Il dopo AF 447: Pitot
Scritto da Franco Di Antonio
Dopo ogni inchiesta su un incidente aereo, vengono applicate modifiche ai sistemi ed alle procedure, al fine di prevenire il ripetersi di inconvenienti dello stesso tipo. A volte le autorità aeronautiche emettono delle raccomandazioni, delle prescrizioni o delle vere e proprie direttive di sicurezza.
Essendo stato rilasciato dall’autorità competente il rapporto conclusivo sull’incidente dell’AF 447 è ora possibile avanzare alcuni commenti circa interventi preventivi sulle carenze che l’inchiesta ha fatto emergere. Com’è naturale che sia, siamo intervenuti molte volte su quest’incidente, il motivo è che siamo convinti che sarà il punto di svolta per gli aeroplani del futuro.
Il rapporto sull’inchiesta si dilunga moltissimo sulle questioni riguardanti il comportamento dei piloti, spesso definito imprevedibile; il punto è che per la certificazione degli aeroplani invece i comportamenti dei piloti sono chiaramente definiti come prevedibili, e questo perché i piloti sono fondamentali tanto quanto le ali: se il comportamento dei piloti è definito come incomprensibile o imprevedibile allora ne consegue che la certificazione dell’aereo non è del tutto valida.
Insomma proprio quando si costruisce un aereo dipendente dell’automazione e dai dati che i sistemi informatici ricevono, sonde che non sono certo costose rispetto a tutto il resto, si ghiacciano allo stesso modo di come si ghiacciavano 60 anni fa: un’elettronica così avanzata poi rassegna le dimissioni proprio nel momento di massima necessità.
E proprio quando la conduzione automatica è più che necessaria, cede i comandi ai piloti. Piloti che nel momento del massimo bisogno di indicazioni strumentali coerenti, non sanno più da che parte andare ad analizzare la situazione.
Proprio quando l’aereo avrebbe bisogno di stabilità aerodinamica e facilità di controllo, diventa difficile da governare, ed il fly by wire diventa un nuovo fatale rischio. Paradossalmente, sarebbe stato meglio progettare un sistema del tutto senza umani. Molte delle condizioni critiche sono scaturite dai troppi “impossibile” pronunciati dai progettisti.
A nostro avviso vanno evidenziati punti che invece apparentemente sono stati trattati in maniera insoddisfacente nelle inchieste finora concluse e nelle ben 41 raccomandazioni di sicurezza pubblicate dal BEA (Bureau d’Enquêtes et d’Analyses pour la sécurité de l’aviation civile, l’ufficio per le inchieste sugli incidenti aerei della Francia).
Quando l’A-320 (e l’A-330 adotta i medesimi sistemi del 320) iniziò ad essere consegnato alle compagnie, i piloti, coscienti della dipendenza della macchina dai dati-aria, chiesero cosa sarebbe successo se i tre tubi di Pitot fossero andati in avaria: gli ingegneri risposero che era impossibile: mai smentita fu più catastrofica.
Iniziamo allora dai tubi di Pitot vera causa scatenante dell’incidente. Due ore dieci minuti e cinque secondi dopo il decollo, le tre sonde Pitot, molto probabilmente a causa di cristalli di ghiaccio, si ostruiscono contemporaneamente, ne consegue un’errata computazione delle velocità e la disconnessione di alcuni sistemi automatici. In particolare si ha la disconnessione dell’autopilota e una riconfigurazione del sistema di controllo dell’aereo in “legge alternata”, una modalità di funzionamento ridotta e con la perdita delle “protezioni” a causa dei dati discordanti circa le velocità misurate dalle sonde.
Insomma l’automazione di fronte all’impossibilità di controllare l’aereo cede il comando ai piloti che non sono né addestrati all’evenienza né umanamente in grado di analizzare correttamente la massa di dati e segnali che vengono in ogni caso forniti. Infatti, i dati che vengono elaborati, grazie al prelievo fatto dalle sonde di Pitot, sono essenziali per mettere i computer in condizione di condurre l’aereo, in sostanza questi moderni aerei non sono pilotabili manualmente.
L’aria prelevata dalle sonde è processata da una cascata di sistemi che in acronimo si chiamano ADR (Air Data Reference), ADIRU (Air Data Inertial Referente Unit), ISIS (Integrated Standby Instrument System). La velocità calcolata dall’ADR è inviata al sistema di controllo dei comandi elettrici di volo, al sistema di gestione dei motori, al sistema di gestione del volo e di guida, al sistema di controllo degli ipersostentatori, all’avvisatore di prossimità del terreno e al transponder. Le sonde sono riscaldate elettricamente per evitare ghiacciamenti del tubo da dove entra l’aria, il riscaldamento è controllato a sua volta da un computer (PHC= Probe Heat Computer), la rispondenza di queste sonde alle necessità operative è in ogni caso sottoposta a certificazione degli enti statali di controllo.
Lo sviluppo ingegneristico da parte delle aziende manifatturiere di questi equipaggiamenti vitali per il volo consiste in diverse fasi: definizione e disegno dell’apparato, sviluppo del prototipo, prove in laboratorio, prove intese a dimostrare la rispondenza alle richieste di certificazione, modalità di avaria, effetti e analisi delle criticità.
Nonostante tutto ciò, sono state prodotte e vendute sonde difettose. Viene da chiedersi perché sonde di costo relativamente insignificante ed ormai dal funzionamento più che stabilmente dimostrato corretto siano sottoposte ad un’innovazione tecnologica che poi si dimostra un infortunio ingegneristisco drammatico.
L’unica giustificazione proviene dalle quote di volo e dalle durate dei voli, notevolmente maggiori rispetto al passato. Il sistema produttivo e dei controlli in questo caso ha fallito completamente e dovrebbe essere estesamente modificato per renderlo resistente ad altri errori del genere.
Il BEA richiede lo sviluppo di prove di certificazione migliorate, ma nulla è detto circa le procedure di ideazione, progettazione, sviluppo, vendita, che sono alla radice della circolazione di queste sonde difettose. Le sonde sono state sostituite su tutti gli aerei, ma il programma di sostituzione è stato accelerato solo dopo l’incidente (European Technical Specification ETSO-C16a).
Altro tema che occorrerebbe approfondire.
(9 gennaio 2013)
