Pilota-in-comando

Pilota-in-comando oppure Computer-in-comando ?
Osservazioni sul conflitto tra progresso tecnologico e responsabilità giuridica del
Pilota-in-comando
del Prof. Ronald Schmid
Elaborazione del Com.te Renzo Dentesano di un articolo dell’Avv. Ronald Schmid,
professore di diritto aeronautico all’Università di Darmstadt, pubblicato su AIR &
Space LAW n. 6/2002.
I. Il problema.
Una battuta alquanto sarcastica, che circola ormai da tempo tra i Piloti
professionisti, inquadra il problema come segue: «quali sono le prime e le ultime
parole di un Pilota di Airbus ?».
Le prime:«Cosa sta facendo ora ?».
E le ultime:«… non l’ha mai fatto prima d’ora!».
Questo è umorismo nella forma più macabra. Ma l’umorismo di tal fatta spesso è un
modo di nascondere l’ansia e perciò questa battuta rimane indicativa di un antico e
forse inveterato problema psicologico legato all’interrelazione tra l’uomo e la
macchina.
Il particolare rapporto tra l’uomo e la macchina è tanto antico quanto la stessa
invenzione della macchina stessa ed è stato relativamente senza complicazioni fino
a quando l’uomo si è sentito al comando della macchina o, almeno, fino a quando
ha avuto la percezione di poter fare ciò. Invece è diventato un problema nel
momento in cui l'uomo ha incominciato a sostituire se stesso con la macchina.
Questo fatto non è stato sempre una ragione di preoccupazione, ma lo è
certamente divenuto nei casi nei quali la “safety” ha incominciato a giocare un ruolo
vitale per la sopravvivenza: e questo è precisamente quanto avviene nel campo
dell’aviazione.
L’essere umano che progetta una macchina e la mette in servizio deve occuparsi
personalmente della macchina stessa. Wilbur Wright, il pioniere del volo, riferendosi
alla “macchina volante” si dice che si sia espresso come segue: «Se cerchi la
sicurezza assoluta, allora è consigliabile che siedi su un albero ad osservare gli
uccelli. Ma se vuoi realmente imparare, allora devi salire su una macchina ed
acquistare dimestichezza con le sue peculiarità attraverso la pratica».
Sin dall’inizio dell’aviazione si può osservare il seguente schema comportamentale:
dapprima la tecnologia ha solamente assistito l’essere umano, ma ben presto ha
incominciato a rimpiazzarlo in modo sempre più ampio. La storica “involuzione”
della composizione dell’equipaggio di condotta sugli aeromobili civili riporta alla
mente una significativa somiglianza con la filastrocca conosciuta da tutti i bambini,
quella dei “Dieci piccoli indiani”.
Ai tempi dei primi aerei pressurizzati (DC 6, Constellation, ecc.) oltre ai due piloti ai
comandi, spalleggiati da un pilota di ricambio (relief pilot) sui voli a lungo raggio,
v’erano a bordo anche un motorista (flight engineer), un navigatore (navigator) ed
un marconista (radio operator). Quest’ultimo divenne presto superfluo e quindi
sbarcato.
Subito dopo l’entrata in servizio dei B. 707 e dei DC 8, agli inizi dell’era dei motori a
getto negli anni ’60, anche il navigatore divenne superfluo dappertutto, salvo poche
1
rotte quali la polare e le transatlantiche, cioè dove la navigazione basata sui VOR
non era possibile e dunque il navigatore rimaneva ancora necessario.
Con l’introduzione dei sistemi di navigazione inerziale i computer di navigazione
presero il posto del navigatore e così anche questa categoria fu eliminata.
All’inizio degli anni ’80 la battaglia incentrata sull’abolizione del “terzo uomo” in
cabina di pilotaggio incominciò sul serio, in quanto il “cockpit” di un sempre
maggior numero di aeromobili di costruzione occidentale a corto e medio raggio
d’azione non contemplavano più un posto per il motorista (oramai divenuto system
operator), il cui impiego rimaneva necessario solo sui più grossi aeromobili
commerciali usati prevalentemente sui voli a lungo raggio.
Poi, ormai nell’era dei “glass cockpit”, con l’introduzione della nuova generazione di
aeromobili a lungo raggio come il B. 747/400 e l’A. 340, anche questa figura non fu
più contemplata [a torto, a parere del redattore di questa nota – n.d.r.] neppure su
questo genere di voli [infatti sarebbe stata molto utile nella successiva era dei
dirottatori kamikaze –n.d.r.].
Così, come nel caso del navigatore, i computers installati a bordo sostituirono i
compiti e le funzioni operative e di sorveglianza prima assegnati al “terzo uomo”
[che non sarà mai tanto rimpianto quanto dopo la data del 11 settembre 2001 –
n.d.r.].
Dal punto di vista psico-tecnico, chiunque abbia avuto modo di seguire l’involuzione
da un equipaggio di condotta a sei membri, indi a cinque ed a quattro e poi ancora
a tre, per finire a quello composto da soli due membri, può legittimamente porre la
seguente domanda: come sarà in futuro l’equipaggio di condotta a bordo degli aerei
commerciali di prossima generazione?
Ebbene, i professionisti più pessimisti già affermano di conoscere la risposta: un
pilota ed un cane!
Già, perché il solo compito del “pilota” sarà quello di dar da mangiare al cane e di
tenerlo sveglio; il cane invece avrà il compito di impedire al “pilota” di toccare
qualsiasi cosa!
Questa seconda facezia che circolava tra i piloti fin dai primi studi per la costruzione
della seconda e terza generazione degli aeromobili prodotti da Airbus Industries
(A320/330/340) è senz’altro una grossolana esagerazione, però rivela la non
completamente infondata preoccupazione che i piloti nutrono nei confronti dei
progettisti aeronautici, i quali hanno da sempre sognato di risolvere il problema
dell’errore commesso dagli esseri umani intesi quali operatori di prima linea [errori
dai quali essi si sentono ingiustificatamente immuni – n.d.r.], reprimendo per prima
cosa ed in secondo luogo eliminando idealmente la “causa originale”, cioè l’uomo
operatore con tutti i suoi punti deboli!
Al consorzio di costruttori denominato Airbus Industries – in antitesi con i
costruttori nord-americani Boeing, McDonnell-Douglas e Lockheed – gli esseri
umani sono stati a lungo considerati poco più di un “antiquato software” di bordo,
però un software sopravvissuto per oltre cinquantamila anni. I piloti erano
considerati quali mali necessari, cioè semplici accessori dei quali tecnicamente si
sarebbe potuto fare a meno, se non fosse stato da dover tener conto della
psicologia dei passeggeri paganti.
La configurazione di un solo uomo nel cockpit, che in verità è fattibile, come può
esser dimostrato dagli aerei militari da combattimento, [anche se con non poche
eccezioni.- n.d.r.], era vista come il logico passo intermedio verso lo scopo finale
dell’aereo a controllo remoto.
2
Pertanto, nel progettare i propri aeromobili, il consorzio Airbus Industries si
concentrava soprattutto sull’essere umano quale massima fonte possibile di errore.
Così l’obiettivo divenne quello di eliminare questa perenne fonte di errore – se non
proprio completamente – almeno nella maggior misura possibile.
Ogni sforzo venne indirizzato a progettare apparati ed impianti che fossero in grado
di escludere la possibilità di qualsiasi errore umano o di impedirgli di influire sulla
sicurezza delle operazioni di volo.
Questo genere di concetti era ben espresso nel commento del febbraio del 1990 da
un membro del consiglio direttivo di Airbus Industries a seguito del disastro di un A.
320 della Compagnia aerea Indian Airlines:«Se solo i piloti avessero tenuto le loro
scellerate dita lontano dai bottoni di comando …».
In ogni modo i problemi legati alla totale fiducia nella tecnologia divennero ben
presto evidenti.
I cinque esempi che seguono stanno a dimostrare ciò:
a) Su di un A 310 di nuova introduzione in servizio, un aereo che negli anni ’80 era
considerato altamente tecnologico ma oggi appare già antiquato, durante
l’ultima fase di un avvicinamento finale, un fulmine colpì il musone dell’aereo
danneggiando le apparecchiature elettroniche dell’aereo in corso d’opera, con la
conseguenza che lo stranito computer di bordo ebbe ancora la forza di lanciare
un ultimo suggerimento ai piloti, facendo illuminare sull’apposito visore la
seguente dicitura: «Spegnere i motori»! Ora nessun per quanto ligio pilota al
mondo avrebbe, in volo, eseguito questo comando e così il suggerimento del
“Collega Computer” rimase ignorato. Però un incidente del genere ti fa
soffermare e pensare: «Ma in futuro, ad un certo punto, non v’è il pericolo che
un computer di bordo non si limiterà ad emettere un suggerimento ma
proseguirà agendo di propria (programmata o no) iniziativa? Forse non è che
esista anche il pericolo che un giorno, proseguendo in questa filosofia
progettuale, al pilota sarà permesso di intervenire soltanto fino al livello
permesso dal computer?»
b) Il 26 giugno 1988 un A. 320 dell’Air France, nuovo di zecca, che veniva
presentato in volo ad una esibizione aeronautica sopra l’aeroporto della cittadina
alsaziana di Absheim (vicino a Mulhouse) precipitò (o meglio entrò) in un bosco
mentre eseguiva un passaggio estremamente basso e lento appunto sulla pista
di quell’aeroporto. Quando il pilota raggiunse la fine della piccola pista, sede di
un aeroclub, e volle dar potenza ai motori dal minimo della spinta richiesta per il
sorvolo a quella richiesta per iniziare a risalire, l’aeromobile non reagì al suo
comando di salire. Dato che l’aereo era stato fatto volare sopra la pista alla
velocità minima (VLs) sulla soglia dello stallo di velocità, il “Collega Computer”
di bordo si rifiutò di obbedire al comando di alzare il muso in quanto se la spinta
minima ai motori fosse rimasta tale, sollevare il muso avrebbe comportato lo
stallo di velocità e quindi la caduta dell’aereo. In effetti l’aereo non aveva
ancora raggiunta la maggior velocità necessaria per evitare lo stallo, in quanto i
motori a getto in generale necessitano di vari secondi di tempo per accelerare.
Così l’A. 320, controllato dalla logica progettata nel computer ed indifferente ai
voleri del pilota, condusse l’aereo dentro il vicino bosco e …
c) Il 14 settembre 1993 un A. 320 della Lufthansa, mentre sotto la pioggia stava
atterrando sulla pista bagnata dell’aeroporto di Varsavia, si schiantò a fine pista.
A causa del forte vento al traverso della pista, proveniente da destra, il pilota
aveva (con tecnica irreprensibile – n.d.r.) inclinato leggermente controvento a
3
destra l’ala sopravento del suo aereo, appena prima di toccare la pista, così che
il contatto avvenne prima con il carrello principale destro e poi con il sinistro. Ma
in conseguenza del progetto costruttivo dell’A. 320 di allora, gli spoilers
(diruttori aerodinamici – n.d.r.) non si attuarono perché i carrelli principali non
risultavano completamente compressi e le ruote del velivolo, anche a causa di
un non trascurabile effetto di aquaplaning, non stavano rotolando alla velocità
minima programmata. In breve: secondo la logica inserita nel computer, l’aereo
per lui non era ancora al suolo, bensì stava ancora volando. Così gli spoilers,
che dovevano creare l’effetto di rompere la portanza delle ali, non potevano
attivarsi. Inoltre, su di un A. 320 di allora, né il reverse ai motori né gli spoilers
potevano venir attuati manualmente dal pilota, al contrario ad esempio del
B.737.
Il risultato finale fu che l’aereo poté esser frenato troppo tardi e troppo piano,
raggiungendo la fine della pista dove rimase gravemente danneggiato. Come se
ciò non fosse stato abbastanza, il pilota poté apprendere soltanto più tardi che il
computer di bordo gli aveva anche impedito di comandare la potenza massima a
reverse dei motori, perché così programmato in quanto le prestazioni erano
state limitate al 71% del massimo della spinta, onde preservare la durata della
vita dei motori stessi!
d) Disquisire in materia di “lotta fra pilota ed aeroplano” richiama alla mente il
tragico volo di un B. 757 della Compagnia tedesca Birgenair, precipitato in mare
davanti alle costa della Repubblica Dominicana il 7 febbraio 1976 poco dopo
esser decollato da Puerto Plata. A causa di un imprevisto bloccaggio del tubo di
Pitot dell’omonimo impianto di bordo, il computer dei dati di velocità (air data
computer) di quest’aereo veniva fornito di informazioni non veritiere. Così dal
punto di vista del computer l’aereo stava volando troppo veloce e di
conseguenza l’autopilota che era stato inserito subito dopo il decollo cercava di
ridurre la velocità fittizia aumentando l’angolo di salita, mentre il sistema di
autoregolazione delle manette dei motori a sua volta provvedeva a ridurre la
spinta erogata dai motori. Ma, dato che l’aereo in realtà stava volando più lento
della velocità erroneamente indicata dagli anemometri a disposizione dei piloti,
queste auto correzioni scorrette finirono fatalmente per portare l’aereo verso lo
stallo. A questo punto, un sistema di sicurezza installato sui B. 757 operava il
contemporaneo distacco dell’autopilota, in quanto, secondo le informazioni ad
esso pervenute, i valori di assetto longitudinale e di inclinazione laterale erano
stati superati. Ancora, la stessa cosa avveniva anche al sistema di
autoregolazione della spinta dei motori. Infine, in presenza di tutte queste
informazioni fallaci e contraddittorie, i computers di bordo, progettati per
salvaguardare la sicurezza dell’aereo, finirono per perderlo definitivamente,
assieme ai suoi poco smaliziati piloti
e) Un ultimo esempio della tendenza dei computers di accentrare tutte le decisioni
nelle proprie memorie pre-programmate: su di un altro A. 321 tedesco il
computer di riferimento per i dati all’aria (air data reference computer),
entrando in azione in base ad un momentaneo falso segnale, provvedeva di
propria iniziativa a comandare la retrazione delle alule ipersostentatrici (slats) e
degli ipersostentatori alari (flaps), che erano estesi in posizione di decollo in
quanto l’aereo era ancora in fase di corsa in pista per l’involo. Grazie alla
propria perizia e ad una buona dose di fortuna, rappresentata dalla presenza di
una pista molto lunga, l’equipaggio riuscì ad evitare la catastrofe.
4
Conclusione.
Il princìpio di proteggere l’essere umano da se stesso e dai propri errori per mezzo
di macchine altamente automatizzate potrebbe, in linea di massima, essere una
soluzione accettabile. Rimane invece fortemente contestabile la soluzione di lasciare
il pilota senza alcuna possibilità d’intervenire su programmi di “prudenza
eccessiva”, progettati nei computers, che poi si rivelano non essere tali.
[Ed a proposito di paragoni con i piloti di aerei militari da combattimento, è meglio
lasciar perdere, perché costoro infine si possono sempre affidare al seggiolino
eiettabile ed al benedetto paracadute, ma per i piloti commerciali e per i loro
passeggeri non c’è alternativa di scampo – n.d.r.].
II. L’interrelazione Uomo-Macchina.
L’uomo e la macchina (ed in particolare il computer) [che può anche compendiare i
difetti dei due, non lo si dimentichi mai, in quanto anche il computer è un prodotto
di altri uomini fallibili –n.d.r.] possono teoricamente lavorare bene insieme se
lavorano in perfetta armonia. Comunque essi sono – e continueranno ad essere –
sodali disuguali a causa dei loro differenti punti di forza e punti di debolezza.
Un computer può accogliere un maggior numero di dati e può compararli molto più
celermente di qualsiasi cervello umano. Però può richiamare e comparare solo
operazioni programmate e concepite anteriormente da altri per esso; infatti esso
non può “intellegere” (pensare) in maniera veramente indipendente.
Solo l’uomo è capace di trovare nuove soluzioni ai problemi e di reagire a situazioni
impreviste, sebbene egli può raccogliere, comparare e processare le informazioni ad
un ritmo inadeguatamente più lento.
Se queste differenti capacità sono correttamente conosciute e soprattutto
riconosciute, allora l’uomo e la macchina possono raggiungere una simbiosi e
costituire “un sistema”. Se però l’elemento umano di questo sodalizio viene
continuamente indebolito, tale “sistema” diverrà vulnerabile; l’uomo e la macchina
diverranno sempre più estranei l’un l’altro.
Questa è esattamente l’involuzione alla quale è stato possibile assistere negli ultimi
periodi nel settore della progettazione degli aeromobili commerciali: i piloti sono
stati progressivamente degradati ad operatori di sistemi e di impianti (o “pushbutton pilots”, ovvero “piloti-pigia-tasti”), i quali, molto spesso, non riescono ad
aver chiaro il quadro del procedimento tecnico che sta avendo luogo nel computer
dell’aereo che essi stanno impiegando!
[Sarà dunque bene che si rendano conto di ciò prima che gli aeroplani commerciali
della prossima generazione, gli A. 380 di Airbus ed i Dream Liners di Boeing
vengano dotati di automazioni ancora più spinte ed esclusive. Lo stesso discorso
dovrebbe preoccupare anche le organizzazione per la protezione dei consumatori,
se mai arriveranno a tali livelli di conoscenza per la prevenzione della sicurezza dei
passeggeri del futuro – n.d.r.].
In uno studio condotto nel 1996, il Prof. H. Erbert dell’Università di Norimberga, è
giunto alla seguente conclusione:«Più la cabina di pilotaggio diviene evoluta,
sempre meno ai piloti è dato di conoscere degli impianti di bordo».
[In questa frase, forse sarebbe stato più corretto affermare che «molti piloti» meno
conoscono «la concezione costruttiva degli impianti di bordo» - n.d.r.]
Tra i piloti quelli probabilmente più esposti a questo tipo di sindrome sono coloro
che stanno ancora volando su jet di prima o seconda generazione (come B. 727,
5
DC-9, Fokker 28, ecc.) e che domani potranno essere assegnati a volare un velivolo
della “famiglia” Airbus.
Questo sarebbe un salto come passare di colpo dall’età della pietra all’era
tecnologica attuale.
Il notissimo prof. J. Reason ha magistralmente ricapitolato la situazione di questo
problema in un’unica frase: «Non possiamo mutare la condizione umana, ma
possiamo cambiare le condizioni nelle quali la gente lavora»!
III. Automazione e responsabilità.
Stiamo vivendo in un mondo nel quale la vita senza automazione è virtualmente
inconcepibile.
Automazione significa delegare le attività umane alle macchine; cioè l’uomo lascia
che le macchine lavorino per lui. E questo ha avuto un grande impatto anche sul
mondo dell’aviazione. Ed ancora, automazione per qualcuno è un prodotto del
diavolo, per altri è una benedizione.
Niki Lauda, che tutti conoscono non solo come corridore automobilista di Formula 1,
è anche abilitato a pilotare i differenti tipi di aeromobile della flotta della sua
Compagnia Lauda Air. Una volta ha confidato, ad un giornalista che lo intervistava,
come è arrivato a governare il suo ultramoderno B. 777:«Veda, io decollo ancora
manualmente, ma poi inserisco gli automatismi e non li stacco più fino a dopo
l’atterraggio a Los Angeles». Però questa mentalità, a mio parere [ed anche a
quello del traduttore – n.d.r.], rivela un atteggiamento che non è proprio molto
orientato verso la sicurezza, come si può evincere dalla relazione d’inchiesta sul
disastro del B. 757 della Birgenair ed in base alle successive modifiche apportate al
Manuale Operativo del velivolo!
[Evidentemente l’ex-corridore o si avvale di un bravo co-pilota oppure è molto più
fortunato di
quel
suo
capo-equipaggio
che
a
causa
dell’improvviso
malfunzionamento del reverse del motore destro di un B. 767 della sua flotta che
stava salendo verso la quota di crociera con i motori governati dall’automanetta alla
spinta di salita, l’aereo subì uno stress strutturale tale da rompersi e precipitare con
tutto il suo carico umano al confine tra la Thailandia e la Birmania – n.d.r.].
Altre persone hanno ancora una maggior riserva da avanzare in merito alla
tecnologia più moderna. Costoro sono preoccupati soprattutto del fatto che gli
esseri umani possano essere non più in grado di controllare completamente la
tecnologia e con ciò che non possano essere più in grado di assumere la relativa
responsabilità in merito ad essa.
Esempio: «Con l’introduzione della tecnologia “fly-by-wire” agli equipaggi viene
posto un limite d’intervento che è calcolato da un computer. Per la prima volta il
concetto dell’autorità finale attribuita all’essere umano a bordo viene posta in
discussione».
Ciò, a mio parere, è stato messo in risalto dai precitati incidenti mortali che hanno
coinvolto gli aerei A. 320 di Varsavia e di Molhouse ed il B. 757 di Puerto Plata.
Ritengo che essi siano i primi inconfutabili esempi di ciò che può accadere quando i
computers, pur funzionando correttamente dal punto di vista tecnico, però possono
ignorare o sostituirsi ai voleri dell’uomo.
[E questo senza scordare il caso in cui il computer “impazzisce” per un colpo di
fulmine meteorico – n.d.r.]
Una diversa potenziale fonte di pericolo è insita nella nuova configurazione delle
cabine di pilotaggio dei velivoli più moderni. Infatti:
6
a) Le cabine di pilotaggio dei moderni aeromobili commerciali sono oggi più
ordinate che mai: la tecnologia basata su schermi e visori a tubi catodici o “a
cristalli liquidi” lo rende possibile in quanto il gran numero di manometri e
quadranti che costituivano la vecchia strumentazione dei cruscotti degli anni '50
si è ridotto a pochi visori elettronici. Di contro v’è il pericolo che –
intenzionalmente o inintenzionalmente – le informazioni necessarie a far
comprendere la sequenza delle operazioni in atto da parte del processore
vengano soppresse nel corso del procedimento elaborativo. Il concetto alla base
del tipo di impostazione è quello che il pilota non dev’essere gravato da troppe
informazioni e di troppe conoscenze e con ciò distratto dai propri compiti. In
teoria il concetto potrebbe anche essere accettabile, ma in materia dev’essere
tracciato un limite ben netto oltre il punto in cui l’essere umano verrebbe
confuso o invece privato della propria capacità di assumere decisioni.
b) La stessa impostazione dev’essere adottata anche per i sistemi di visione
sintetica (generatori grafici d’immagini ad alta definizione). Questo tipo di
sistemi genera su di un visore (schermo) un’immagine tridimensionale del
terreno circostante l’aeromobile per permettere al pilota di volare l’aereo come
se la visibilità fosse buona anche quando in effetti, invece, è ridotta. Questa
tecnologia potrebbe essere indiscutibilmente un grande aiuto per i piloti e quindi
sarebbe benvenuta. Però non dovrebbe mai consentire che il pilota possa essere
privato della sua autorità di assumere decisioni. Questo, ad esempio, potrebbe
essere il caso nel quale il computer di bordo permetta di guidare l’aeroplano
solamente all’interno del contesto di condizioni topografiche generate dal
computer stesso oppure definito da un programma inserito in esso.
c) Inoltre la configurazione della cabina di pilotaggio non dovrebbe discostarsi
senza necessità da quelli che sono da sempre i segnali condizionati di
attivazione, nella fattispecie intesi quali assegnazione dei colori di avviso, vale a
dire arancione o rosso per indicare rispettivamente attenzione e proibizione o
pericolo, verde per libertà d’azione o autorizzazione a procedere, ecc.; questo
perché gli esseri umani tornano repentinamente a questo tipo di associazioni
mentali in tutte le condizioni di stress e soprattutto di pericolo. Ciò è dovuto al
fatto che il cervello umano non può esser riprogrammato immediatamente a
scordare i modelli condizionati di comportamento radicati da lungo tempo.
Pertanto i progettisti, nel concepire qualsiasi tipo di macchina volante, devono
tenere in considerazione anche gli atavici modelli di comportamento degli esseri
umani.
Un’altra area nella quale si può porre il quesito se il pilota possa sempre esser
caricato della responsabilità dell’esecuzione di un volo è quella degli avvicinamenti
strumentali in condizioni effettive di CAT III c (la più estrema delle categorie
strumentali di atterraggio), cioè quella di condizioni d’atterraggio con portata visiva
di pista (R.V.R.) uguale a visibilità zero.
Anche se tale tipo di avvicinamento strumentale (pur contemplato dalla norme) non
è ancora né praticato né autorizzato, gli atterraggi su piste attrezzate per
avvicinamenti di precisione da parte di aeromobili commerciali dotati di adeguate
dotazioni di bordo sono tecnicamente possibili.
[Ciò in quanto l’unica limitazione attuale consiste nell’impreparazione degli
aeroporti a consentire il percorso senza visibilità dalla pista d’atterraggio alla
posizione di parcheggio dell’aeromobile – n.d.r.]
Quanto sopra affermato significa che per l’aereo la R.V.R. (Runway Visual Range)
potrebbe essere zero anziché di 75 metri attualmente richiesti per operazioni in CAT
7
III b, con un’altezza di decisione (DH) parimenti di zero metri, anziché i 30 metri
richiesti attualmente.
In altre parole gli atterraggi strumentali di precisione possono esser effettuati in
condizioni nelle quali la visibilità è così ridotta che i mezzi di salvataggio e soccorso
potrebbero trovare difficile se non impossibile individuare il luogo in cui un
aeromobile si sia incidentato.
[in Italia il caso di Linate, in presenza di visibilità tra 100 e 200 metri, dovrebbe
insegnare – n.d.r.]
Ma consideriamo più precisamente quest’evenienza.
Il pilota di un B. 747 che ha una velocità d’atterraggio di circa 270 km/h e cioè una
velocità d’avvicinamento di circa 76 metri al secondo, effettuando un avvicinamento
di CAT II (DH 100 ft.= 30 m., RVR 300 metri) ha solo 2 o 3 secondi per assumere
la decisione di atterrare o di riattaccare. Quando effettua un avvicinamento di CAT
III b (No DH oppure DH 17 ft.= 4,5 m., RVR 75 metri), operazione che è ormai
pratica comune ai nostri giorni, ha ancora metà del tempo precedente per prendere
la decisione di riattaccare.
Nel caso di avvicinamento di CAT III c è contemplato che l’aereo abbia comunque
preso contatto con il suolo – correttamente in pista o incorrettamente – al
momento in cui sia assunta dal pilota la “decisione” di riattaccare. E se tale
decisione dev’essere assunta dal pilota perché l’automatismo non ha portato l’aereo
correttamente in pista, un aereo come il B. 747/400 che può pesare fino a 285
tonnellate al momento dell’atterraggio, potrebbe necessitare di molto più tempo per
reagire all’ordine di riattaccata. Ognuno può immaginare per proprio conto quali
catastrofiche conseguenze potrebbero esserci se un tale aeromobile dovesse
toccare terra solo pochissimi metri prima oppure lateralmente alla pista.
Le principali domande in materia a cui rispondere sono, a mio parere, le seguenti:
-
La tecnologia che viene
provvedimenti responsabili?
sviluppata
permette
ancora
di
prendere
-
E nel caso in cui la configurazione su questo punto sia un pericolo reale che
dimostrerà definitivamente l’impossibilità di poter ancora assumere
disposizioni responsabili?
Un altro pericolo che ancora non si è manifestato, ma che potrebbe esistere in un
non lontano futuro nel contesto dello sviluppo del cosidetto “princìpio del volo
libero” (free-flight concept), è quello rappresentato dall’importanza che viene
attualmente attribuita alla possibilità che il Controllo del Traffico Aereo (ATC) non
trasmetta più istruzioni verbali via radio ai piloti, ma che invece le istruzioni siano
trasmesse tramite un segnale radio ad un ricevitore a bordo dell'aeromobile
collegato al Flight Management System (FMS) di bordo; le istruzioni verrebbero
pertanto ricevute dai piloti sotto forma di un messaggio scritto presentato
direttamente (senza ritardo alcuno) su di un visore elettronico. A quel punto –
quale primo passo del sistema data-link – l’idea è sempre quella che il pilota riceva,
verifichi e confermi le istruzioni [e/o autorizzazioni ATC – n.d.r.] prima che il
computer di bordo [leggi:- FMS – n.d.r.] le metta in pratica.
Ma è lecito chiedersi: «Quanto durerà questa prima fase che contempla
l’accettazione da parte del pilota prima che l’istruzione stessa venga eseguita
direttamente dal computer di bordo?»
Questo genere di dubbio non pare totalmente ingiustificato.
Ma v’è di più: dato che questo accesso diretto dall’esterno al computer di bordo
[FMS – n.d.r.] è contemplato, prima o poi e quando non sarà più necessario che il
8
pilota verifichi e confermi [alcune se non tutte – n.d.r.] le istruzioni in arrivo, prima
che esse vengano eseguite dal computer di bordo, chi può esser in grado di
escludere che un qualsiasi pazzoide o criminale pirata informatico sia tentato dal
provar ad impadronirsi a distanza di un aereo?
[come del resto già visto accadere in diverse pellicole cinematografiche o proiezioni
televisive – n.d.r.]
Altro passo successivo, programmato all’interno dello stesso progetto di “freeflight” , è l’idea che i computers di tutti gli aeromobili in volo possano costituire una
specie di rete informatica mobile che permetta a ciascuno di localizzarsi nello spazio
e di comunicare l’un l’altro, concordando e coordinando automaticamente i loro
piani di volo, limitatamente alla direzione, quota e velocità, in modo da autosepararsi. Allora al pilota, seppure ancora ne sarà capace, non sarà più consentito
di intervenire personalmente in questo procedimento.
E questo sarebbe il distacco finale del principio che esista ancora un pilota-incomando.
[ma forse anche che vi siano ancora passeggeri desiderosi di volare per via aerea –
n.d.r.]
IV. Aspetti legali.
Come abbiamo visto, la tecnologia aeronautica è ben avviata sul percorso di privare
i piloti degli aeromobili commerciali della loro prerogativa di assumere decisioni e
con ciò, conseguentemente, di quella di esercitare il comando.
Da un punto di vista legale, questo è fonte di considerevole preoccupazione e
pertanto il problema non può non essere trattato sotto tale aspetto.
La Convenzione di Chicago del 1944, la cosiddetta “madre di tutte le
regolamentazioni sull’aviazione civile internazionale”, nell’Annesso tecnico n. 6 –
Operation of Aircraft – al paragrafo 4.5.1 stabilisce: «Il pilota-in-comando sarà
responsabile per l’impiego e la sicurezza dell’aeroplano e per la sicurezza di tutte le
persone a bordo durante tutto il tempo di volo».
[In verità, quanto citato dal Prof. Schmid è un compendio del citato paragrafo
dell’Annesso 6, il quale in effetti è ancora molto più esatto ed articolato di quanto
non sia la citazione fattane – n.d.r.]
Questa disposizione internazionale è stata inserita negli ordinamenti nazionali di
tutti gli Stati membri dell’ICAO e quindi anche nel Regolamento del Traffico Aereo
della Germania.
La sezione 3, para 1, del Regolamento LuftVO stabilisce: «Il pilota-in-comando
dovrà avere il diritto di decisione riguardante l’impiego dell’aereo. Egli dovrà
assumere le misure necessarie per garantire la sicurezza durante tutte le fasi di
volo, di decollo, di atterraggio e di rullaggio».
La sezione 1 dello stesso Regolamento impone al pilota-in-comando di essere un
partecipe attivo nel controllo del traffico per comportarsi in modo tale che sia
garantito un sicuro ed ordinato flusso di traffico e perché nessun’altra persona
possa esser messa in pericolo o possa subire danno.
Dunque, la legge tedesca in materia di Traffico Aereo stabilisce esplicitamente che –
nonostante l’automazione di bordo – non è il computer di bordo bensì l’essere
umano preposto colui il quale si assume l’onere della responsabilità finale per il
compimento in sicurezza del volo affidatogli.
-
Ma può costui effettivamente fare ciò ?
9
Il concetto che il legislatore aveva in mente quando ha stabilito le predette
disposizioni, ancor’oggi in vigore, è stato però profondamente alterato e in realtà
surrettiziamente modificato dall’introduzione sugli aerei di più moderna generazione
delle nuove tecnologie.
Per motivi tecnici (fattibilità) e per favorire i contenimenti economici (riduzione dei
costi), l’industria ora costruisce sistemi il cui controllo e la cui sorveglianza
necessitano di complicati sistemi ausiliari che sono passibili di malfunzionamenti
non resi evidenti all’operatore di prima linea. Infatti molto spesso tali sistemi sono
così complicati da poter esser controllati con grosse difficoltà. In questi casi le
possibilità di adottare azioni correttive responsabili sono quanto meno molto
limitate se non nulle.
Un esempio calzante in materia è quello che è stato illustrato in merito agli
atterraggi automatico con valori di visibilità prossimi allo zero. Infatti, se il pilota ha
soltanto due secondi a disposizione per correggere un errore dell’automatismo che
debba essere da lui corretto e se l’impianto necessario alla manovra correttiva (nel
caso: i motori) richiedono altri, seppur pochi, minuti-secondi per rispondere ai suoi
comandi, non sarà possibile per nessun essere umano reagire realmente in modo
da poter essere ritenuto responsabile.
La capacità d’esser ritenuto in grado di esercitare una responsabilità presuppone la
libertà e la possibilità di adottare un’azione correttiva.
Ma se il pilota, nei casi come quelli precedentemente descritti, è di fatto
umanamente impossibilitato ad esercitare questo tipo di responsabilità oggettiva,
allora non può esser gravato della responsabilità “de iure”.
Ma questo è proprio il punto che alcuni costruttori aeronautici sembrano non voler
comprendere, forse perché intenti al conseguimento della realizzazione
dell’obiettivo finale: l’aereo tecnologico senza pilota a bordo.
[Però con pilota a terra forse sì e comunque gravato delle stesse responsabilità oggi
attribuite al pilota che sta a bordo, come l’introduzione degli UAV – Unmanned
Aerial Vehicles – sta dimostrando – n.d.r.]
Nell’aprile del 1999, durante il Simposio sui fattori umani tenutosi a Santiago del
Cile, un rappresentante della Ditta Boeing ha affermato: «In circa il 50% dei
disastri dovuti a perdita di controllo dell’aeromobile … per l’equipaggio rimaneva
disponibile la completa disponibilità dell’aereo». E ciò può anche esser vero.
Ma costui, intenzionalmente, ha omesso di menzionare il rimanente 50% dei casi!
E, per chi voglia leggersi la prima dichiarazione rilasciata dalla Boeing sul crash del
velivolo della Birgenair, non potrà che ritrovare la stessa dichiarazione fatta dal
rappresentante della Boeing in Cile.
Però il fatto che in seguito i Manuali Operativi dei B. 757 e 767 siano stati, dalla
Casa, modificati furtivamente, non si adatta onestamente al precedente modo di
fare.
Ma v’è di più: durante la stessa Conferenza, un rappresentante di Airbus Industries
ha voluto paragonare il ruolo del pilota-in-comando alla funzione in squadra del
portiere di calcio, dichiarando testualmente che «come il portiere di calcio è l’ultimo
difensore, il pilota è il responsabile finale per l’impiego in sicurezza dell’aeromobile
in tutte le circostanze»!
Ebbene, proprio grazie a questo infelicissimo paragone [sarebbe inoltre interessante
vedere costui come portiere di una squadra con una difesa colabrodo – n.d.r.] che
del resto rivela chiaramente la confusione psichica di alcuni progettisti di Costruttori
aeronautici, si può facilmente contestare quanto segue: «Non si può non far notare
10
che il portiere di calcio non è colui che dirige e controlla la partita, in quanto è colui
che viene chiamato in causa solo quando la sua squadra e la difesa in particolare
(nel paragone:- il computer) ha fallito il proprio compito. Allora costui diventa
“l’uomo più solo sul campo”. Se la partita viene persa, perché lui non è riuscito a
parare il tiro degli avversari, allora sarebbe il colmo che nessuno avesse a ridire
sulla misera prestazione della sua squadra, della sua difesa e perfino dell’allenatore.
Il pilota è tanto solo quanto il portiere, quando il computer non sa cosa fare oppure
non sa esibire cosa sta facendo o qual è il suo malfunzionamento. Ma vi ancora
un’altra gran differenza:- per il pilota non esiste un intervallo nella partita, né esiste
alcuna possibilità di esser sostituito. Egli deve assumere una decisione ed
intraprendere un’azione.
Se le cose vanno male, il suo intervento verrà semplicemente tacciato con il famoso
titolo di “errore del pilota” – in quanto le cause effettive verranno scordate oppure
occultate molto volentieri».
Ancora una considerazione molto interessante: le dichiarazioni dei rappresentanti
dei costruttori non contengono mai indicazioni di una qualsiasi valutazione
autocritica in merito al fatto che un possibile difetto di progettazione potrebbe
essere forse la causa di certi disastri aerei!
[Ed allora bisogna solo aspettare e sperare che l’inchiesta tecnica eseguita da
investigatori esperti e non condizionabili faccia luce sulle vere cause dei disastri –
n.d.r.]
Per riassumere: se il concetto legale di “pilota-in-comando” dev’essere
salvaguardato dal degenerare in quello di “pilota-parzialmente-in-comando” si
devono intraprendere urgentemente idonee iniziative – subito e per il futuro – per
garantire che nei sistemi complessi di gestione del volo il pilota sia sempre in grado
di intervenire sull’altamente automatizzata sequenza di operazioni, in qualsiasi
momento sia necessario per correggerla e modificarla. Altrimenti si dovrà assistere
ad una nuova dizione del pilota-una-volta-in-comando con la più realistica di
“pilota-facente-del-proprio-meglio”!
Nelle future progettazioni di aeromobili di nuova generazione, se si vorrà ridurre lo
“zoccolo duro di certi tipi di disastri, il pilota-in-comando dovrà essere sempre in
grado di disinserire in qualsiasi momento l’autopilota e di stabilizzare l’aeromobile
sotto il proprio comando nell’assetto e sulla traiettoria da lui voluti, adeguando
manualmente, cioè pilotando, l’aereo sugli assi di beccheggio e di rollìo oltre che
della regolazione della spinta desiderata!
Sfortunatamente invece i progettisti di alcuni degli attuali aeromobili
supertecnologici non hanno sempre prestato sufficiente attenzione all’idea di fornire
un completo sistema ausiliario (back-up system) in grado di escludere l’autorità del
computer sui principali impianti di volo.
Qualora però si insista nel continuare a privare l’essere umano in questione della
sua libertà di prendere decisioni, allora si dovrà anche, quale logica conseguenza,
sollevarlo dalla sua responsabilità oggettiva.
V. Riepilogo e conclusioni.
In argomento desidero essere molto esplicito. L’automazione in cabina di pilotaggio
– come in altre aree – può essere fondamentalmente una benedizione.
Nell’aviazione civile ciò è assolutamente vero per i risultati ottenuti dall’impiego
dell’autopilota o da diversi sistemi di allarme, quali ad esempio il GPWS ed il T-CAS.
11
[La collisione sul Lago di Costanza, ed altri eventi di pericolo in cui il T-CAS ha
accentuato la criticità, non vanno attribuiti a questo dispositivo di avviso ma al non
corretto uso da parte dei piloti dovuto a non corretta programmazione in fase di
addestramento. N.d.r.]
Dunque le argomentazioni fin qui addotte non devono esser intese come
preconcette ostilità nei confronti di certi automatismi tecnologici oppure contro la
tecnologia in generale, ma solo da un sano scetticismo nei confronti dei sogni dei
progettisti nei riguardi di una tecnologia perfettamente funzionante: solo pensare
ciò è tanto illusorio quanto lo può essere la convinzione nell’infallibilità degli esseri
umani [genere del quale, del resto, e vale sempre la pena di ricordarlo, fanno parte
anche i progettisti! – n.d.r.].
L’uomo e la macchina sono cioè ugualmente imperfetti.
Però vi è una decisiva differenza fra i due: una macchina, o, per essere più precisi,
un computer che controlli una macchina non è in grado di pensare (di
“intellegere”). E’ in grado solo di processare ed eseguire pre-programmate e preprogettate funzioni attive – almeno al presente.
L’essere umano invece è in grado di pensare ed è fondamentalmente in grado di
discostarsi da modi condizionati di agire e quindi di escogitare nuove e diverse
soluzioni.
Questa peculiarità umana non può in alcun modo essere seriamente contestata e
non dovrebbe mai essere dimenticata!
Se un pilota è chiamato a risolvere in volo un problema tecnico, il successo dei suoi
tentativi dipenderà dalla sua creatività e dalla sua ottima conoscenza del sistema.
Egli dunque deve conoscere e comprendere ciò che sta avvenendo nel sistema che
sta impiegando e quali fenomeni stanno determinando una certa sequenza di
eventi. Egli dev’essere in grado di capire cosa sta accadendo anche se non può
analizzare internamente il sistema stesso.
In presenza di questa situazione il ruolo della tecnologia dev’essere quello – e deve
continuare ad essere quello – di un fornitore di servizi [vale a dire disponibile a
richiesta dell’utilizzatore – n.d.r.]. Ovvero essa dev’essere limitata a fornire le
risorse e le informazioni necessarie ad una utilizzazione flessibile ed efficace dei
sistemi oltre che avvisare il pilota di qualsiasi sviluppo pericoloso.
I progettisti di aeromobili devono pertanto, qualora necessario, perfino fare a meno
di avanzare ulteriori passi tecnologici onde garantire che gli aeromobili rimangano
manovrabili, comprensibili e comandabili dagli esseri umani adibiti, nelle vesti di
operatori di prima linea, a tali compiti.
In nessun caso dev’essere consentito che la tecnologia possa filtrare o nascondere
alcuna informazione e tanto meno che possa assumere iniziative unilaterali.
La conclusione: «Alla forza dell’essere umano, che si fonda principalmente sulla sua
capacità analitica, dev’essere accordata una maggiore considerazione nella fase
progettuale di nuovi aeromobili commerciali».
Ed inoltre: questo princìpio dev’essere impresso a mo’ di concetto fondamentale nel
cervello dei progettisti e tenuto in considerazione fin dal principio dello sviluppo di
un nuovo aeroplano commerciale e dei suoi impianti di bordo. Fino a quando la
tecnologia sia incapace di riuscir a rimpiazzare completamente l’essere umano, solo
le capacità di quest’ultimo, assieme alle note limitazioni, devono esser utilizzate
per dettare le norme parametriche del nuovo progetto.
«Gli aeromobili devono esser adattati a servire, quali utili e controllabili
strumenti, gli esseri umani e mai viceversa». Oppure, per dirla in maniera
12
differente: «L’uomo deve continuare a comandare la macchina; la macchina non
deve esser mai autorizzata a comandare l’uomo».
Solo rispettando questi criteri il pilota-in-comando potrà continuare ad esercitare il
suo ruolo e ad addossarsi la relativa responsabilità.
Il mio scopo dunque è stato e sempre sarà quello di portare questo problema
all’attenzione di coloro i quali non avvertono alcun senso di responsabilità quando
avviene un disastro aereo, ma del quale sono veramente responsabili, quanto meno
indirettamente [e moralmente, a nostro parere – n.d.r.]. Costoro sono i progettisti
che ideano e costruiscono macchine che sono tanto dipendenti dai computers da
esser a mala pena o per nulla controllabili dagli esseri umani e con essi tutta quella
gente responsabile delle decisioni commerciali dell’acquisto e della messa in servizio
di tali aeroplani.
Anche se costoro possono non essere legalmente responsabili di un singolo evento,
in quanto non devono – dopo tutto – esser biasimati per aver introdotto in servizio
un aeromobile regolarmente omologato dalle competenti Autorità di certificazione,
comunque la loro responsabilità morale può benissimo esser indicata, allorquando
costoro per puro interesse economico, decidono di assumersi dei rischi ormai noti.
Da “AIR & Space” n. 6/2002.
Traduzione e commenti a cura del Com.te Renzo Dentesano
13
Uomo e Macchina nel Sistema
L’articolo pazientemente tradotto da Renzo Dentesano è una nuova occasione per
riproporre le liste comparative che seguono.
Sono in Appendice al nostro libro “La Strategia del Margine”.
Esse sono una efficace sintesi concettuale ed un utilissimo quadro di riferimento per
l’assegnazione delle funzioni nei sistema a tecnologia avanzata composti di uomini e
macchine.
Questo elenco comparativo è parte della congrua documentazione che portai “in
patria” quando partecipai, per la Commissione Tecnica dell’ANPAC ad un corso di
formazione sul Fattore Umano in Aviazione presso l’Institute of Safety and
System Management della University of Southern California (ISSM-USC).
In tutto questo tempo il progresso fatto nel campo dell’intelligenza artificiale ha
ridotto in alcuni casi le limitazioni delle macchine migliorandone le “capabilities”
mentre le limitazioni (e le capabilities) dell’uomo sono sempre le stesse dei “primi
prototipi” (homo sapiens - mark 1) di qualche milione di anni fa.
Ciò nonostante il progetto di sistemi può e deve beneficiare di quelle human
capabilities che ancora non è possibile trasferire alle macchine.
Una lettura accurata della lista che segue consente di capire come non sia possibile
fare a meno, nel sistema aviazione, della migliore integrazione delle funzioni di
elaborazione e decisione dell’uomo con le funzioni di presentazione delle
informazioni e attuazione delle azioni di comando dei dispositivi high tech.
ALDO PEZZOPANE
(p.s.: sorry, no translation for this)
COMPARISON OF HUMAN CAPABILITIES WITH MACHINE ALTERNATIVES
BASIS FOR MAN VS MACHINE FUNCTION ALLOCATION
‰
Man can recognize and use information redundance (pattern) in the real world
to simplify complex situations.
Machines have limited perceptual constancy and are very expensive.
‰
Man has high tolerance for ambiguity, uncertainty and vagueness.
Machines are highly limited by ambiguity and uncertainty in input.
‰
Man can interpret an input signal even when subject to distraction, high noise
or message gap.
Machines perform well only in a generally clean, noise-free environment.
‰
Man is a selecting mechanism and can adjust to sense specific inputs.
Machines are fixed sensing mechanisms, operating only on that which has
been programmed for them.
‰
Man has very low absolute thresholds for sensing (e.g.,vision, audition, tactile).
Machines, to have the same capability become extremely expensive.
‰
Man has excellent long term memory for related events.
Machines, to have the same capability become extremely expensive.
‰
Man can become highly flexible in terms of task performance.
Machines are relatively inflexible.
14
‰
Man can improvise and exercise judgment based on long term memory
recall.
Machines cannot; they are best at routine, repetitive functions.
‰
Man can perform under transient overload, his performance
gracefully.
Machines stop under overload; generally fail all at once.
‰
Man can make inductive decisions in novel situations; can generalize.
Machines have little or no capability for induction or generalization.
‰
Man can modify his performance as function of experience;he can learn “to
learn”.
Trial and error behavior is not characteristic of machines.
‰
Man can override his own actions should the need arise.
Machines can only do what they are built to do.
‰
Man is reasonably reliable; can add reliability to system performance by
selection of alternatives.
Machines are reliable only at the expense of increased complexity and cost;
then only for routine functions.
‰
Man complements the machine in the sense that he can use it in spite of design
failures, for a different task, or use it more efficiently than it was designed for.
Machines have no such capability.
‰
Man complements the machine by aiding in sensing, extrapolating, decision
making, goal setting, monitoring and evaluating.
Machines have no capacity for different performance than originally
designed.
‰
Man can acquire and report information incidental to the primary mission.
Machines cannot do this.
‰
Man can perform time contingency analyses and predict event in unusual
situations
Corresponding machines do very poorly.
‰
Man is relatively inexpensive for corresponding complexity, is generally in good
supply, but must be trained.
Machines are more limited in terms of complexity and supply by cost and
time.
‰
Man is light in weight and small in size for function achieved for most situations
Machines with functional equivalence of man require more weight, power
and cooling facilities.
‰
Man is relatively easy to maintain; demands a minimum of “in task” extras.
Maintenance problems become disproportionately serious as complexity
increases.
15
and
degrades
COMPARISON OF HUMAN
LIMITATIONS WITH MACHINE ALTERNATIVES
BASIS FOR MAN VS MACHINE FUNCTION ALLOCATION
‰
Men are poor monitors of infrequent events or of events which occur frequently
over a long period of time.
Machines can be constructed to detect reliably, infrequent events or events
which occur frequently over a long period of time.
‰
The human has a limited channel capacity.
Machines may have as much channel capacity as can be afforded.
‰
Humans are subject to coriolis (physiological) effects, motion sickness,
disorientation, etc.
Machines are not subject to these effects.
‰
Man has extremely limited short term memory for factual material.
Machines may have as much short-term (buffer) memory as can be
afforded.
‰
Man is not well suited to data coding, amplification or transformation tasks.
Machines are well suited to this kind of tasks.
‰
Human performance is degraded by fatigue and boredom.
Machine performance is degraded only by wearing out or by lack of
calibration.
‰
Human performance is degraded by long duty periods, repetitive tasks and
cramped or unchanged positions.
Machines are less affected by long duty periods, perform repetitive tasks
well; some may be restricted by position.
‰
Man saturates quickly in terms of the number of things he can do and the
duration of his effort.
Machines can do one thing at a time so fast that they seem to do many
things at once, for a long period of time.
‰
Man may introduce errors by mis-identification, re-integration or closure.
Machines do utilize these processes.
‰
Expectation or cognitive set may lead an operator to “see what he expects, or
want to see”.
Machines do not exercise these processes.
‰
Much of human mobility is predicated and based on gravity relationships.
Machines may be built which perform independent of gravity.
‰
Human are adversely affected by high g-forces.
Machines are unaffected by g-force.
Man can generate only relatively small forces, and cannot exert large forces for
very long or very smoothly.
Machines can generate and exert forces as needed.
‰
16
‰
Man generally requires a review or rehearsal period before making decisions
based on items in memory.
Machines go directly to stored information for decision.
‰
When performing a tracking task, man requires frequent reprogramming; he
does best when changes are under 3 radians / second.
Machines do not have such limitations.
‰
Man has a built-in response latency of about 200 microseconds in a go / no-go
situation.
Machines need have no response latency.
‰
Man is not well adapted to high speed, accurate search of large volumes of
information.
Computers are designed to do just this.
‰
Man does not always follow an optimum strategy.
Machines will always follow the strategy designed into them.
‰
Man has physiological, psychological and ecological needs.
Machines have only ecological needs.
‰
Men are subject to anxiety which may affect their performance efficiency.
Machines are not subject to this factor.
‰
Man is dependent upon his social environment both present and remembered..
Machines have no social environment.
‰
Man’s diurnal cycle imposes cyclic degradation of behavior.
The machine cycle may be whatever is desired.
‰
Interpersonal problems develop among humans.
There are no such problems among machines.
‰
Unselected individuals differ greatly among themselves.
There are no unselected machines.
17
Note di commento al documento “Pilota in comando oppure Computer in
comando”
di Giovanni Riparbelli
Ho letto con interesse l’articolo del Prof. Schmid, ma mi trovo per molti aspetti in
disaccordo con il suo contenuto.
Mi spiego meglio: ne condivido l’obbiettivo, che è ben riassunto nelle conclusioni
“Alla forza dell’essere umano, che si fonda principalmente sulla sua
capacità analitica, dev’essere accordata una maggior considerazione nella
fase progettuale di nuovi aeromobili commerciali” e “Gli aeromobili devono
essere adattati a servire, quali utili e controllabili strumenti, gli esseri
umani e non viceversa”, ma non condivido la maggior parte degli esempi e dei
ragionamenti che hanno portato l’autore a tali (giuste) conclusioni.
Non c’è dubbio che forse il principale problema dell’aviazione moderna è costituito
dall’interfaccia uomo-macchina, e si possono identificare innumerevoli aree nelle
quali possono, e debbono venire fatti passi avanti significativi.
Ma non c’è nemmeno dubbio che tutti gli sforzi dei costruttori siano da sempre stati
intesi proprio a fornire ai piloti aiuti migliori per eseguire il loro compito, e mai si sia
posta in alcun dubbio la completa autorità dell’uomo sulla macchina.
Veniamo allo studio in esame
I. Il problema
La lista di incidenti riportata all’inizio dell’articolo con l’intento di avvalorare la tesi
contraria, dimostra solo una lacunosa conoscenza in materia di chi li ha scritti, e le
loro sintesi contengono una serie di inesattezze sostanziali che poco hanno a che
vedere con i fatti realmente accaduti.
Da sempre ci sono nell’aviazione commerciale dei concetti fondamentali dai quali
non sono ammesse deviazioni, primo fra tutti quello che nessun intervento
automatico è consentito su impianti vitali, quali motori o i superfici di volo, che
possano compromettere la sicurezza.
Pertanto è ben possibile che un fulmine attivi gli avvisi incendio di tutti i motori, o
qualsiasi altro avviso di avaria il cui ck. list richieda lo spegnimento dei motori, ma
nessun aeromobile occidentale può essere costruito con l’autorità data al computer
di effettuare lo spegnimento, né lo sarà mai.
L’incidente di Absheim del A-320 è descritto in maniera del tutto irreale; la
protezione dell’inviluppo di volo insita nella legge di controllo degli aeromobili
Airbus non ha impedito all’a/m di alzare il muso, ma gli ha impedito di stallare, il
che avrebbe comportato una perdita di vite assai maggiore.
Si può discutere la filosofia di controllo degli aeromobili di Airbus, ma una cosa è
certa: dal punto di vista della capacità di manovra essi sono di gran lunga superiori
a tutti gli altri aeromobili commerciali.
Considerare le protezioni all’inviluppo di volo come una limitazione del pilota,
anziché un aiuto in molti casi vitale, significa non aver capito di cosa si stia
parlando, o di non conoscere il sistema.
Venendo all’incidente di Varsavia, le protezioni all’uscita dei ground spoilers, o dei
reverse, sono state introdotte dopo che era successo un notevole numero di
incidenti dovuto all’uso improprio in volo di tali sistemi, o per loro avaria.
Basti ricordare il DC 8-62 Alitalia che, per aver usato il reverse durante la flare, si
spaccò in due pezzi sulla pista di New york.
18
Se poi si considera che né i ground spoilers né i reverse sono essenziali in un
atterraggio normale, si può ben comprendere il motivo per cui il costruttore ha
optato per delle protezioni.
Quanto al fatto che alcune protezioni non siano by-passabili dal pilota, basta
ricordare l’incidente del Trident della BEA, il cui equipaggio rimosse la protezione
dallo stallo (disattivando lo stick-pusher), con conseguente perdita dell’a/m e di
tutti gli occupanti.
La filosofia costruttiva cui facevo riferimento prima, dà autorità all’equipaggio su
ogni azione vitale, mentre gli impedisce di rimuovere protezioni a impianti che non
sono essenziali per la sicurezza del volo se non rimosse, mentre possono causare,
ed hanno storicamente causato, seri danni se rimosse inopportunamente.
Nel caso dell’incidente in esame, la causa prima è stata la velocità di atterraggio
spropositatamente al di sopra di quella richiesta, e non c’è soluzione tecnica
costruttiva che possa sopperire ad un uso improprio dell’a/m.
Se l’a/m fosse atterrato alla velocità giusta, non avrebbe avuto problemi a fermarsi,
anche senza spoilers e reverse.
L’incidente del B-757 della Birgenair è anch’esso citato alquanto a sproposito: il
cockpit voice recorder evidenzia bene come già in corsa di decollo a terra fosse
chiaro ai due piloti che l’anemometro del comandante non funzionasse; l’a/m non
avrebbe dovuto proseguire il decollo.
Ma quello che rimane incomprensibile è come sia stato possibile, con la chiara
conoscenza di una avaria ad un indicatore di velocità, affidarsi all’autopilota e
perdere il controllo dell’a/m, ignorando anche l’intervento dello stick shaker.
E qui vorrei ricordare che se quel tipo di a/m avesse avuto le protezioni di inviluppo
di volo dell’Airbus A 320 di Habsheim, l’incidente non sarebbe avvenuto.
Questo per chiarire il perché di certe scelte.
Nell’incidente della Birgenair nulla è attribuibile all’aeromobile in sé, ma c’è da
domandarsi il motivo per cui un equipaggio si sia affidato in maniera acritica ad un
automatismo, per di più in condizioni di evidente e nota avaria strumentale.
Ma su questo discorso tornerò in seguito.
Quanto all’ultimo incidente, quello secondo il quale un computer “provvedeva di
propria iniziativa a comandare la retrazione degli slats e dei flaps, che erano estesi
in posizione di decollo in quanto l’aereo era ancora in fase di corsa in pista per
l’involo”, la descrizione è alquanto differente dalla realtà.
Se così fosse stato, si sarebbe trattato di una grossa deviazione dal principio base
di sicurezza cui ho fatto riferimento prima: nessun impianto di bordo può effettuare
autonomamente interventi che possano compromettere la sicurezza del volo.
Non conosco l’episodio particolare, ma ovviamente si fa riferimento all’impianto del
A-321 che attiva, a velocità eccessiva, la retrazione del solo flap dalla posizione
minima di decollo a quella di completo rientro.
Questa protezione, che non riguarda posizioni maggiori di flap, il cui rientro
accidentale potrebbe causare problemi, né quella degli slats, è ininfluente ai fini
della sicurezza del volo in un decollo normale, con particolare riferimento al sistema
di protezione dell’inviluppo di volo; in compenso è assai utile a preservare i flaps da
carichi aerodinamici eccessivi.
Non posso pertanto condividere la conclusione del primo punto : “Rimane invece
fortemente contestabile la soluzione di lasciare il pilota senza alcuna possibilità di
intervenire su programmi di prudenza eccessiva progettati dai computers, che poi si
rivelano non essere tali”.
19
Non la posso condividere nel senso che in nessuno degli incidenti descritti il pilota
era stato messo nella impossibilità di intervenire.
II. L’interrelazione uomo-macchina
Questo è un grande problema, e c’è al proposito un ottimo documento della FSF,
che propone moltissime migliorie al sistema di interfaccia uomo macchina.
Ma gli studi abbondano in materia.
Qui concordo in particolare su due punti: la scarsa conoscenza che si fornisce oggi
ai piloti della loro sempre più complessa macchina, ma ancor più concordo con la
nota di Dentesano, che fa riferimento alla necessità dei piloti di conoscere “la
concezione costruttiva degli impianti di bordo”.
Nella mia veste di incaricato degli Standads Operativi di Alitalia, ho discusso a fondo
proprio queste filosofie con MD-Douglas, durante lo sviluppo dell’ MD 11, con
Airbus, prima dell’acquisto degli A-321, e con Boeing, durante la valutazione del B777.
Purtroppo questo genere di conoscenze difficilmente arrivano poi alla maggioranza
dei piloti.
Non concordo invece del tutto con la dichiarazione che i piloti sono stati
progressivamente degradati ad operatori di sistemi e di impianti.
O almeno non concordo con il fatto che ciò sia avvenuto senza il loro esplicito
consenso.
Mi spiego: i costruttori ci hanno fornito aeromobili sempre più sofisticati e facili da
operare.
Gli automatismi possono fare (quasi) qualsiasi cosa, ma sono stati i piloti ad
esasperarne l’uso, fino a diventarne schiavi inconsapevoli.
I piloti stessi si sono voluti degradare, e sta agli psicologi trovare il perché.
Cosa può spingere un pilota a inserire l’autopilota a 200 ft. dopo il decollo e
disinserirlo solo, quando va bene, in corto finale?
In particolare quando dispone di un a/m, quali tutti gli Airbus attual, il cui pilotaggio
manuale è completamente protetto?
E come si spiega la sudditanza di molti piloti nei confronti degli autopiloti, che sono
riluttanti a disinserirli anche quando diviene evidente che non stanno agendo
correttamente, fino al punto da farsi portare contro le montagne, o a perdere il
controllo aerodinamico dell’a/m?
Qui non si tratta di aver disegnato il pilota fuori dal loop di controllo; fuori dal loop
ci si è messo lui di sua spontanea volontà.
E di questo credo che le Compagnie aeree portino le colpe maggiori, quando hanno
continuato ad insistere, al di là di ogni logica necessità, sulla necessità dell’uso di
tutti gli automatismi disponibili.
Ricordo Compagnie che prescrivevano, con il DC 10 solo l’atterraggio automatico, o,
in mancanza di ILS, con autopilota in CWS (Control Wheel Steering).
Ci sono voluti molti anni, dopo l’avvento di sistemi automatici sempre più
complessi, per modificare quella disposizione nella raccomandazione di adoperare il
livello di automatismi più adeguato alla situazione.
Ma ormai il danno era fatto, e la maggior parte dei piloti non ha neppure capito il
significato della nuova raccomandazione.
20
III. Automazione e responsabilità
Ripeto, per questo item, quanto ho già detto: nulla impedisce ai piloti di
disconnettere qualsiasi automatismo che possa essere rilevante ai fini della
sicurezza del volo.
Se vogliamo gli stessi Airbus possono escludere anche le protezioni dell’inviluppo di
volo, escludendo i computer che le attivano.
Per cui non concordo con la dichiarazione “con l’introduzione della tecnologia fly by
wire agli equipaggi viene posto un limite d’intervanto che è calcolato da un
computer. Per la prima volta il concetto dell’autorità finale attribuita all’essere
umano a bordo viene posta in discussione.”
Quando poi si arriva a parlare di atterraggi in CAT IIIc, l’autore arriva un po’ in
ritardo.
Da parecchi anni il pilota ha perso il controllo diretto sulle operazioni di atterraggio
in bassa visibilità: una gran parte di operatori (tutti gli americani, la British Airways,
KLM, etc) effettuano le operazioni di atterraggio in CAT III “Head Down”, cioè con
entrambi i piloti sul panello strumenti, e non c’è più decision height, né decisioni da
prendere se non quella di verificare (Head Down) il corretto funzionamento
dell’autopilota.
Ma siccome a dispetto dell’estensore dell’articolo in questione il mondo aeronautico
non è costituito solo da pazzi, il futuro in quest’area restituirà al pilota il suo ruolo
e le sue responsabilità, attraverso l’uso degli Head Up Displays e delle tecnologie
associate (Enhanced Vision Systems, Synthetic Vision Systems).
Ricordo che dal prossimo anno tutti gli aeromobili Airbus saranno dotati di HUD
come dotazione standard.
Se si arriva al concetto di Free Flight, ho anche qui alcune osservazioni da fare.
Ho condotto esperimenti di Free Flight con il simulatore di ricerca del laboratorio
olandese (NLR), e nessuna autorità sulle manovre era data al sistema, che
presentava solo la soluzione del conflitto di traffico, peraltro in maniera assai
semplice e chiara.
Debbo dire che la mia sensazione era stata quella che si sarebbe potuto benissimo
dare autorità al sistema di effettuare variazioni di rotta (non di quota, che peraltro
non sono previste dalla logica del sistema stesso), che dal punto di vista del piota
non sarebbero state diverse dalle leggere accostate che l’autopilota compie
normalmente per mantenere una track prefissata.
L’importante è che il pilota abbia sempre l’autorità di prevalere sul sistema, in
maniera facile e diretta.
Ma questo non è mai stato messo in dubbio da nessuno.
IV. Aspetti legali
Ho anch’io un amico ingegnere aeronautico che non perde l’occasione per dirmi che
si possono far volare gli aeroplani senza pilota.
Ma questo fa parte delle battute che storicamente si fanno tra piloti e ingegneri.
Non ci dimentichiamo che se è vero che i primi aeroplani furono costruiti da piloti
che erano ingegneri, o per meglio dire, secondo il mio amico ingegnere, da
ingegneri che erano anche piloti, adesso gli aeromobili sono costruiti da team di
ottimi ingegneri ed ottimi piloti.
Alcuni tra i migliori sul mercato.
21
A mio parere, molti dei timori espressi in questo articolo sono, pertanto, del tutto
infondati.
V. Riepilogo e conclusioni
Il problema principale non risiede nelle macchine, ma nell’uomo e nel suo modo di
operarle.
Le macchine attuali lasciano all’uomo piena libertà di azione, ma si è visto che
l’uomo è riluttante ad esercitarla.
Si assiste spesso a riprogrammazioni lunghe e difficili in volo del FMS (Flight
Management System), invece di ricorrere alle funzioni dirette dell’autopilota, o
addirittura al pilotaggio manuale che in molte situazioni costituisce la soluzione
migliore.
E’ vero, molti piloti sembrano assumere un atteggiamento passivo nei confronti del
volo; soffrono di sudditanza psicologica nei confronti degli automatismi.
Sembra che si sentano realizzati solo se riescono ad operare bene il sistema, e a
questo dedicano tutti gli sforzi, anche quando ciò diventa controproducente.
Non voglio sembrare paladino dell’ignoranza a bordo; voglio solo ricordare che il
continuo controllo critico del profilo di volo distingue un buon pilota più che non la
sua capacità di programmare in maniera infallibile (?) i sistemi di bordo.
E se si evidenzia una deviazione dal profilo desiderato, il pilota dovrebbe intervenire
sulla traiettoria, e non sul sistema.
E questo senza sensi di colpa.
Gli aeromobili dovrebbero essere curati meglio nell’interfaccia con i piloti, e su
questo c’è molta letteratura e proposte.
I piloti dovrebbero capire le filosofie costruttive degli aeromobili.
Le Compagnie dovrebbero investire in addestramento più approfondito, e con più
riguardo del fattore umano.
E per fattore umano intendo anche alludere alla necessità di restituire al pilota
l’interesse per un volo ben condotto, che gli dia una soddisfazione diversa da quella
di un programmatore.
I costruttori dovrebbero fornire al pilota tutti quegli strumenti, oggi disponibili, che
presentando la traiettoria di volo, l’orografia, la pista, etc., su idonei schermi Head
Up ed Head Down gli consentano una più appropriata consapevolezza della
situazione operativa, e gli restituiscano le sue piene prerogative di controllo.
E per concludere voglio tornare al titolo dell’articolo: Pilota-in-comando o
Computer-in-comando?
La mia risposta è semplice: il pilota è così tanto in comando da scegliere egli stesso
di farsi spesso comandare dal computer.
Sta a lui rimuovere le cause.
Com.te Giovanni Riparbelli
22