Ridondanza Segnali - ..controllo e regolazione... aereo

[BIT77]

E' una discussione nata sulle ipotesi della caduta del povero AIRBUS 330 AF...

pare che una lettura sottostimata della velocità dell'aria, abbia indotto il pilota automatico ad aumentarla ...troppo.

Al di là delle cause, la logica che governa la gestione delle velocità é questa:

Sistema dati Aria airbus

abbiamo tre sensori (Pitot) indipendenti e tre computer indipendenti.

Il sistema in linea di principio è quindi un triplex.

UN SENSORE GUASTO

il sistema è in grado di rilevare un primo guasto (due canali buoni contro uno cattivo), riconfigurarsi in duplex, e poi rilevare ancora un secondo guasto (uno contro uno, in questo caso la funzionalità è persa, in quanto non si riesce a capire quale dei due sia guasto.

TROPPI SENSORI GUASTI

In questo caso, si potrebbe avere il caso in cui due canali guasti escludano il canale buono, o addirittura quello in cui tre canali siano tutti diversi tra loro, con conseguente impossibilità a capire dove stia il problema.

Oppure, ancora peggio, i tre canali sono tutti congruenti; il sistema quindi decide che non esiste guasto, ma i tre canali sono tutti e tre guasti.

E' possibile dal punto di vista software discriminare in maniera migliore una lettura errata da una corretta dei sensori? al di là dello specifico campo di applicazione..ovvio.

[Livio Orsini]

E' possibile dal punto di vista software discriminare in maniera migliore una lettura errata da una corretta dei sensori? al di là dello specifico campo di applicazione..ovvio.

In alcune condizioni si, in altre no.

Cerco di chiarire con un esempio.

Hai un sensore per misurare una determinata varaibile (velocità, temperatura, pressione, etc.). Esegui ciclicamente la misura ad intervalli di tempo costanti; memorizzi le letture e dalla serie di letture ricavi l'andamento. A priori si fissa la massima velocità di variazione ammissibile per questa variabile, se la differenza tra due letture consecutive è maggiore si assume che la lettura è errata. Se questo fenomeno rimane isolato è solo un errore dovuto a disturbi, se persiste si considera guasto il sensore o il sistema di misura.

Altro caso

Se hai 3 sensori per la medesima variabile, con tre sistemi di misura si considera attendibile la misura che coincide, entro la tolleranza dello strumento, in almeno due casi su tre (ridondanza 2 su 3). però non hai la certezza che la misura sia corretta, hai solo la maggior probabilità statistica. può anche accadere che la misura corretta sia l'unica che si discosta. Per aumentare le probabilità in alcuni casi si prende 3 su 5 o addirittura 4 su 7. Però la certezza del 100% non la si ha mai.

[taratista]

Buona sera a tutti

Ammesso e non concesso che il dramma è stato causato come ha citato BIT, quello che non riesco a capire è come, a quei livelli, non si riesca a calcolare o prevedere oppure simulare un guasto di qualsiasi natura ( intendo natura interna non esterna ).

Personalmente penso che sia una Ustica Francese ma non voglio entrare in merito. Avendo tre o più sensori rindondanti, sarebbe assurdo pensare che se TUTTI questi si presentino guasti il sistema in automatico decida da solo di agire !.

In un caso simile il sistema dovrebbe dare un segnale al pilota e a terra, ma comunque il pilota dovrebbe poter gestire il tutto in manuale. I segnali principali sono tutti doppi o tripli pertanto in caso di emergenza singola non totale, si dovrebbe riuscire a riportare a terra il mezzo o poter gestire un impianto in manuale

Ciao

[azzero]

Purtroppo l'uomo , in quanto tale , sbaglia, se una certa situazione non è prevista quando vengono programmati i sistemi ,i sistemi non la riconoscono.

Pensa a cosa comporta un secondo di distrazione in auto a 100 Km/h, un'aereo di linea viaggia a crca 850 Km/h e pesa più di 200 tonnellate, non penso sia così facile controllarlo "manualmente" ,anche se possibile, immagina poi che il tutto accade all'improvviso e senza preavviso.

L'incidente aereo fà impressione , oltre 200 persone morte in un solo incidente, sulle strade muoiono migliaia di persone ogni anno a causa di distrazioni, guasti, imbecillità umana, ma questo stillicidio non fa impressione a nessuno sono poche persone ogni volta e , oltre a non fare "notizia" , vengono dimenticate in fretta.

Statisticamente parlando ,l'aereo è sicurissimo, il rapporto Km percorsi/morti , e di mooolto inferiore rispetto a tutti gli altri mezzi di trasporto

[taratista]

Ciao

Purtroppo l'uomo , in quanto tale , sbaglia, se una certa situazione non è prevista quando vengono programmati i sistemi

Dai, a quei livelli non è ammesso un errore simile, non dico che il pilota debba essere in grado di gestire l' intero sistema in manuale, questo no.

Una condizione simile, e ripeto ammesso che sia quello il motivo, il sistema con tre o più anomalie identiche non possa ragionare e creare una situazione favorevole per la gestione della macchina.

Posso capire una anomalia totale, ma solo dei sensori velocita no. Impiantisticamente parlando è come se noi dovessimo avere delle TT PT LT tutti doppi, le TT dovessero andare in anomalia e l' intero impianto non fosse più gestibile neanche in manuale o attraverso le PT o LT creare una condizione di stasi o messa in sicurezza fino a quando un operatore decida cosa fare.

Alla fine tutte le seguenze sono gestite e pensate da noi uomini, che conosciamo la macchina e il processo. Molto importante sono le condizioni di sicurezza e di messa in sicurezza del sistema e degli operatori.

Non riesco a concepire malgrado tutti i soldi che si spendano per la sicurezza e l' innovazione si cada per dei banali sensori di velocità

[azzero]

Dai, a quei livelli non è ammesso un errore simile

Infatti non è ammesso, ma può capitare, la macchina perfetta non esiste, e non penso mai esisterà , tu hai un'idea migliore per gestire il controllo di velocità di un'airbus?, io no pertanto ringrazio che ci sia qualcuno che ce l'ha.

Non riesco a concepire malgrado tutti i soldi che si spendano per la sicurezza e l' innovazione si cada per dei banali sensori di velocità

Sono sempre le cose più banali che "ti fregano"

Ti ripeto questo incidente è comunque un'eccezzione, l'eccezzionalità conferma che i sistemi hanno un'altissimo grado di affidabilità, una serie di eventi eccezzionali, rarissimi ed imprevedibili, ma non impossibili, possono essere la causa di questo incidente

[Livio Orsini]

L'oggetto della discussione è "Ridondanza segnali", non la sicurezza dei voli di linea. Per questo argomento c'è il forum arancio, sezione "altri argomenti".

Se continuano i messaggi OT saremo costretti a chiudere la discussione.

Modificato: 9 giugno 2009 da Livio Orsini

[BIT77]

in buona sostanza il 100% di affidabilità lo otteniamo solo con il corretto funzionamento del sensore

PS: leggero offtopic

non sono affatto convinto che quell' A330 sia finito in pieno Atlantico cosi', partendo da una considerazione sulla possibile causa volevo scambiare qualche opinione sulla ridondanza dei segnali e come gestirla.

Certo é che successe già a due 757 Boeing di avere problemi simili, la causa?

nel primo caso un nido di vespe nel secondo nastro isolante non rimosso dopo un lavaggio...

da qui il mio dubbio sulla ridondanza dei segnali, possibile che sistemi di controllo e regolazione cos' avanzati possano essere così fragili?

non necessariamente fragili nel gestire letture errate magari, ma nel far capire che si tratta di lettura errate all'uomo.

[taratista]

Buona sera

Non era nella mia o nostra intenzione discutere sulla sicurezza aerea, ma come tre o più semplici sensori possano recare un danno di elevata entità, questo indipendentemente che sia un mezzo, impiato chimico o centrale elettrica.

La mia esperienza nei segnali rindondanti non è rilevante, faccio un esempio, prendiamo un reattore dove per controllare la reazione abbiamo PT, TT, FT e per ultimo un LT. Le TT e FT sono doppie per ragioni disicurezza, la prima cosa che mi viene spontanea a pensare che queste prendino due strade ( messa in opera dei cavi ) differenti, due plc differenti e per concludere questi saranno sotto ups, pressione e il livello sono indicazioni di secondaria importanza.

In questo modo, penso, che ci sia un discreto controllo della situazione. Attraverso SW unisco I due sistemi e li supervisiono, se sovesse esserci un guasto su un sensore o su un intero plc ho sempre il secondo che può intraprendere azioni ma mai sostituirsi all' operatore o impedire ad esso di operare.

ciao

[taratista]

da qui il mio dubbio sulla ridondanza dei segnali, possibile che sistemi di controllo e regolazione cos' avanzati possano essere così fragili?

Secondo me siamo noi a dare un' interpretazione sbagliata, questi che siano doppi tripli o altro sono i sistemi più sicuri per gestire certe situazioni, ma mi ripeto, non sostituirsi all' uomo!

Modificato: 9 giugno 2009 da taratista

[Adelino Rossi]

a mio parere non possiamo confrontare realtà completamente diverse anche se in alcune sue piccole parti ci sembrano assimilabili.

gli impianti hanno i piedi solidamente piantati per terra, sono per la maggior parte a uomo assente e (fondamentale) hanno in genere un robusto impianto antincendio

ad azione automatica e manuale. la funzione fondamentale che viene periodicamente testata è IL BLOCCO DI EMERGENZA dell'impianto.

""arresto in sicurezza per le persone, per l'ambiente e per l'impianto, tramite un unico comando manuale o automatico.""

chiaramente la filosofia non è applicabile per chi sta nel cielo.

sull'aspetto tecnico direi che è opportuno aspettare l'esito delle perizie.

per quanto riguarda l'uso di strumenti doppi o tripli per la stessa misura, è un metodo ampiamente usato negli impianti chimici di rilievo e nelle centrali elettriche.

ne ho avuto modo di apprezzarne la validità di impiego, anche se la gestione dei segnali validati a volte è alquanto complessa.

[BIT77]

ho letto un po' di cosette ed assolvo il sistema...

non riuscivo a capire come un sistema cosi tecnologicamente avanzato andasse in palla per un sensore.. che poi sia un aereoplano o un silos poco importa... non volevo confrontare nulla!

bollettino diramato dall'easa: european aviation safety agency

come misura cautelativa per ricordare agli operatori le procedure esistenti da applicarsi in caso di perdita delle indicazioni di velocità o loro inaffidabilità.

insomma il sistema si accorge delle letture sballate! esiste una procedura di unreliable airspeed indication.

During the recent accident of an A330 into the Atlantic Ocean

on 01 June 2009, and without prejudging the final outcome of

the investigation, a discrepancy between the different

measured airspeeds was reported. There have been a number

of occurrences of unreliable airspeed indications or misleading

air data information. The root cause of this may be due to, but

is not limited to, inappropriate maintenance, contamination by

small objects or materials on the ground or in the air, extreme

environmental conditions producing icing outside the

certification envelope of the probes or large amount of water

ingestion.

Description: The primary purpose of the pitot-static system is to provide the

flight crew with airspeed information, required to safely control

the aircraft. As noted above, the origins of potential pitot-static

system malfunctions are numerous and cannot be totally

excluded in the operational context. The Aircraft Flight

Manuals and/or Flight Crew Operating Manuals include

procedures for unreliable airspeed indication (Air data system

misleading information) and these should be well known by

flight crews. Correct application of these procedures by flight

crews may be crucial for assuring the safety of the aircraft

when such Pitot-static malfunctions occur.

[taratista]

buon giorno

ho avuto modo di apprezzarne la validità di impiego, anche se la gestione dei segnali validati a volte è alquanto complessa

Puoi entrare nei dettagli sono interessato

grazie