Solo pochi giorni dopo Natale lo scorso anno Airasia il volo 8051 che viaggia a Singapore tragicamente crollato nel mare. L’Indonesia ha completato la sua indagine sul crash e ha appena rilasciato il rapporto finale. La copertura dei media, soprattutto in Asia è grande. Le storie sono previste da errore pilota ma, come tecnologi, ci sono lezioni da apprendere più in profondità nel rapporto.
L’Airbus A320 è un sistema fly-by-wire che implica non ci sono collegamenti meccanici tra i piloti e le superfici di controllo. Tutto è elettronico e molti di un volo sono sotto controllo automatico. Sfortunatamente, questo implica anche i piloti non dedica molto tempo a volare in realtà un aereo, possibilmente meno di un minuto, secondo un rapporto.
Ecco lo scenario previsto dal rapporto indonesiano: un sistema di computer limite di travel del timone allarmato quattro volte. I piloti hanno cancellato gli allarmi a seguito delle normali procedure. Dopo il quinto allarme, l’aereo rotolò oltre i 45 gradi, si arrampicò rapidamente, si bloccò e cadde.
Errore pilota?
I titoli dei media si concentrano su quest’ultimo passo nella catena di fallimento, in parte perché i piloti non furono mai addestrati per affrontare il tipo di turbamento avvenuto. Non era solo AirAsia che ha omesso questo allenamento sull’A320. Tutte le compagnie aeree hanno fatto perché Airbus, il produttore di aeromobili, non si aspettava che l’aereo abbia mai sperimentato uno sconvolto così estremo. Si noti che la Francia, come paese ospitante per Airbus, ha partecipato all’inchiesta.
Come tecnologi dobbiamo guardare oltre. La causa principale della root è stata incrinata giunti di saldatura sui circuiti per il sistema di controllo limite del timone. Questo sistema limita la quantità di movimento del timone ad alta velocità. Un punto essenziale è questo stesso sistema fallito 23 volte nel 2014. Questo è stato considerato minori danni e mai risolti.
Come in numerose situazioni, la catena di errore è una cascata di guasti umani per rispondere correttamente a un guasto tecnico. Poco discusso in molti rapporti è il modo in cui i piloti hanno tentato di fissare il quinto errore di controllo del timone. Seguirono le normali procedure per i primi guasti ma l’ultima volta che hanno aperto e resetta un interruttore automatico mentre è in volo. In qualche modo ciò implicito l’Autothrust e l’autopilota sono stati scollegati e mai ripristinati. Questo ha messo i piloti unicamente in controllo dell’aereo attraverso il sistema fly-by-wire.
Sequenza tragica di eventi
Per riassumere, ecco i tre fallimenti essenziali:
Giunto di saldatura cattiva,
Ciclare l’interruttore automatico,
Formazione inadeguata di recupero.
Ti ignoreremo l’errore di non risolvere correttamente il tabellone. Questo è un fallimento umano, ma anche un problema di politica più ampio per AirAsia e non direttamente tecnico.
Le cattive articolazioni di saldatura si verificano nonostante i migliori sforzi per evitarli nella produzione. Diagnosticare un insufficienza articolare intermittente può essere un incubo in modo che possiamo simpatizzare con i manutentori dell’aeromobile. Come dovremmo affrontare fallimenti intermittenti nei sistemi vitali o essenziali? Chiaramente il sistema stava controllando la sua integrità perché ha continuato a rilasciare avvertimenti per tutto il 2014. È possibile disporre di un sistema rifiutare di funzionare se si verifica un certo numero di guasti? Suggerirei che dopo 6 guasti potevano avere un avviso accresciuto, come il rifiuto di avviarsi quando si accendeva in un ambiente sicuro (cioè parcheggiato a terra). Essenzialmente il sistema dice: “So che sto male, ora mi aggiusta”.
Interruttore del circuito dell’aeromobile
Perché i piloti hanno confuso con l’interruttore? Un rapporto dice che il pilota ha visto un lavoratore di manutenzione ciclo un interruttore automatico per cancellare un guasto. Va bene a terra ma non nell’aria. Perché un pilota potrebbe provare questo, soprattutto perché ci sono consulenti ai piloti per non ripristinare gli interruttori automatici a meno che il sistema non sia critico di volo? Il sistema di controllo qui è una funzione di sicurezza, ma non vitale, quindi perché non lasciarlo fuori?
Le persone in genere diventano eccessivamente confortevoli con la tecnologia perché abbonda. Ci sono tutti i tipi di battute sui parenti non tecnici che fanno qualcosa di pazzo per un computer perché la stessa azione ha fissato qualcos’altro.
Sfortunatamente, questo implica tipicamente le persone non sanno cosa non sanno. In questo caso, i piloti sembravano non sapere il ciclismo quell’interruttore interromperebbe altri sistemi. Sì, suona insolito che accadrebbe e non posso discuterne perché non so perché questo sarebbe successo. Se è vero, sembra essere un problema sistemico che dovrebbe essere affrontato. Nel nostro lavoro, dobbiamo assicurarci che i fallimenti in una parte di un sistema non sconvolgono le parti critiche altrove.
I piloti non erano addestrati a gestire il volo sconvolto perché anche Airbus, il produttore di aeromobili, non si aspettava che l’aereo abbia mai sperimentato un così estremo sconvolto. Immagino che Murphy non sia francese non aspettano che i suoi effetti si verifichino lì. Questa ipotesi probabilmente derivava dall’aereo in fly-by-wire. L’aspettativa è che l’aeromobile non si lasciarebbe arrabbiarsi in questo grado. Ma i sistemi di volo automatici sono stati interrotti dal ciclismo dell’interruttore.
Incartare
I fallimenti in sistemi complessi prendonoUn sacco di sforzi per rintracciare. In questa situazione vediamo come tre azioni separate causano il fallimento con un quarto, il fallimento della manutenzione, contribuendo notevolmente. Questo sottolinea che l’errore totale potrebbe essere stato evitato in più volte: se i giunti di saldatura non avevano fallito. Se i piloti non avessero il ciclo del circuito. Se i piloti avevano restaurato i computer di volo automatici. Se i piloti avevano reagito correttamente dopo il turbamento.
Anche come hacker dobbiamo tenere a mente quando e come possono verificarsi guasti. Abbiamo scritto articoli su serrature elettroniche create da hacker. Come si ottiene se la potenza si spegne o un giunto di saldatura sbagliata non riesce dopo alcune centinaia di aperture e chiusure? Speriamo che un essenziale sovrascriverà l’elettronica. Fortunatamente, molti degli hack che vediamo non sono critici. Fortunatamente, i fallimenti non sarebbero la vita pericolosa. Mantiamolo in questo modo.
Leave a Reply