Alien ha scritto: (...) i criteri di sicurezza possono solo essere stabiliti da delle norme, e che il progetto deve soddisfare requisiti derivati da queste norme. Senza norme, i criteri di sicurezza sono soggettivi invece che oggettivi.
Beh, diciamo che le norme definiscono indirettamente dei criteri irrinuciabili perché un progetto venga certificato. Che in sistemi particolarmente critici come gli aereoplani debba esistere una "base comune normata" di ogni progetto lo trovo assolutamente sensato e giusto, non si può pensare di lasciare tutto alla buona volontà e alla fantasia dei progettisti.
Ciò non toglie che ogni buona idea che migliori la sicurezza, con una modifica di progetto, una oggettivazione "fisica" che riduca o quasi elimina un dato rischio, un affinamento di una procedura che la renda di più facile ed univoca attuazione anche in condizioni di grave stress operativo, dovrebbero essere i benvenuti anche quando non ancora richiesti dall'evoluzione nel tempo delle norme.
Alien ha scritto:Io vedo una colpa ben maggiore a carico di chi non rispetta una norma-procedura piuttosto di chi non implementa un design che non è richiesto dalle norme stesse.
E penso tu abbia perfettamente ragione, perché il comportamento dei piloti è stato davvero gravemente omissivo - anche se giustifico
in parte il fatto che abbiano sprecato tempo e quota nel tentare di riavviare, dal momento che non erano edotti della vera natura dello spegnimento. Dico
in parte perché se io parto da Roma per andare a Civitavecchia, e di solito ciò mi richiede 5-6 litri di benzina, se arrivati a due terzi di percorso l'indicatore mi dice che ho consumato metà serbatoio dovrei allarmarmi subito e chiedermi se è l'indicatore in tilt o il serbatoio che è bucato.
Alien ha scritto:Valerio Ricciardi ha scritto: Mi dirai, che non tutto è così semplice da "oggettivare", e probabilmente l'hardware davvero "fool safe" in molti casi è irrealizzabile. Ma quando si può, senza tante menate... perché no?
Perchè le norme non lo richiedevano al momento del progetto per essere certificato.
Infatti non accuso assolutamente il consorzio ATR per ciò che è successo. Ma adesso che sappiamo che almeno una volta qualcuno ha montato lo strumento del 72 nel 42, mi aspetto un intervento correttivo "fool safe", senza recriminazioni improprie (se l'aereo era certificato, era certificato) ma facendo tesoro dell'evidenza dei fatti e del principio secondo cui una cosa che è già successa potrebbe sempre risuccedere, perché ha già inoppugnabilmente dimostrato di poter succedere. Poi vai a vedere e scopri che i due strumenti differivano per una piccola sigla... certificato, garantito da una procedura chiara e inequivoca... ma
troppo poco "fool safe". Pace per il passato, ma adesso mettiamo i bordini gialli e verdi (o facciamo i buchi quadrati e rotondi, o quel che più ti piace).
Alien ha scritto:E, in aggiunta, vorrei ribadire che secondo me le norme erano piuttosto corrette, in quanto il FQI non era definito safety critical. A quanto pare, invece, il warning di Low Fuel lo è diventato. Infatti, il design è stato modificato.
Bene!
Alien ha scritto:Ora, invece di modificare lo hardware per avere diversificazione tra 42 e 72, secondo me si potrebbe avere addirittura lo stesso software, ma che sia in grado di riconoscere, tramite per esempio un "pin coding", su quale aereo è montato. Ma, ripeto, questa non è una colpa visto che le norme non lo richiedevano.
Mi sta bene tutto, anche un connettore di forma diversa con i poli messi in modo incompatibile. Sulle automobili si usa da trent'anni e più per scongiurare errori di polarità quando si connettono fasci di cavi. E sì che il rispetto del codice dei colori dovrebbe da solo bastare ampiamente, è inequivoco.
Alien ha scritto:Valerio Ricciardi ha scritto:...non mi è noto un sistema, comandato dal semaforo, che freni la vettura se a una certa distanza dallo stesso ancora procede a una velocità tale da far presumere l'intento (o la distrazione) di passare col rosso.
Esatto, quindi, invece di allocare il problema ad una presunta deficienza di progetto, allochiamolo correttamente all'infrazione della procedura. Considera che un tale sistema automatico sarebbe perfettamente fattibile.
Ma certo che lo sarebbe. Però ragioni di costi o di complessità generale del sistema non permettono, di solito, di fare tutto ciò che "fisicamente" può essere fatto, per cui oltre un certo limite ci si deve affidare a procedure. Se no ad es. un aereo non avrebbe più margine... per il carico utile.
Però metter la retromarcia dal lato della I invece che dal ben più rischioso (potenzialmente, e solo se non ho rispettato le procedure) lato della IV e della V posso farlo senza né aumentare la complessità del sistema, né il peso, né i costi. Perciò, ogni qualvolta si individui una possibiltà "di buon senso" del genere, io auspico che ciò venga fatto al più presto
possibile.
Alien ha scritto:Da quello che ne so io, in tribunale, il giudizio sull'esecuzione delle procedure si basa su tre fattori principali:
1) il responsabile ha eseguito correttamente oppure no la procedura
2) la procedura è corretta ma scritta male (ambiguità, e quindi non oggettiva)
3) la procedura è sbagliata
Nel caso 1, il pilota o il personale di terra ha una qualche colpa. Nel caso 2, il responsabile delle Technical Publications (e/o l'Airworthiness) ha una qualche colpa. Nel caso 3, l'engineering ha una qualche colpa.
Perfettamente d'accordo.
Alien ha scritto:Valerio Ricciardi ha scritto: Una coppiglia messa di traverso nel foro di un bullone (come spesso nei mozzi delle ruote delle vetture di vecchia generazione) costituisce invece una economica OGGETTIVAZIONE "meccanica" volta a ridurre di moltissimo l'eventualità che un mozzo si sviti...
Non propriamente. Un dispositivo antisvitamento è un particolare di progetto che deve soddisfare un requisito che discende da una norma. Se non ho requisiti che mi dicono di installare un dispositivo antisvitamento in una vite, è semplicemente perchè un tale requisito non esiste. Quindi, non lo installo.
Se mi rendo conto a un certo punto che è utile, perché no? L'importante è che lo ingegnerizzi bene, e che l'installazione non confligga con norme che posso contribuire con le mie segnalazioni a far evolvere, ma che sino a nuovo ordine debbo rispettare.
Alien ha scritto:Le norme mi generano le specifiche di progetto (insieme alle prestazioni richieste), e le specifiche mi generano il design del sistema.
Questo è
perfettamente vero, tant'é che ad esempio pochi sanno che l'ABS sulle vetture in produzione
non è affatto obbligatorio in virtù di qualche norma. Semplicemente, di fatto una vettura che non lo monti di fatto alle prove di omologazione non riesce a soddisfare, alle misure, i requisiti minimi richiesti per essere certificata. Se qualche Casa riuscisse, per le sue vetture più economiche, a soddisfare le prestazioni di stabilità in frenata che esigono le norme con qualcosa di meno costoso di un impianto ABS, possiamo credere che questo resterebbe appannaggio delle vetture un po' più costose e sparirebbe dalle "low cost". Ma per ora ciò non accade.
Alien ha scritto:Io sostengo che il progetto del caso ATR non era carente in quanto un sistema FQI simplex era stato certificato. E se era stato certificato come simplex, non era stato considerato critico dalla certificazione. E se non era stato considerato critico, non aveva bisogno di accorgimenti installativi particolari.
E chi dice il contrario? Ma se per rendermi ancora più felice ATR dovesse differenziare i bordini dei suoi FQI, ciò non le costerebbe meno sacrificio
che leggere i miei post?
Alien ha scritto:Il tappo della candeggina è un sistema critico, e l'imposizione di un certo progetto è giusta. Penso ci sia una norma al riguardo (se no, non potrebbero commerciare il prodotto).
In questo caso è proprio così: il legislatore, suffragato dal parere di esperti che analizzarono gli incidenti verificatisi, ha introdotto una norma che ha precorso eventuali iniziative dello stesso tenore poste in essere dai fabbricanti di candeggina, acidi e altri liquidi pericolosi.
Alien ha scritto:La sicurezza è solo un fattore economico, in quanto costa denaro. Il denaro pubblico viene speso nella produzione di norme di aeronavigabilità (così come paghiamo i parlamentari affinchè scrivano le leggi). Poi, chi vuole vendere un aeroplano, deve dimostrare che il progetto è a norma. E le procedure, non dimentichiamolo mai, fanno parte del progetto e della certificazione ottenuta.
Concordo. Anche se per me la sicurezza è un fattore che ha certo dei diretti risvolti economici, ma che nasce da una esigenza immateriale che noi riferiamo culturalmente alla dimensione etica.
Buona notte.