Home

"I'm brave but I'm chicken shit"

Ecco perché un design corretto è essenziale

E’ notizia di oggi che il recente disastro dell’ATR 72 in Sicilia, è dovuto all’installazione di un indicatore del carburante del tipo sbagliato. In particolare:

I serbatoi alari dei velivoli Atr 42 e Atr 72 sono diversi in termini di capacità massima, di forma, numero e posizione delle sonde capacitive. Conseguentemente, i Fqi (Fuel Quantity Indicator) rispettivamente installati sugli Atr 42 e sugli Atr 72 utilizzano algoritmi diversi e non sono intercambiabili tra loro“, nonostante i Fqi installati sugli Atr 42 e sugli Atr 72 siano “identici sia dal punto di vista dimensionale che di installazione”. “Pertanto, un Fqi previsto per un ATR 42 può essere erroneamente installato su un velivolo ATR 72 e viceversa. L’unica differenza visibile tra i due Fqi – spiega l’ Ansv – è rappresentata da una scritta di colore bianco di piccole dimensioni indicante la quantità di carburante massima per serbatoio alare, riportata sul frontalino dello strumento”.

E’ un lampante problema di design. I due indicatori sono diversi, quindi non si può neppure pensare ed economie di scala, ammesso che esistano nella produzione di aerei, non ne ho la più pallida idea.
Nella progettazione di un oggetto del genere, da cui dipendono vite, è necessario tenere sempre presente la possibilità dell’errore umano, sarebbe stato sufficiente che i due strumenti fossero di dimensioni tra loro diverse, in modo da impedire un montaggio errato.

A chi volesse approfondire, consiglio “La caffettiera del masochista” – di Donald A. Norman.


Pubblicato

in

da

Tag:

Commenti

20 risposte a “Ecco perché un design corretto è essenziale”

  1. Avatar UnoACaso
    UnoACaso

    Bravo!
    il progettista � molto pi� colpevole dell’installatore, ma la magistratura chi iscriver� sul registro degli indagati?

  2. Avatar silentman.it

    Probabilmente il medico della juve

  3. […] Andrea Beggi fa notare che l’incidente dell’aereo ATR 72 precipitato in Sicilia è stato causato da un errore di design dell’indicatore del carburante. Era stato montato un indicatore di un altro modello, incompatibile, ma quasi identico nell’aspetto e nel montaggio. Le interfacce di controllo in aereonautica sono solitamente ben progettate per ciò che riguarda l’interazione uomo macchina, ma qui non è stato preso in considerazione il ciclo vitale completo di un elemento, inclusa la possibilità di sostituzione e di conseguenti errori. Technorati Tags: ATR 72, design, interazione […]

  4. Avatar Sky One

    Le dimensioni sono le stesse proprio per economizzare i costi. Devi considerare che dimensioni differenti non andrebbero ad incidere sul singolo strumento, ma anche su tutto quello che c’� intorno allo strumento (ad esempio il pannello del cockpit in cui vanno installati gli strumenti). C’� anche il problema dell’addestramento dell’equipaggio: se due velivoli della stessa famiglia sono pressoch� identici � pi� facile (e meno costoso) “far girare” gli equipaggi ed istruirli alla macchina. Tu dirai “ma quanto costa una vita umana?” e l’obiezione � giusta. C’� per� da notare che ci sono stati anche casi in cui un tentativo (giustissimo!) di ridurre inconvenienti di questo tipo ha portato lo stesso ad incidenti. Faccio un esempio: nei monomotori il bocchettone del carburante � di dimensioni diverse a seconda del tipo di carburante che va immesso (un po’ come la benzina: se ti ricordi la pistola della verde � pi� stretta di quella che c’era per la rossa). Probabilmente questo ha ovviato a molti incidenti ma ci sono stati casi in cui non � servito. Insomma: c’� il solito scontro tra massimizzazione della sicurezza e minimizzazione dei costi che, purtroppo, viene fatto anche dalle compagnie aeree (e dalle industrie aeronautiche). Permettimi una citazione: “ma se le scatole nere sono cos� resistenti, perch� non facciamo gli aerei dello stesso materiale?”. 🙂

  5. Avatar Tambu

    lo legger�! conosco gi� chi pu� prestarmelo :)))

  6. Avatar Andrea

    Sky One: siamo d’accordo che l’aspetto dello strumento potrebbe anche essere lo stesso, per facilitare i piloti. Anche le dimensioni, se vuoi risparmiare sul pannello.
    La soluzione sarebbe mettere un connettore diverso, mi vieme in mente un disco fisso: IDE, SATA, SCSI. Alla fine fanno tutti la stessa cosa, hanno le stesse dimensioni, ma il connettore non permette errori di montaggio.
    ATR72? Connettore quadrato. ATR42? Connettore rotondo. Il resto identico.

  7. Avatar Guzzo

    E’ quello che � gi� stato richiesto alla casa produttrice degli ATR: un blocco meccanico che impedisca l’istallazione di un FQI errato nel pannello di controllo.
    Putroppo sono stati necessari 16 morti per questa modifica 🙁

  8. Avatar Franto

    No dico io stiamo scherzando l’errore � della persona che ha montato un accessorio per un tipo di aereo su un’altro tipo di aereo,

    Non si pu� assolutamnte dare la colpa (o una parte di essa) ai progettisti.

    Le persone che fanno manutenzione sono il loro lavoro, se non lo fanno bene la colpa � loro non dei progettisti.

  9. Avatar Andrea

    Franto: lungi da me assolvere il tecnico che ha sbagliato il montaggio. Ma il punto � che, dato che non � possibile eliminare l’errore umano (per quanti sforzi si facciano), bisogna fare il possibile per ridurre le possibilit� che esso avvenga. Ad esempio progettando meglio gli indicatori di benzina.
    I progettisti hanno quindi parte della colpa. Secondo me ed anche secondo Donald Norman.

  10. Avatar Barbara

    Incredibile… concordo con te in ogni caso , sicuramente la colpa va al tecnico ma un’aiuto ( vista anche la manovalanza che spesso si occupa di ste cose sbrigativamente ) dal progettista a monte avrebbe potuto salvare quelle vite

  11. Avatar UnoACaso
    UnoACaso

    L’errore � di montaggio lo ha fatto il tecnico.
    Nessun dubbio.
    Tuttavia almeno uno dei motivi per cui il tecnico ha fatto l’errore � che 2 componenti, incompatibilmente pericolosi dal punto di vista funzionale, erano quasi identici nell’aspetto esteriore ed identici dal punto di vista della meccanica di montaggio: un progetto corretto avrebbe dovuto prevedere un impedimento meccanico fra l’alloggiamento dello strumento e lo stumento stesso (es: perno su un lato per l’atr42 e perno su un angolo per l’atr72).

  12. Avatar bob

    il ver problema � l’incompetenza generale
    che con l aumento della complessita e dei numeri
    viene a galla
    chi nn si � accorto che il mondo quello ns ossia occ
    � ataccato ad un filo sempre significa che conosce poco
    quello che accade ad un metro di distanza
    ci si lascia impressionare dall apparato colossale
    ma questo/a appartine alla fantasia
    all immaginazione
    quando si frequentano le realt�
    si vede come sono povere e terra terra
    infatti i laboratori e luoghi reputati
    top secret se si avesse la possibilit� di visitarli
    si incontrerebbe solo o quesi dell orrore
    mentale
    a proposito
    cosa ne diciamo della birdflu
    e delle sue conseguenze sull avvenire stesso dell occ
    a dire dell bbc
    inglese?
    su
    http://www.anilina.org/?page_id=9
    ce un testo tradotto molto interessante

  13. Avatar Tambu

    credo che per “errore di progettazione” si intenda qualcosa come: ho un carrello pieno di indicatori dell’ATR42 e uno solo del 72… prima di montarlo mi si rovescia e si sparpagliano per terra. ne monto uno a caso oppure c’� un modo UNICO di distinguerli?”

    qualcosa del genere…

  14. Errori di progettazione

    Il recente disastro dell’ATR 72 in Sicilia, è dovuto all’installazione di un indicatore del carburante del tipo sbagliato. In particolare:
    I serbatoi alari dei velivoli Atr 42 e Atr 72 sono diversi in termini di capacità massima, di f…

  15. Avatar fmf

    Gran libro.
    Sbatto _sempre_ nelle porte a vetri, io…
    Ora so che non e’ colpa mia.

  16. Avatar Superbirra164

    Andre, lo sai su queste cose sono un estremista:

    totale responsabilit� al tecnico di manutenzione. Incompetente e non usa i manuali durante le procedure di installazione. Quasi tutte le areolinee civili e tutte le aeronautiche militari, prescrivono che le manutenzioni debbano sempre essere effettuate da almeno due addettti e sempre con il supporto documentativo della manutenzione seguito a passi.

    Gli aerei hanno tanti pezzi in comune, questo � normale, e comunque il 72 � un’evoluzione del 42 (e ogni volta che ci monto sopra chiedo un posto a livello dell’ala, che � la parte pi� resistente tella carlinga, non si s� mai…

  17. Avatar curson

    Io credo che Superbirra164 abbia decisamente colto nel segno. Due velivoli cos� simili condividono per forza di cosa molte caratteristiche di design, e sicuramente (non mi stupirei) anche molta della strumentazione � intercambiabile. Quello che sicuramente ci si deve aspettare da un tecnico addetto alla manutenzione � che se viene richiesto che il componente “indicatore di carburante” da montare (come da manuale) sia un modello “XXXX-2” lui ci monti solo e soltanto quello, e non un “XXXX-1” perch� “ci entra lo stesso”.
    No dico, ma siamo impazziti?
    Non oso pensare alla quantit� di tempo impiegato da chi ha stilato migliaia di procedure, e che vede un meccanico inserire un pezzo non adatto solo perch� fa prima. Lungi da me scaricare tutto sull’addetto alla manutenzione (niente di pi� facile che gli sia stato caldamente suggerito di ripiegare su un pezzo gi� presente in magazzino che “tanto � lo stesso”), ma se uno fa un lavoro da cui dipendono vite umane, lo fa come si deve.

  18. Avatar Andrea

    Io continuo a essere convinto che l’errore umano ci sar� sempre, e che va fatto il massimo sforzo possibile per prevenirlo.
    Il cestino sul desktop lo avete tutti, no?

  19. Avatar un socio

    ma la vita umana vale meno del carburante ?

  20. Avatar geronimo
    geronimo

    Salve, non � molto facile montare un pezzo per un’altro su un velivolo, anche se sono uguali, ogni oggetto ha un numero che indica dove va montato e che � indicato sul pezzo, inoltre dopo il montaggio vanno riempiti dei moduli per la certificazione e se i due numeri dei pezzi vecchio e nuovo non coincidono non si dovrebbe avere il permesso di volare.Inoltre siccome il velivolo � arrivato dalla tusinia, il pilota avrebbe dovuto rendersi conto che i due strumenti dx e sx riportavano dati differenti, e anche qual’ora non se ne fosse accorto prima di rientrare avrebbe dovuto ricevere dalla cisterna il peso del carburante caricato, e visto che non si sarebbe dovuto trovare con quanto richiesto, avrebbe dovuto richiedere la verifica manuale del livello carburante operazione che richiede 5 min. Concludendo la colpa non � imputabile a nessuno ci sono stati una serie di errori nell’applicazione delle procedure che ha portato alla catastrofe, casomai il tizio dell’ ente certificante tunisino al momento del controllo avr� pensato….che fa tanto il pilota o qualcuno verificher� prima…..e invece!