Sono un programmatore e un pilota privato, quindi forse posso aiutare a dissipare alcune di queste paure.

1. I computer che fanno funzionare un aereo commerciale sono concettualmente molto più semplici di quello che gestisce il tuo telefono. Ciò significa molte meno possibilità che si verifichi un bug nel software, solo perché il programmatore deve tenere traccia di meno.

2. Se il telefono si riavvia, non mette in pericolo la vita di nessuno . Quindi, i test e il Q.A. perché un tale dispositivo è fondamentalmente tutto ciò che l'azienda vuole fare. D'altra parte, i computer nel settore dell'aviazione vengono testati molto più a fondo prima di poter essere certificati per volare.

3. Analogamente al punto 1, i computer di un aereo hanno ciascuno un solo lavoro . Molti degli arresti anomali su un tipico PC o smartphone provengono da app diverse che si calpestano a vicenda. (Il sistema operativo dovrebbe tenere separate ogni app in modo che non possano farlo, ma il punto 2 si applica anche ai sistemi operativi.)

4. L'aereo non è uno singolo computer, come il tuo telefono. Sì, il tuo telefono probabilmente ha più processori, ciascuno con più core, ma sono strettamente accoppiati per formare un computer. I computer di un aereo sono collegati in rete, ma sono computer separati. Se il tuo telefono si blocca, anche se il ragazzo seduto accanto a te è sulla stessa rete, non lo influenza, vero? Allo stesso modo, se il FADEC per un motore si guasta (un evento estremamente raro, perché i FADEC sono concettualmente tra i computer più semplici), tutto ciò che accadrà è che un motore si spegnerà, senza alcun effetto sul resto dell'aereo.

5. D'altra parte, i computer veramente importanti (come i controller fly-by-wire) hanno ridondanze multiple. Quindi, se uno fallisce, il resto di loro può riprendere il gioco. Anche il pilota non se ne accorgerebbe tranne che per la spia che si accenderebbe nella cabina di pilotaggio.

Se vuoi vedere cosa succede effettivamente quando le cose non funzionano su un aereo, prendi uno sguardo ai seguenti video:

• Fallimento completo dell'avionica sull'oceano.

Il pilota ha pilotato l'aereo a mano mentre ha spento e riavviato il avionica. Il volo è quindi proseguito normalmente.

• Autopilot failure. (Ironia della sorte, lo stesso ragazzo del collegamento precedente!)

Il pilota in realtà lasciò che l'autopilota lo avesse per alcuni secondi, solo per curiosità su dove li avrebbe portati. Ma una volta che ha iniziato ad effettuare operazioni bancarie più del dovuto, ha disattivato il pilota automatico e ha assunto il controllo manuale senza problemi.

• Pilota nuovo di zecca (meno di 60 ore tempo di volo totale) subisce un guasto elettrico completo di notte

Il motore è rimasto in funzione nonostante la perdita di tutta la potenza elettrica dell'intero aereo. È atterrato sano e salvo.

Modifica: solo due ore fa mentre scrivo questo, un altro video di un guasto in volo è apparso nel mio feed di YouTube:

• Generatore guasto in volo

È passato al suo generatore di backup e, a parte un fastidioso piagnucolio le cuffie, non ha avuto altri problemi con il volo.

Prima di iniziare, è importante dire che la tua preoccupazione non è irrazionale. Se ciò accadesse, o se i sistemi di controllo del tuo aereo dovessero funzionare male in modo pericoloso, la tua vita sarebbe davvero in pericolo.

Non sei la prima persona a pensarci, però . Per questo motivo, abbiamo una categoria di sistemi di controllo che descriviamo tecnicamente come relativi alla sicurezza e esiste un'intera branca dell'ingegneria chiamata ingegneria della sicurezza dedicato alla valutazione formale di questi sistemi e al tentativo di prevenire gli incidenti. Ciò include i sistemi di controllo degli aeroplani, ma anche i freni antibloccaggio, i dispositivi medici e qualsiasi altro sistema in cui le persone potrebbero essere danneggiate da un errore. Il grado in cui le persone possono essere danneggiate da ciò viene formalmente valutato come un livello di integrità della sicurezza in base al rischio. Il rischio è una combinazione di quanto è probabile l'evento, quanto negativo sarà il risultato e se le persone coinvolte possono intraprendere un'azione di mitigazione e viene valutato per ogni modo in cui un sistema correlato alla sicurezza può comportarsi male.

Tieni presente che questa valutazione potrebbe non essere così intuitiva come potresti pensare. Una volta ho lavorato a un sistema di erogazione di pula e razzi per aerei militari. Penseresti che il rischio di non far scattare le contromisure e di abbattere il pilota sarebbe il tuo rischio maggiore, ma la valutazione della sicurezza (abbiamo utilizzato un FMEA) ha mostrato che il pilota aveva altre opzioni di mitigazione come un'armatura e un sedile eiettabile, essere abbattuti è un'opportunità che avevano già accettato quando hanno accettato il lavoro, e il rischio che un aereo si schiantasse contro edifici era minuscolo e qualcosa che era già stato accettato istituzionalmente come parte dell'aviazione. Il rischio più grave era in realtà che il sistema si accendesse male mentre un armaiolo lo stava ricaricando, perché poi avrebbero ricevuto una scarica di 36 proiettili di fucile alla testa a distanza ravvicinata. L'armaiolo non ha accettato di correre il rischio e non c'era modo pratico per proteggerli. Di conseguenza, il nostro sistema doveva non attivarsi per impostazione predefinita in caso di discrepanze.

Esistono molti modi per garantire l'affidabilità. La ridondanza è la più diffusa. Puoi avere più sensori in più posizioni, quindi il sistema può sempre capire cosa sta succedendo se uno (o più, forse) dovesse fallire. Di solito ci sono più attuatori per importanti superfici di volo o più superfici di volo in cui l'aereo può mantenere il controllo se uno o più sono danneggiati. Gli aerei passeggeri hanno generalmente anche più motori e più serbatoi di carburante che possono essere isolati l'uno dall'altro in caso di danni. In un certo numero di casi ci possono essere più sistemi di controllo che "votano" sull'azione giusta, quindi un'unità malfunzionante verrà ignorata. Nel caso estremo, ogni sistema di controllo potrebbe anche essere stato programmato da un team software diverso, quindi è estremamente improbabile che un bug nel software di un team sia presente nel software di un altro team. E potrebbero essere presenti altri sistemi di backup come i controlli meccanici.

Un altro buon metodo di attenuazione è la formazione. È perfettamente accettabile che le cose vadano male se le persone che lo gestiscono sono in grado di affrontare quel fallimento e andare avanti. È importante non sottovalutare quanto possono essere brave le persone. Le persone possono e fanno anche causare fallimenti, quindi la formazione può anche essere un caso per dire loro "non farlo". Gli aerei di grandi dimensioni sono relativamente lenti a rispondere ai controlli, quindi è relativamente comune che i piloti possano correggere in modo eccessivo e peggiorare le cose. Per alcuni velivoli commerciali, la risposta standard insegnata ai piloti in caso di instabilità è quella di lasciare andare il bastone e consentire al velivolo di correggersi.

Vale la pena notare che entrambi questi fattori sono il motivo per cui il Boeing-737MAX i disastri sono così gravi, nella misura in cui dovrebbero esserci accuse penali contro le persone individualmente e l'organizzazione collettivamente. Il sistema in questione non utilizzava ingressi ridondanti, anche se disponibili; l'impatto della mancata risposta del sistema non è stato valutato né attenuato; e l'equipaggio non fu addestrato su come affrontare il suo fallimento, né fu nemmeno detto che esistesse. Nel Regno Unito, il crimine di "omicidio colposo aziendale" esiste per perseguire esattamente questo tipo di fallimenti.

L'altro elemento di tutto questo però è la qualità , in modo che tu cerchi di assicurarti che i sistemi non vadano male in primo luogo. L'affidabilità del software dipende quasi interamente dalla quantità di revisioni e test che hanno luogo. Attualmente sto lavorando su software per apparecchiature scientifiche e penso di dedicare circa il 10-20% del mio tempo di sviluppo ai test. PC e telefoni cellulari saranno più o meno gli stessi. Quando ho lavorato su sistemi automobilistici e aerospaziali, questo è stato completamente invertito: abbiamo calcolato di dedicare circa il 5-10% del nostro tempo alla codifica, il 10-20% del nostro tempo alla progettazione e il resto del nostro tempo è andato a rivedere e testare .

Il controllo delle modifiche è anche radicalmente più bloccato. Microsoft potrebbe rilasciare un aggiornamento e quindi controllare i danni nei pochi casi in cui si comporta in modo anomalo e introdurre alcune funzionalità extra allo stesso tempo. Nello sviluppo relativo alla sicurezza, tuttavia, non si modifica una singola riga di codice senza l'approvazione formale che (a) tutti capiscano cosa farà quella modifica, (b) che questa modifica risolva questo bug e non cambia nient'altro e (c) che questa modifica è addirittura necessaria. Molte sessioni di valutazione dei bug ci coinvolgono nell'individuazione di bug in cui alla fine decidiamo che l'impatto del bug è minimo (forse ad esempio 10 ms più tardi accendiamo una spia), ma il rischio di provare a correggere il bug potrebbe essere potenzialmente alto se ci è capitato di sbagliarci, quindi è più sicuro che questo insignificante bug permanga.

Come ci mostra il caso del Boeing-737MAX, tutti questi processi valgono un dannato solo se le persone li seguono. Tuttavia, i processi esistono e sono le migliori pratiche in un settore di decine di migliaia di ingegneri in tutto il mondo che dispone di numerosi standard formali a livello internazionale per stabilirlo. Il mancato rispetto di questi standard è quasi per definizione colpa grave e la maggior parte dei paesi dispone di leggi che consentono il perseguimento di persone e aziende che sono negligenti a questo livello. La maggior parte degli ingegneri vorrebbe comunque fare un buon lavoro; ma le leggi garantiscono che un'organizzazione nel suo insieme rimanga onesta e non tagli gli angoli.

Le tue preoccupazioni sono ragionevoli e giustificate. Un arresto o un riavvio a mezz'aria sarebbe catastrofico per un aereo di linea. Ecco perché gli ingegneri hanno progettato i sistemi in modo tale che questo scenario sia praticamente impossibile.

Energia elettrica

Un aereo di linea ha più fonti di energia elettrica. Ogni motore a reazione ha un generatore integrato. Quando la turbina gira, viene generata elettricità. Ogni generatore può essere spento indipendentemente in caso di problemi. La maggior parte degli aerei di linea dispone anche di una unità di alimentazione ausiliaria o APU. L'APU può essere avviata in caso di emergenza per fornire energia elettrica e idraulica di riserva all'aereo, come avviene nel famoso Hudson Riving Landing.

Se tutto fallisce (ad esempio se il aereo esaurisce il carburante), l'energia elettrica limitata può essere fornita dal mulino a vento, utilizzando la Ram Air Turbine (ad es. Boeing 777) o mediante il mulino a vento delle stesse turbine (ad es. Boeing 747), poiché l'aereo lentamente scivola verso un punto di atterraggio.

Poi c'è la batteria, ovviamente, che viene caricata in ogni momento. Può fornire potenza limitata in caso di emergenza.

Computer

Tutti gli aerei di linea sono dotati di più computer di controllo di volo. Le unità sono costruite da diversi produttori, su diverse architetture di CPU e diversi codici sorgente. La possibilità che tutte le unità si guastino contemporaneamente a causa di un bug o un difetto è molto bassa. Nell'improbabile caso in cui una delle unità si guasta, i piloti possono scollegare quell'unità dal resto del sistema.

Ad esempio, l'Airbus A320 ha 2 computer con alettoni elevatori, 3 computer con elevatore spoiler e 2 computer di volo Computer di potenziamento. Ogni unità può essere disabilitata in caso di malfunzionamento.

Leverismo meccanico

Nello straordinario e improbabile evento che l'energia elettrica venga completamente persa, alcuni comandi di volo sono collegati alla cabina di pilotaggio tramite mezzi meccanici e possono essere azionati con la forza umana. Ad esempio, la procedura di emergenza per un guasto completo del computer di volo nell'Airbus A320 è di far atterrare l'aereo usando nient'altro che i colpi del timone, la ruota di trim dell'elevatore e le manette. Questo non è mai successo nella storia.

come qualcuno che ha eseguito test software su un sistema non importante (classe D, spiegherà presto) per l'approvazione di un aereo per l'atterraggio su aeroporti civili: In aereo c'è una rigida gerarchia su che tipo di funzioni software significano; sono elencati in DO-178B.

• Si presume che i sistemi di classe A siano "esenti da guasti"; sono estremamente ben testati. Questi sistemi non sono destinati al riavvio e in genere non si spengono o eseguono altre azioni aggiuntive in caso di condizione di errore. (ad esempio, quando il controller di un motore perde la connessione alla cabina di pilotaggio, rimarrà nella sua ultima impostazione del motore) I sistemi di classe A sono sviluppati sotto una quantità elevata di test e livello di controllo.
• ...
• per il sistema (classe D) che ho testato la logica principale era "se ci è un errore, invia un messaggio di errore e poi recupera la rete, fermati e attendi un reset dal cockpit. Anche i test di sistema di Classe D includono procedure di test che non vengono utilizzate spesso (es. test white box con emulatori hardware). sono ancora il miglior software testato che abbia mai visto in vita mia.

La logica qui è che un arresto anomalo del sistema non importante non ostacolerà mai la funzione di sistema importante (il pilota può scegliere quando riposare questi). La maggior parte dei sistemi in un aeroplano sono a doppia ridondanza. I microcontrollori e l'architettura HW utilizzati sono progettati in modo tale che i semplici guasti su una scheda avranno un impatto limitato. Anche la rete principale (ad esempio AFDX) è ridondante e le misure sono preso nell'interfaccia che il software in esecuzione selvaggia non va al di fuori dei suoi limiti nell'uso dei bus.

Ripristino normale le procedure sono sicure rispetto a lasciare l'aereo sempre in uno stato controllabile. Un esempio di una procedura di reset errata - spegnendo entrambi i computer di controllo di volo, che non è consentito in volo, perché il pilota non era soddisfatto dei risultati del modo standard di resettare i computer - è stato Air Asia Flight 8501.

A volte un computer o uno smartphone si blocca e si riavvia da solo

Ciò può accadere per due motivi: un errore del software o un errore dell'hardware. Entrambi possono causare l'interruzione dell'elaborazione di nuove istruzioni da parte della CPU ( cioè un "blocco") o il riavvio della macchina. Quest'ultimo è vicino a un blocco, perché il sistema operativo rileva che non può continuare a funzionare normalmente e invia un riavvio dell'hardware.

Le possibili cause sono infinite, ma i risultati sono gli stessi: il processore non può eseguire nuove operazioni e quindi non continuare a funzionare normalmente. Questo non è ottimale se le vite umane dipendono dal suo funzionamento continuo.

Gli errori hardware possono essere causati da funzionalità degradate, danni o usura. Ad esempio un alimentatore che non è in grado di fornire sempre la potenza richiesta o un modulo di memoria danneggiato a causa di scariche elettrostatiche, provocando il "ribaltamento" di bit casuali (un 1 viene letto involontariamente come 0 o viceversa).

Gli errori del software sono causati da errori del programmatore o errori di installazione. Un'installazione pulita del sistema operativo (Windows, Linux, MacOS, ...) sul tuo computer o smartphone, con hardware ben funzionante, dato che l'hardware è supportato dal sistema operativo e sono installati i driver appropriati in modo che il sistema operativo possa comunicare correttamente con il hardware, non andrà in crash . Certo, decenni fa alcuni sistemi operativi tendevano a bloccarsi dopo essere rimasti attivi per un certo periodo di tempo, ma è il 2020 ora. Questi problemi sono stati tutti risolti dai sistemi operativi moderni.

Il problema con l'hardware e il software di livello consumer è che non è critico per la vita, non è ridondante e le persone vogliono essere in grado di installare applicazioni casuali sui propri dispositivi, distribuite da sviluppatori di software casuali. Non vedrai un pilota aprire l'App Store sul tuo Airbus a mezz'aria e installare la nuova app Christmas Lights per far lampeggiare festosamente le luci della cabina, il che capita semplicemente di fermare le pompe del carburante perché lo sviluppatore non l'ha mai testata in volo.

Allora come fanno i produttori di aeroplani a impedire che ciò accada:

• Ridondanza: quando un sistema si ferma (o le sue uscite sono al di fuori dei valori validi), c'è un sistema di riserva che prende il sopravvento.
• Specificità: a differenza dei computer per uso generico, i dispositivi in ​​un aeroplano hanno un obiettivo molto specifico e sono costruiti, installati, configurati e testati per tale obiettivo.
• Test: tu potrebbe portare il tuo computer o telefono al negozio per la manutenzione quando inizia a comportarsi in modo irregolare. Potrebbe essere troppo tardi per quell'hardware, ma di solito saranno in grado di recuperare le tue immagini. Acquista nuovo hardware e / o reinstalla il sistema operativo e sei a posto. Gli aerei vengono controllati più regolarmente.

Per quanto riguarda il ciclo di alimentazione in modo specifico (a differenza dei guasti basati sul software in generale che altre risposte hanno dettagliato molto bene), non è affatto un problema. A differenza di un tipico PC o smartphone che richiede tempo per riaccendersi e può perdere dati in caso di interruzione dell'alimentazione, i sistemi di controllo di un aereo sono generalmente progettati in modo tale da riprendere il funzionamento completo nel momento in cui viene ripristinata l'alimentazione.

Pensalo più come il monitor della temperatura interna del tuo frigorifero che come il tuo personal computer. Se lo spegni e riaccendi, inizierà immediatamente a funzionare di nuovo come se non fosse successo nulla.

Anche i riavvii a volte possono essere accettabili se è possibile riavviare rapidamente senza perdere informazioni critiche. Ciò è avvenuto durante l'atterraggio dell'Apollo 11 quando hanno ricevuto l ' allarme 1202:

Si è reso conto che il 1202 era un codice che significa che il computer di guida a bordo il mezzo da sbarco si stava sovraccaricando di compiti. I programmatori avevano previsto che un giorno questo sovraccarico potesse verificarsi, e così avevano stabilito un aspetto interno del sistema che avrebbe eseguito automaticamente un riavvio veloce e poi un ripristino della memoria per cercare di rimettere in moto il computer.