Analisi di sicurezza difettosa, supervisione mancata – Ecco perché i due 737 MAX sono precipitati – Aggiornamenti

MOON OF ALABAMA
moonofalabama.org

I due incidenti occorsi ai Boeing 737 MAX hanno portato alla perdita di 338 vite. Gli aerei di questo tipo vengono ora tenuti a terra in tutto il mondo. In precedenza avevamo spiegato in dettaglio perché si erano verificati questi incidenti. Nuovi rapporti confermano quanto avevamo affermato.

Per ragioni commerciali, la Boeing voleva che la nuova versione del 737 fosse gestita come quelle vecchie. Ma i cambiamenti nella nuova versione avevano richiesto un sistema aggiuntivo che gestisse determinate situazioni di volo. Lo sviluppo di questo sistema e l’analisi di sicurezza delle sue modalità operative erano stati accelerati al massimo. I piloti non ne erano stati informati e non erano stati addestrati a gestire il suo malfunzionamento.

Boeing ora spera che un aggiornamento del software, previsto per aprile, possa riportare in volo i 737 MAX  attualmente a terra. Per motivi diversi è improbabile che ciò accada.

Giovedì scorso, il capitano C.B. Sully Sullenberger, che aveva fatto ammarare con successo sul fiume Hudson il proprio aereo, dopo che uno stormo di uccelli aveva messo fuori uso i motori, si è espresso contro il tentativo di Boeing di metterci una pezza:

È evidente, fin dall’incidente di Lion Air che una riprogettazione del 737 MAX 8 è urgentemente richiesta, ma non è ancora stata eseguita, e che le correzioni proposte non sono sufficienti.

Il pubblico non si fiderà delle rassicurazioni di Boeing o di quelle della FAA, se Sullenberger rimarrà della sua opinione.

Un altro motivo per cui l’aggiornamento di Boeing non sarà sufficiente è un dettagliato e sensazionale rapporto, che era stato realizzato quasi per intero prima dell’incidente di domenica scorsa, ma che è stato appena pubblicato dal Seattle Times. In esso si afferma:

Il rapporto di sicurezza originale che Boeing aveva consegnato alla FAA riguardante il nuovo sistema di controllo di volo sul MAX (un rapporto utilizzato per certificare la sicurezza al volo del velivolo) presentava diverse carenze importanti.
…
Ingegneri, direttamente o precedentemente coinvolti nelle valutazioni o a conoscenza del documento, avevano condiviso i dettagli della “Analisi della sicurezza del sistema” del MCAS di Boeing, così come confermato dal Seattle Times.

L’analisi di sicurezza:

* Sottostimava la potenza del nuovo sistema di controllo di volo, progettato per ruotare gli equilibratori di coda in modo da spingere il muso dell’aereo verso il basso per evitare lo stallo. Quando gli aerei erano entrati in servizio, il MCAS si era però rivelato in grado di spostare gli equilibratori di coda di [un angolo] quattro volte più  ampio di quanto indicato nel documento originale sull’analisi di sicurezza.

* Non spiegava che il sistema potesse resettarsi autonomamente ad ogni risposta del pilota, non evidenziando perciò il potenziale effetto globale del sistema che spingeva ripetutamente il muso dell’aeroplano verso il basso.

* Valutava il malfunzionamento del sistema ad un livello inferiore a “catastrofico.” Ma anche ad un livello di pericolo definito “rischioso,” avrebbe dovuto precludere l’attivazione del sistema in base all’input di un singolo sensore, eppure è proprio così che era stato progettato.

Il ‘Maneuver Characteristics Augmentation System’ (MCAS) del 737 MAX dipende dai dati fornitigli da una palettina che fuoriesce dal fianco della fusoliera.

Questa palettina misura l’angolo tra il flusso d’aria e l’ala. In questo modo rileva se il muso dell’aereo è rivolto verso l’alto o verso il basso. Può essere facilmente danneggiata da un incidente a terra o dall’impatto con un volatile. Il sistema MCAS dipende dall’input di uno solo di questi sensori.

Le correzioni che il MCAS applica al trim dell’aereo sono troppo grandi per essere neutralizzate da un pilota impegnato. (Una spiegazione dettagliata del sistema e degli incidenti è fornita da un pilota professionista in due video, qui e qui.) Il fatto che il sistema, per come è stato progettato, si attivi a ripetizione, può portare a situazioni estremamente difficili da gestire.

Il Seattle Times riporta inoltre che i dirigenti della FAA avevano spinto i propri ingegneri che si occupano di sicurezza a delegare  ulteriori compiti di certificazione alla stessa Boeing. La Boeing era ansiosa di poter iniziare le vendite della nuova versione del 737 per recuperare il terreno perduto con l’Airbus A-320 NEO. Erano state prese scorciatoie per accelerare l’iter burocratico dell’analisi sulla sicurezza.

Il sistema MCAS è mal progettato e il suo design non avrebbe mai dovuto essere  certificato, in primo luogo. Ma c’è di peggio. La certificazione fornita si basava su dati falsi.

Il primo progetto MCAS, a cui si riferivano l’analisi e la certificazione di sicurezza, consentiva al MCAS di operare un movimento di assetto massimo sul trim [dell’equilibratore] di 0,6 gradi, su un’escursione massima di 5 gradi. I test di volo avevano dimostrato che [0,6 gradi] era un valore troppo piccolo per ottenere gli effetti desiderati e l’angolo del movimento era stato portato a 2,5. Non era stata condotta un’analisi di sicurezza per il nuovo valore.

“La FAA riteneva che l’aereo fosse stato progettato per un limite di 0,6° e questo è quello che pensavano anche le autorità di regolamentazione straniere,” aveva detto un ingegnere della FAA. “Questo fa una certa differenza nella valutazione del rischio coinvolto.”
…
“Nessuno degli ingegneri era a conoscenza di un limite più alto,” aveva affermato un secondo ingegnere, attualmente alla FAA.

La Boeing e il governo degli Stati Uniti hanno una relazione speciale. Tutte le amministrazioni, indipendentemente dal partito al governo, le danno un sostegno straordinario. Ciò porta ad una acquisizione normativa. La FAA è sotto una costante pressione politica per cedere alle richieste di Boeing:

Per tutti i 102 anni di storia della Boeing, che risalgono all’inizio della Prima Guerra Mondiale, l’azienda e il paese hanno fatto affidamento l’uno sull’altro, creando insieme centinaia di migliaia di posti di lavoro, equipaggiando gli Stati Uniti con i migliori velivoli militari e fornendo aerei in tutto il mondo, consentendo lo sviluppo del trasporto aereo civile e l’incremento delle esportazioni statunitensi.
…
“Ogni volta che il governo cerca di migliorare le esportazioni, di solito si scopre che la Boeing è pesantemente coinvolta in qualsiasi iniziativa stiano portando avanti,” ha detto Andrew Hunter, un esperto del settore della difesa presso il Center for Strategic and International Studies. “Questo era vero con l’amministrazione Obama, ed è altrettanto vero con l’amministrazione Trump.”
…
“Il rischio è ovviamente che, quando agenzie, che per loro natura dovrebbero essere regolamentatorie, lavorano per un lungo periodo di tempo a stretto contatto con un’azienda, una cosa del genere potrebbe minare la loro indipendenza,” ha detto Hunter.

Dopo l’incidente della scorsa domenica, la Boeing aveva usato i suoi agganci politici per impedire la messa a terra del 737 MAX. Solo dopo che tutti gli altri paesi avevano proibito ulteriori voli, gli Stati Uniti si erano adeguati. È stato il presidente, non la FAA, ad annunciare la decisione.

Le nuove relazioni sull’esternalizzazione alla stessa Boeing delle analisi di sicurezza della FAA e sull’inappropriato processo di certificazione danno l’impressione che la FAA non possa più essere considerata attendibile. Anche se certificasse la soluzione rattoppata di Boeing per il problema del MCAS, altre agenzie regolamentatorie dissentiranno.

Questo allora diventerà un grave problema politico. Le trattative commerciali di Trump con la Cina dipendono dalla volontà cinese di acquistare un gran numero di velivoli Boeing. Se i regolatori cinesi, che sono stati i primi a mettere a terra il MAX, non accetteranno la soluzione fornita da Boeing, quelle trattative commerciali non andranno da nessuna parte.

È chiaro che la Boeing dovrà trovare una soluzione migliore. Il governo degli Stati Uniti dovrà rafforzare il proprio ente di regolamentazione aviatoria e dovrà proteggerlo dalle pressioni politiche. In caso contrario, il ruolo di Boeing nel settore delle compagnie aeree internazionali ne uscirà gravemente danneggiato.

Moon Of Alabama

Fonte: moonofalabama.org
Link: https://www.moonofalabama.org/2019/03/flawed-safety-analysis-failed-oversight-why-two-737-max-planes-crashed.html#more
17.03.2019

La migliore analisi di ciò che è realmente accaduto al Boeing 737 Max da parte di un pilota ingegnere informatico

TYLER DURDEN
zerohedge.com

I seguenti tweet [formattati in testo continuo, NdT] di Trevor Sumner, Amministratore Delegato di Perch Experience, su quello che è realmente successo ai Boeing 737 Max, potrebbero essere uno dei migliori riassunti degli eventi che hanno portato ai due recenti incidenti aerei, e potrebbero anche chiarire perché la risposta di “software upgrade” di Boeing è una farsa.

La MIGLIORE analisi di ciò che sta realmente accadendo in merito al Boeing 737 Max è di mio cognato @davekammeyer, che è un pilota, un ingegnere informatico e anche un profondo pensatore. In conclusione, non incolpate il software che è solo il cerotto che copre le magagne di molte altre forze in azione di tipo ingegneristico ed economico.

Alcune persone hanno definito le tragedie dei 737 MAX un errore di software. Ecco la mia risposta: non è stato un problema di software. E’ stato un

* Problema economico. I motori 737 consumavano troppo carburante, perciò avevano deciso di installare motori più efficienti, con pale più grandi e di realizzare il 737 MAX.
* Problema strutturale. Volevano usare la cellula del 737 per motivi economici, ma, con motori più grandi, avevano bisogno di più altezza dal suolo. Il progetto del 737 non può essere, in pratica, modificato con l’allungamento del carrello principale di atterraggio. La soluzione era montare [i motori] più in alto e più in avanti.
* Problema aerodinamico. La struttura del velivolo, con i motori montati diversamente, non aveva una maneggevolezza sufficientemente affidabile ad angoli di attacco (AoA) elevati per essere certificabile. Boeing ha deciso di creare il sistema MCAS per correggere elettronicamente le carenze di manovrabilità dell’aeromobile.

Durante lo sviluppo del MCAS, c’era stato un:

* Problema di ingegneria dei sistemi. Boeing voleva la soluzione più semplice possibile che si adattasse all’architettura dei sistemi esistenti, che richiedesse la minima rieleborazione ingegneristica e il minimo addestramento per i piloti e gli addetti alla manutenzione.

Il modo più semplice per farlo era aggiungere alcune funzionalità al sistema già esistente, l’Elevator Feel Shift (EFS). Proprio come il sistema EFS, il MCAS si basa su sensori non ridondanti per decidere quanto trim da aggiungere. A differenza del sistema EFS, il MCAS è in grado di effettuare grosse modifiche al trim per abbassare il muso dell’aereo.

Su entrambi gli sfortunati voli, c’era un:

* Problema di sensore. La palettina che rileva l’angolo di attacco sul 737 MAX sembra non essere molto affidabile e ha dato letture errate. Sul volo LionAir, questo fatto era stato aggravato da un
* Problema delle pratiche di manutenzione. L’equipaggio precedente aveva riscontrato lo stesso problema e non aveva registrato l’inconveniente nel registro di manutenzione. Questo era stato a sua volta aggravato da un
* Problema di addestramento dei piloti. In LionAir, i piloti non erano mai stati nemmeno informati dell’esistenza del MCAS e, all’epoca del volo etiopico, era stato emesso un comunicato (AD) di emergenza, ma nessuno si era mai addestrato al simulatore di volo per far fronte a questa emergenza.

Tutto questo era stato poi aggravato da un

* Problema economico. Boeing vende un pacchetto aggiuntivo che include una palettina per l’angolo di attacco in più, e una spia di disaccordo [sulla lettura dell’AoA], che consente ai piloti di sapere che si sta verificando il problema. Entrambi i 737 MAX precipitati erano stati consegnati senza questa miglioria. Nessun 737 MAX con questo optional si è mai schiantato.

Tutto questo è stato aggravato da un

* Problema di esperienza del pilota. Se i piloti avessero correttamente e rapidamente identificato il problema ed avessero preso il controllo manuale del trim impazzito, non si sarebbero schiantati.

Qui non c’è un problema di software. I computer e il software hanno eseguito i loro compiti in base alle loro specifiche e senza errori. Solo che le specifiche erano di merda. Ora, il modo più veloce che ha Boeing per risolvere questo pasticcio è chiamare i ragazzi del software, in modo che tirino fuori un altro cerotto.

Sono un ingegnere informatico e talvolta veniamo chiamati a risolvere carenze meccaniche, elettriche o aerodinamiche, perché il metallo è già stato tagliato o gli stampi sono già stati realizzati o il chip è già uscito dalla fabbrica, quindi quel problema non può essere risolto.

Ma il software può sempre essere trasferito al server di aggiornamento o riflashato. Quando però la pezza del software si stacca in un vento da 500 nodi, è allettante dare la colpa solo al cerotto.

Tyler Durden

Fonte: zerohedge.com
Link: https://www.zerohedge.com/news/2019-03-17/best-analysis-what-really-happened-boeing-737-max-pilot-software-engineer
18.03.2019
Scelti e tradotti da Markus per comedonchisciotte.org