mcgyver79 ha scritto:
Scrivi pure i dettagli qui nell'area tecnica
La mia considerazione numero 1, dalla quale però discendono tutte le altre, in un modo o in un altro, è che il progetto del software è sbagliato. Non il software, attenzione, ma il progetto del medesimo (se qualcuno non capisce cosa intendo, mi faccia per favore un fischio: questa è un'altra inesattezza dei media). La logica del programma è sbagliata. Sbagliata perchè un automatismo del Flight Control System NON deve mai intervenire in modo inappropriato.
Il principio violato nel progetto del MCAS è semplice: mentre un automatismo deve funzionare adeguatamente in caso di normalità, al primo sospetto di utilizzo di dati inaffidabili un automatismo deve assolutamente spegnersi. E una volta spento, deve avvisare il pilota che si è disinserito. E il sospetto sui dati inaffidabili, anzi, la decisione che i dati sono inaffidabili, deve essere presa dall'automatismo, non dal pilota. Altrimenti, un automatismo, per definizione, non è più tale.
I dati (nel caso in esame i Dati Aria) sono fondamentalmente di due tipi, e possono anche coincidere oppure no: i dati sul display per il pilota, e i dati utilizzati internamente dal software per la funzione automatica. E' essenziale, per un ragionamento completo, considerare che su ogni aeroplano esistono informazioni, elaborate in parallelo, di due tipi: quelle visibili nel cockpit e quelle invisibili nel software di diversi computer.
Per una protezione automatica antistallo, generalmente serve l'AoA, l'angolo di attacco. Nel caso del 737max sospetto che ne utilizzi altri, per distinguere uno stallo statico da uno dinamico. Comunque, il parametro più importante è l'AoA. Nel 737max il display di AoA al pilota è un optional: il Lion Air non ce l'aveva (l'Ethiopian non lo so), e quindi il ragionamento deve partire da questo punto. Il dato AoA non arriva al cockpit, ma viene utilizzato dal software MCAS per la protezione antistallo.
Il progetto del 737max quindi, partiva dal presupposto che l'informazione di AoA nel cockpit NON fosse necessaria. Il MCAS riceve i due valori AoA1 e AoA2 dal sistema Dati Aria, e su quelli basa i suoi calcoli e i suoi interventi. Ora, come in tutti i sistemi a ridondanza duplex di input, cioè che in ingresso utilizzano due dati che nominalmente dovrebbero essere uguali, qualcuno deve decidere se i due dati sono affidabili: se io utilizzo due orologi, uno al polso destro e uno al polso sinistro (mio zio amava talmente gli orologi che faceva così), sono tranquillo perchè fintanto che le due ore indicate sono uguali, ho una elevata probabilità che siano corrette. Nel momento in cui i due dati di input divergono, io non conosco più l'ora, o l'AoA corretti, è vero, ma so di non poterla conoscere più. Nel 737max, invece, il software continua a lavorare e l'automatismo interviene anche se i due AoA sono diversi tra loro. Non sa di non sapere. Il confronto tra i due quindi, non può farlo il pilota (perchè a display gli AoA non li vede), e non lo fa il software (per decisione di progetto).
L'errore concettuale si aggrava, poi, dicendo che deve essere il pilota ad intervenire staccando il pitch trim, cioè si dice che la funzione di "voting" (semplice confronto tra i due dati, orologi o AoA) deve eseguirla il pilota (nota: a seguito del Lion Air, la FAA aveva obbligato Boeing a scrivere questa procedura nel Flight Manual. Molti piloti, oltre a quelli caduti, non sapevano che fosse loro richiesto un intervento. Già, si fa fare al pilota il lavoro di confronto-voting dei dati: peccato però che i dati in oggetto non glieli si fa vedere! Ricordiamoci che nel cockpit AoA è optional, e Lion Air non ce li aveva.
Ecco l'errore di progetto fondamentale, che è ora ammesso (ci sono voluti altri 150 morti per accorgersene) dalla stessa Boeing: il software verrà "aggiornato" in dieci giorni. Beh, lasciatemi dire che il verbo da usare non è "verrà aggiornato", ma "verrà corretto".
La CANIC della FAA dice (quoto)
- Design changes include:
MCAS Activation Enhancements
MCAS AOA Signal Enhancements
MCAS Maximum Command Limit
Ora, alla luce di quanto ragionato sopra, io interpreto il primo punto MCAS Activation Enhancements come MCAS Activation Corrections, e le correzioni che si apprestano a fare non sono altro che -scommetto quello che volete- seplicemente, l'attivazione dell'automatismo basata non più sul valore singolo di AoA di input.
Sempre alla luce di quanto detto sopra, scommetto che il secondo punto, MCAS AOA Signal Enhancements altro non significa che l'introduzione di un voting che decida (in modo indipendente dal pilota) di non utilizzare i due AoA quando questi differiscono più di X gradi di alfa. E di utilizzare invece un valore mediato dei due al di sotto della soglia di sicurezza X.
Il terzo bullet non l'ho discusso qui, ma dovrebbe semplicemente essere relativo a una riduzione di "autorità" dell'automatismo sullo stabilizzatore. Una riduzione degli effetti sull'aeroplano. Un automatismo che insiste e fornisce dei comandi non voluti per più di venti volte, fino a mettere in seria difficoltà il pilota (che non immagina che il problema siano i due AoA), è troppo "prepotente", e va ridimensionato. Scommetto che lo faranno intervenire meno volte, e magari con meno comandi per volta, riducendo ad ogni "colpetto" l'angolo di stabilizzatore comandato.
Lasciatemi fare un esempio che più o meno è familiare a tutti: l'ABS della macchina.
L'ABS della macchina, perlomeno quello che avevo io, lavora sui quattro sensori delle ruote, e interviene a totale insaputa del guidatore. Se uno dei sensori si guasta, non è che l'ABS intervenga a rampazzo, destabilizzando la macchina, e richiedendo al guidatore di disinserirlo. Ci mancherebbe. Se c'è un guasto, l'ABS si stacca e si accende l'ALERT giallo "ABS", che informa il povero guidatore che ha perso la funzione di protezione. Si dovrà essere più cauti nelle frenate....