Il paradosso aereo: più automazione dovrebbe significare più formazione

Poco dopo a L’Airbus 320 estone Smartlynx è decollato il 28 febbraio 2018, tutti e quattro i computer di controllo del volo dell’aereo hanno smesso di funzionare. Ciascuno si è comportato esattamente come previsto, portandosi offline dopo aver (erroneamente) rilevato un guasto. Il problema, scoperto in seguito, era un attuatore che era stato revisionato con olio troppo viscoso. Un design creato per evitare che un problema crei un problema. Solo l’abilità del pilota istruttore a bordo ha evitato un incidente mortale.

Ora, mentre il Boeing 737 MAX torna nei cieli di tutto il mondo dopo 21 mesi di messa a terra, l’addestramento al volo e la progettazione sono nel mirino. Garantire un futuro sicuro dell’aviazione richiede in ultima analisi un approccio completamente nuovo alla progettazione dell’automazione utilizzando metodi basati sulla teoria dei sistemi, ma gli aerei con quella tecnologia hanno 10-15 anni di pausa. Per ora dobbiamo addestrare i piloti su come rispondere meglio alle molte inevitabili peculiarità dell’automazione.

Nella ricerca del MAX, dell’Air France 447 e di altri incidenti, abbiamo parlato con centinaia di piloti ed esperti presso agenzie di regolamentazione, produttori e le migliori università dell’aviazione. Sono d’accordo che il modo migliore per prevenire gli incidenti a breve termine è insegnare ai piloti come gestire in modo creativo più sorprese.

La risposta lenta alla formazione pilota in ritardo e alla riforma della progettazione è un problema persistente. Nel 2016, ben sette anni dopo che l’Air France 447 è caduta nell’Atlantico meridionale, le compagnie aeree di tutto il mondo hanno iniziato a riqualificare i piloti su un nuovo approccio alla gestione degli stalli aerodinamici ad alta quota. L’addestramento al simulatore che Boeing ha convinto che i regolatori non fosse necessario per gli equipaggi del 737 MAX è iniziato solo dopo il MAX secondo incidente, nel 2019.

Questi rimedi affrontano solo questi due scenari specifici. Potrebbero esserci centinaia di altre sfide impreviste legate all’automazione che non possono essere anticipate utilizzando i metodi tradizionali di analisi del rischio, ma in passato hanno incluso fattori come un computer che impedisce l’uso della spinta inversa quando “pensava” che l’aereo non fosse atterrato. Una soluzione efficace deve andare oltre i limiti dei progettisti di aeromobili che non sono in grado di creare il perfetto jet fail-safe. Come sottolinea il capitano Chesley Sullenberger, l’automazione non sarà mai una panacea per nuove situazioni impreviste durante l’addestramento.

Paradossalmente, Sullenberger ha correttamente osservato in una recente intervista con noi, “richiede molta più formazione ed esperienza, non meno, per pilotare aerei altamente automatizzati”. I piloti devono avere un modello mentale sia del velivolo che dei suoi sistemi primari, nonché di come funziona l’automazione di volo.

Contrariamente al mito popolare, l’errore del pilota lo è non la causa della maggior parte degli incidenti. Questa convinzione è una manifestazione del pregiudizio del senno di poi e della falsa credenza nella causalità lineare. È più esatto dire che i piloti a volte si trovano in scenari che li travolgono. Più automazione potrebbe benissimo significare scenari più travolgenti. Questo potrebbe essere uno dei motivi per cui il tasso di incidenti mortali di grandi aerei commerciali per milione di voli nel 2020 è aumentato rispetto al 2019.

L’addestramento dei piloti oggi tende a essere programmato e basato su scenari noti e probabili. Sfortunatamente, in molti incidenti recenti i piloti esperti non hanno avuto alcuna formazione sul sistema o sul simulatore per le sfide inaspettate che hanno incontrato. Perché i progettisti non possono prevedere i tipi di anomalie che hanno quasi abbattuto l’aereo Smartlynk? Un problema è che usano modelli obsoleti creati prima dell’avvento dei computer. Questo approccio per anticipare gli scenari che potrebbero presentare rischi in volo è limitato. Attualmente, l’unico modello disponibile che contempla situazioni nuove come queste è l’analisi teorica del processo di sistema, creata da Nancy Leveson al MIT.

I moderni aerei a reazione sviluppati con metodi classici portano a scenari che attendono la giusta combinazione di eventi. A differenza dei vecchi aeromobili costruiti utilizzando solo componenti elettrici e meccanici di base, l’automazione di questi moderni jet utilizza una complessa serie di situazioni per “decidere” come eseguire.

Nella maggior parte dei velivoli moderni, il software che guida il modo in cui rispondono i comandi si comporta in modo diverso a seconda della velocità relativa, se è a terra, in volo, se i flap sono sollevati e se il carrello di atterraggio è alzato. Ciascuna modalità può comportare un diverso insieme di regole per il software e può portare a risultati imprevisti se il software non riceve informazioni accurate.

Un pilota che comprende queste sfumature potrebbe, ad esempio, considerare di evitare un cambio di modalità non ritirando i lembi. Nel caso dei crash del MAX, i piloti si sono trovati in situazioni confuse, cioè l’automazione ha funzionato perfettamente, ma non come previsto. Il software ha ricevuto cattive informazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *