Aereo Air France scomparso dai radar - Thread tecnico

[Valerio Ricciardi]

2) L'idea di avere 4 sensori invece di 3, si rende necessaria in quanto l'affidabilita' del sensore singolo risulta piuttosto scarsa.

C'è qualcosa che, da ignorante, mi sfugge. Se un certo tipo di sensore, in certe condizioni (ok, in cui non dovresti adare a ficcarti, ma ci sei) tende ad andare in default, perché si riempie di ghiaccio o cose simili, che io ce ne metta tre o quattrodello stesso tipo e della stessa marca, saranno tutti e tre o tutti e quattro esposti a quelle condizioni esterne che - se sono in grado di inficiarne uno - saranno in grado di inficiarne magari in breve tempo anche una batteria, sul piano teorico. Un malfunzionamento legato a condizioni fisiche particolari non è un fenomeno grossomodo statistico, come un guasto a una scheda elettronica piena di componenti, ma sostanzialmente deterministico.

Diventa un tipo di ridondanza che ti fa contento e canzonato, come la ridondanza tripla dei sistemi idraulici del Jumbo JAL... coi tubi in pressione che passavano uno vicino all'altro, di modo che quando ha ceduto il pannello terminale della cabina pressurizzata è riuscito a tagliarne via tre in un colpo solo.
E se erano in quattro, ne stroncava quattro e cadeva ugualmente.

Se io voglio aumentare la sicurezza con la ridondanza, in caso di sensori, immagino che sia opportuno introdurre anche un sensore che, magari, che so, invece di un errore di misura (da certificazione) del +-1%, ma che magari in condizioni limite potrebbe piantarmi, magari mi garantisce una precisione inferiore, per dire +-3%, ma che per costruzione in cambio è assai meno soggetto a certi problemi.

Se tutto sta andando bene mi affido allo strumento "migliore" che si interfaccia coi computer di bordo coi quali mi offre una precisione di governo inarrivabile tramite comando manuale; se va tutto storto, meglio un dato un minimo più approssimato (basta saperlo ed usarlo in modo prudenziale) ma sempre disponibile per tornare
"back to basic" che un beffardo "no air data".

Quello era, posso immaginare, il senso dell'intervento di quell'utente che proponeva di installare nel cockpit due livelle a 90° fra di loro, visibili dal pilota (qualche decina di euro a metterne di belle) anche se nello specifico in condizioni dinamiche non sarebbero state evidentemente adeguate a fornire indicazioni assolute sull'assetto istantaneo essendo influenzate anche dalle accelerazioni e non solo dalla posizione rispetto al campo gravitazionale. Non so se mi sono spiegato.

[airplane]

2) L'idea di avere 4 sensori invece di 3, si rende necessaria in quanto l'affidabilita' del sensore singolo risulta piuttosto scarsa.

C'è qualcosa che, da ignorante, mi sfugge. Se un certo tipo di sensore, in certe condizioni (ok, in cui non dovresti adare a ficcarti, ma ci sei) tende ad andare in default, perché si riempie di ghiaccio o cose simili, che io ce ne metta tre o quattrodello stesso tipo e della stessa marca, saranno tutti e tre o tutti e quattro esposti a quelle condizioni esterne che - se sono in grado di inficiarne uno - saranno in grado di inficiarne magari in breve tempo anche una batteria, sul piano teorico. Un malfunzionamento legato a condizioni fisiche particolari non è un fenomeno grossomodo statistico, come un guasto a una scheda elettronica piena di componenti, ma sostanzialmente deterministico.

Diventa un tipo di ridondanza che ti fa contento e canzonato, come la ridondanza tripla dei sistemi idraulici del Jumbo JAL... coi tubi in pressione che passavano uno vicino all'altro, di modo che quando ha ceduto il pannello terminale della cabina pressurizzata è riuscito a tagliarne via tre in un colpo solo.
E se erano in quattro, ne stroncava quattro e cadeva ugualmente.

Se io voglio aumentare la sicurezza con la ridondanza, in caso di sensori, immagino che sia opportuno introdurre anche un sensore che, magari, che so, invece di un errore di misura (da certificazione) del +-1%, ma che magari in condizioni limite potrebbe piantarmi, magari mi garantisce una precisione inferiore, per dire +-3%, ma che per costruzione in cambio è assai meno soggetto a certi problemi.

Se tutto sta andando bene mi affido allo strumento "migliore" che si interfaccia coi computer di bordo coi quali mi offre una precisione di governo inarrivabile tramite comando manuale; se va tutto storto, meglio un dato un minimo più approssimato (basta saperlo ed usarlo in modo prudenziale) ma sempre disponibile per tornare
"back to basic" che un beffardo "no air data".

>>Riporto il mio precedente post

Premesso che non conosco A330;
se Voi permettete “voglio lanciare una pietra nello stagno”.


1) Penso che tutti gli aeroplani fly by wire debbano avere un quarto tubo di pitot di tipo diverso dagli altri 3 e un’altra statica diversa dalle altre statiche; sia il pitot che la statica devono essere posizionati in altri posti, anche se questo va a scapito della precisione dei valori strumentali.

2) Inoltre gli strumenti di standby orizzonte artificiale, indicatore di velocità e altimetro devono essere alla vecchia maniera e alimentati da fonte elettrica di emergenza la più sicura possibile.

3) Le manette dei motori devono essere una via di mezzo fra l'Auto throttle e l'Auto trust, cioè dopo la correzione della potenza fatta dai computer con un ragionevole ritardo le manette dei motori si devono posizionare nella nuova posizione della corsa delle manette. Il pilota deve avere sempre l'immediato riscontro visivo dato dalla posizione delle manette motori in relazione alla potenza impiegata.

Ps.
Mi risulta che il comandante, con lunga esperienza, è entrato in cabina un minuto e mezzo prima dello schianto sull’oceano e con quanto detto sopra forse, a colpo d’occhio, avrebbe capito la terribile situazione in cui si era ficcato A330.

Quello era, posso immaginare, il senso dell'intervento di quell'utente che proponeva di installare nel cockpit due livelle a 90° fra di loro, visibili dal pilota (qualche decina di euro a metterne di belle) anche se nello specifico in condizioni dinamiche non sarebbero state evidentemente adeguate a fornire indicazioni assolute sull'assetto istantaneo essendo influenzate anche dalle accelerazioni e non solo dalla posizione rispetto al campo gravitazionale. Non so se mi sono spiegato.

>>Lasciando stare le livelle,

Come già detto, ci sono gli strumenti di standby. orizzonte artificiale giroscopico, alimentato da fonte di emergenza, per pilotare l’assetto di pitch e di roll.
Inoltre, l’indicatore di velocità, altimetro ecc. devono essere alla vecchia maniera, alimentati da impianti separati (impianto 4° pitot e impianto 4° statica.)

Ovviamente, quanto detto sopra assieme a una specifica, (da progettare) abnormal attitude flight law con minime protezioni per pericolosi carichi strutturali (esempio prot. rudder) e posizionamento automatico sullo zero di tutte le superfici mobili di controllo.
Infine, come ultimo appiglio di salvezza, la nota direct law mediante pedaliera e manual pitch-trim, ma in automatico devono essere posizionati in partenza sulle posizioni di zero pitch e zero Rudder per avere la totale escursione (esente da protezioni) delle superfici di controllo.

Come già detto, Le manette dei motori devono essere una via di mezzo fra l'Auto throttle e l'Auto trust.Il pilota deve avere sempre l'immediato riscontro visivo dato dalla posizione delle manette motori in relazione alla potenza impiegata.

Insomma, io pilota, Almeno devo avere: l’orizzonte artificiale, la posizione visiva delle manette per la potenza impiegata e la totale escursione dei comandi.
.

[airplane]

.
LO RIPETO DI NUOVO, io pilota, almeno devo avere: l’orizzonte artificiale, la posizione visiva delle manette per la potenza impiegata e la totale escursione dei comandi. in modo da avere la speranza di poter tirare fuori l’aereo da assetti anormali, (esempio: superstallo, ecc. ecc.).

[airplane]

2) L'idea di avere 4 sensori invece di 3, si rende necessaria in quanto l'affidabilita' del sensore singolo risulta piuttosto scarsa.

Diventa un tipo di ridondanza che ti fa contento e canzonato, come la ridondanza tripla dei sistemi idraulici del Jumbo JAL... coi tubi in pressione che passavano uno vicino all'altro, di modo che quando ha ceduto il pannello terminale della cabina pressurizzata è riuscito a tagliarne via tre in un colpo solo.
E se erano in quattro, ne stroncava quattro e cadeva ugualmente.Quello era, posso immaginare, il senso dell'intervento di quell'utente che proponeva di installare nel cockpit due livelle a 90° fra di loro, visibili dal pilota (qualche decina di euro a metterne di belle) anche se nello specifico in condizioni dinamiche non sarebbero state evidentemente adeguate a fornire indicazioni assolute sull'assetto istantaneo essendo influenzate anche dalle accelerazioni e non solo dalla posizione rispetto al campo gravitazionale. Non so se mi sono spiegato.

Per Il B747, Ti riferisci a quello che,tanti anni addietro, fu montata in modo sbagliato la paratia posteriore pressurizzata?

Non ricordo la o le cause ?

.

[Valerio Ricciardi]

Si, il volo JAL 123.L'origine del disastro era legata non a difetti di design, ma ad una riparazione eseguita contro ogni logica di prudenza e buon senso, prima che fuori dai limiti imposti da una procedura (che pure esisteva). I piloti si ritrovarono senza alcun servocomando idraulico funzionante, dal momento che (riporto da una stupidissima scheda di Wikipedia)...

..."Il cedimento della paratia stagna danneggiò tutte le 4 linee idrauliche (erano 4 per ridondanza, ossia per garantire la manovrabilità del velivolo qualora una, due o addirittura tre volte si fosse verificata una panne del sistema). La Boeing modificò poi il progetto: era inammissibile che la ridondanza quadrupla del sistema idraulico potesse essere completamente annullata da un unico guasto."...

Ecco, se insieme alla ridondanza non si persegue anche la massima indipendenza possibile dei sistemi alternativi - sia come logica di funzionamento che come disposizione geometrica - IMHO il moltiplicare solo sistemi può rivelarsi - quando le cose vanno male - fpiù fonte di aumento dei costi e riduzione del carico paganteche determinante per risolvere le situazioni più scabrose.

Gli aerei secondo me sono in buona compagnia: la totalità delle vetture che ho visto sul ponte sollevatore del meccanico sfoggiano sotto il pavimento della scocca, allineati e paralleli, i tubicini metallici che portano la mandata e il ritorno del carburante, e quelli del circuito frenante posteriore (spesso sdoppiati nella parte anteriore per maggior "sicurezza", sempre quando presenti ABS e/o ESP.
Una singola causa (una pietra aguzza che riesce a toccare il sottoscocca duranta la fase compressiva del molleggio, su una strada di campagna, o un frequentissimo pezzo di silenziatore arrugginito perso da un'altra vettura) può farti rimanere senza frenata al retrotreno, e per conseguenza con ABS ed ESP di fatto inficiati alla radice.

Le automobili sono sistemi immensamente meno complessi, ma sono anche costruite in modo più massivo, con "numeri" di produzione sconosciuti agli aerei, per di successo che siano. Dunque si accetta un rischio di situazone irrecuperabile che può culminare in una catastrofe per i loro occupanti molto ma molto alto, in rapporto alla banalità della causa scatenante.

Poi, puntualmente, nelle conferenze stampa in cui veniva presentato un nuovo modello mi si sfoggiava la sicurezza aggiuntiva apportata dal sistema che automaticamente accende i fari all'entrata della galleria, o dell'altro che fa partire da soli i tergicristalli all'inizio della pioggia... coi tubi dei freni che sono e restano in bella vista, nudi ed inermi, a 13 cm dal suolo. Così delle due mi abituo al fatto che alle luci ci pensa la macchina, ed il giorno che l'ennesima centralina ad esse collegata va in panne (o si sporca il sensore di luminosità che la comanda) mi faccio tutto felice mezzo traforo del Monte Bianco a fari spenti, con la poca illuminazione esistente - che per vedere le strisce della segnaletica orizzontale sulla strada è sufficiente - accorgendomene solo quando arrivo un po' troppo vicino alla vettura scura che mi precede e mi costringe a frenare.

[FAS]

Prima di tutto grazie ad alien per i suoi interventi che sono ineccepibili....anche io concordo con la sua idea che avere ADS sotto avionica non é salutare/benefico per il sistema. ADS deve far parte necessariamente di FCS anche se il velivolo é stabile come nel caso dei Liner.
È anche importante aver fatto notare che non ci sono solo ingegneri a progettare aerei ma anche piloti delle compagnie aeree, piloti collaudatori e piloti sperimentatori. ma purtroppo chi non é intimo con questo lavoro queste cose le ignora.

Una precisazione sugli sforzi di barra esistenti sulla yoke e sulla pedaliera del 777, questi sono trasmessi da servomeccanismi idraulici che funzionano peró solo in fase di approach e landing.

Comunque a beneficio di chi ignora/non conosce/non frequenta ancora il mondo aeronautico della progettazione e che crede che vengano fatte cose con approssimazione, vorrei chiarire determinati concetti per evitare di leggere accuse poco eleganti:

I requisiti e le specifiche per certificare un velivolo sono dati ALLE aziende costruttrici DAGLI enti certificanti e dalle autoritá ed associazioni riconosciute competenti in materia (che sono costituiti da piloti, ingegneri e specialisti vari, estranei /non stipendiati dalle case costruttrici).

Quindi le basi e le regole del sistema installato sull'aeroplano e dell'aereoplano stesso (liner in questo caso) sono date da FAA, JAA, ATA ed altri organismi/enti preposti per farlo.

Per capire meglio ció che sto per scrivere potete far riferimento alle CS25 che trovate online (sito EASA). In particolare faccio riferimento alla AMC 25.1309 System Design and Analysis, Paragrafo 8. Figura 2. (vedi allegato). Cosi facilitiamo il lavoro di venditori porta a porta di "chiavi torsiometriche" di altri forum che cercano di scimmiottare e copiare md80..perché pur vantando la loro eleganza e superioritá intellettuale vengono sempre qui a leggerci di nascosto.......

Senza riferimento ai documenti ufficiali qualsiasi parola diventa semplice argomento pre riunione condominiale

É fondamentale parlare di Functional Hazard Analysis chiamata FHA che fa parte del system engineering core process (lo lascio in inglese non per riempirmi la bocca ma perché l'inglese é la lingua ufficiale dell'industria aeronautica). Quest'ultimo processo non é altro che il famoso modello "V" dove abbiamo la sincronizzazione dei requisiti di ingegneria, il concetto ed il disegno del progetto, la verifica e la validazione, l'integrazione e l'implementazione. (se avete domande sulla cosa vi invito ad aprire un topic a parte saró lieto di risponedere alle vostre domande. INCOSE docet).

La FHA é l'analisi preposta ad identificare i guasti del sistema (in questo caso del sistema controlli di volo FCS) ed identifica gli effetti di questi guasti. É eseguita non solo a livello di sistema ma anche a livello velivolo.
Questo tipo di analisi é fatta non solo per gli aerei, ma anche ad esempio per l'automotive anche se in maniera limitata. Ed é piú che chiaro che l'esercente/utente pur pilotando/guidando la propria macchina (automobile o aereo) ignora questa analisi se non coinvolto nello suo sviluppo ingegneristico delal macchina stessa e della sua filosofia costruttiva aderente ai requisiti imposti dagli enti certificanti.

L'analisi FH permette di tabellare e classificare (direi identificare) i guasti dell'aereo e del suo sitema considerando anche gli effetti che i guasti in questione possono causare, alla luce degli obiettivi e dei livelli di sicurezza assegnati dai criteri di certificazione (sempre imposti dall'AW).

Ad un guasto che viene identificato come catastrofico, bisogna ovviamente assegnare un livello di sicurezza altissimo (che viene identificato come 1 x 10 elevato alla - 9) e quindi bisogna mitigare il problema con sistemi alternati ed evitare ogni possibilitá che si verifichi durante il ciclo di vita dell'aereo.

Alla casa costruttrice (che non fa niente di testa sua, per iniziativa propria) é richiesto, direi ordinato da parte dell'AW di implementare nel sistema delle caratteristiche "FAIL SAFE" progettuali. Ovviamente queste caratteristiche devono essere dimostrate tramite analisi (non si approvano bevendo un bicchiere di latte insieme all'AW presso la mensa universitaria); l'analisi stessa ha lo scopo di dimostrare e certificare che il guasto al sistema di controllo dell'aereo (classificato come catastrofico) deve occorrere meno di una volta per ogni 1 000 000 000 di ora volata.

Da qui deriva la classificazione delle condizioni di guasto ed i requisiti per i livelli di sicurezza:

ne riporto alcuni:

catastrofico < 1x10^-9 ----------------> estremamente improbabile
1x10^-9 < pericoloso/rischioso < 1x10^-7 --------------------------------> estremamente remoto
.....................................................
.....................................................
1x10^-5 < minore < 1x10^-3 -------------------------------------> probabile


ps
queste nozioni le potete trovare in ogni libro di progettazione aeronautica

.............e non consumate troppi neuoroni questionando sull'operato di piloti e/o ingegneri (accusando gli uni o gli altri), .....vanno bene le discussioni che aiutano a capire ció che é certo, evitando le interpretazioni proprie sul tema sulla base del nulla per buttare pale di letame a destra o sinistra, .............basterá aspettare la conclusione dell'inchiesta che per fortuna é condotta da persone altamente qualificate,........... da quel momento si potranno trarre le conclusioni ed eventualmente operare le modifiche opportune, se necessarie o nell'addestramento o nel sistema;

.... non si puó operare un miglioramento se non si analizza il problema, se non si capiscono le cause e gli effetti e se non si trovano le radici delle cause dei problemi.

[SuperMau]

FAS,
come da tua firma....Always Improve!

Thanks for sharing
M.

[MarcoGT]

Ottimo come sempre FAS.

Per quanto riguarda la System Fault Analysis rimando anche a questo thread

http://www.md80.it/bbforum/viewtopic.ph ... 88#p704188

Inoltre, come detto da FAS, possiamo approfondire il V-Model visto che lo uso praticamente tutti i giorni.

[FAS]

I sensori dei dati aria dovrebbero essere quattro, come nei velivoli militari, e non tre.

I sensori devono essere in numero dispari altrimenti non guadagni nulla perché non puoi votare a maggioranza.

e chi lo dice?

non sono le votazione della giunta comunale

[Alien]

2) L'idea di avere 4 sensori invece di 3, si rende necessaria in quanto l'affidabilita' del sensore singolo risulta piuttosto scarsa.

C'è qualcosa che, da ignorante, mi sfugge. Se un certo tipo di sensore, in certe condizioni (ok, in cui non dovresti adare a ficcarti, ma ci sei) tende ad andare in default, perché si riempie di ghiaccio o cose simili, che io ce ne metta tre o quattrodello stesso tipo e della stessa marca, saranno tutti e tre o tutti e quattro esposti a quelle condizioni esterne che - se sono in grado di inficiarne uno - saranno in grado di inficiarne magari in breve tempo anche una batteria, sul piano teorico. Un malfunzionamento legato a condizioni fisiche particolari non è un fenomeno grossomodo statistico, come un guasto a una scheda elettronica piena di componenti, ma sostanzialmente deterministico.

Interessante obiezione.
Assodato che non posso fare a meno di mettere i sensori fuori al freddo e alle intemperie (è proprio lì che servono), devo eliminare i cosiddetti “modi comuni di guasto”, che mi neutralizzerebbero i vantaggi della ridondanza.
Ghiaccio sui pitot: devo eliminare il problema considerando il design del sensore stesso. Metto un sistema antighiaccio (un pitot può essere riscaldato piuttosto drasticamente: a terra, se uno lo tocca, si becca un’ustione grave).
Fulmine: uhm, ogni fulmine becca un solo sensore alla volta, basta che siano sufficientemente distanti uno dall’altro.
Drenaggio: esistono dei fori di drenaggio per far fuoriuscire l’acqua in volo (e sembra essere questo il problema di queste sonde Thales: non drenano abbastanza).
Questo discorso vale per tutte le marche, anche se non proprio per tutti i tipi. L’affidabilità di questi modelli Thales però, sembra essere scarsa in quanto sono state rilevate alcune, troppe, occurrences in volo. Da quel che so, il problema era sempre stato quello del drenaggio. Ammesso che i sensori utilizzati non abbiano questo problema, allora non abbiamo più modi comuni di guasto (e molti Airbus li avevano sostituiti). Anche perchè questi sensori non sono elettronici. I modi comuni di guasto affliggono i computer, dove stessi apparati hanno lo stesso processore e/o lo stesso software.

Diventa un tipo di ridondanza che ti fa contento e canzonato, come la ridondanza tripla dei sistemi idraulici del Jumbo JAL... coi tubi in pressione che passavano uno vicino all'altro, di modo che quando ha ceduto il pannello terminale della cabina pressurizzata è riuscito a tagliarne via tre in un colpo solo.
E se erano in quattro, ne stroncava quattro e cadeva ugualmente.

Infatti, bisogna eliminare questo modo comune, ma in questo caso la causa primaria risiede al di fuori del sistema. La causa di perdita della ridondanza non era intrinseca al sistema idraulico in sè. Allontanare le linee il più possibile tra loro, certo, ma eliminare ogni causa di cedimento strutturale che provochi distacco completo di un elemento. E, di nuovo, che ti piaccia o no, ci vuole la ridondanza: un pannello che sia vincolato iperstaticamente, possiede una sua ridondanza strutturale: se cede un elemento, gli altri devono tenere. Il principio, nuovamente è quello del FCS: una superficie di comando, come ad esempio un timone, NON deve staccarsi se cede una cerniera. Infatti, NON esistono superfici con punti singoli di attacco.

Se io voglio aumentare la sicurezza con la ridondanza, in caso di sensori, immagino che sia opportuno introdurre anche un sensore che, magari, che so, invece di un errore di misura (da certificazione) del +-1%, ma che magari in condizioni limite potrebbe piantarmi, magari mi garantisce una precisione inferiore, per dire +-3%, ma che per costruzione in cambio è assai meno soggetto a certi problemi.

Non utilizzo solamente la ridondanza per aumentare la sicurezza, ma soprattutto il concetto di progetto “fail-safe”: se ho un evento, le conseguenze non devono essere critiche. Il fatto è che la ridondanza permette di soddisfare la filosofia “fail-safe” nei sistemi complessi. Un sistema è per forza di cose un insieme di elementi anche molto differenti, ognuno con una sua funzione specifica, la somma dei quali è una funzione ancora diversa, che nessun componente da solo potrebbe svolgere.
Perchè credi che ci siano due piloti su un aeroplano?

Per quanto riguarda invece la considerazione sui sensori, hai ragione: in generale, per ogni elemento del sistema, bisogna utilizzare quelli con affidabilità migliore. Sempre. Ma di più, anche rispetto a quello che dicevo prima, non puoi fare.

Se tutto sta andando bene mi affido allo strumento "migliore" che si interfaccia coi computer di bordo coi quali mi offre una precisione di governo inarrivabile tramite comando manuale; se va tutto storto, meglio un dato un minimo più approssimato (basta saperlo ed usarlo in modo prudenziale) ma sempre disponibile per tornare
"back to basic" che un beffardo "no air data".

Eh, ma qui stai mettendo in dubbio la FHA di cui parlava FAS. Nota che anche io lo avevo fatto prima, forse non ricordi.

Ovviamente, essendo prevista una procedura in caso di perdita totale di dati aria (due sensori su tre kaputt), deduco che l’evento NON era stato considerato catastrofico nella FHA Airbus. E, in effetti, non dovrebbe esserlo, se l’aeroplano è stato certificato. Non sono molto familiare con la certificazione civile, ma credo che un evento non catastrofico vada assolutamente dimostrato in volo, altrimenti la certificazione (occidentale, EASA o FAA) te la sogni.
Quindi, se ho ragione, e FAS mi può sicuramente aiutare, mi spiace per tutti coloro che affermano che sia impossibile tornare a casa senza dati aria, ma evidentemente invece risulta non solo possibile, ma addirittura dimostrato a certificazione. Oltretutto, risulta piuttosto semplice e affatto pericoloso dimostrarlo: basterebbe coprire i display con dei teli, no?

[Alien]

.
LO RIPETO DI NUOVO, io pilota, almeno devo avere: l’orizzonte artificiale, la posizione visiva delle manette per la potenza impiegata e la totale escursione dei comandi. in modo da avere la speranza di poter tirare fuori l’aereo da assetti anormali, (esempio: superstallo, ecc. ecc.).

Ecco, non vedo i dati aria in questo elenco minimale...
Ne deduco che, effettivamente, gli Airbus e tutti gli altri, possono tornare a casa senza dati aria. Ci riesce l'EFA, che e' instabile!

[maurom]

.
LO RIPETO DI NUOVO, io pilota, almeno devo avere: l’orizzonte artificiale, la posizione visiva delle manette per la potenza impiegata e la totale escursione dei comandi. in modo da avere la speranza di poter tirare fuori l’aereo da assetti anormali, (esempio: superstallo, ecc. ecc.).

Concordo. Naturalmente è meglio avere più dati a disposizione ma ricordo amici piloti americani che solevano dire che un aeroplano lo si pilota essenzialmente "pitch and power".

[airplane]

.
LO RIPETO DI NUOVO, io pilota, almeno devo avere: l’orizzonte artificiale, la posizione visiva delle manette per la potenza impiegata e la totale escursione dei comandi. in modo da avere la speranza di poter tirare fuori l’aereo da assetti anormali, (esempio: superstallo, ecc. ecc.).

Concordo. Naturalmente è meglio avere più dati a disposizione ma ricordo amici piloti americani che solevano dire che un aeroplano lo si pilota essenzialmente "pitch and power" ...e pedaliera (minimo i due assi di Pitch e di Yaw) .

.

.

[sigmet]

Mi riaggancio all''esaustivo intervento di FAS sulla progettazione ma vorrei integrarlo con alcune nozioni di una materia che mi e' piu' familiare ovvero quella dell'HF e della Sicurezza Volo anche se il discorso si fa piu' complesso.
Le nuove avioniche (tutte di derivazione aerospaziale) hanno comportato dall'inizio un approccio mirato all'interazione tra fattore umano ed affidabilita' del software e dell'Hardware.
Si parla del software come "il socio" del pilota ovvero colui che lo aiuta nelle decisioni piu' importanti.Di fatto con l'aiuto del software basta un solo pilota a far volare un aereo come il 380.
Il SW e' in grado di controllare l'assetto in modo perfetto o quasi determinando automaticamente ,mediante l'ausilio di vari calcolatori,quando l'assetto deve cambiare e come deve cambiare.
Molte volte in passato i piloti hanno dimenticato di eseguire manovre essenziali per la sicurezza del volo provocando effetti catastrofici,invece il software non dimentica mai (o almeno non dovrebbe) quando intervenire per cambiare assetto e qundi non provocare la caduta dell'aereo.
Negli USA programmi dedicati dalla FAA, dalla NASA e dal DARPA cercano di sviluppare metodi sicuri di certificazione ,collaudo,e convalidazione dell'affidabilita' del SW che serve a governare il volo di aerei e che quindi e' direttamente connesso alla sicurezza del volo (in Italia tanto per cambiare non esiste nulla al riguardo)
Molti modelli matematici sono stai sviluppati (jelisky-Moranda,Shooman, Modello di MUSA, Schick- Wolverton, Tr Gen etc)ma non tutti hanno condotto a risultati significativi e veriteri.
Comunque gli errori umani di pilotaggio si possono combinare agli errori di SW sia di progettazione che che di verifica e convalida (attenzione a questa parola) .
Si comprende quindi che un guasto di SW e' di per se un guasto umano a monte ,poiche'
o e' un guasto di analisi o di progettazione di sistema o di specificazione oppure semplicemente di programmazione.
In generale quindi il problema del HF fra le cause scatenati un incidente di volo si affronta con la nuova metodologia della Gestione dellle Risorse umane (GRU) o come si dice in Ingleese "Cockpit Resource Management" (CRM) che oggi va di pari passo con il TEM (threats and error management)
I primi approcci a questo metodo furono sviluppati dalla Aerospace Human Factor Research Division della NASA gia' alla fine degli anni 70. e gli studi connessi si basano sulla conoscenza sia del valore delle capacita' umane del pilota che vengono misurate in termini di carico di lavoro (work-load) sia in termini di capacita' del pilota a saper utilizzare ,quando e' maggiormente assoggettato a forti sollecitazioni (condizioni di stress) tutte le informazioni disponibili in cabina,al fine di evitare l'innesco di una qualche causa (molte volte banale) che da origine a quella "catena di errori" che puo' comportare una situazione critica con eventuale incidente (incident) o disastro (accident).
Le piu' recenti analisi dimostrano che in caso di incidente il pilota non era stato in grado di leggere e/o interpretare bene i dati disponibili, pur ben conoscendo la posizione attuale (partial situation awareness).
Tutto questo ha portato e sta portando ad un aggiornamento continuo dei metodi dell'organizzazione dell'addestramento e della comunicazione in cabina di pilotaggio.
Sorge evidente l'importanza dell'interfaccia pilota -velivolo ovvero quello di alcuni moduli esperti che interpretano l'azione del pilota e successivamente le inviano ad un display di presentazione del "grafo" del piano di lavoro (strategy) che ha il compito di interpretare il modulo di software stesso.Questo tipo di hardware/software viene progettato prima di tutto definendo la conoscenza di base ossia raccogliendo,classificando,ed archivaindo i dati provenienti da esperti che vengono elaborati dalla cosidetta "macchina inferenziale" o motore deduttivo ossia quella parte del sistema esperto che sceglie dalla base delle conoscenze,le regole da eseguire.
Per il momento mi fermo qui ma per chi volesse ne possiamo parlare piu' approfonditamente.

[maurom]

Grazie airplane per la precisazione.
"Pitch and power" è una espressione sintetica che i piloti da me ricordati usavano dire riferendosi ai dati essenziali e quindi agli strumenti indicatori (orizzonte artificiale e %potenza motori nella fattispecie) che come minimo ritenevano doversi tenere sott'occhio per il controllo del velivolo (da effettuarsi ovviamente attraverso gli appositi comandi).

[Alien]

Andando a leggere sul Flight Manual A330 (da Smartcockpit, para "Reconfiguration Control Laws"), vedo che l'A330 possiede nominalmente due tipi di Alternate Law: ALT1 e ALT2. E la funzionalità dei due modi risulta, come è ovvio, differente sotto alcuni aspetti. Mi sono focalizzato su Low Speed e High Speed, in quanto in quota e/o in certe condizioni, i limiti opposti di velocità, riguardo a stallo e sovravelocità si avvicinano tra loro.

Tutte e due le leggi, ALT1 e ALT2, possiedono in linea di principio le protezioni su Low e su High Speed. Ma, mentre in ALT1 ho sempre le due protezioni, in ALT2, a seconda del tipo di avaria Air Data, potrei perdere tutte e due le protezioni, oppure, una sola delle due. Ad esempio, con una Dual ADR Failure perderei la protezione su Low Speed ma non quella su High Speed (confesso di non capire il motivo di questa differenza).

Ora, dal report BEA leggo che c'è stato l'ACARS "ADR Disagree", e che il FCS è entrato in ALT2. Questo mi corrisponde con quanto leggo nel Flight Manual, che dice che con ADR DISAGREE si entra in ALT2 (non in ALT1) e ambedue le protezioni Low e High Speed sono perdute. Anche l'ACARS F/CTL ALTN LAW era stato acceso, ma da questo non si evince se il moding fosse ALT1 o ALT2. Credo comunque che l'indicazione nel cockpit distingua sempre tra ALT1 e ALT2.

Non potrebbe darsi che il pilota, semplicemente (le ipotesi più semplici tendono sempre ad essere più verosimili) abbia creduto di avere ancora una protezione e non l'altra? Ad esempio, se avesse creduto di avere la protezione su Low Speed, si sarebbe preoccupato di non superare la High Speed, senza preoccuparsi troppo della Low Speed, volendo forse evitare il "coffin corner", e si spiegherebbe il comando a cabrare che ha mantenuto.

La critica allora che è stata mossa al possibile mancato training per i piloti comincia ad avere per me un certo fondamento. Il moding relativo alle Alternate Laws non è semplice, soprattutto perchè ci sono due modi, ALT1 e ALT2, e il secondo dei due si suddivide ancora ulteriormente, in modo da dare almeno tre modi differenti. In effetti, nell'ambito delle Alternate Laws, dovremmo avere ALT1, ALT2 oppure ALT3, rispettivamente considerando le protezioni Low e High speed come attiva/attiva, persa/attiva, oppure persa/persa.

Secondo me il punto critico sembrerebbe quindi esserci due modi quando in realtà sarebbero tre. Questa potrebbe essere causa di confusione.

Non vedo invece fondate le accuse all'Autotrim: mi sembra irrilevante il fatto che in un modo o nell'altro l'Autotrim ci sia oppure no. L'Autotrim dovrebbe essere sempre conseguenza dei comandi del pilota. Non me lo vedo un aeroplano (a meno di avaria di runaway superficie, ma non qui) che decide di trimmarsi per conto suo, senza input del pilota. Il fatto che nell'AF lo stabilizzatore fosse a 13° non dovrebbe essere considerato causa di problemi, ma casomai effetto dei comandi del pilota, oltre che dei parametri di volo.

[sigmet]

L'Autotrim dovrebbe essere sempre conseguenza dei comandi del pilota. Non me lo vedo un aeroplano (a meno di avaria di runaway superficie, ma non qui) che decide di trimmarsi per conto suo, senza input del pilota. Il fatto che nell'AF lo stabilizzatore fosse a 13° non dovrebbe essere considerato causa di problemi, ma casomai effetto dei comandi del pilota, oltre che dei parametri di volo.

Non e' cosi', e per un motivo fondamentale:Il trim ha iniziato a trimmare quando ancora l'autopilota era inserito e stava reagendo alla finta perdita di velocita'.Se l'aeroplano lo porta l'autopilota lo deve trimmare l'autopilota ma se l'aeroplano lo porto io lo debbo trimmare io e se lo voglio triimmare. Nelle prove di collaudo degli aerei convenzionali uno dei parametri fondamentali e' lo sforzo di barra.Se l'aereo e' soggetto ad un aumento di assetto la barra dovra' presentare uno sforzo che e' conseguenza della stabilta' dinamica e questo sforzo avra' un valore ed un verso ben definito.Se sento lo sforzo, o assecondo la tendenza dell'aereo trimmandolo per la nuova velocita' oppure correggo l'assetto in funzione dello sforzo che sento. Nel caso del 330 se il pilota avesse sentito uno sforzo sul sidestick avrebbe intuitivamente capito la condizione di velocita' e di assetto.Lo sforzo e' quindi la naturale reazione di feedback alla condizione di stabilita'. La differenza e' facilmente dimostrabile prendendo ad esempio una automobile senza convergenza. Questa fa si che le ruote tendano a mantenere l'automobile su una traiettoria rettilinea a meno di non applicare uno sforzo sul volante. Quando questo non accade le ruote tendono a mantenere la posizione impostata per la curva rendendo l'automobile praticamente inguidabile.

[airbusfamilydriver]

L'Autotrim dovrebbe essere sempre conseguenza dei comandi del pilota. Non me lo vedo un aeroplano (a meno di avaria di runaway superficie, ma non qui) che decide di trimmarsi per conto suo, senza input del pilota. Il fatto che nell'AF lo stabilizzatore fosse a 13° non dovrebbe essere considerato causa di problemi, ma casomai effetto dei comandi del pilota, oltre che dei parametri di volo.

Non e' cosi', e per un motivo fondamentale:Il trim ha iniziato a trimmare quando ancora l'autopilota era inserito e stava reagendo alla finta perdita di velocita'.Se l'aeroplano lo porta l'autopilota lo deve trimmare l'autopilota ma se l'aeroplano lo porto io lo debbo trimmare io e se lo voglio triimmare. Nelle prove di collaudo degli aerei convenzionali uno dei parametri fondamentali e' lo sforzo di barra.Se l'aereo e' soggetto ad un aumento di assetto la barra dovra' presentare uno sforzo che e' conseguenza della stabilta' dinamica e questo sforzo avra' un valore ed un verso ben definito.Se sento lo sforzo, o assecondo la tendenza dell'aereo trimmandolo per la nuova velocita' oppure correggo l'assetto in funzione dello sforzo che sento. Nel caso del 330 se il pilota avesse sentito uno sforzo sul sidestick avrebbe intuitivamente capito la condizione di velocita' e di assetto.Lo sforzo e' quindi la naturale reazione di feedback alla condizione di stabilita'. La differenza e' facilmente dimostrabile prendendo ad esempio una automobile senza convergenza. Questa fa si che le ruote tendano a mantenere l'automobile su una traiettoria rettilinea a meno di non applicare uno sforzo sul volante. Quando questo non accade le ruote tendono a mantenere la posizione impostata per la curva rendendo l'automobile praticamente inguidabile.

credo che i dati di assetto il pilota li avesse a disposizione non mi sembra di aver letto di avarie dei dati inerziali e della parte IR degli adiru quindi credo che fosse(o avrebbe dovuto essere) consapevole dell'assetto "impiccato"dell'aeroplano

[sigmet]

credo che i dati di assetto il pilota li avesse a disposizione non mi sembra di aver letto di avarie dei dati inerziali e della parte IR degli adiru quindi credo che fosse(o avrebbe dovuto essere) consapevole dell'assetto "impiccato"dell'aeroplano

Un conto e' vederlo (in mezzo a una marea di dati contradditori) un conto e' sentirlo.
Se lo hanno visto evidentemente non ne erano aware.

[airbusfamilydriver]

credo che i dati di assetto il pilota li avesse a disposizione non mi sembra di aver letto di avarie dei dati inerziali e della parte IR degli adiru quindi credo che fosse(o avrebbe dovuto essere) consapevole dell'assetto "impiccato"dell'aeroplano

Un conto e' vederlo (in mezzo a una marea di dati contradditori) un conto e' sentirlo.
Se lo hanno visto evidentemente non ne erano aware.

i dati contraddittori erano dati aria,non i dati inerziali che vengono elaborati da un altra patre dell'adiru,che nulla aveva di guasto
non voglio pensare che due primi ufficiali con 3000 ore di jet non sappiano riconoscere di avere l'aereo per "cappello" guardando davanti a 50 cm dai propri occhi....

in condizioni normali chiaramente lo senti meno lo sforzo,perchè nel momento stesso in cui lo senti,il trim lo annulla
in condizioni anormali invece se l'aereo è strimmato lo senti eccome,è un insieme di due ali che sfrutta gli stessi principi aerodinamici di tutti gli altri aeromobili

non serve andare in volo e aspettare di essere in alternate law,basta entrare dentro un simulatore,e metterlo in alternate law....lo senti eccome...cavolo se lo senti lo sforzo,fai conto che metti 5° gradi di assetto,lasci e quello torna a 15°,poi lo rimetti a 5° gradi e lasciando torna a 15°,mi ripeto,ma non mi stancherò mai di dirlo,la sensazione di sforzo,sintomo di aereo non trimmato,ci sono eccome,e te lo dico per esperienza diretta

infine ripeto:i dati inerziali di assetto erano più che attendibili,e siccome non erano due primi ufficiali al primo volo su un airbus,ma probabilmente nelle loro circa 3000 ore di volo avevano volato anche il 320 prima del 330 in air france,è davvero triste pensare che non abbiano saputo identificare la posizione del muso dell'aeroplano semplicemente osservando i dati di assetto,che vengono prodotti da una parte diversa dell'adiru
secondo poi avevano anche il dato di variometro che gli indicava una salita,ragion per cui non penso proprio che non avessero dati per capire che erano con assetto positivo,molto positivo,e che se hai un assetto positivo con avviso di stallo in corso,forse è meglio che nel dubbio spingi invece di tirare

terzo e ultimo concetto il trim si è posizionato a fondo corsa a cabrare perchè i piloti continuavano a cabrare e se non ha mai cambiato posizione è forse perchè non hanno mai smesso di tirare?

[sigmet]

in condizioni anormali invece se l'aereo è strimmato lo senti eccome,è un insieme di due ali che sfrutta gli stessi principi aerodinamici di tutti gli altri aeromobili

Io parlavo di sforzo di barra.
Lo senti sul sidestick?

terzo e ultimo concetto il trim si è posizionato a fondo corsa a cabrare perchè i piloti continuavano a cabrare e se non ha mai cambiato posizione è forse perchè non hanno mai smesso di tirare?

Allora avranno voluto suicidarsi..

[vihai]

e chi lo dice?

È nei primi capitoli di qualunque testo sui sitemi fault tolerance.

Se aggiungi un sensore ad un sistema n-modular redundant (con n dispari) guadagni capacità di fault detection ma non fault tolerance se non aggiungendo complessità al voter cosa che vuoi evitare perché non diventi lui stesso un single point of failure.

Esempio: se due sensori segnano 200 e due segnano 300 qual è la tua velocità?
Hai guadagnato FT rispetto al caso con tre sensori?

non sono le votazione della giunta comunale

...

[airbusfamilydriver]

Io parlavo di sforzo di barra.
Lo senti sul sidestick?

fai finta di essere in alt law SENZA TRIM,bene lo sforzo lo senti ECCOME,tu spingi a fondo corsa e l'aereo vola livellato,molli un pelino,e tira su il muso,che fai dopo?
prendi la ruota di trim e trimmi fino a fare in modo che lasciando il sidestick l'aereo non vari l'assetto del muso,ne in sù ne in giù ma appunto resti livellato
come col cessnino all'aeroclub

parlavo di sforzo nel tenere un certo assetto

hai mai volato col sidestick?

non sentirai mai lo sforzo aerodinamico,ma se rilasciando il sidestick l'aereo non mantiene l'assetto che tu gli hai impostato devi usare il trim,è abbastanza naturale come col cessnino,quando si trimmava e poi rilasciava per verificare che l'aereo mantenesse l'assetto,e se non era sufficiente si correggeva e trimmava ancora
tuitto ciò in alternate o direct law non in normal law ovviamente
ma su questo le chiacchiere stanno a zero perchè volenti o nolenti il fly-by-wire non è il futuro,ma il presente IMHO

Allora avranno voluto suicidarsi..

sai per certo che il trim era bloccato meccanicamente/idrualicamente/elettricamente??
no,perchè non lo sa ancora nessuno
ad ogni modo lo stabilizzatore(trim) è una delle due superfici che non si possono mai bloccare perchè ha un comando meccanico,insieme al rudder,esattamente come sull'80 con una bella catena che agisce sul motore del controllo manuale trim con la superficie di volo ed è sempre attuabile fatta salva la pressione idraulica degli impianti g+y sul 320 o g+b sul 330
detto ciò pressione ne avevano,poi si potrebbe essere anche bloccato meccanicamente perchè si è rotta la vite senza fine o il motore del controllo manuale meccanico
allora si che si otrebbe dare la colpa al trim bloccato,ma la causa di ciò non sarebbe certo la presenza dell'autotrim
insomma non vorrei che questo tread diventasse un processo all'autotrim,e nei tuoi post fin dall'inizio ho visto puntare il dito contro l'autotrim,che non è in grado assolutamente di bloccare una superfice di volo,dal momento che la stessa ha un back up manuale che ha priorità sul controllo elettrico della stessa superfice
l'unico modo per cui si può bloccare uno stabilizzatore su un airbus è a seguito di rottura dei motori di controllo o blocco meccanico dello stabilizzatore,ovvero niente che abbia a che fare con il fatto che lo stabilizzatore si autotrimmi durante condizioni di volo normali,oppure per perdita degli impianti idraulici che lo alimentano

[Zapotec]

allora si che si otrebbe dare la colpa al trim bloccato,ma la causa di ciò non sarebbe certo la presenza dell'autotrim
insomma non vorrei che questo tread diventasse un processo all'autotrim,e nei tuoi post fin dall'inizio ho visto puntare il dito contro l'autotrim,che non è in grado assolutamente di bloccare una superfice di volo,dal momento che la stessa ha un back up manuale che ha priorità sul controllo elettrico della stessa superfice
l'unico modo per cui si può bloccare uno stabilizzatore su un airbus è a seguito di rottura dei motori di controllo o blocco meccanico dello stabilizzatore,ovvero niente che abbia a che fare con il fatto che lo stabilizzatore si autotrimmi durante condizioni di volo normali,oppure per perdita degli impianti idraulici che lo alimentano

Ma nella modalità degradata in cui era (alternate 2, giusto ?) l'autotrim è già inattivo, giusto ?. Se è corretto, è anche ragionevole che non si muova più automaticamente
Quello che si intende, credo (da incompetente non riesco nemmeno lontanamente a immaginare cosa ci sia da fare in quelle circostanze) che magari i piloti possono essere convinti che il trim sia comunque sempre "a posto" per via dell'automatismo e che, negli accadimenti di quel momentaccio, semplicemente non l'abbiano "resettato" in posizione corretta manualmente ?

[sigmet]

fai finta di essere in alt law SENZA TRIM,bene lo sforzo lo senti ECCOME,tu spingi a fondo corsa e l'aereo vola livellato,molli un pelino,e tira su il muso,che fai dopo?
prendi la ruota di trim e trimmi fino a fare in modo che lasciando il sidestick l'aereo non vari l'assetto del muso,ne in sù ne in giù ma appunto resti livellato
come col cessnino all'aeroclub

parlavo di sforzo nel tenere un certo assetto

Vedo che continui a confondere lo sforzo di barrra con la risultante del momento aerodinamico ma un buon libro di aerotecnica lo puo' spiegare meglio di me.Diro' solo che in un qualsiasi aereo con comandi servoassistiti generalmente viene introdotto nella catena di comando un meccanismo di sensazione artificiale.

hai mai volato col sidestick?

Si.

..insomma non vorrei che questo tread diventasse un processo all'autotrim,e nei tuoi post fin dall'inizio ho visto puntare il dito contro l'autotrim..

Per contratto non posso dare colpe a nessuno,neanche a un trim,ne ho detto che il trim sia la causa dell'incidente ma cerco di capire le cause di un evento per evitare che questo possa ripetersi.E le analogie tra questo incidente e altri occorsi a macchine simili mi inducono a pensare che alcune cause comuni possano esserci fino a dimostrazione contraria.


Il senso del mio discorso non vuole accusare nessuno ne denigrare una casa costruttrice a favore di un altra (anche se la mia opinione ce l'ho e la tengo per me) ma solo analizzare l'environment di sistemi complessi che interagiscono con il pilota. Uno dei punti fondamentali e' quello della criticita' del sistema in condizioni operative particolari quali quelle di un emergenza.
Wise e Hopkins (due dei guru dell HF in aviazione ) spiegano cosi' la differenza in termini di "response" tra le due architetture.

Left


Right





Ma tutto e' perfettibile.Punto.

[airbusfamilydriver]

Vedo che continui a confondere lo sforzo di barrra con la risultante del momento aerodinamico ma un buon libro di aerotecnica lo puo' spiegare meglio di me.Diro' solo che in un qualsiasi aereo con comandi servoassistiti generalmente viene introdotto nella catena di comando un meccanismo di sensazione artificiale.

si l'artificial feel lo spiegavano nei corsi base,ora ho capito cosa intendi,il fenomeno per il quale avendo comandi servoassistiti non hai "lo sforzo di barra" dovuto al lavoro dei servo attuatori e idraulici e per i quali la sensazione di sforzo è decisamente inferiore a quella che si percepirebbe se ci fosse un collegamento diretto meccanico tra controllo e superfice

non ho mai detto che tu voglia criticare una casa piuttosto che un altra perchè lo pensi?

p.s. scherzoso la tua opinione la conosco anche se la tieni per te

p.s.2 quali altri incidenti si sono verificati(relazioni finali di inchiesta) per il blocco dello stabilizzatore o trim?

[airplane]

.
LO RIPETO DI NUOVO, io pilota, almeno devo avere: l’orizzonte artificiale, la posizione visiva delle manette per la potenza impiegata e la totale escursione dei comandi. in modo da avere la speranza di poter tirare fuori l’aereo da assetti anormali, (esempio: superstallo, ecc. ecc.).

Ecco, non vedo i dati aria in questo elenco minimale...
Ne deduco che, effettivamente, gli Airbus e tutti gli altri, possono tornare a casa senza dati aria. Ci riesce l'EFA, che e' instabile!

>>Riporto il mio precedente post
Premesso che non conosco A330;


1) Penso che tutti gli aeroplani fly by wire debbano avere un quarto tubo di pitot di tipo diverso dagli altri 3 e un’altra statica diversa dalle altre statiche; sia il pitot che la statica devono essere posizionati in altri posti, anche se questo va a scapito della precisione dei valori strumentali.

2) Inoltre gli strumenti di standby orizzonte artificiale, indicatore di velocità e altimetro devono essere alla vecchia maniera e alimentati da fonte elettrica di emergenza la più sicura possibile.

3) Le manette dei motori devono essere una via di mezzo fra l'Auto throttle e l'Auto trust, cioè dopo la correzione della potenza fatta dai computer con un ragionevole ritardo le manette dei motori si devono posizionare nella nuova posizione della corsa delle manette. Il pilota deve avere sempre l'immediato riscontro visivo dato dalla posizione delle manette motori in relazione alla potenza impiegata.

>>>

Come già detto, ci sono gli strumenti di standby. orizzonte artificiale giroscopico, alimentato da fonte di emergenza, per pilotare l’assetto di pitch e di roll.
Inoltre, l’indicatore di velocità, altimetro ecc. devono essere alla vecchia maniera, alimentati da impianti separati (impianto 4° pitot e impianto 4° statica.)

Ovviamente, quanto detto sopra assieme a una specifica, (da progettare) abnormal attitude flight law con minime protezioni per pericolosi carichi strutturali (esempio prot. rudder) e posizionamento automatico sullo zero di tutte le superfici mobili di controllo.
NOTA 1
ho dimenticato di dire che la suddetta legge deve essere attivata, in emergenza, manualmente dal pilota tramite un interruttore protetto dalla nota gabbietta di sicurezza)

Infine, come ultimo appiglio di salvezza, la nota direct law mediante pedaliera e manual pitch-trim, ma in automatico devono essere posizionati in partenza sulle posizioni di zero pitch e zero Rudder per avere la totale escursione (esente da protezioni) delle superfici di controllo.
NOTA 2
ho dimenticato di dire che anche quest’altra suddetta legge deve essere attivata, in emergenza, manualmente dal pilota tramite un secondo interruttore protetto dalla nota gabbietta di sicurezza)

NOTA 3
Naturalmente questi due interruttori d’emergenza sotto gabbietta devono essere posizionati a fianco degli strumenti di stand-by.

Come già detto, Le manette dei motori devono essere una via di mezzo fra l'Auto throttle e l'Auto trust.Il pilota deve avere sempre l'immediato riscontro visivo dato dalla posizione delle manette motori in relazione alla potenza impiegata.


Ps.
Mi risulta che il comandante, con lunga esperienza (11000 ore di volo), è entrato in cabina un minuto e mezzo prima dello schianto sull’oceano e con quanto detto sopra forse, a colpo d’occhio, avrebbe capito la terribile situazione in cui si era ficcato A330 e.......



.

[airbusfamilydriver]

Allora avranno voluto suicidarsi..

aggiungo
situazione 1: hanno considerato invalidi anche i dati di assetto e variometro,pensando di essere in picchiata invece che in cabrata e hanno comandato imput a cabrare?

situazione 2: hanno cabrato a prescindere dalle indicazioni di attitude e variometro che indicavano già una cabrata?

il FDR ha registrato solo imput a cabrare...perchè? (escludo l'ipotesi suicidio)

se buttassero dentro un cockpit improvvisametne con solo i seguenti dati: variometro positivo,assetto positivo e avviso di stallo acustico,un pilota di media esperienza come coloro che erano ai comandi,a quale posizione dell'aereo nello spazio penserebbero?

nel 99% dei casi probabilmente cabrata.....perchè cabrare allora?

troppe domande ancora senza risposte e soprattutto speriamo di avere presto anche i dati del CVR

[albert]

speriamo di avere presto anche i dati del CVR

diversi dati dal CVR sono già stati diffusi nel report del 27.05....

[Ospite]

Il 77, fly by wire, ma con la cloche, riproduce in modo migliore, lo sforzo di barra? nè sai qualcosa sigmet?

[airbusfamilydriver]

speriamo di avere presto anche i dati del CVR

diversi dati dal CVR sono già stati diffusi nel report del 27.05....

me li ero persi hai un link? grazie

[Zapotec]

p.s.2 quali altri incidenti si sono verificati(relazioni finali di inchiesta) per il blocco dello stabilizzatore o trim?

http://www.md80.it/bbforum/viewtopic.ph ... 30#p775920

Penso che Sigmet .. e pure io cerco di sapere se ci sono similitudini.... si riferisca a questo anche se non è un Airbus. Se ho ben capito (in questo incidente), il trim non era "bloccato", ma se alla fine non si "ricordavano" di ritrimmare manualmente non sarebbero usciti dagli stalli

ciao !

[ih9]

Allora avranno voluto suicidarsi..

aggiungo
situazione 1: hanno considerato invalidi anche i dati di assetto e variometro,pensando di essere in picchiata invece che in cabrata e hanno comandato imput a cabrare?

situazione 2: hanno cabrato a prescindere dalle indicazioni di attitude e variometro che indicavano già una cabrata?

il FDR ha registrato solo imput a cabrare...perchè? (escludo l'ipotesi suicidio)

se buttassero dentro un cockpit improvvisametne con solo i seguenti dati: variometro positivo,assetto positivo e avviso di stallo acustico,un pilota di media esperienza come coloro che erano ai comandi,a quale posizione dell'aereo nello spazio penserebbero?

nel 99% dei casi probabilmente cabrata.....perchè cabrare allora?

le avevano queste informazioni?

Il degrado non è iniziato con la virata a sx come letto qualche pagina prima, si immagina per evitare il fronte temporalesco avvenuta alle 2.08.07 ma due minuti dopo alle 2.10.05 quando l 'auto/fl si disimpegna

tra le 2.13.16 e le 2.13.41 durante la ricezione dei messaggi acars AF dichiara di aver avuto una "probabile" perdita di segnale dal satellite e se alcuni messaggi di anomalia erano usciti dalla cachè ECAM del 447 erano in sola disponibilità del sat che non avendo una connessione "convalidata" (ack) tipo server/client con AF (i messaggi acars fluttuano nell'aria liberi) non può fornire informazioni su eventuali messaggi mancanti (non so se il satellite conservi un back-up di questo genere di segnali in transito) Infatti i messaggi in nostro possesso in corrispondenza di quel range di tempo 2.13.16/41 sono solo 3 con un vuoto tra il secondo 15 ed il 42.

Al 2.10.05 istintivamente PNF (si presume D.Robert) ha dato un nose-up castigato da due allarmi stallo

Alle A 2 h 10 min 16 il PNF ha detto "così, abbiamo perso la velocità" quindi "alternate law [...]" cognizione della situazione

Poco dopo le 2.10.16 la manovra tentata fu invece un nose-down con recupero immediato di assetto e velocità anche se ormai a 2.500 ft sopra la quota autorizzata.

"Assetto di beccheggio dell'aereo è aumentato progressivamente oltre 10 gradi e l'aereo ha iniziato
a salire. Il PF diede un input di "nase-down" e alternativamente rollio a destra e a sinistra.
La velocità verticale, che aveva raggiunto 7.000 ft / min, scese a 700 ft / min e il rollio cambio da
12 gradi a destra a 10 gradi a sinistra. La velocità visualizzata sul display sinistro aumentatò
bruscamente a 215 kt (Mach 0,68). L'aereo passò ad una altitudine di circa 37.500 piedi e
l' angolo di attacco registrato fu registrato circa 4 gradi."

ed il miglioramento dovrebbero averlo percepito visto che i dati erano apparsi come dice la Bea sui display.

Alle 2-10.51 quando l'aereo riprende l'assetto per cui era impostato dalle sicurezze c'è di nuovo una allarme stallo ( se te ne stai buono dopo la mia manovra e ricominci dopo un po di tempo qualche dubbio sulla situazione delle impostazioni mi viene e cosa mi fa perdere questo sospetto?)

L'altimetro era in disponibilità, infatti il PF dice alle 2.13.52 "stiamo arrivando a quota 100" ma erano loro visualizzate le altre informazioni?

Tre su tre dei pitot hanno dato failure, ok iconveniente tecnico improbabile ma accaduto, ma possono oltre ai 3 pitot 3 piloti, Roberts (6000 ore o 3.000 non ricordo), Bonin (1800), Duboi (11.000 anche se presente solo negli ultimi 90 secondi) non capire dove stiano andando?
C'è un azzeramento completo delle ridondanze, la sfiga si à appostata a quell'ora in quel punto in aguato? statisticamente improbabile, quindi cosa può aver spinto tutti e tre a concordare su un continuo nose-up contrariamente agli avvisi stallo che si succedevano?

Continuo da passeggero ad aggrapparmi disperatamente alla convinzione che informazioni errate o mancanti abbiano portato 3 (tre) piloti a commettere un errore fatale dopo 3 (tre) pitot in avaria.

[airbusfamilydriver]

Allora avranno voluto suicidarsi..

aggiungo
situazione 1: hanno considerato invalidi anche i dati di assetto e variometro,pensando di essere in picchiata invece che in cabrata e hanno comandato imput a cabrare?

situazione 2: hanno cabrato a prescindere dalle indicazioni di attitude e variometro che indicavano già una cabrata?

il FDR ha registrato solo imput a cabrare...perchè? (escludo l'ipotesi suicidio)

se buttassero dentro un cockpit improvvisametne con solo i seguenti dati: variometro positivo,assetto positivo e avviso di stallo acustico,un pilota di media esperienza come coloro che erano ai comandi,a quale posizione dell'aereo nello spazio penserebbero?

nel 99% dei casi probabilmente cabrata.....perchè cabrare allora?

le avevano queste informazioni?

Il degrado non è iniziato con la virata a sx come letto qualche pagina prima, si immagina per evitare il fronte temporalesco avvenuta alle 2.08.07 ma due minuti dopo alle 2.10.05 quando l 'auto/fl si disimpegna

tra le 2.13.16 e le 2.13.41 durante la ricezione dei messaggi acars AF dichiara di aver avuto una "probabile" perdita di segnale dal satellite e se alcuni messaggi di anomalia erano usciti dalla cachè ECAM del 447 erano in sola disponibilità del sat che non avendo una connessione "convalidata" (ack) tipo server/client con AF (i messaggi acars fluttuano nell'aria liberi) non può fornire informazioni su eventuali messaggi mancanti (non so se il satellite conservi un back-up di questo genere di segnali in transito) Infatti i messaggi in nostro possesso in corrispondenza di quel range di tempo 2.13.16/41 sono solo 3 con un vuoto tra il secondo 15 ed il 42.

Al 2.10.05 istintivamente PNF (si presume D.Robert) ha dato un nose-up castigato da due allarmi stallo

Alle A 2 h 10 min 16 il PNF ha detto "così, abbiamo perso la velocità" quindi "alternate law [...]" cognizione della situazione

Poco dopo le 2.10.16 la manovra tentata fu invece un nose-down con recupero immediato di assetto e velocità anche se ormai a 2.500 ft sopra la quota autorizzata.

"Assetto di beccheggio dell'aereo è aumentato progressivamente oltre 10 gradi e l'aereo ha iniziato
a salire. Il PF diede un input di "nase-down" e alternativamente rollio a destra e a sinistra.
La velocità verticale, che aveva raggiunto 7.000 ft / min, scese a 700 ft / min e il rollio cambio da
12 gradi a destra a 10 gradi a sinistra. La velocità visualizzata sul display sinistro aumentatò
bruscamente a 215 kt (Mach 0,68). L'aereo passò ad una altitudine di circa 37.500 piedi e
l' angolo di attacco registrato fu registrato circa 4 gradi."

ed il miglioramento dovrebbero averlo percepito visto che i dati erano apparsi come dice la Bea sui display.

Alle 2-10.51 quando l'aereo riprende l'assetto per cui era impostato dalle sicurezze c'è di nuovo una allarme stallo ( se te ne stai buono dopo la mia manovra e ricominci dopo un po di tempo qualche dubbio sulla situazione delle impostazioni mi viene e cosa mi fa perdere questo sospetto?)

L'altimetro era in disponibilità, infatti il PF dice alle 2.13.52 "stiamo arrivando a quota 100" ma erano loro visualizzate le altre informazioni?

Tre su tre dei pitot hanno dato failure, ok iconveniente tecnico improbabile ma accaduto, ma possono oltre ai 3 pitot 3 piloti, Roberts (6000 ore o 3.000 non ricordo), Bonin (1800), Duboi (11.000 anche se presente solo negli ultimi 90 secondi) non capire dove stiano andando?
C'è un azzeramento completo delle ridondanze, la sfiga si à appostata a quell'ora in quel punto in aguato? statisticamente improbabile, quindi cosa può aver spinto tutti e tre a concordare su un continuo nose-up contrariamente agli avvisi stallo che si succedevano?

Continuo da passeggero ad aggrapparmi disperatamente alla convinzione che informazioni errate o mancanti abbiano portato 3 (tre) piloti a commettere un errore fatale dopo 3 (tre) pitot in avaria.

i pitot però forniscono solamente dati di velocità,non di variometro o altimetro
le adr che invece erano in disagree tra di loro forniscono anche dati barometrici all'altimetro
a quanto pare altimetro e variometro erano disponibili e non si evidenza per ora nei dati fdr la indisponibilità dei dati di assetto che è inerziale
il variometro è invece inanzitutto inerziale,e qualora i dati inerziali fossero indisponibili gli stessi verrebbero rimpiazzati dai dati provenienti dalle adr,secondo quanto dice il manuale
assetto,variometro e altimetro sono normalmente sufficienti a capire l'assetto e la direzione nello spazio dell'aeromobile,mi ricollego alla tua ultima domanda:cosa può aver indotto i 3 a concordare su un continuo nose-up?
è davvero interessante il quesito e spero che le indagini possano chiarlo

[Alien]

e chi lo dice?

È nei primi capitoli di qualunque testo sui sitemi fault tolerance.

Se aggiungi un sensore ad un sistema n-modular redundant (con n dispari) guadagni capacità di fault detection ma non fault tolerance se non aggiungendo complessità al voter cosa che vuoi evitare perché non diventi lui stesso un single point of failure.

Esempio: se due sensori segnano 200 e due segnano 300 qual è la tua velocità?
Hai guadagnato FT rispetto al caso con tre sensori?

No, un voter non può diventare un single point of failure perchè è una routine di software. Qui, come sempre, si parla di failure di hardware.

Invece è meglio avere una ridondanza quadruplex invece che triplex se devi per forza di cose stare nel requisito di sicurezza. D'altronde, ripeto, il FCS (dati aria inclusi!) dell'EFA come del M346, ad esempio, è quadruplex.

L'esempio riportato non è applicabile in quanto si tratta di seconda failure, e prima di arrivare ad una situazione di seconda failure abbiamo avuto la prima failure, con una situazione 3 contro 1. Con un piccolo, accettabile, rischio di avere la seconda failure esattamente durante il tempo di conferma della prima (normalmente poche decine di millisecondi), il tutto risulta più sicuro. I computer possono riconfigurare la prima avaria e mostrare al pilota il consolidato dei tre rimasti. In seguito, al minimo dopo poche decine di millisecondi, in qualunque momento, dopo la seconda avaria riconfigurare e mostrare al pilota il consolidato dei due rimasti. Il mio punto è che, così facendo, il pilota non ha da decidere quale canale sia guasto, perchè sa che il dato che legge è stato votato e consolidato. Non ha quasi nemmeno bisogno di sapere quante failure ha di fronte, perchè le decisioni le prende il sistema per lui.

Invece, se non si accorge della prima failure, e poi, diciamo dopo un secondo, gli arriva la seconda failure, con tre indicazioni da verificare e votare, potrebbe benissimo sbagliare e prendere le due indicazioni sbagliate come buone rispetto alla terza giusta che lui crede sbagliata in quanto il voting di 2 contro 1 lo deve fare lui stesso.