Keep It Simple and Stupid

Scritto da Ivan Anzellotti

Stampa

Tra i mille dubbi che ancora aleggiano sulle cause degli incidenti di Jakarta e  Addis Abeba, la Boeing promette che sarà presto disponibile l’aggiornamento del software per il MCAS (Manoeuvring Characteristics Augmentation System) del B737 MAX, e forse qualche domanda è il caso di porsela, in particolare una...


...io mi domando se anche la Boeing si sia da tempo arresa alla pratica in auge in ogni settore commerciale che prevede risparmi drastici sui costi di produzione senza riguardo alle conseguenze.

Progettare un aereo nuovo richiede investimenti colossali da parte dei costruttori e successivamente, impone alle compagnie aeree che lo vogliono impiegare un altrettanto costoso periodo di addestramento per i propri piloti con lezioni in aula e sessioni di simulatore.

Se invece l’aereo rimane lo stesso e si apportano solo modifiche parziali agli impianti o alla strumentazione, ai piloti è richiesto di completare un corso di aggiornamento di poche ore, spesso da svolgere a casa tramite un computer, e alla fine del minicorso saranno abilitati a pilotare entrambe le versioni, lasciando alle compagnie una flessibilità enorme nell’impiego del personale.

Questa moda di creare famiglie di aerei simili, i cui corsi di transizione per i piloti sono rapidi ed economici, si sta diffondendo tra tutti i costruttori, ma le similitudini spesso si limitano all’aspetto esteriore e per i piloti districarsi tra le varie procedure e adattarsi a gestire prestazioni differenti non è sempre facile.

Kelly Johnson, l’ingegnere aeronautico padre di aerei leggendari come il Blackbird e l’U2, aveva concepito un principio riassunto dall’acronimo KISS (Keep It Simple and Stupid) secondo il quale nella progettazione di un nuovo velivolo ogni complicazione deve essere evitata perché fonte di possibili problemi.

Purtroppo, gli ingegneri della Boeing, alle prese con la versione MAX del B737, hanno dimenticato il prezioso insegnamento e sono andati nella direzione opposta, complicando il progetto per forzare l’installazione di motori più grandi che poi, di conseguenza, ha reso necessario aggiungere il sistema automatico MCAS perché altrimenti, in certe condizioni di assetto a muso alto, i piloti non sarebbero in grado di intervenire per evitare lo stallo del velivolo.

“KISS” non è l’unico principio dimenticato dagli ingegneri della Boeing, ce n’è un altro fondamentale, la “ridondanza”, che richiede l’installazione di impianti doppi per avere una alternativa in caso di avaria, e l’alimentazione degli strumenti con almeno due segnali distinti, da confrontare tra di loro per evidenziare possibili anomalie.

Nel caso del MCAS invece, il rapporto preliminare dell’incidente al volo dell’Ethiopian Airlines ha evidenziato che riceve i dati di Angolo di Attacco (AoA) da una sonda soltanto, per cui se questa subisce un’avaria, in assenza di un secondo dato di riferimento, il MCAS sarà indotto a reagire sui comandi di volo come se l’aereo stesse stallando, facendo abbassare il muso dell’aereo.

È inconcepibile come durante tutto il processo di sviluppo del velivolo nessuno tra gli ingegneri abbia notato le tante anomalie del progetto, nemmeno la FAA, l’organo americano incaricato di supervisionare ogni aspetto legato al trasporto aereo civile.

Probabilmente le ragioni della svista della FAA vanno ricercate nella riorganizzazione del proprio ruolo di supervisione, perché mentre in passato verificava direttamente la bontà di un progetto, recentemente ha delegato tale compito a un ingegnere impiegato dalla casa costruttrice denominato DER, (Designated Engineeering Representative), facendo venire meno lo scopo ultimo di avere un ente di controllo indipendente.

A fronte di gravi ed evidenti difetti progettuali, la tendenza è ormai di adottare soluzioni che sono tutte a carico del pilota. Col beneplacito degli enti di controllo, invece di rimuovere i problemi all’origine, i costruttori aggiungono procedure ai manuali, senza rendersi conto che tali procedure, nonostante mantengano valida la certificazione secondo la legge, funzionano bene solo sulla carta, ma non sono sempre facilmente applicabili dai piloti nella complessità della gestione di una emergenza.

Il design deve consentire il controllo manuale in qualsiasi condizione senza l’ausilio di artifizi elettronici, procedure di semplice esecuzione e una stabilità naturale senza la necessità dell’intervento di un computer.

Perché un aereo da trasporto civile non è come un jet militare, dove i piloti possono espellersi appesi ad un paracadute.

(12 maggio 2019)