skip to Main Content
Sicurezza Dei Cieli E Fattore Umano, Ciò Che Stiamo Imparando Dagli Incidenti Al Boeing 737 Max

Sicurezza dei cieli e fattore umano, ciò che stiamo imparando dagli incidenti al Boeing 737 Max

Mentre l’inchiesta sull’incidente del volo ET302 dell’Ethiopian Airlines va avanti, cerchiamo di fare un po’ di chiarezza sulla sicurezza aerea, sfatando scientificamente leggende metropolitane.

Torniamo a parlare di sicurezza nel trasporto aereo, incoraggiati dall’attenzione suscitata da un precedente articolo sull’incidente al volo ET302 in Etiopia che ha coinvolto, per la seconda volta in pochi mesi, un nuovissimo Boeing 737 Max.

Le inchieste ufficiali stanno facendo il loro corso e i primi rapporti preliminari resi disponibili stanno già fornendo indicazioni su alcune criticità che hanno giocato un ruolo nei due incidenti che, dopo le prime analisi del Bureau d’Enquêtes et d’Analyses pour la Sécurité de l’Aviation Civile (BEA) francese, possono essere propriamente definiti «incidenti fotocopia».

Non è possibile, ovviamente, fare qui e oggi valutazioni sulle cause dei due disastri, mentre sono al lavoro commissioni tecniche ufficiali. Nell’attesa di conoscere i risultati definitivi, è tuttavia molto utile discutere di diversi aspetti che circondano i due incidenti e che, prescindendo dall’accertamento delle responsabilità, possono fornire spunti di riflessione in generale sulla sicurezza, andando inoltre incontro alle richieste di chiarimenti relative al volo di un aeroplano da parte del pubblico.

«Perché vola un aereo?», «Cos’è lo stallo?», «Come lo si evita?» sono infatti domande ricorrenti, che diventano particolarmente pressanti in occasione di incidenti aerei, eventi che recano una forte carica suggestiva sul pubblico, fin dalle origini dell’aviazione, toccando le corde più sensibili della nostra emotività per via dei dirompenti effetti che producono, con la perdita di vite umane, nei superstiti e nei familiari delle vittime.

Fornire risposte semplici, ma il più possibile corrette, ad alcuni dei dubbi suscitati può aiutare a far maturare la consapevolezza su quello che viene percepito da molti come fenomeno misterioso, governato da forze esoteriche più che da leggi fisiche e dalla tecnologia, e quindi favorire l’emergere di un atteggiamento più sereno e razionale quando ci apprestiamo a salire su un aereo per andare in vacanza.

Cosa sappiamo, a oggi, sugli incidenti del Boeing 737 Max

Le analisi e i rapporti preliminari finora resi disponibili sui due incidenti stanno confermando che in entrambi i casi si sono verificate gravi anomalie nel rilevamento di alcuni parametri di volo, a cominciare dall’angolo d’incidenza (angolo formato dall’ala con il flusso del vento relativo che la investe frontalmente). A seguito di tali anomalie, è stata erroneamente attivata dal computer di bordo la funzionalità software MCAS (Maneuvering Characterics Augmentation System), introdotta da Boeing nel 737 Max per soddisfare dei requisiti di certificazione dell’aereo da parte dell’autorità aeronautica statunitense (FAA – Federal Aviation Administration): mentre il comportamento indotto  dal MCAS sull’assetto di volo  del 737 Max somiglia molto a una manovra automatica “anti-stallo”, scopo di questa funzionalità era, nelle intenzioni del costruttore, minimizzare le differenze del nuovo aereo con i precedenti modelli della stessa famiglia 737, cercando di riprodurne le stesse “sensazioni di guida” per il pilota (sforzi sui comandi di volo nei diversi assetti, sensibilità) e, quindi, consentendo il pilotaggio del nuovo modello ai piloti già abilitati alla condotta dei precedenti modelli, senza che fossero necessari percorsi di istruzione specifici, al di là di un succinto “addestramento per differenze”.

L’intervento erroneo del MCAS nei due tragici casi ha plausibilmente creato delle condizioni d’instabilità del volo, portando infine a catastrofici impatti con la superficie del mare o con il suolo.

Ciò che ha suscitato sconcerto nella comunità aeronautica, così come tra gli esperti di sicurezza d’impianti, i progettisti di software e di infrastrutture critiche, è però un ulteriore aspetto, che è intervenuto a monte delle due anomalie citate.

I dati cinematici fondamentali relativi al volo ET302, estratti dalla scatola nera (Flight Data Recorder) nei laboratori del BEA in Francia e pubblicati dall’Aircraft Accident Investigation Bureau etiope, mostrano infatti che il volo della Ethiopian Airlines ha iniziato ad avere problemi di stabilità anche prima dell’intervento del MCAS, nella fase di salita iniziale. Questi problemi sono stati causati dai rilevamenti erronei dell’angolo d’incidenza da parte di una sola delle due apposite sonde presenti sui 737 Max, probabilmente danneggiata nella sua componente esposta all’aria.

Ma c’è di più, perché i valori forniti dalla sonda, oltre che falsi erano anche irrealistici: sono stati rilevati, infatti, valori di angolo di incidenza fino a 74.5°, del tutto incompatibili con il volo (il massimo angolo possibile per quel tipo di aereo è intorno ai 23°) e, peggio ancora, questi valori sono stati presi per buoni e sono stati utilizzati dal computer di bordo per modificare l’assetto dell’aereo, senza produrre segnalazioni di anomalie ai piloti, invece di essere scartati e interpretati come manifestazione di un evidente malfunzionamento.

Per fare un parallelo con un contesto più familiare ai lettori di Medical Facts, è come se un sistema di monitoraggio in ambito ospedaliero, collegato a una macchina per la somministrazione di farmaci, rilevasse una frequenza cardiaca di 900 battiti/minuto e, sulla base di questo valore assurdo, facesse affluire nelle vene dello sciagurato paziente una dose da elefante di un qualche farmaco, come un beta-bloccante o altro, senza far suonare prima un allarme per medici e infermieri. L’effetto sarebbe con ogni probabilità letale.

È per evitare queste spiacevoli conseguenze che nella progettazione di sistemi ad alta affidabilità, quando sono in gioco aspetti vitali, si prevede che i componenti critici siano ridondanti oppure, quando ciò non sia possibile, si fa in modo che anche il singolo componente garantisca comunque un’affidabilità particolarmente elevata.

Questo non è accaduto nel caso del Boeing 737 Max, nonostante le conseguenze di un’erronea indicazione dell’angolo d’incidenza fossero già drammaticamente emerse dall’analisi dei dati della scatola nera del volo JT610 della Lion Air precipitato nel mar di Giava pochi mesi prima. L’aspetto maggiormente inquietante è che la realizzazione di un sistema a maggiore affidabilità era già a portata di mano, essendo l’aereo dotato di due sonde indipendenti, e a maggior ragione quando lo stesso costruttore offre commercialmente una funzionalità che serve proprio a segnalare ai piloti il possibile “disaccordo” tra le indicazioni fornite dai due sensori: ma si trattava, appunto, di una caratteristica optional, da pagare a parte come i sedili in pelle o la vernice metallizzata di un’automobile, e non invece di un accorgimento previsto come obbligatorio, in applicazione di sani principi di progettazione sicura.

La revisione di questi importanti sensori, trascurata in una prima fase di analisi, nel corso della quale il livello di rischio associato al loro malfunzionamento venne sottovalutato, è compresa nelle correzioni che la Boeing sta approntando per consentire la sicura ripresa dei voli dell’intera flotta di 737 Max.

Il ruolo del MCAS

Nel periodo successivo al primo incidente sono state diffuse dal costruttore specifiche istruzioni e descrizioni del MCAS e delle procedure per disattivarlo o neutralizzarne gli effetti: tutto ciò non ha però impedito che un secondo equipaggio si confrontasse con una sequenza di eventi in gran parte sovrapponibile a quella del precedente incidente, senza riuscire a contrastare l’automatismo, ancora una volta intervenuto a seguito di erronei rilevamenti dell’angolo d’incidenza. Il MCAS ha mostrato infatti un “eccesso di autorità” quando si è attivato sulla base di erronei presupposti, con velocità piuttosto elevate e a bassa altitudine, portando gli aerei in volo controllato contro il terreno o contro la superficie del mare.

Il comandante Chesley B. Sullenberger, pilota del famoso “miracolo sul fiume Hudson” del 2009 (volo US Airways 1549), ha dichiarato in proposito che i tecnici della Boeing «nella creazione di MCAS hanno violato un principio di vecchia data in Boeing, quello di avere sempre i piloti in ultima analisi al controllo dell’aereo»e che «nel cercare di mitigare un rischio, ne hanno creato un altro, maggiore».

Il computer che prevale sull’uomo non è il solo aspetto inquietante: maggiore perplessità ha suscitato l’atteggiamento della Boeing, percepito come reticente (non citando il MCAS nei primi manuali e indicandolo soltanto in un messaggio diffuso il 7 novembre 2018), unito ai non chiari rapporti tra l’industria aeronautica americana e le istituzioni federali che governano il settore, a cominciare dalla Federal Aviation Administration (FAA) responsabile della delicata fase di certificazione della sicurezza degli aeromobili, su cui è stata attivata un’indagine dell’FBI.

La Boeing, che ha riconosciuto perfino con dichiarazioni dei propri vertici che il MCAS era oggetto di specifica attenzione nell’analisi dei due incidenti, nelle previste modifiche al software lo renderà più limitato, evitandone le attivazioni ripetute con effetti incrementali, soprattutto a bassa quota, e rendendolo più facilmente contrastabile dai piloti.

I fattori umani

Restando sugli aspetti legati ai diversi “fattori umani” che possono aver inciso a vari livelli sulla sicurezza e sugli incidenti, la scelta da parte del costruttore di “secretare” il MCAS (diverse compagnie e operatori del settore hanno appreso dell’esistenza di questa funzione solo con il messaggio emanato da Boeing il 7 novembre 2018) è stata dovuta all’esigenza di non «inondare il pilota medio di molte informazioni in più – e dei relativi dati tecnici – rispetto a quelle di cui potrebbero aver bisogno o assorbire».

Quanto la sua mancata citazione nelle prime edizioni dei manuali di volo del 737 Max sia stato frutto finale di un’esigenza di marketing della Boeing, che in un contesto di forte concorrenza con il rivale Airbus doveva caratterizzare il 737 Max come una variante minore del 737 “classico”, oppure sia dipeso da valutazioni di carattere strettamente tecnico, sarà certamente oggetto di disamina nei prossimi mesi.

Ma la motivazione dichiarata è strettamente connessa alla gestione del fattore umano, per evitare il sovraccarico d’informazioni che si produce quando le informazioni fornite superano la nostra capacità di elaborarle, conducendo a un impoverimento della qualità delle decisioni.

Per quanto attiene all’addestramento degli equipaggi, la Boeing aveva previsto per il suo nuovo 737 Max soltanto un addestramento integrativo “per differenze”, ritenuto sufficiente per i piloti delle altre versioni del 737. Questa fase di addestramento è stata proposta ad alcune compagnie in forma on-line, che è possibile svolgere in 56 minuti usando una comoda app su iPad.

Anche se l’esperienza di volo complessiva dei piloti non sembra aver giocato ruoli nella catena di eventi che hanno condotto ai due disastri (anche il giovane e sfortunato primo ufficiale del volo ET302, pur con poche ore di attività ai comandi del 737, ebbe un comportamento perfettamente aderente all’addestramento ricevuto nella gestione dell’emergenza, in base a quanto dichiarato nel report preliminare delle autorità etiopi) rimangono oggetto di dibattito le differenze nei requisiti per l’accesso alla professione di pilota di linea tra Stati Uniti, più restrittivi, ed Europa, dove è consentito a un giovane pilota fresco di scuola di volo di sedersi “sul sedile destro” (in genere occupato dal copilota, mentre il comandante siede a sinistra) nella cabina di pilotaggio di un aereo di linea senza percorrere quel progressivo accumularsi di esperienze che invece è richiesto negli USA. Le autorità americane, infatti, a seguito dell’incidente Colgan Air del 2009 elevarono i requisiti di esperienza del secondo pilota degli aerei di linea ad almeno 1.500 ore di volo pregresse.

Le statistiche sugli incidenti fatali negli Stati Uniti sembrano essersi giovate del regime più restrittivo imposto agli equipaggi degli aerei di linea, anche se alcuni studi negano la correlazione, in generale, tra ore di volo e incidentalità. D’altra parte, il periodo di osservazione è ancora troppo breve per distinguere tra una fortunata fluttuazione statistica, che ha assicurato negli USA quasi un decennio (2010-2018) privo di incidenti mortali nel trasporto passeggeri di linea, e una stabile tendenza al ribasso, possibilmente influenzata anche da altri fattori regolamentari (accresciuti turni di riposo, limiti alle ore di lavoro dei piloti) e dall’evoluzione tecnologica (sistemi di navigazione satellitare, procedure di volo strumentale con GPS, migliorie nella strumentazione di bordo, simulatori di volo per l’addestramento…).

Temporanee conclusioni

In attesa della conclusione delle inchieste ufficiali, nulla di definitivo sugli incidenti può essere detto, per cui restiamo tutti in attesa dei risultati delle complesse analisi in corso da parte delle competenti autorità.

Molto invece si può dire sugli approcci alla realizzazione di sistemi critici che appaiono esser stati viziati, sia nella fase di progettazione sia nella fase di collaudo, dalla forte pressione del marketing, come se fossero stati anteposti i risultati economici alla sicurezza, pavimentando così la strada a errori tecnicamente imperdonabili, come l’aver fatto dipendere la gestione degli assetti di volo, in ultima analisi, dall’indicazione fornita da un solo sensore di angolo d’incidenza, pur avendone due a disposizione e avendo quindi un’agevole possibilità di realizzare delle procedure di confronto e verifica dei valori rilevati (letture incrociate).

Si è quindi introdotto artificiosamente, in un complesso sistema tecnologico, un clamoroso “singolo punto di rottura” (ovvero un singolo componente che, in caso di guasto, compromette il funzionamento dell’intero sistema), che era del tutto evitabile e che non è stato evidenziato nell’analisi dei rischi in caso di guasto ai diversi componenti dell’aereo (Failure Mode and Effects Analysis).

In più, la fase di validazione dei dati forniti dai sensori appare esser stata fortemente carente, perché ha portato all’accettazione di rilevamenti dell’angolo d’incidenza, di cui restano tracce nelle registrazioni delle scatole nere, che nel caso del volo ET302 sono arrivati all’irrealistico valore di 74.5°. Siamo quindi in presenza di un esempio di cattiva ingegneria, destinata prima o poi a produrre errori e malfunzionamenti cui neanche le maggiori esperienze o abilità dei piloti avrebbero mai potuto porre rimedio.

 

Cosimo Comella

Veterano aeromodellista, pilota privato di aeroplano, pilota di aliante e appassionato di aviazione. Docente universitario di informatica, è esperto di ingegneria del software, di sistemi distribuiti, di sicurezza e protezione dei dati personali

 

(Nella foto un Boeing 737 Max)

 

Fonti:

https://it.m.wikipedia.org/wiki/File:StallFormation.svg

https://theaircurrent.com/aviation-safety/what-is-the-boeing-737-max-maneuvering-characteristics-augmentation-system-mcas-jt610/

http://www.ecaa.gov.et/documents/20435/0/Preliminary+Report+B737-800MAX+,(ET-AVJ).pdf

http://www.b737.org.uk/

https://www.wsj.com/articles/boeing-withheld-information-on-737-model-according-to-safety-experts-and-others-1542082575

http://investors.boeing.com/investors/investor-news/press-release-details/2019/Statement-from-Boeing-CEO-Dennis-Muilenburg-We-Own-Safety—737-MAX-Software-Production-and-Process-Update/default.aspx

https://www.faa.gov/

Australian Transport Safety Bureau, ATSB Transport Safety Report, Final Investigation on Pilot experience and performance in an airline environment, AR-2012-023, 17 July 2013

 

Back To Top