Airbus e i problemi sui sensori

A380

Qualche giorno fa, Airbus ha annunciato di star considerando un nuovo sistema di sicurezza (auto emergency descent), che permetterebbe ad un aereo di linea di eseguire da solo la procedura di discesa di emergenza senza l'aiuto dei piloti, nel caso che rilevasse una depressurizzazione della cabina. Piu' precisamente, l'aereo eseguirebbe una discesa rapida alla massima velocita' operativa fino a raggiungere l'altezza di 3000 metri (o qualcosa di piu' nel caso di presenza di alte montagne), dove si livellerebbe in quanto le maschere d'ossigeno non sarebbero piu' necessarie. Prima di iniziare la manovra, il sistema eseguirebbe un conto alla rovescia in modo da permettere ai piloti di disattivarlo se il suo intervento non fosse necessario.

Un sistema del genere, se ben funzionante, avrebbe potuto forse evitare il disastro della Helios Airways, nel quale i due piloti non si resero conto della depressurizzazione del velivolo e persero conoscenza (l'aereo continuo' a volare autonomamente fino all'esaurimento del carburante e al successivo schianto in territorio greco). Ma al di la' di questo caso estremo, le depressurizzazioni sono un evento che, seppur si verifichi con una certa frequenza e con effetti non piacevoli per i timpani dei passeggeri, i piloti sanno gestire bene. E' quindi utile introdurre questo ulteriore sistema automatico?

Dato che questo tipo di domanda e' un tema centrale in Interazione Uomo-Macchina, lo discuto nel seguito in generale. Il termine "automazione" e "sistema automatico" vengono infatti di solito presentati in positivo dai media in relazione alla sicurezza, inducendo a pensare che piu' sistemi automatici aggiungiamo ad un aereo (o a qualsiasi altro contesto), piu' quello diventa sicuro, affidabile ed esente da errori umani, ma le cose non sono cosi' semplici. Introdurre un nuovo sistema automatico comporta anche rischi. Alcuni li ho gia' descritti nel pezzo sulle "ironie dell'automazione". L'aspetto che vado ora a considerare riguarda invece i dati su cui il sistema automatico basera' le proprie decisioni. E sono almeno due le domande da porsi:

  1. Il sistema tiene conto di tutte le variabili necessarie per affrontare sempre bene la situazione che e' chiamato a gestire? Se un sistema che viene proposto per gestire la situazione X non considera tutte le variabili che possono entrare in gioco, significa che non sa gestire la situazione X in generale (come gli utenti che gli si affidano tenderanno a credere), ma che sa gestire solo alcuni casi particolari e sugli altri puo' anche peggiorare la situazione.
  2. Quanto sono affidabili i sensori che misurano quelle variabili? Anche quando si riesce a tener conto di tutte le variabili in gioco, se le misurazioni dei sensori diventano inaffidabili, il sistema automatico prende decisioni non in base alla realta' ma facendo riferimento ad una rappresentazione errata del mondo (se ad esempio un sensore di velocita' comunica erroneamente valori eccessivi, un sistema automatico puo' reagire diminuendo la potenza dei motori e causando una situazione di pericolo).

Dato che il numero di decisioni affidate alle macchine in base a valori riportati da sensori e' in costante aumento, e' facile trovare casi anche clamorosi di decisioni sbagliate prese autonomamente da macchine con una visione distorta della realta'. Ad esempio, qualche mese fa e' uscito il rapporto ufficiale australiano sull'incidente avvenuto ad un Airbus 330 della compagnia Qantas: durante il viaggio a quota di crociera di 10000 metri, il velivolo ha improvvisamente ed in modo autonomo picchiato verso terra. Dopo un po' i piloti riuscivano a riportarlo alla quota originaria, ma il fenomeno si ripeteva e l'aereo picchiava di nuovo all'improvviso senza che i piloti glielo avessero comandato, costringendo al "mayday" con atteraggio di emergenza ed un bilancio di 12 feriti gravi. Il rapporto parla testualmente di un malfunzionamento ad uno dei componenti che misurano alcune variabili importanti (air data inertial reference unit, ADIRU) e le forniscono ai computer del velivolo. Traduco testualmente dal rapporto: "uno degli ADIRU ha iniziato a fornire dati erronei (picchi) su molte variabili agli altri sistemi elettronici di bordo. Alcuni dei picchi riguardanti la variabile angolo di attacco del velivolo non sono stati filtrati dai computer di controllo del volo, che hanno successivamente comandato i movimenti di picchiata".

Nonostante la notizia dell'ultim'ora con cui ho aperto mi abbia fatto parlare di Airbus, va detto che le problematiche descritte riguardano qualsiasi costruttore di velivoli (e altri sistemi basati su computer). Per par condicio, considero quindi anche Boeing e traduco dall'altrettanto recente rapporto dell'autorita' olandesi sul Boeing 737 della Turkish Airlines schiantatosi sull'aereoporto di Amsterdam-Schiphol (con un bilancio di 9 morti ed 86 feriti): "ad un'altezza di 1950 piedi il radioaltimetro di sinistra ha improvvisamente
indicato un cambiamento di altitudine – passato da 1950 a 8 piedi – ed ha passato tale dato al pilota automatico. Questo cambiamento ha avuto un impatto sul sistema automatico che regola la potenza del motore. […] In pratica, l'aereo ha risposto a questo cambiamento improvviso come se fosse ad un'altitudine di pochi metri e la potenza del motore è stata ridotta. Sembra che il sistema automatico abbia assunto di essere nelle ultime fasi del volo".

Come vedete il pattern e' lo stesso: A) un sensore si guasta, dando ai computer valori sbagliati, B) i computer prendono decisioni autonome in base a quei valori sbagliati. Ed e' un pattern con cui e' bene familiarizzare, dato che piu' automazione introduciamo piu' spesso lo vedremo.

© 2009 Luca Chittaro, Nova100 – Il Sole 24 Ore.

  • Benny |

    Tutto quello che non c’e’ , non si puo’ rompere
    (Henry Ford , 1908)

  • Luca Chittaro |

    Si, il problema ingegneristico e’ quello che descrivi. Non e’ pero’ semplice da risolvere per almeno due motivi.
    Primo, nonostante l’approccio della ridondanza valga anche per gli aerei di linea (i sistemi critici sono sempre presenti in tre esemplari), ciò non sta impedendo ad incidenti come quelli sopra riportati di accadere. Ad esempio, nel caso dell’Airbus 330 Quantas, il rapporto citato tiene a precisare che c’erano tre copie del sistema ADIRU e soltanto una di esse ha malfunzionato, mentre le altre due fornivano valori corretti. Quindi da progetto non doveva succedere niente di male, ma in pratica alcuni valori errati sono riusciti ad entrare ed essere usati ugualmente nel computer. Perche’? Non si e’ ancora capito.
    Secondo, negli aerei “fly-by-wire” di ultima generazione la possibilità di “passare al pilotaggio manuale” e’ molto relativa: disabilitare il pilota automatico non spegne tutti gli automatismi e non e’ possibile trasformare queste macchine costruite su una montagna di software in aerei vecchia maniera: sempre nel caso dell’Airbus 330 Qantas sopracitato, il rapporto precisa che il pilota automatico era stato disconnesso e che quindi l’aereo si metteva a picchiare nonostante i piloti in “manuale” non dessero quel comando.

  • roberto dadda |

    Luca tutto condivisibile, ma credo che il vero problema sia ridurre in modo significativo la probabilità di una lettura errata dai sensori e, dove possibile, in caso di lettura dubbia demandare tutto all’uomo.
    Se il malfunzionamento di un solo sensore provoca gravi problemi vuole dire che il sistema dei sensori di quella grandezza non è ben progettato, nei sistemi medicali che per molti anni ho progettato, i sensori erano sempre almeno tre e si andava a maggioranza, mi figurerei che l’altitudine e l’assetto di un aereo fossero misurato da almeno tre sensori.
    Quando parliamo di un pilota automatico il problema non è poi così grave perché se il sistema dei sensori si dichiara incapace di decidere basta avvisare i piloti e passare a pilotaggio manuale, in altri casi come per esempio il controllo di un elicottero la cosa è impossibile ed allora diventa sempre più importante lavorare sulla affidabilità e sulla tolleranza al guasto del sistema dei sensori.
    dadda

  Post Precedente
Post Successivo