regolarmente certificati. Questa procedura evidenziò un grossolano errore nel software del FMC che portava ad usare velocità di riattaccata applicabili al peso di decollo anziché al peso di atterraggio. La DACO si affrettò, dopo le nostre comunicazioni, a modificare il software, avvertendo tutti gli operatori dell'errore, subito e con notevole enfasi.
La Boeing può dire e suggerire quello che vuole, ma non può delegare a delle procedure la certificazione delle strumentazioni. Che alcune procedure siano importanti per la sicurezza ed anche legate alla certificazione non lo metto mai in dubbio, ma che siano legate alla certificazione dell'installazione e dell'uso di strumenti, con la scusa che possono dare indicazioni errate, non l'accetterò mai.
E' molto probabile che io non abbia capito niente di quello che hai detto, però mi andava di dire una parte di quello che penso sulla sicurezza aerea.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
JT8D
Administrator
Administrator
Messaggi: 15721
Iscritto il: 2 agosto 2005, 20:38
Località: Limbiate (MB)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da JT8D » 18 luglio 2009, 23:22

tartan ha scritto:Delegare per principio ad una procedura un margine di sicurezza che consente una certificazione, rendendo la procedura parte integrante della certificazione stessa mi mette terrore. Ammettere, da parte del progettista, che una carenza del progetto sia eliminata da una procedura lo ritengo foriero di disgrazie. La mia opinione è che sul progetto non ci deve piovere mai. Nel caso che si riscontrasse una falla, la procedura deve essere provvisoria ed enfatizzata al massimo, mentre la falla deve essere turata al più presto possibile.
Mi trovo molto d'accordo con quanto quotato sopra. Ritengo anch'io abbastanza pericoloso che le procedure vengano usate per rimediare a carenze o errori progettuali.

Nel caso dell'ATR72, premetto che non sono un pilota e quindi non devo difendere nessuna categoria. E' indubbio che l'equipaggio abbia qualche responsabilità, in primis non si è accorto delle anomalie di consumo durante la prima tratta rispetto al pianificato e al rifornimento, cose che avrebbero potuto far capire che l'indicazione non era corretta.
Però esisteva di base una situazione pericolosa: la possibilità di installare l'indicatore su uno o l'altro aereo senza sistemi che impedissero installazioni scorrette, allarmi low fuel non indipendenti, procedure messe in atto dai tecnici non corrette, ma dovute anche a carenze nel database e nel sistema di gestione delle parti di ricambio che non era accurato e che non aiutava il personale a non effettuare errori e ad effettuare le scelte corrette.
La situazione di partenza quindi era decisamente "error inducing": certo, poi le procedure avrebbero potuto scongiurare il fatto, ma se iniziamo ad avere una base di partenza sicura che non immette elementi potenziali generatori di errori, abbiamo già fatto un bel passo nella direzione della sicurezza.
In questo evento, la relazione incentra l'attenzione sull'errore di sostituzione del FQI fatto dai tecnici, errore facilitato da un sistema di gestione non perfetto, e su alcune carenze progettuali che non ponevano barriere all'errore. Non esistevano normative che obbligavano a differenziare gli strumenti o a sdoppiare l'FQI dall'allarme low fuel, quindi il costruttore era in regola e infatti il tutto era certificato. Le raccomandazioni vertono soprattutto verso il costruttore (e i costruttori in generale), raccomandando tra le altre cose di rendere obbligatorio lo sdoppiamento tra FQI e allarmi e di applicare misure atte ad evitare l'intercambiabilità tra strumenti simili per velivoli della stessa famiglia ma aventi caratteristiche interne o prestazioni diverse.
Sarebbe già un passo avanti, indipendentemente dalle procedure.

Paolo
"La corsa di decollo è una metamorfosi, una quantità di metallo che si trasforma in aeroplano per mezzo dell'aria. Ogni corsa di decollo è la nascita di un aeroplano."

Immagine

Avatar utente
Aldus
FL 350
FL 350
Messaggi: 3791
Iscritto il: 25 luglio 2005, 22:06
Località: Varese

Re: ATR 72 Bari-Djerba

Messaggio da Aldus » 19 luglio 2009, 8:23

Anch'io sono daccordo con Paolo.
Capisco tutte le motivazioni possibili, capisco gli eventuali errori fatti dall'equipaggio, le procedure, i controlli,... capisco tutto...ma quello che non capisco è come si possa certificare uno "scatolotto" che può essere montato per errore (perchè di errore di montaggio si è trattato) al posto di un altro, ben sapendo che rischi può comportare una svista del genere. :roll:
Abbiamo i telefonini (sì proprio quelli, i nostri cellulari) che hanno connettori tutti diversi per ovviare a eventuali sviste, e in aeronautica permettiamo che due apparati completamente diversi (anche se simili) possano essere montati in plancia senza restrizioni non dico elettroniche, ma almeno meccaniche?
Suvvia, non si può fare una roba del genere, non ci si può perdere in un simile bicchier d'acqua.
Dico, ma ci vuole tanto fare due slitte di plastica (plastica, mica oro) diverse? Una per l'ATR42 (e il suo strumento), e una per l'ATR72 (e il suo strumento).
E' così tecnologicamente difficile fare una roba del genere a prova di errore?
O un connettore di tipo diverso?
Di sistemi per ovviare a errori del genere ce ne sono a decine, e tutti facilissimi, tanto facili che persino un ragazzino delle scuole medie potrebbe progettarli.

Avatar utente
Ben
05000 ft
05000 ft
Messaggi: 501
Iscritto il: 3 settembre 2006, 8:24
Località: LIPZ/VCE

Messaggio da Ben » 19 luglio 2009, 13:30

Senza aprire un'altra discussione, vedendo la puntata sulla ricostruzione dell'incidente mi è venuto un dubbio.
L'indicatore in cockpit segnava una quantità di carburante non reale perché non era stato installato l'indicatore giusto. E fin qua ci siamo. Ma l'ATR non ha anche un altro indicatore nel pannello del carburante? Forse sbaglio, ma se non vado errato nello sportellino di destra, sotto l'ala, c'è un pannello dove prima del rifornimento si seleziona la quantità di carburante. Là non è segnato il carburante presente in quel momento nel velivolo? Non era possibile notare la discrepanza? Per assurdo mettiamo che l'indicatore segni 500kg, quando in realtà ho 0kg. A me per il volo ne servono 1000kg. Io non vado a selezionare 500kg da rifornire che si aggiungono agli altri 500kg, ma seleziono il blocco di carburante totale, quindi 1000kg. Quindi se anche l'indicatore del cockpit mi dava un'indicazione diversa avrei continuato a leggere una quantità di carburante errata, ma la reale era quella che ho richiesto. No?
Riassumendo, è vero che l'indicatore montato era quello sbagliato, ma quello sul fuel panel non poteva aiutare?

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9749
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re:

Messaggio da tartan » 19 luglio 2009, 14:55

Ben ha scritto:Senza aprire un'altra discussione, vedendo la puntata sulla ricostruzione dell'incidente mi è venuto un dubbio.
L'indicatore in cockpit segnava una quantità di carburante non reale perché non era stato installato l'indicatore giusto. E fin qua ci siamo. Ma l'ATR non ha anche un altro indicatore nel pannello del carburante? Forse sbaglio, ma se non vado errato nello sportellino di destra, sotto l'ala, c'è un pannello dove prima del rifornimento si seleziona la quantità di carburante. Là non è segnato il carburante presente in quel momento nel velivolo? Non era possibile notare la discrepanza? Per assurdo mettiamo che l'indicatore segni 500kg, quando in realtà ho 0kg. A me per il volo ne servono 1000kg. Io non vado a selezionare 500kg da rifornire che si aggiungono agli altri 500kg, ma seleziono il blocco di carburante totale, quindi 1000kg. Quindi se anche l'indicatore del cockpit mi dava un'indicazione diversa avrei continuato a leggere una quantità di carburante errata, ma la reale era quella che ho richiesto. No?
Riassumendo, è vero che l'indicatore montato era quello sbagliato, ma quello sul fuel panel non poteva aiutare?
Seguendo il tuo ragionamento, visto che non conosco gli impianti, se l'indicatore nel cockpit segnava 500 anziché zero, avrei chiesto 500 per arrivare ai mille necessari e se anche l'indicatore nel pannello carburante segnava zero, il rifornimento sarebbe stato 500, come richiesto. Nel cockpit si sarebbe letto 1000 e tutto tornava (sbagliato).
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
Ben
05000 ft
05000 ft
Messaggi: 501
Iscritto il: 3 settembre 2006, 8:24
Località: LIPZ/VCE

Re: Re:

Messaggio da Ben » 19 luglio 2009, 15:58

tartan ha scritto:
Ben ha scritto:Senza aprire un'altra discussione, vedendo la puntata sulla ricostruzione dell'incidente mi è venuto un dubbio.
L'indicatore in cockpit segnava una quantità di carburante non reale perché non era stato installato l'indicatore giusto. E fin qua ci siamo. Ma l'ATR non ha anche un altro indicatore nel pannello del carburante? Forse sbaglio, ma se non vado errato nello sportellino di destra, sotto l'ala, c'è un pannello dove prima del rifornimento si seleziona la quantità di carburante. Là non è segnato il carburante presente in quel momento nel velivolo? Non era possibile notare la discrepanza? Per assurdo mettiamo che l'indicatore segni 500kg, quando in realtà ho 0kg. A me per il volo ne servono 1000kg. Io non vado a selezionare 500kg da rifornire che si aggiungono agli altri 500kg, ma seleziono il blocco di carburante totale, quindi 1000kg. Quindi se anche l'indicatore del cockpit mi dava un'indicazione diversa avrei continuato a leggere una quantità di carburante errata, ma la reale era quella che ho richiesto. No?
Riassumendo, è vero che l'indicatore montato era quello sbagliato, ma quello sul fuel panel non poteva aiutare?
Seguendo il tuo ragionamento, visto che non conosco gli impianti, se l'indicatore nel cockpit segnava 500 anziché zero, avrei chiesto 500 per arrivare ai mille necessari e se anche l'indicatore nel pannello carburante segnava zero, il rifornimento sarebbe stato 500, come richiesto. Nel cockpit si sarebbe letto 1000 e tutto tornava (sbagliato).

Però, quando si guarda il piano di volo e si sceglie il carburante necessario per la tratta, non si aggiunge il carburante a quello che si ha già, ma si prende il totale e lo si inserisce. Quindi se io so che per la tratta mi servono 1500kg, non importa sapere quanto ho o non ho a bordo, inserisco 1500 e la botte mi rifornisce 1500. L'indicatore sul pannello del carburante non era difettoso, no? Non so se il mio ragionamento abbia senso, per quello volevo sentire voi e vedere dove sto sbagliando...

Avatar utente
Aldus
FL 350
FL 350
Messaggi: 3791
Iscritto il: 25 luglio 2005, 22:06
Località: Varese

Re: ATR 72 Bari-Djerba

Messaggio da Aldus » 19 luglio 2009, 16:55

I modi per "sgamare" una svista ci sono, sicuramente, ma non è lì che bisogna puntare il dito.
E' facile col senno di poi dire "avrebbero dovuto fare questo, avrebbero dovuto fare quello".
Quello che secondo me NON deve avvenire in aeronautica è tendere ai piloti delle potenziali "trappole", sperando poi che essi le sgamino per tempo.
I piloti di quell'ATR avevano segnalato loro il malfunzionamento del QFI, e quello strumento era stato sostituito regolarmente (ma erroneamente!) dalla manutenzione.
Così facendo si è tesa una trappola.
I QFI degli ATR sono identici, tranne per una cosa: una piccola serigrafia.
In questa foto si può vedere in cosa divergono i QFI.
Questo è quello dell'ATR-42 (il QFI è quel pannellino posto dietro la leva del brake, in cui si legge in digitale 0850):
http://www.airliners.net/photo/Aeromar/ ... 1381827/L/
Notare la serigrafia.
C'è scritto "TK 2250".

Questo invece è quello dell'ATR-72: http://www.airliners.net/photo/Eurowing ... 0602436/L/
La serigrafia riporta "TK 2500".

Serigrafia a parte, i due strumenti sono perfettamente identici, precisi precisi.
Ora vien da dire "se i piloti notavano la serigrafia diversa, il problema era già risolto".
Certo facile a dirsi, ma a farsi? :roll:
Come si può pretendere che i piloti, già impegnati nelle loro procedure, e attorniati di strumentazione dappertutto, possano andare a leggere una minuscola serigrafia e notare che è diversa?
http://www.airliners.net/photo/Kingfish ... 1230039/L/
Già non si è accorto il meccanico che aveva in mano SOLO quello strumento, e non si è accorto di una serigrafia.
Figuriamoci i piloti che hanno davanti agli occhi decine di strumenti. :roll:

Insomma una trappola.
Immagine
Una vera e propria trappola subdola subdola che poteva essere sgamata, ma che per nessuna ragione al mondo deve essere tesa ai piloti sperando poi che......

Avatar utente
JT8D
Administrator
Administrator
Messaggi: 15721
Iscritto il: 2 agosto 2005, 20:38
Località: Limbiate (MB)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da JT8D » 19 luglio 2009, 17:02

Aldus ha scritto:Suvvia, non si può fare una roba del genere, non ci si può perdere in un simile bicchier d'acqua.
Dico, ma ci vuole tanto fare due slitte di plastica (plastica, mica oro) diverse? Una per l'ATR42 (e il suo strumento), e una per l'ATR72 (e il suo strumento).
Un qualsiasi dispositivo, indipendentemente dal funzionamento, che impedisca l'interscambio, rappresenterebbe una barriera tecnologica verso l'errore, invece di demandare all'attenzione umana l'esattezza delle operazioni. Però nella relazione è chiaramente spiegato che al momento nessuna normativa obbliga ad un intervento del genere. Citando la relazione: "Non esiste quindi una regolamentazione di carettere generale che obblighi i costruttori a prevedere modifiche installative per componenti con stesse funzioni e apparentemente simili dal punto di vista costruttivo, ma con prestazioni diverse, che possono essere montati su distinte tipologie di aeromobili comunque appartenenti alla stessa famiglia". Allo stesso modo, per velivoli della classe dell'ATR, non è obbligatorio secondo le normative di certificazione, sdoppiare gli impianti FQI e allarme low fuel.
Tra le raccomandazioni emesse in seguito, due sono proprio rivolte a questi elementi: in una infatti si richiede di considerare la possibilità di modificare gli impianti per rendere obbligatorio un indicatore low fuel scollegato dall'indicatore, e in un'altra, dato lo stato di rischio potenziale, di prevedere modifiche installative per impedire il montaggio di FQI errati. In attesa della modifca si richiede comunque che le compagnie esercenti mettano in pratica procedure ad hoc per evitare errori, e l'uso di etichette.
Oltre a dichiarare, in un'altra raccomandazione, di promuovere l'effettuazione di studi per definire linee guida e regolamenti riguardo la possibilità di creare modifiche installative atte ad evitare installazioni errate di componenti simili.
Come si vede, gli impianti erano perfettamente in regola, data l'assenza di normative a riguardo e l'assoluta aderenza alle norme di certificazione. Questo incidente ha sollevato il problema, e le raccomandazioni pongono il dito su questo e consigliano modifiche atte ad evitare il ripetersi di casi simili, riconoscendo la potenziale pericolosità di questo fattore.
Che abbiano sbagliato anche gli operatori front line è indubbio, ma questi errori si sono svolti su uno scenario di base già fortemente critico, anche con errori commessi in precedenza dagli operatori di manutenzione, che hanno sbagliato procedure e controlli, favoriti anch'essi però da un sistema software non a prova di errore.
Come ho già detto prima se, anche modificando le norme di certificazione, si eliminano criticità tecniche e si introducono barriere verso l'errore, il contributo alla sicurezza è importante.
Allo stato attuale, oggi, non sono a conoscenza se le raccomandazioni siano state accolte e abbiano generato interventi correttivi da parte del costruttore.

Paolo
"La corsa di decollo è una metamorfosi, una quantità di metallo che si trasforma in aeroplano per mezzo dell'aria. Ogni corsa di decollo è la nascita di un aeroplano."

Immagine

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9749
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da tartan » 19 luglio 2009, 17:07

Dovevo quotare Ben
"Però, quando si guarda il piano di volo e si sceglie il carburante necessario per la tratta, non si aggiunge il carburante a quello che si ha già, ma si prende il totale e lo si inserisce. Quindi se io so che per la tratta mi servono 1500kg, non importa sapere quanto ho o non ho a bordo, inserisco 1500 e la botte mi rifornisce 1500. L'indicatore sul pannello del carburante non era difettoso, no? Non so se il mio ragionamento abbia senso, per quello volevo sentire voi e vedere dove sto sbagliando..."

Per quello che ricordo io il pilota deve conoscere quanto carburante c'è a bordo e deve richiedere il rifornimento solo di quello che gli serve per arrivare alla quantità richiesta per il volo. Se così non fosse, significherebbe demandare al rifornitore la scelta di quanto rifornire, oppure avere a bordo carburante che non serve per il volo ma solo per essere consumato e sballare, comunque, tutti i calcoli fatti per determinare il tow.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
JT8D
Administrator
Administrator
Messaggi: 15721
Iscritto il: 2 agosto 2005, 20:38
Località: Limbiate (MB)
Contatta:

Re: Re:

Messaggio da JT8D » 19 luglio 2009, 17:40

Ben ha scritto:Però, quando si guarda il piano di volo e si sceglie il carburante necessario per la tratta, non si aggiunge il carburante a quello che si ha già, ma si prende il totale e lo si inserisce. Quindi se io so che per la tratta mi servono 1500kg, non importa sapere quanto ho o non ho a bordo, inserisco 1500 e la botte mi rifornisce 1500. L'indicatore sul pannello del carburante non era difettoso, no? Non so se il mio ragionamento abbia senso, per quello volevo sentire voi e vedere dove sto sbagliando...
Il famoso pannellino serve per il rifornimento a punto fisso. In modalità automatica, io seleziono la quantità totale che voglio sia presente nei serbatoi, non la quantità da aggiungere. Il rifornimento procede in maniera automatica e si arresta da solo quando si raggiunge la quantità preimpostata, momento in cui si chiudono le valvole e il flusso viene interrotto.
Però i due indicatori sul pannellino riportano le indicazioni del FQI, in sostanza è un ripetitore dell'FQI. La stessa indicazione riportata dall'FQi in cabina è riportata sui display nel pannellino.

Paolo
"La corsa di decollo è una metamorfosi, una quantità di metallo che si trasforma in aeroplano per mezzo dell'aria. Ogni corsa di decollo è la nascita di un aeroplano."

Immagine

Avatar utente
Ben
05000 ft
05000 ft
Messaggi: 501
Iscritto il: 3 settembre 2006, 8:24
Località: LIPZ/VCE

Re: ATR 72 Bari-Djerba

Messaggio da Ben » 20 luglio 2009, 1:53

tartan ha scritto:Dovevo quotare Ben
"Però, quando si guarda il piano di volo e si sceglie il carburante necessario per la tratta, non si aggiunge il carburante a quello che si ha già, ma si prende il totale e lo si inserisce. Quindi se io so che per la tratta mi servono 1500kg, non importa sapere quanto ho o non ho a bordo, inserisco 1500 e la botte mi rifornisce 1500. L'indicatore sul pannello del carburante non era difettoso, no? Non so se il mio ragionamento abbia senso, per quello volevo sentire voi e vedere dove sto sbagliando..."

Per quello che ricordo io il pilota deve conoscere quanto carburante c'è a bordo e deve richiedere il rifornimento solo di quello che gli serve per arrivare alla quantità richiesta per il volo. Se così non fosse, significherebbe demandare al rifornitore la scelta di quanto rifornire, oppure avere a bordo carburante che non serve per il volo ma solo per essere consumato e sballare, comunque, tutti i calcoli fatti per determinare il tow.
Da quello che vedo a lavoro non è così, il cpt decide il totale di carburante necessario (Block Fuel), lo seleziona o lo comunica all'addetto al rifornimento (anche se dopo verrà controllato durante il walk-around del pilota) e il carburante necessario verrà erogato fino al raggiungimento del Block Fuel richiesto. Non viene quindi selezionato quanto fare per arrivare a ciò che è richiesto.
L'unica compagnia aerea che fa la "controprova" e chiede i litri erogati dalla botte per vedere effettivamente quanto è stato "caricato" nell'aereo, è l'Air France. Tutte le altre si affidano all'indicazione che hanno in cockpit o del pannello.

JT8D ha scritto:
Ben ha scritto:Però, quando si guarda il piano di volo e si sceglie il carburante necessario per la tratta, non si aggiunge il carburante a quello che si ha già, ma si prende il totale e lo si inserisce. Quindi se io so che per la tratta mi servono 1500kg, non importa sapere quanto ho o non ho a bordo, inserisco 1500 e la botte mi rifornisce 1500. L'indicatore sul pannello del carburante non era difettoso, no? Non so se il mio ragionamento abbia senso, per quello volevo sentire voi e vedere dove sto sbagliando...
Però i due indicatori sul pannellino riportano le indicazioni del FQI, in sostanza è un ripetitore dell'FQI. La stessa indicazione riportata dall'FQi in cabina è riportata sui display nel pannellino.

Paolo

Risolto il dubbio, non lo sapevo. Pensavo che i due indicatori non fossero collegati l'uno con l'altro. ;)

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4795
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 25 luglio 2009, 18:11

tartan ha scritto: Delegare per principio ad una procedura un margine di sicurezza che consente una certificazione, rendendo la procedura parte integrante della certificazione stessa mi mette terrore. Ammettere, da parte del progettista, che una carenza del progetto sia eliminata da una procedura lo ritengo foriero di disgrazie. La mia opinione è che sul progetto non ci deve piovere mai. Nel caso che si riscontrasse una falla, la procedura deve essere provvisoria ed enfatizzata al massimo, mentre la falla deve essere turata al più presto possibile.
Trovo queste parole pregne di saggezza pratica, come ci si può aspettare da chi ne ha viste tante e di tutti i generi e perciò sa come nei fatti "possono andare le cose" che è cosa assai più oggettiva di come "devono andare le cose se ognuno opera come pianificato".
Perciò fermo restando che le responsabilità del Comandante ci sono tutte (si è comportato in modo imprudente e superficiale, trattando come cosa di routine un aspetto invece come si è visto essenziale), è per me del tutto inaccettabile che non si sia immediatamente reso impossibile sul piano fisico lo scambio degli indicatori di aeromobili affini. Cercare di rendere "fool safe" un sistema è un dovere primario, quando possibile (temo non sempre sia possibile).
Troppo complesso rifare in breve tempo tutti i pannelli di alluminio dei cockpit in modo che "l'indicatore rotondo non entri nel buco quadrato"?
Bene, allora per ora su tutti gli strumenti per ATR42 si monta un bordino di alluminio ribadito a pressione (non smontabile) di colore giallo, su quelli dell'ATR72 lo stesso, ma di colore verde. Qualsiasi pilota che salga su una aeromobile potrà notare a colpo d'occhio un indicatore col bordo verde in mezzo a tanti altri col bordo giallo, e potrà dire via radio "io non decollo, qualcuno venga a spiegarmi cosa ci fa questo aggeggio del 72 sul mio 42".

Il numero di braccia perse sotto le presse industriali è precipitato quasi a zero da quando per azionare la pressa si debbono premere in contemporanea due pulsanti rossi posti a una distanza - e in posizione tale - che non solo si debbono tenere lontane dalla pressa tutte e due le mani a braccia allargate, ma che non si riuscirebbe nemmeno a farsi premere uno dei due da un fesso che passa e che ci da retta, interferirebbe fisicamente col corpo dell'operatore.

Ci sono mille sistemi di oggettivare la sicurezza, prima di affidarsi al rispetto delle procedure.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
aetio57
10000 ft
10000 ft
Messaggi: 1201
Iscritto il: 11 settembre 2007, 19:21
Località: nel mulino a vento di "MORE"
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da aetio57 » 27 luglio 2009, 10:46

Valerio Ricciardi ha scritto: Ci sono mille sistemi di oggettivare la sicurezza, prima di affidarsi al rispetto delle procedure.
parole sante.... a mio avviso dato che in ambito aeronautico non vige la regola "a prova di imbecille", di fatto uno degli anelli della catena della sicurezza è già criccato in partenza.

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 27 luglio 2009, 10:49

tartan ha scritto: Io non mi sento di dimostrare che sbagli, però vorrei fare alcune considerazioni:
Delegare per principio ad una procedura un margine di sicurezza che consente una certificazione, rendendo la procedura parte integrante della certificazione stessa mi mette terrore. Ammettere, da parte del progettista, che una carenza del progetto sia eliminata da una procedura lo ritengo foriero di disgrazie. La mia opinione è che sul progetto non ci deve piovere mai. Nel caso che si riscontrasse una falla, la procedura deve essere provvisoria ed enfatizzata al massimo, mentre la falla deve essere turata al più presto possibile.
Premetto che simpatizzo con quanto dici, ma alcune precisazioni e spiegazioni sono d'obbligo.

Prima di tutto, tre precisazioni: non si deve confondere il progetto di un sistema con la sicurezza dello stesso. Nè si deve confondere una procedura con una falla del progetto. Nè si deve partire dal presupposto che un guasto non si verificherà mai.

Poi, permettimi di dare alcune spiegazioni aggiuntive.

In linea di principio io posso disegnare un sistema con qualunque ridondanza, ma sceglierò quella minima necessaria a soddisfare le norme di sicurezza. Nel caso specifico, l'ATR ha un solo FQI, cioè il sistema è simplex. Ciò significa che un suo guasto NON ha conseguenze catastrofiche. Infatti, se così fosse, l'Autorità avrebbe imposto due indicatori, in modo da creare un sistema duplex. La mia conclusione è quindi che un sistema composto da un solo indicatore sia progettualmente corretto.
L'indicazione di low fuel invece, se ho capito bene, va modificata da simplex a duplex. Questo significa che ci vuole una variante di progetto in modo da soddisfare una variante di normativa. Ma non possiamo dire che come era prima fosse sbagliato! Soddisfava le normative del tempo. Un progetto risulta sbagliato quando non soddisfa le normative attuali, non quando deve essere modificato a seguito di modifiche di normative. La mia conclusione quindi è che il progetto era corretto con le normative precedenti, e deve essere modificato per essere ancora corretto, con le nuove normative.

Voglio dire, esistono moltissimi progetti per un sistema. I progetti corretti (sui quali non ci piove) sono quelli che soddisfano le norme, mentre quelli incorretti (sui quali ci piove) sono quelli che non soddisfano una o più normative. Ma le normative vengono modificate nel tempo. Si evolvono. Quando cambiano, i progetti vanno adeguati. E, in genere, le normative cambiano a seguito di un incidente.

Per quanto riguarda invece le procedure in generale, non bisogna dimenticare che sono parte integrante della safety di un sistema. Per il semplice motivo che, se così non fosse, non avrebbero ragione di esistere!

Partendo dall'ipotesi che i guasti si verificheranno sempre (nessuno è in grado di garantire il contrario), abbiamo allora bisogno di una funzione di diagnostica nel sistema. Il sistema, cioè, deve essere in grado di rilevare i propri guasti. Il progetto quindi deve prevedere questa funzione diagnostica. In certi casi, però, esistono fattori fisici che mi impediscono la diagnostica automatica. Sto parlando di guasti dormienti, senza sintomi, i quali hanno cioè bisogno di particolari condizioni di volo per provocare sintomi. Esempio classico del FCS è il gioco meccanico nelle superfici, che se eccessivo, provoca flutter.

In questi casi, la diagnostica va affidata per forza di cose alle procedure umane. Le procedure sono parte essenziale della sicurezza di un sistema, che piaccia o no. E queste procedure comprendono sia quelle di terra che quelle di volo.

Il vero problema è un altro, secondo me. Il problema (se ne accennava nel thread sull'incidente Air France) sta nell'interfaccia uomo-macchina. Da un lato, si vuole un sistema che possa sopportare qualunque guasto, mentre dall'altro si vuole che venga lasciata ai piloti una certa capacità decisionale.

Bisogna assolutamente rendersi conto che i due principi sono in contraddizione tra loro.

Un sistema con capacità diagnostica del 100% non lascia alcuna decisione ai piloti. Un sistema con capacità diagnostica dello 0% sovraccarica i piloti. Dobbiamo scegliere congiuntamente un punto intermedio allo x% tra questi due estremi, ed accettare che la responsabilità di un guasto corrispondente ad (1-x)% resti gravata sulle procedure. Fermo restando che il progetto dimostri in sede certificativa che tutti i casi che rientrano nel x% sono correttamente gestiti.
Giorgio

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 27 luglio 2009, 11:05

Valerio Ricciardi ha scritto:
Ci sono mille sistemi di oggettivare la sicurezza, prima di affidarsi al rispetto delle procedure.
Scusatemi, ma non ci siamo. Un velivolo va certificato a fronte di certe normative ben definite, e questo risulta essere l'unico sistema oggettivamente valido da seguire per garantire la sicurezza. La legge è l'unica metodologia oggettiva che esista. E la legge ammette, anzi, impone addirittura, delle procedure.

Altrimenti, invece di mille sistemi, ne abbiamo miliardi! Tutti diversi e nessuno veramente oggettivo.

Faccio un esempio tra questi miliardi: fermarsi al semaforo rosso o alle strisce pedonali è una procedura di sicurezza. Tale procedura viene infranta centinaia di volte al giorno. Ogni tanto capita che qualche pedone venga investito e ucciso dal mancato rispetto di questa semplicissima procedura. Com'è che nessuno inveisce contro il progetto delle auto o del semaforo? Com'è che nessuno mette in dubbio l'oggettività della procedura "con il rosso ci si ferma"?

Il guaio è che, come al solito, in Italia la gente vuole delle leggi più restrittive per far fronte a dei reati che invece vanno considerati e giudicati nell'ambito delle leggi già esistenti.
Giorgio

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4795
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 27 luglio 2009, 11:28

JT8D ha scritto:Un qualsiasi dispositivo, indipendentemente dal funzionamento, che impedisca l'interscambio, rappresenterebbe una barriera tecnologica verso l'errore, invece di demandare all'attenzione umana l'esattezza delle operazioni. Però nella relazione è chiaramente spiegato che al momento nessuna normativa obbliga ad un intervento del genere.
Perfetto, ciò non toglie che questo intervento sarebbe segno di buon senso.
JT8D ha scritto:Tra le raccomandazioni emesse in seguito, due sono proprio rivolte a questi elementi: in una infatti si richiede di considerare la possibilità di modificare gli impianti per rendere obbligatorio un indicatore low fuel scollegato dall'indicatore, e in un'altra, dato lo stato di rischio potenziale, di prevedere modifiche installative per impedire il montaggio di FQI errati. In attesa della modifca si richiede comunque che le compagnie esercenti mettano in pratica procedure ad hoc per evitare errori, e l'uso di etichette.
Oltre a dichiarare, in un'altra raccomandazione, di promuovere l'effettuazione di studi per definire linee guida e regolamenti riguardo la possibilità di creare modifiche installative atte ad evitare installazioni errate di componenti simili. ... ... Questo incidente ha sollevato il problema, e le raccomandazioni pongono il dito su questo e consigliano modifiche atte ad evitare il ripetersi di casi simili, riconoscendo la potenziale pericolosità di questo fattore.
Io trasformerei la raccomandazione in una raccomandazione che dopo un dato lasso di tempo diviene prescrizione obbligatoria, cioè integrata nella normativa di certificazione, tutto qui.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4795
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 27 luglio 2009, 12:04

Alien ha scritto:
Valerio Ricciardi ha scritto: Ci sono mille sistemi di oggettivare la sicurezza, prima di affidarsi al rispetto delle procedure.
Scusatemi, ma non ci siamo. Un velivolo va certificato a fronte di certe normative ben definite, e questo risulta essere l'unico sistema oggettivamente valido da seguire per garantire la sicurezza.
La legge è l'unica metodologia oggettiva che esista. E la legge ammette, anzi, impone addirittura, delle procedure.
E perché mai la ricerca dell'oggettivazione di criteri di sicurezza - man mano che l'esperienza ne mostri progressivamente l'opportunità - dovrebbe essere in contrasto o in contraddizione col doveroso rispetto di leggi e procedure, che per giunta possono essere aggiornate (essendo per loro natura "software", se mi passate la battuta) a costi inferiori rispetto agli interventi "oggettivanti"?
Alien ha scritto: Altrimenti, invece di mille sistemi, ne abbiamo miliardi! Tutti diversi e nessuno veramente oggettivo.
Su questo, mi permetterei di esprimere il mio disaccordo. Un buco quadrato sul pannello di un cockpit nel quale non vuol saperne di entrare uno strumento col retro pentagonale - pericoloso se installato su QUEL quadro strumenti - è un qualcosa di decentemente oggettivo (devi lavorare di Black&Decker, lima e taglierino per aggirarlo), ma non particolarmente complesso. Mi dirai, che non tutto è così semplice da "oggettivare", e probabilmente l'hardware davvero "fool safe" in molti casi è irrealizzabile. Ma quando si può, senza tante menate... perché no?
Alien ha scritto: Faccio un esempio tra questi miliardi: fermarsi al semaforo rosso o alle strisce pedonali è una procedura di sicurezza. Tale procedura viene infranta centinaia di volte al giorno. Ogni tanto capita che qualche pedone venga investito e ucciso dal mancato rispetto di questa semplicissima procedura. Com'è che nessuno inveisce contro il progetto delle auto o del semaforo? Com'è che nessuno mette in dubbio l'oggettività della procedura "con il rosso ci si ferma"?
Perché non mi è noto un sistema, comandato dal semaforo, che freni la vettura se a una certa distanza dallo stesso ancora procede a una velocità tale da far presumere l'intento (o la distrazione) di passare col rosso. Però nessuna procedura è oggettiva. La procedura è una sorta di norma il cui rispetto è demandato SOGGETTIVAMENTE alla diciplina, al buon senso e alla serietà di chi vi è sottoposto. Una coppiglia messa di traverso nel foro di un bullone (come spesso nei mozzi delle ruote delle vetture di vecchia generazione) costituisce invece una economica OGGETTIVAZIONE "meccanica" volta a ridurre di moltissimo l'eventualità che un mozzo si sviti, se per caso il meccanico che doveva serrarlo lo ha fatto "ad occhio" senza utilizzare, per una volta, la chiave dinamometrica (magari perché in quel momento non si ricordava dove l'aveva appoggiata) ed applicando una coppia di serraggio inadeguata a garantirne la tenuta.
Alien ha scritto: Il guaio è che, come al solito, in Italia la gente vuole delle leggi più restrittive per far fronte a dei reati che invece vanno considerati e giudicati nell'ambito delle leggi già esistenti.
Io non voglio leggi più restrittive, io dico che è imutile che negli USA aggravino periodicamente le pene per le lesioni da arma da fuoco causate al prossimo, se poi entrando da un armiere a momenti nemmeno ti guardano in faccia, e se è più facile in certe cittadine del Profondo Sud acquistare munizioni piuttosto che un libro!

Temo di non essere compiutamente riuscito ad esprimere lo spirito delle cose che ho scritto (ad es. Aldus e Tartan mi paiono essere abbastanza d'accordo con me, come filosofia pratica). Ci riprovo, mi debbo essere espresso male.

ESEMPIO 1
la legge dice che un minorenne non deve essere considerato ancora pienamente responsabile delle sue azioni.
Pertanto, se un bimbo di tre anni subisce gravi lesioni (se non la morte) perché ha potuto bere candeggina, in quanto l'adulto cui era demandata la sua sorveglianza è stato tanto stolto da lasciarla nel sottolavello a portata delle sue manine (che hanno già imparato a svitare il tappo a vite della bottiglia del Santal all'arancia), io sanziono con durezza l'adulto, perché non ha rispettato elementari criteri di sicurezza: bastava, SOGGETTIVAMENTE, riporre tutti i flaconi di liquidi pericolosi in uno stipetto molto in alto, non raggiungibile dal bimbo nemmeno avvicinandoci una sedia (cosa che debbo immaginare possa fare).

OGGETTIVAZIONE Ma per intanto, io impongo alle Case che imbottigliano candeggina di utilizzare i tappi col meccanismo "a prova di bambino", che per essere aperti richiedono un movimento combinato di pressione e rotazione, poco istintivo e non alla portata di chi non sappia decifrare l'icona esplicativa, in modo che per intanto se l'adulto non ha rispettato la procedura, entro certi limiti il bimbo è salvo in quanto non riesce COMUNQUE a bere candeggina: il tappo non riesce a svitarlo.
Ciò toglie responsabilità all'adulto? No, no, ma aiuta... ad ottenere il mio scopo primario (la sicurezza del bimbo).
Per me è più importante che il bimbo non beva candeggina, piuttosto che non avere l'occasione di processare un adulto a bimbo morto.

ESEMPIO 2
Chiunque abbia la patente sa, ed è tenuto a sapere, che la retromarcia deve essere inserita solo a veicolo fermo, e dopo aver guardato bene che dietro non stia passando nessuno. Tra l'altro, inserire la retromarcia col veicolo in moto può provocare la rottura di ingranaggi del cambio, il che a una certa velocità può anche portare al blocco delle ruote motrici con possibile perdita di controllo. Chi mette la rétro a 50 km/h è un idiota, deve SOGGETTIVAMENTE starci attento, e se lo fa e fa danni a terzi non ha scusanti, l'errore è suo, non del progettista (procedura).

OGGETTIVAZIONE Poiché in casi limite oltre a rompere il cambio si può arrivare a perdere il controllo dell'auto con possibilità di incidenti e lesioni anche a terzi, io progetto i leveraggi in modo che la posizione della retromarcia - che dò per scontato che PRIMA O POI possa essere inserita per errore da qualcuno a veicolo in moto - non sia "a destra dietro" a fianco della IV o "a destra davanti" a fianco della V, ma "a sinistra avanti" vicino alla I o "a sinistra indietro" vicino alla II. Per giunta, aggiungo un dispositivo meccanico semplicissimo in virtù del quale per poter inserire la rétro debbo contemporaneamente alzare un collarino coassiale alla leva poco sotto il pomo del cambio, come sulle Opel. In tal modo probabilmente il mio "tentativo di sbagliare" verrà frustrato dalla sicura non bypassata con gesto cosciente; e, soprattutto, anche se malgrado tutto ci riuscisse, ciò accadrà a veicolo fermo o al massimo dopo aver lanciato la I marcia. Se la metto dall'altra parte, vicino alla V, e prima o poi qualcuno dopo aver "allungato la IV" in autostrada a 140 infila la rétro invece della V - e quella entra - succede una catastrofe, mi carambola a ruote bloccate e finisce magari sull'altra corsia (e poi nel Telegiornale delle 20).

ESEMPIO 3
Anche il coprilama retrattile di una sega circolare a mano è una oggettivazione della sicurezza, benché dubito che vi sia ancora chi non sappia cosa succede a mettere la mano sotto la lama di una sega circolare. Nessun falegname si è sentito considerato trattato da individuo meno professionale per questo.

Mi fermo qui, di esempi ne potrei citare decine solo a pensarci un attimo. Il succo è: la costante ricerca di modalità "fisiche" di oggettivazione della sicurezza in un progetto (quando ciò è possibile, naturalmente) non è - a mio umilissimo avviso - minimamente in contraddizione con l'assunto che ognuno nella gestione di un sistema complesso deve rispettare una serie di procedure, con serietà, senso di responsabilità e attenzione diuturna.
Spero di essere stato sensato, se no... mi corriggerete.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 28 luglio 2009, 11:15

Valerio Ricciardi ha scritto: E perché mai la ricerca dell'oggettivazione di criteri di sicurezza - man mano che l'esperienza ne mostri progressivamente l'opportunità - dovrebbe essere in contrasto o in contraddizione col doveroso rispetto di leggi e procedure, che per giunta possono essere aggiornate (essendo per loro natura "software", se mi passate la battuta) a costi inferiori rispetto agli interventi "oggettivanti"?
Non credo di aver detto questo. Intendevo dire che i criteri di sicurezza possono solo essere stabiliti da delle norme, e che il progetto deve soddisfare requisiti derivati da queste norme. Senza norme, i criteri di sicurezza sono soggettivi invece che oggettivi.

Il progetto del FQI dell'ATR rispettava queste norme. Il pilota non le ha rispettate. Questo il succo del mio discorso in tre parole. Io vedo una colpa ben maggiore a carico di chi non rispetta una norma-procedura piuttosto di chi non implementa un design che non è richiesto dalle norme stesse.
Valerio Ricciardi ha scritto: Su questo, mi permetterei di esprimere il mio disaccordo. Un buco quadrato sul pannello di un cockpit nel quale non vuol saperne di entrare uno strumento col retro pentagonale - pericoloso se installato su QUEL quadro strumenti - è un qualcosa di decentemente oggettivo (devi lavorare di Black&Decker, lima e taglierino per aggirarlo), ma non particolarmente complesso. Mi dirai, che non tutto è così semplice da "oggettivare", e probabilmente l'hardware davvero "fool safe" in molti casi è irrealizzabile. Ma quando si può, senza tante menate... perché no?
Perchè le norme non lo richiedevano al momento del progetto per essere certificato.

E, in aggiunta, vorrei ribadire che secondo me le norme erano piuttosto corrette, in quanto il FQI non era definito safety critical. A quanto pare, invece, il warning di Low Fuel lo è diventato. Infatti, il design è stato modificato.

Tra parentesi, non è che io sia in disaccordo sulla questione tecnica in sè. Il FQI è un equipaggiamento con lo stesso hardware per ATR42 e 72, ma con software diverso. Ora, invece di modificare lo hardware per avere diversificazione tra 42 e 72, secondo me si potrebbe avere addirittura lo stesso software, ma che sia in grado di riconoscere, tramite per esempio un "pin coding", su quale aereo è montato. Ma, ripeto, questa non è una colpa visto che le norme non lo richiedevano.
Valerio Ricciardi ha scritto:
Alien ha scritto: Faccio un esempio tra questi miliardi: fermarsi al semaforo rosso o alle strisce pedonali è una procedura di sicurezza. Tale procedura viene infranta centinaia di volte al giorno. Ogni tanto capita che qualche pedone venga investito e ucciso dal mancato rispetto di questa semplicissima procedura. Com'è che nessuno inveisce contro il progetto delle auto o del semaforo? Com'è che nessuno mette in dubbio l'oggettività della procedura "con il rosso ci si ferma"?
Perché non mi è noto un sistema, comandato dal semaforo, che freni la vettura se a una certa distanza dallo stesso ancora procede a una velocità tale da far presumere l'intento (o la distrazione) di passare col rosso.
Esatto, quindi, invece di allocare il problema ad una presunta deficienza di progetto, allochiamolo correttamente all'infrazione della procedura. Considera che un tale sistema automatico sarebbe perfettamente fattibile.

Se nessuna norma mi richiede che l'automobile disponga di uno stop automatico al semaforo rosso (per qualunque ragione che non voglio approfondire qui), allora io non accetto colpe se la mia auto non possiede tale dispositivo. Ma devo accettare la colpa di non essermi fermato col rosso, come dice la procedura, che, ripeto, è parte integrante della norma e quindi della safety.
Valerio Ricciardi ha scritto: Però nessuna procedura è oggettiva.
Non direi proprio. Tutte le procedure sono oggettive per definizione. O, perlomeno, devono esserlo, e se non lo sono, è solo perchè sono state scritte male. Da quello che ne so io, in tribunale, il giudizio sull'esecuzione delle procedure si basa su tre fattori principali:

1) il responsabile ha eseguito correttamente oppure no la procedura
2) la procedura è corretta ma scritta male (ambiguità, e quindi non oggettiva)
3) la procedura è sbagliata

Nel caso 1, il pilota o il personale di terra ha una qualche colpa. Nel caso 2, il responsabile delle Technical Publications (e/o l'Airworthiness) ha una qualche colpa. Nel caso 3, l'engineering ha una qualche colpa.
Valerio Ricciardi ha scritto: Una coppiglia messa di traverso nel foro di un bullone (come spesso nei mozzi delle ruote delle vetture di vecchia generazione) costituisce invece una economica OGGETTIVAZIONE "meccanica" volta a ridurre di moltissimo l'eventualità che un mozzo si sviti, se per caso il meccanico che doveva serrarlo lo ha fatto "ad occhio" senza utilizzare, per una volta, la chiave dinamometrica (magari perché in quel momento non si ricordava dove l'aveva appoggiata) ed applicando una coppia di serraggio inadeguata a garantirne la tenuta.
Non propriamente. Un dispositivo antisvitamento è un particolare di progetto che deve soddisfare un requisito che discende da una norma. Se non ho requisiti che mi dicono di installare un dispositivo antisvitamento in una vite, è semplicemente perchè un tale requisito non esiste. Quindi, non lo installo.

Le norme mi generano le specifiche di progetto (insieme alle prestazioni richieste), e le specifiche mi generano il design del sistema. Ecco, in 17 parole ho riassunto qualche migliaio di ore di lavoro.
Valerio Ricciardi ha scritto: Ma per intanto, io impongo alle Case che imbottigliano candeggina di utilizzare i tappi col meccanismo "a prova di bambino", che per essere aperti richiedono un movimento combinato di pressione e rotazione, poco istintivo e non alla portata di chi non sappia decifrare l'icona esplicativa, in modo che per intanto se l'adulto non ha rispettato la procedura, entro certi limiti il bimbo è salvo in quanto non riesce COMUNQUE a bere candeggina: il tappo non riesce a svitarlo.
Certamente, ma questo esempio riguarda una norma di progetto che va rispettata. Io sostengo che il progetto del caso ATR non era carente in quanto un sistema FQI simplex era stato certificato. E se era stato certificato come simplex, non era stato considerato critico dalla certificazione. E se non era stato considerato critico, non aveva bisogno di accorgimenti installativi particolari.

Il tappo della candeggina è un sistema critico, e l'imposizione di un certo progetto è giusta. Penso ci sia una norma al riguardo (se no, non potrebbero commerciare il prodotto).

Quella che tu chiami oggettivazione della sicurezza, se non è coperta da una norma, non puo' essere oggettiva ma rimane soggettiva. Anche io potrei portarti decine di esempi di "migliorie" di sicurezza che in realtà non sono richieste da alcuna norma.

La sicurezza è solo un fattore economico, in quanto costa denaro. Il denaro pubblico viene speso nella produzione di norme di aeronavigabilità (così come paghiamo i parlamentari affinchè scrivano le leggi). Poi, chi vuole vendere un aeroplano, deve dimostrare che il progetto è a norma. E le procedure, non dimentichiamolo mai, fanno parte del progetto e della certificazione ottenuta.
Giorgio

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4795
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 28 luglio 2009, 23:37

Alien ha scritto: (...) i criteri di sicurezza possono solo essere stabiliti da delle norme, e che il progetto deve soddisfare requisiti derivati da queste norme. Senza norme, i criteri di sicurezza sono soggettivi invece che oggettivi.
Beh, diciamo che le norme definiscono indirettamente dei criteri irrinuciabili perché un progetto venga certificato. Che in sistemi particolarmente critici come gli aereoplani debba esistere una "base comune normata" di ogni progetto lo trovo assolutamente sensato e giusto, non si può pensare di lasciare tutto alla buona volontà e alla fantasia dei progettisti.
Ciò non toglie che ogni buona idea che migliori la sicurezza, con una modifica di progetto, una oggettivazione "fisica" che riduca o quasi elimina un dato rischio, un affinamento di una procedura che la renda di più facile ed univoca attuazione anche in condizioni di grave stress operativo, dovrebbero essere i benvenuti anche quando non ancora richiesti dall'evoluzione nel tempo delle norme.
Alien ha scritto:Io vedo una colpa ben maggiore a carico di chi non rispetta una norma-procedura piuttosto di chi non implementa un design che non è richiesto dalle norme stesse.
E penso tu abbia perfettamente ragione, perché il comportamento dei piloti è stato davvero gravemente omissivo - anche se giustifico in parte il fatto che abbiano sprecato tempo e quota nel tentare di riavviare, dal momento che non erano edotti della vera natura dello spegnimento. Dico in parte perché se io parto da Roma per andare a Civitavecchia, e di solito ciò mi richiede 5-6 litri di benzina, se arrivati a due terzi di percorso l'indicatore mi dice che ho consumato metà serbatoio dovrei allarmarmi subito e chiedermi se è l'indicatore in tilt o il serbatoio che è bucato.
Alien ha scritto:
Valerio Ricciardi ha scritto: Mi dirai, che non tutto è così semplice da "oggettivare", e probabilmente l'hardware davvero "fool safe" in molti casi è irrealizzabile. Ma quando si può, senza tante menate... perché no?
Perchè le norme non lo richiedevano al momento del progetto per essere certificato.
Infatti non accuso assolutamente il consorzio ATR per ciò che è successo. Ma adesso che sappiamo che almeno una volta qualcuno ha montato lo strumento del 72 nel 42, mi aspetto un intervento correttivo "fool safe", senza recriminazioni improprie (se l'aereo era certificato, era certificato) ma facendo tesoro dell'evidenza dei fatti e del principio secondo cui una cosa che è già successa potrebbe sempre risuccedere, perché ha già inoppugnabilmente dimostrato di poter succedere. Poi vai a vedere e scopri che i due strumenti differivano per una piccola sigla... certificato, garantito da una procedura chiara e inequivoca... ma troppo poco "fool safe". Pace per il passato, ma adesso mettiamo i bordini gialli e verdi (o facciamo i buchi quadrati e rotondi, o quel che più ti piace).
Alien ha scritto:E, in aggiunta, vorrei ribadire che secondo me le norme erano piuttosto corrette, in quanto il FQI non era definito safety critical. A quanto pare, invece, il warning di Low Fuel lo è diventato. Infatti, il design è stato modificato.
Bene!
Alien ha scritto:Ora, invece di modificare lo hardware per avere diversificazione tra 42 e 72, secondo me si potrebbe avere addirittura lo stesso software, ma che sia in grado di riconoscere, tramite per esempio un "pin coding", su quale aereo è montato. Ma, ripeto, questa non è una colpa visto che le norme non lo richiedevano.
Mi sta bene tutto, anche un connettore di forma diversa con i poli messi in modo incompatibile. Sulle automobili si usa da trent'anni e più per scongiurare errori di polarità quando si connettono fasci di cavi. E sì che il rispetto del codice dei colori dovrebbe da solo bastare ampiamente, è inequivoco.
Alien ha scritto:
Valerio Ricciardi ha scritto:...non mi è noto un sistema, comandato dal semaforo, che freni la vettura se a una certa distanza dallo stesso ancora procede a una velocità tale da far presumere l'intento (o la distrazione) di passare col rosso.
Esatto, quindi, invece di allocare il problema ad una presunta deficienza di progetto, allochiamolo correttamente all'infrazione della procedura. Considera che un tale sistema automatico sarebbe perfettamente fattibile.
Ma certo che lo sarebbe. Però ragioni di costi o di complessità generale del sistema non permettono, di solito, di fare tutto ciò che "fisicamente" può essere fatto, per cui oltre un certo limite ci si deve affidare a procedure. Se no ad es. un aereo non avrebbe più margine... per il carico utile.
Però metter la retromarcia dal lato della I invece che dal ben più rischioso (potenzialmente, e solo se non ho rispettato le procedure) lato della IV e della V posso farlo senza né aumentare la complessità del sistema, né il peso, né i costi. Perciò, ogni qualvolta si individui una possibiltà "di buon senso" del genere, io auspico che ciò venga fatto al più presto possibile.
Alien ha scritto:Da quello che ne so io, in tribunale, il giudizio sull'esecuzione delle procedure si basa su tre fattori principali:
1) il responsabile ha eseguito correttamente oppure no la procedura
2) la procedura è corretta ma scritta male (ambiguità, e quindi non oggettiva)
3) la procedura è sbagliata
Nel caso 1, il pilota o il personale di terra ha una qualche colpa. Nel caso 2, il responsabile delle Technical Publications (e/o l'Airworthiness) ha una qualche colpa. Nel caso 3, l'engineering ha una qualche colpa.
Perfettamente d'accordo.
Alien ha scritto:
Valerio Ricciardi ha scritto: Una coppiglia messa di traverso nel foro di un bullone (come spesso nei mozzi delle ruote delle vetture di vecchia generazione) costituisce invece una economica OGGETTIVAZIONE "meccanica" volta a ridurre di moltissimo l'eventualità che un mozzo si sviti...
Non propriamente. Un dispositivo antisvitamento è un particolare di progetto che deve soddisfare un requisito che discende da una norma. Se non ho requisiti che mi dicono di installare un dispositivo antisvitamento in una vite, è semplicemente perchè un tale requisito non esiste. Quindi, non lo installo.
Se mi rendo conto a un certo punto che è utile, perché no? L'importante è che lo ingegnerizzi bene, e che l'installazione non confligga con norme che posso contribuire con le mie segnalazioni a far evolvere, ma che sino a nuovo ordine debbo rispettare.
Alien ha scritto:Le norme mi generano le specifiche di progetto (insieme alle prestazioni richieste), e le specifiche mi generano il design del sistema.
Questo è perfettamente vero, tant'é che ad esempio pochi sanno che l'ABS sulle vetture in produzione non è affatto obbligatorio in virtù di qualche norma. Semplicemente, di fatto una vettura che non lo monti di fatto alle prove di omologazione non riesce a soddisfare, alle misure, i requisiti minimi richiesti per essere certificata. Se qualche Casa riuscisse, per le sue vetture più economiche, a soddisfare le prestazioni di stabilità in frenata che esigono le norme con qualcosa di meno costoso di un impianto ABS, possiamo credere che questo resterebbe appannaggio delle vetture un po' più costose e sparirebbe dalle "low cost". Ma per ora ciò non accade.
Alien ha scritto:Io sostengo che il progetto del caso ATR non era carente in quanto un sistema FQI simplex era stato certificato. E se era stato certificato come simplex, non era stato considerato critico dalla certificazione. E se non era stato considerato critico, non aveva bisogno di accorgimenti installativi particolari.
E chi dice il contrario? Ma se per rendermi ancora più felice ATR dovesse differenziare i bordini dei suoi FQI, ciò non le costerebbe meno sacrificio :oops: che leggere i miei post? :mrgreen:
Alien ha scritto:Il tappo della candeggina è un sistema critico, e l'imposizione di un certo progetto è giusta. Penso ci sia una norma al riguardo (se no, non potrebbero commerciare il prodotto).
In questo caso è proprio così: il legislatore, suffragato dal parere di esperti che analizzarono gli incidenti verificatisi, ha introdotto una norma che ha precorso eventuali iniziative dello stesso tenore poste in essere dai fabbricanti di candeggina, acidi e altri liquidi pericolosi.
Alien ha scritto:La sicurezza è solo un fattore economico, in quanto costa denaro. Il denaro pubblico viene speso nella produzione di norme di aeronavigabilità (così come paghiamo i parlamentari affinchè scrivano le leggi). Poi, chi vuole vendere un aeroplano, deve dimostrare che il progetto è a norma. E le procedure, non dimentichiamolo mai, fanno parte del progetto e della certificazione ottenuta.
Concordo. Anche se per me la sicurezza è un fattore che ha certo dei diretti risvolti economici, ma che nasce da una esigenza immateriale che noi riferiamo culturalmente alla dimensione etica.
Buona notte. :wink:
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
Aldus
FL 350
FL 350
Messaggi: 3791
Iscritto il: 25 luglio 2005, 22:06
Località: Varese

Re: ATR 72 Bari-Djerba

Messaggio da Aldus » 29 luglio 2009, 1:01

Alien ha scritto:
Non direi proprio. Tutte le procedure sono oggettive per definizione. O, perlomeno, devono esserlo, e se non lo sono, è solo perchè sono state scritte male. Da quello che ne so io, in tribunale, il giudizio sull'esecuzione delle procedure si basa su tre fattori principali:

1) il responsabile ha eseguito correttamente oppure no la procedura
2) la procedura è corretta ma scritta male (ambiguità, e quindi non oggettiva)
3) la procedura è sbagliata

Nel caso 1, il pilota o il personale di terra ha una qualche colpa. Nel caso 2, il responsabile delle Technical Publications (e/o l'Airworthiness) ha una qualche colpa. Nel caso 3, l'engineering ha una qualche colpa.
Alien (curiosity, ma perchè proprio sto nick? Alien è il mostro cinematografico che più in assoluto mi riempie di orrore :D ) secondo me ci si sta perdendo in un biccher d'acqua.
Si parla di "giudizi", di "procedure", del "di chi è la colpa", etc etc, ma aldilà di tutto questo c'è di mezzo la vita delle persone.
Le domande che hai esposto posso avere tutte la stessa risposta volendo.
Ed è questo "volendo" che va sistemato.
Esempio.
Domanda 1) il responsabile ha eseguito correttamente oppure no la procedura?
Possibile risposta: L'ha eseguita correttamente perchè il sistema impedisce fisicamente procedure errate.
Domanda 2) la procedura è corretta ma scritta male?
Possibile risposta: Anche se lo fosse, il sistema impedisce fisicamente procedure errate.
Domanda 3) la procedura è sbagliata?
Possibile risposta: Impossibile, il sistema impedisce fisicamente procedure errate.

Questo è il succo (secondo me) del discorso (relativo a QUESTO episodio specifico). :roll:

Un cappuccetto di una piletta da 9 voltes è impossibile (fisicamente) da montare al contrario.
Un hard disk SCSI non si riesce a connettere (fisicamente) a un pc dotato di interfaccia Eide.
Il cellulare di mio fratello non si riesce (fisicamente) ad attaccarlo all'alimentatore del mio.
Sono tre esempi, soltanto tre esempi a prova di errore al 100%, e nonostante le procedure, i manuali, le avvertenze, etc etc, rimangono fisicamente a prova di errore al 100%.
Errore che se anche capitasse in questi apparati, non ucciderebbero nessuno.
Eppure sono stati fatti per avere un errore fisico di montaggio pari a zero.

Sull'ATR, per quanto possa sembrare assurdo, questo errore esiste.
Ebbene NON deve esistere, ma proprio nella maniera più assoluta, e non deve divenire una scelta di normative, di manuali, di procedure.
Prima di tutto questo deve essere fisicamente impossibile commettere quell'errore, senza senza scuse, senza se, senza ma.
Riscrivere tonnellate di fogli di carta, mandare in giro volantini di avviso ("state attenti quì...state attenti là"), fare nuove normative sulle procedure di montaggio, ingrandire le serigrafie, cambiare i codici, mettere le mascherine colorate,... etc etc...., è solo un modo di ballare il valzer, di continuare a orbitare intorno al bersaglio senza mai fare centro.
Non c'è bisogno di queste cose.
C'è solo bisogno solo una coppia di connettore diversi, o due scatolotti dalla forma diversa, tali da non essere interscambiati fisicamente l'uno al posto dell'altro.
Fine del problema, anzi fine di tutti i problemi.
E senza aggiungere Leggi, senza aggiungere normative, senza aggiungere carta, senza aggiungere un bel nulla.
Quel sistema diviene al 100% a prova di scemo, esattamente come lo è un cappuccetto di una piletta da 9 volts.
E se lo è una piletta.........(puntini puntini puntini).

L'incidente dell'ATR non è stato causato a "livello primordiale" da errore del manutentore o del pilota.
E' stato causato dal fatto che è stato possibile (assurdo ma vero) montare le ruote di un TRATTORE sul mozzo di una FIAT PANDA, senza che il progetto lo impedisse fisicamente. :?
Questa è l'assurdità primordiale che si cela dietro quell'evento, soltanto questo.
Tutto il resto viene dopo, non prima.
E va risolto il "prima", non il "dopo".
Risolviamo il "prima", e vedrete che simili incidenti (dovuti a questo specifico errore) spariranno per l'eternità come per magia.

Avatar utente
Valerio Ricciardi
FL 450
FL 450
Messaggi: 4795
Iscritto il: 22 agosto 2008, 8:33

Re: ATR 72 Bari-Djerba

Messaggio da Valerio Ricciardi » 29 luglio 2009, 9:03

Aldus ha scritto: Le domande che hai esposto posso avere tutte la stessa risposta volendo.
Ed è questo "volendo" che va sistemato.
Esempio.
Domanda 1) il responsabile ha eseguito correttamente oppure no la procedura?
Possibile risposta: L'ha eseguita correttamente perchè il sistema impedisce fisicamente procedure errate.
Domanda 2) la procedura è corretta ma scritta male?
Possibile risposta: Anche se lo fosse, il sistema impedisce fisicamente procedure errate.
Domanda 3) la procedura è sbagliata?
Possibile risposta: Impossibile, il sistema impedisce fisicamente procedure errate.

Un cappuccetto di una piletta da 9 voltes è impossibile (fisicamente) da montare al contrario.
Un hard disk SCSI non si riesce a connettere (fisicamente) a un pc dotato di interfaccia Eide.
Il cellulare di mio fratello non si riesce (fisicamente) ad attaccarlo all'alimentatore del mio.
Sono tre esempi, soltanto tre esempi a prova di errore al 100%, e nonostante le procedure, i manuali, le avvertenze, etc etc, rimangono fisicamente a prova di errore al 100%.
Aldus, sai bene quanto sfondi una porta aperta, ma adesso stai estremizzando un po' il discorso, dato che
non possiamo illuderci che tutto possa essere reso fisicamente "fool safe": c'è chi dice "è impossibile realizzare davvero qualcosa a prova di stupido, perché gli stupidi son troppo ingegnosi".

Perciò le "regole" e le "procedure" di cui parla Alien comunque non sono in sé un noioso fardello della burocrazia. Servono queste e quelle. ((Quanto son cerchiobottista, mi pare di essere Veltroni).

ESEMPIO LAMPANTE Tutti i contenitori di soda caustica liquida (utilizzata nelle lavastoviglie industriali dei grandi bar e ristoranti ecc) sono dotati di tappo antibambino (anche "antibambino sveglio", è pure duro per chi sa come fare), nonché di etichette terroristiche, teschi e tibie a gògo stampati da ogni parte dell'etichetta, pure in rilievo sulla plastica della bottiglia vicino al collo. Parrebbe abbastanza "fool safe".
Ma ogni tanto, qualcuno continua a travasarne un po' in una bottiglia vuota di plastica dell'acqua minerale, e qualche rara volta la fa bere al cliente che quando non muore passa un guaio gigantesco con esofago da trapiantare ec ecc.
Aldus ha scritto:Sull'ATR, per quanto possa sembrare assurdo, questo errore esiste. Ebbene NON deve esistere, ma proprio nella maniera più assoluta, e non deve divenire una scelta di normative, di manuali, di procedure. Prima di tutto questo deve essere fisicamente impossibile commettere quell'errore, senza senza scuse, senza se, senza ma.
C'è solo bisogno solo una coppia di connettore diversi, o due scatolotti dalla forma diversa, tali da non essere interscambiati fisicamente l'uno al posto dell'altro. Fine del problema, anzi fine di tutti i problemi.
Bé, non proprio, perché nessuno impedisce a un pilota se non rispetta nessuna procedura di non guardare l'indicatore, chiedere dal finestrino del cockpit "benzina, acqua, olio... tutto a posto, Jussuf?", sentirsi dire da un operatore di rampa mezzo assonnato "Tranquillo, Alì, vola vola e buon viaggio ci vediamo stasera per mangiare insieme il kebab" e decollare quasi a secco. I buchi sul cockpit sono diversi, gli indicatori incompatibili, l'ATR cade ugualmente (ho fatto una battutaccia per semplificare, naturalmente). Però una banale oggettivazione "fisica" nel nostro caso avrebbe molto contribuito a interrompere la catena degli eventi che ha portato all'incidente.
Aldus ha scritto:L'incidente dell'ATR non è stato causato a "livello primordiale" da errore del manutentore o del pilota.
E' stato causato dal fatto che è stato possibile (assurdo ma vero) montare le ruote di un TRATTORE sul mozzo di una FIAT PANDA, senza che il progetto lo impedisse fisicamente. :? Questa è l'assurdità primordiale che si cela dietro quell'evento, soltanto questo. Tutto il resto viene dopo, non prima. E va risolto il "prima", non il "dopo".
Anche questo è eccessivo, pure con gli indicatori scambiati uno staff di terra e di volo meticoloso e un po' più "tetesco ti Cermania" avrebbe potuto notare che qualcosa non andava o non era chiaro, ed insospettirsi. Se no si entra in un circolo vizioso connesso all'illusione che l'oggettivazione possa sostituirsi alla responsabilità: per dire, ci ritroveremmo in prospettiva a correre tutti come matti sulle strade a curve di notte sul bagnato "tanto c'ho l'ABS 24.21 a quattro sensori e quattro canali, tanto c'ho l'ESP di ottava generazione che bene o male tengono in strada la macchina comunque". E non è proprio così, come prova la supertotalefolleassurdità della soda caustica nelle bottiglie di acqua minerale. A un dato punto, serve anche introdurre una norma che dice "se in un ispezione l'incaricato preposto trova soda caustica in un contenitore diverso dal packaging di sicurezza originale, la licenza del bar/ristorante viene revocata definitivamente anche se non è avvenuto nessun incidente". Così per paura di una sanzione così definitiva si decidono a starci attenti davvero. Cioè, oltre all'oggettivazione in molti casi serve anche una stringente procedura obbligatoria, che preveda alla bisogna sanzioni (in aeronautica, la revoca delle certificazioni a prescindere da eventuali processi) se non rispettata.

Ciò non toglie che io trovo molto pratico applicare l'oggettivazione della sicurezza ogniqualvolta possibile: un fatto di mentalità. Buona giornata a tutti.
Che le cose siano così, non vuol dire che debbano andare così. Solo che, quando si tratta di rimboccarsi le maniche e incominciare a cambiare, vi è un prezzo da pagare, ed è allora che la stragrande maggioranza preferisce lamentarsi piuttosto che fare.
Giovanni Falcone

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 29 luglio 2009, 11:43

Aldus ha scritto: Alien (curiosity, ma perchè proprio sto nick? Alien è il mostro cinematografico che più in assoluto mi riempie di orrore :D )
Due ragioni: una vorrebbe essere un tributo a Giger, il pittore svizzero che secondo me ha molto talento nel dipingere creature e cose che provocano veramente delle emozioni nello spettatore (come tu stesso dici); l'altra semplicemente perchè in questo mondo certe volte, anzi spessissimo, mi sento un alieno.... :roll:
Aldus ha scritto: secondo me ci si sta perdendo in un biccher d'acqua.
Ti dò ragione per quanto riguarda la discussione tra me e Valerio: siamo tutti e due un po' troppo prolissi.

Ma in linea di principio (cerco allora di restare sul generale) non posso essere completamente d'accordo.

Diciamo che, se a seguito di un incidente, ci si accorge che un certo design andrebbe modificato, allora si deve modificare la norma in modo che dia un requisito aggiuntivo sul design futuro. Non mi piace molto che invece si incolpi un design passato che non era fuori norma. Quello che era carente non era il design ma la norma. Infatti, le norme sono in continua evoluzione e continue aggiunte e modifiche (anche e soprattutto a seguito incidenti) migliorano la sicurezza del design.

Se io guardo allora l'incidente Birgenair 301 del 1996, vedo che una singola avaria ad un pitot mi ha provocato una catastrofe. Com'è che nessuno critica allora il design del sistema dati aria? I canali indipendenti sono tre, e nel cockpit vengono visualizzati indipendentemente (un PFD per il Captain, uno per il FO, e uno di stand-by). Se io modificassi il design in modo che i tre canali fossero votati da un sistema automatico, che mi isolasse il canale guasto, e poi fornisse agli utilizzatori il parametro votato dei due rimasti buoni, allora non sarebbe accaduta la catastrofe. Gli strumenti nel cockpit avrebbero indicato dati coerenti e corretti (al decollo il Captain leggeva 30kts quando il FO ne leggeva 80). Il warning fasullo di overspeed non sarebbe apparso. 189 persone sarebbero ancora vive. E mi sembra che questo discorso sia valido per Boeing come per Airbus.

Così come la modifica al FQI dell'ATR eviterebbe letture sbagliate, anche questa modifica eviterebbe letture sbagliate. Perchè nel caso Tuninter ci si focalizza sul design e nel Birgenair no?

Per essere coerenti, bis0gnerebbe invece ammettere che in entrambi i casi il design era a norma.

Ma bisognerebbe allora modificare la norma prima di criticare un design che è a norma.

In ultimo, faccio notare che il discorso sugli ADIRS qui è off-topic. L'avevo iniziato nel thread sull'incidente Air France, e mi piacerebbe portarlo avanti di la'.
Giorgio

enricofox
Banned user
Banned user
Messaggi: 154
Iscritto il: 21 giugno 2009, 18:04

Re: ATR 72 Bari-Djerba

Messaggio da enricofox » 29 luglio 2009, 12:59

Rigurado alla compatibilita tra i conettori degli indicatori.
Sono concessionario di una casa madre giapponese di stampanti elettroniche particolari...ebbene non vi e la possibilita di sbagliare sostituendo una scheda elettronica semplicemente perche ogni connettore e differente dall altro sia come colore sia come piedinatura.

Insomma non ce la possibilita fisica che un connettore entri su un altro!

Robetta da 300 a 4000 euro di valore massimo!

Avatar utente
tartan
Aircraft Performance Supervisor
Aircraft Performance Supervisor
Messaggi: 9749
Iscritto il: 13 gennaio 2008, 18:40
Località: Ladispoli (Roma)
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da tartan » 29 luglio 2009, 14:34

Avete tutti ragione, i vostri ragionamenti non fanno una grinza, ma io sono in accordo pieno solo con aldus.
Non porto riferimenti perché non riesco a quotare solo le parti che mi interessano, riporto solo questo di seguito (con copia e incolla).
"La sicurezza è solo un fattore economico, in quanto costa denaro. Il denaro pubblico viene speso nella produzione di norme di aeronavigabilità (così come paghiamo i parlamentari affinchè scrivano le leggi). Poi, chi vuole vendere un aeroplano, deve dimostrare che il progetto è a norma. E le procedure, non dimentichiamolo mai, fanno parte del progetto e della certificazione ottenuta."
Leggendo mi viene da piangere e da ridere (specialmente per la parte relativa ai parlametari). Tutto vero ma anche tutto teorico, salvo che costa denaro.
L'unico fatto pratico è che costa denaro, il resto è solo fuffa.
Ho letto di norme aeronautiche che se varate sarebbero costate l'ira di dio, e quindi sono sparite dalle bozze di modifica delle norme o sono state modificate in norme meno chiare e più interpretabili da tutti, progettisti e operatori.
Comunque, quello che volevo contestare, in breve, era l'affermazione che le procedure possano supplire a carenze di progettazione. Non accetto che ci si ripari dietro le procedure. Se viene definito safe un solo indicatore, non può essere accettata come safe la possibilità che si possano montare indicatori che danno indicazioni differenti nello stesso posto giustificando la decisione con il rispetto delle norme e la presenza di una procedura.
In quanto al semaforo, se gli intervalli di tempo fra i colori non sono adeguati alle prestazioni degli automobilisti medio/rinco non c'è norma o procedura che possa assolvere il progettista del semaforo.
Scusate se cercando di sintetizzare non sono stato chiaro. Quando avrò più tempo cercherò di spiegarmi meglio.
La mia vita è dove mi spendo, non dove mi ingrasso!
Prima o poi si muore, non c'è scampo, l'importante è morire da vivi.
http://web.tiscali.it/windrider/
Prima di pretendere un diritto devi assolvere almeno ad un dovere.

Avatar utente
aetio57
10000 ft
10000 ft
Messaggi: 1201
Iscritto il: 11 settembre 2007, 19:21
Località: nel mulino a vento di "MORE"
Contatta:

Re: ATR 72 Bari-Djerba

Messaggio da aetio57 » 29 luglio 2009, 14:43

Aldus ha scritto:
Alien ha scritto:
Non direi proprio. Tutte le procedure sono oggettive per definizione. O, perlomeno, devono esserlo, e se non lo sono, è solo perchè sono state scritte male. Da quello che ne so io, in tribunale, il giudizio sull'esecuzione delle procedure si basa su tre fattori principali:

1) il responsabile ha eseguito correttamente oppure no la procedura
2) la procedura è corretta ma scritta male (ambiguità, e quindi non oggettiva)
3) la procedura è sbagliata

Nel caso 1, il pilota o il personale di terra ha una qualche colpa. Nel caso 2, il responsabile delle Technical Publications (e/o l'Airworthiness) ha una qualche colpa. Nel caso 3, l'engineering ha una qualche colpa.
Alien (curiosity, ma perchè proprio sto nick? Alien è il mostro cinematografico che più in assoluto mi riempie di orrore :D ) secondo me ci si sta perdendo in un biccher d'acqua.
Si parla di "giudizi", di "procedure", del "di chi è la colpa", etc etc, ma aldilà di tutto questo c'è di mezzo la vita delle persone.
Le domande che hai esposto posso avere tutte la stessa risposta volendo.
Ed è questo "volendo" che va sistemato.
Esempio.
Domanda 1) il responsabile ha eseguito correttamente oppure no la procedura?
Possibile risposta: L'ha eseguita correttamente perchè il sistema impedisce fisicamente procedure errate.
Domanda 2) la procedura è corretta ma scritta male?
Possibile risposta: Anche se lo fosse, il sistema impedisce fisicamente procedure errate.
Domanda 3) la procedura è sbagliata?
Possibile risposta: Impossibile, il sistema impedisce fisicamente procedure errate.

Questo è il succo (secondo me) del discorso (relativo a QUESTO episodio specifico). :roll:

Un cappuccetto di una piletta da 9 voltes è impossibile (fisicamente) da montare al contrario.
Un hard disk SCSI non si riesce a connettere (fisicamente) a un pc dotato di interfaccia Eide.
Il cellulare di mio fratello non si riesce (fisicamente) ad attaccarlo all'alimentatore del mio.
Sono tre esempi, soltanto tre esempi a prova di errore al 100%, e nonostante le procedure, i manuali, le avvertenze, etc etc, rimangono fisicamente a prova di errore al 100%.
Errore che se anche capitasse in questi apparati, non ucciderebbero nessuno.
Eppure sono stati fatti per avere un errore fisico di montaggio pari a zero.

Sull'ATR, per quanto possa sembrare assurdo, questo errore esiste.
Ebbene NON deve esistere, ma proprio nella maniera più assoluta, e non deve divenire una scelta di normative, di manuali, di procedure.
Prima di tutto questo deve essere fisicamente impossibile commettere quell'errore, senza senza scuse, senza se, senza ma.
Riscrivere tonnellate di fogli di carta, mandare in giro volantini di avviso ("state attenti quì...state attenti là"), fare nuove normative sulle procedure di montaggio, ingrandire le serigrafie, cambiare i codici, mettere le mascherine colorate,... etc etc...., è solo un modo di ballare il valzer, di continuare a orbitare intorno al bersaglio senza mai fare centro.
Non c'è bisogno di queste cose.
C'è solo bisogno solo una coppia di connettore diversi, o due scatolotti dalla forma diversa, tali da non essere interscambiati fisicamente l'uno al posto dell'altro.
Fine del problema, anzi fine di tutti i problemi.
E senza aggiungere Leggi, senza aggiungere normative, senza aggiungere carta, senza aggiungere un bel nulla.
Quel sistema diviene al 100% a prova di scemo, esattamente come lo è un cappuccetto di una piletta da 9 volts.
E se lo è una piletta.........(puntini puntini puntini).

L'incidente dell'ATR non è stato causato a "livello primordiale" da errore del manutentore o del pilota.
E' stato causato dal fatto che è stato possibile (assurdo ma vero) montare le ruote di un TRATTORE sul mozzo di una FIAT PANDA, senza che il progetto lo impedisse fisicamente. :?
Questa è l'assurdità primordiale che si cela dietro quell'evento, soltanto questo.
Tutto il resto viene dopo, non prima.
E va risolto il "prima", non il "dopo".
Risolviamo il "prima", e vedrete che simili incidenti (dovuti a questo specifico errore) spariranno per l'eternità come per magia.
Rif. http://www.md80.it/bbforum/viewtopic.ph ... 55#p544655

allora sei d'accordo con il mio ragionamento, anche se lì lo avevo ridotto ai minimi termini (ma il succo alla fine- senza girarci troppo intorno- è quello...) :bigsmurf:

Avatar utente
Aldus
FL 350
FL 350
Messaggi: 3791
Iscritto il: 25 luglio 2005, 22:06
Località: Varese

Re: ATR 72 Bari-Djerba

Messaggio da Aldus » 29 luglio 2009, 15:00

(Per Valerio e Alien)

Non sto dicendo che TUTTO quanto in un aeroplano può essere a prova di "cappuccetto della pila da 9 volts".
Sarei un pazzo se potessi pensarlo.
Il mio discorso terra terra è riferito solo ed esclusivamente al questo tipo di incidente, capitato a questo tipo di aeromobile, e causato da un motivo ben noto e preciso.
Quella potenziale falla avrebbe già dovuto essere risolta.
Faccio un esempio.
Supponiamo che Intel e Amd facciano due processori che, strano ma vero, si innestano nello stesso zoccolo (ma che, in caso di innesto sbagliato, porta irrimediabilmente il Pc a dare i numeri e/o informazioni errate).
L'unico modo per impedire l'errore catastrofico è solo la serigrafia posta sul dorso dei processori.
Altri modi non ce ne sono.
Ma è sufficiente?
Sì e no, è solo questione di tempo, ma prima o poi è quasi matematico che in fase di manutenzione un processore finisca erroneamente nel posto sbagliato.
I QFI degli ATR sono progettati per fare esattamente come l'esempio qui sopra: si possono interscambiare, nulla lo impedisce, e il risultato è un sistema che dà i numeri e fornisce informazioni errate.
Questo non deve avvenire per nessuna ragione al mondo.
Basta una mascherina colorata in modo diverso, e un connnettore diverso dietro all'apparato (chessò, quello dell'ATR42 è tondo, quello dell'ATR72 è quadrato) per risolvere definitivamente il problema.
Prezzo?
Una diceria.

Domanda: dopo l'incidente del Bari-Djerba è stato fatto qualcosa del genere?
Se sì, molto bene, significa che un incidente dovuto a QUEL tipo di problema non avverrà mai più (è impossibile che avvenga nuovamente per lo stesso motivo!).
In caso contrario non si è risolto un bel niente, e non pensiamo che siano sufficienti quattro nuovi fogli di carta e/o delle nuove raccomandazione per evitare che avvenga di nuovo.
La sicurezza aerea non la si migliora solo con la carta e le nuove procedure.
Se possibile la si migliora anche in altri modi, al 100% più efficaci di un foglio di carta.
E rendere due QFI fisicamente NON scambiabili tra loro costituisce la massima sicurezza a cui che si possa ambire.
Una sicurezza che non è nell'ordine del 90% o del 99%, bensì del 100% assoluto, a prova di ubriaco.
Mi chiedo perchè in fase di progetto a nessuno sia venuto in mente quel dubbio, e perchè non è stato risolto subito. :roll:

Avatar utente
Aldus
FL 350
FL 350
Messaggi: 3791
Iscritto il: 25 luglio 2005, 22:06
Località: Varese

Re: ATR 72 Bari-Djerba

Messaggio da Aldus » 29 luglio 2009, 15:09

aetio57 ha scritto:
allora sei d'accordo con il mio ragionamento, anche se lì lo avevo ridotto ai minimi termini (ma il succo alla fine- senza girarci troppo intorno- è quello...) :bigsmurf:
Assolutamente sì.
I QFI non sono due altimetri che (volendo, dipende) puoi anche interscambiare.
Sono due computers che fanno calcoli e li mostrano sul display, ossia sono come due processori da Pc differenti che vanno montati sull'hardware giusto, e che devono avere assolutamente un sistema di montaggio che non si possa interscambiare.
Mica solo una "serigrafia". :roll:

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 29 luglio 2009, 23:13

tartan ha scritto: L'unico fatto pratico è che costa denaro, il resto è solo fuffa.
Non è un mistero, nè uno scandalo, che la sicurezza costi denaro.
tartan ha scritto:Comunque, quello che volevo contestare, in breve, era l'affermazione che le procedure possano supplire a carenze di progettazione. Non accetto che ci si ripari dietro le procedure.
Non ho mai detto questo. Ma, ripeto, che piaccia o no, le procedure fanno parte della certificazione.
tartan ha scritto:Se viene definito safe un solo indicatore, non può essere accettata come safe la possibilità che si possano montare indicatori che danno indicazioni differenti nello stesso posto giustificando la decisione con il rispetto delle norme e la presenza di una procedura.
E perchè mai? Quello che dicevo io è che se risulta accettabile che un sistema sia simplex, allora risulta accettabile che dia indicazioni errate, qualunque origine esse abbiano.
tartan ha scritto:In quanto al semaforo, se gli intervalli di tempo fra i colori non sono adeguati alle prestazioni degli automobilisti medio/rinco non c'è norma o procedura che possa assolvere il progettista del semaforo.
No. Si possono in linea di principio sincronizzare le prestazioni dei veicoli con il semaforo. Sarebbe perfettamente fattibile e risparmieremmo qualche centinaio di vite all'anno.
Aldus ha scritto: La sicurezza aerea non la si migliora solo con la carta e le nuove procedure.
Temo di sì, invece. Quella che chiami carta è la legge. Prendetevela con chi scrive la legge, se questa va cambiata.
Aldus ha scritto: E rendere due QFI fisicamente NON scambiabili tra loro costituisce la massima sicurezza a cui che si possa ambire.
Per niente. Il FQI si puo' guastare.
Giorgio

Avatar utente
Alien
02000 ft
02000 ft
Messaggi: 256
Iscritto il: 18 novembre 2004, 13:24
Località: Torino

Re: ATR 72 Bari-Djerba

Messaggio da Alien » 29 luglio 2009, 23:15

Scusatemi, ma temo proprio di non riuscire a spiegarmi.

Ripeto, non voglio difendere ATR, ma il mio è un discorso di principio.

Ed il mio principio è che un progetto si puo' considerare insicuro solo quando non soddisfa le norme. Altrimenti, deve essere considerato sicuro. Nè di più, nè di meno.

Non capisco, sinceramente, come si possa pretendere che il progetto debba far fronte a qualunque errore umano.

Non è così, e non potrà mai essere così. E' impossibile, credetemi.

Se si ragiona così, allora un coltello da macellaio deve essere considerato insicuro e il suo progetto sbagliato. Ma, rimanendo in ambito aeronautico, allora i tanto criticati pitot sono insicuri, in quanto qualcuno prima del decollo puo' sempre dimenticarsi di togliere le protezioni. O di verificare che siano liberi da ostruzioni.

Ma lasciamo stare gli esempi, se no non finiremo mai.

Avete presente la legge di Murphy? Dice che se qualcosa puo' andare storto, allora prima o poi accade. Bene, mettetevi il cuore in pace, ma su un velivolo, che pure risulta essere un mezzo dal design sicuro, ci sono migliaia di cose che possono andare storte. Ma nessun progetto puo' essere responsabile di tutto ciò che potrebbe andare storto. Il progetto DEVE essere responsabile di ciò che potrebbe andare storto ed è safety critical.

Proverò a spiegarmi in termini matematici.

Sia A1 l'insieme di tutte le cose che possono andare storte su un certo velivolo. Prendiamo uno per uno gli elementi di A1, ed eliminiamo quelli che non sono safety critical. Rimane un certo numero di elementi che formano un insieme A2, tale che A2 < A1 (cioè A2 è contenuto in A1). Le norme, il cui unico scopo è imporre un certo livello di sicurezza, mi dicono allora che il mio design deve far fronte a tutti gli elementi di A2, non di A1. Cioè, non è richiesto che si copra A1-A2.

Se il FQI appartiene a A2, allora il design risulta errato (dal punto di vista della sicurezza).

Se il FQI appartiene a A1-A2, allora il design risulta corretto.

Dato che il FQI è un sistema simplex, la mia deduzione è che NON sia safety critical (nessun Ente Certificante darebbe la certificazione ad un sistema simplex safety critical). Quindi, il FQI appartiene a A1-A2.

Se poi le norme vengono aggiornate (non possono mai essere complete) e mi spostano il FQI dall'insieme A1-A2 in A2, allora il mio design deve essere modificato per far fronte al nuovo elemento in A2.

Mi spiace, ma non so se riuscirò a spiegarmi meglio di così.
Giorgio

Rispondi