sigmet ha scritto:
Ergo , se AoA 1 e 4 si guastano il 2 e 3 non li sostituiscono
Mi sono spiegato male.
I sensori sono 4, e quindi la ridondanza è quadruplex, su pt, ps e phi.
A ogni FCC arrivano tutti e quattro i valori, cioè phi1 dal proprio sensore, phi2, phi3 e phi4 dagli altri FCC, per quanto riguarda gli angoli di flusso locale.
Il voting-monitoring quindi viene effettuato sui quattro valori, per poter decidere che per esempio phi1 è errato (differisce troppo dagli altri tre), e tagliarlo via. Dopo che phi1 viene eliminato, il voter-monitor si riconfigura triplex e fa i check su phi2, phi3 e phi4. In serie a tutto questo, c’è l’algoritmo di calibrazione dei Dati Aria, il quale calcola tre valori di AoA (e AoS), cioè AoA1, AoA2 e AoA3, dai quattro valori phi1, phi2, phi3 e phi4.
AoA1 lo calcola da phi1, AoA2 lo calcola da phi2 e phi3, AoA3 lo calcola da phi4.
A seguito di avaria ed esclusione di phi1, il sistema diventa triplex, ma il calcolo di AoA e AoS diventa duplex: come prima, AoA2 lo calcola da phi2 e phi3, AoA3 lo calcola da phi4 (AoA1 è ovviamente perso).
sigmet ha scritto:
Il problema e' che 2 sono sufficienti se il guasto di uno puo' essere compensato dal funzionamento dell'altro oppure succede come nel caso in questione che si asserve la FCC ad uno solo di questi trascurando l'altro.
Due sono sufficienti senza problemi: quando uno dei due si guasta (e siamo alla terza failure sull’EFA, mentre siamo alla prima sul 737max), l’informazione è persa, senza doversi preoccupare di quale dei due sia buono e quale guasto. Ecco perchè dico che il design Boeing è sbagliato: con un sistema duplex, al primo guasto si deve spegnere, e non continuare a dar retta a ognuno dei due separatamente dall’altro.
sigmet ha scritto:
Ma sullo stesso aereo ad esempio il sistema di stall management viene affidato a due computer che si monitorano a vicenda. Strano no?
Non sarebbe strano se il monitorarsi a vicenda fosse finalizzato al disinserimento della Stall Protection al primo disagree.
E’ strano, anzi sbagliato, che, pur avendo rilevato un DISAGREE:
1) non si avvisi il pilota (AoA DISAGREE è optional, e Lion Air non ce l’aveva)
2) ce ne catafottiamo del DISAGREE rilevato e continuiamo a intervenire
sigmet ha scritto:
E poi secondo te l'asservimento alla guidance# 2 avrebbe salvato l'aereo ?
Potrebbe anche darsi, ma, di nuovo, il problema è a monte: se si vuole usare la filosofia di lasciare al pilota il compito di fare da monitor, allora lo si deve mettere in grado di poterlo fare, fornendogli tutte le informazioni di cui ha bisogno per decidere. E in questo caso, forse la risposta è sì, magari avrebbe salvato la situazione, ma non poteva assolutamente essere in grado di farlo. Lo diciamo noi a posteriori, guardando le tracce e discutendo con giorni di tempo. Lui non aveva le tracce e non aveva giorni di tempo.
Come minimo, avrebbe dovuto:
1) vedere i valori di AoA separati
2) vedere che il più sospetto era AoA1 rispetto a AoA2
3) vedere che i dati di velocità divergevano e di quanto
4) calcolare quale fosse la velocità corretta
5) calcolare quanto fosse vicino o lontano dallo stallo, considerando quale potesse essere l’AoA corretto dell’aereo
6) di conseguenza decidere che non c’era nessuno stallo (e qui già potrebbe essere tardi)
7) il tutto calcolando quanto pitch trim gli aveva mangiato il MCAS
8 e intervenendo prima di avere l’impossibilità di farlo
Secondo me, il design va cambiato, e al primo disagree, anche non visualizzato nel cockpit, la Stall Prot si deve staccare. Fine del problema. E non si deve più resettare, neanche con l’intervento del Padre Eterno.
Alternate Law, e buonanotte al secchio.
Non voglio peccare di presunzione, ma con un sistema del genere, né il Lion Air né l'Ethiopian sarebbero caduti.
sigmet ha scritto:
E se si perche' non l'hanno fatto? E l'esclusione del trim e' un reale isolamento elettrico o e' solo un istruzione a livello di software (come lascerebbe pensare la riattivazione del trim..)
Non l’hanno fatto perchè non hanno capito quello che accadeva.
Sulla questione del reset siamo anche peggio messi: se resettare una funzione implica un pericolo, come in questo caso, non lo si deve fare. La funzione è disegnata per eliminare un pericolo, e se interviene quando questo pericolo non esiste, ne crea un altro peggiore. E se viene disinserita, non deve essere resettata proprio perchè potrebbe nuovamente generare il pericolo maggiore.