Ricordi e commenti del Com.te Renzo Dentesano
Correva la fine dell’anno 1979 e ad un convegno sull’addestramento degli equipaggi di condotta, promosso dalla IATA nell’ambito delle iniziative del “SAFAC” (Comitato di sicurezza dell’Organizzazione), al quale partecipavo in rappresentanza della Compagnia di bandiera, un’intera sezione del convegno era dedicata all’esame del tema «Overcoming the Hazards of Automation on the Flight Deck- Superare i rischi dell’automazione in cabina di pilotaggio».
Sul tema (oltretutto nuovo), erano stati presentati una dozzina di documenti di lavoro, creati dai responsabili della sicurezza e dell’addestramento degli equipaggi di condotta di diverse Compagnie Aeree, tra le maggiori dell’epoca (British Airways – KLM – Trans World Airlines – Scandinavian Airlines, ecc.).
Alcuni erano così interessanti che, dopo averli diffusi tra i colleghi Dirigenti o con incarichi nella Compagnia cui appartenevo, mi premurai di conservarli gelosamente. Dopo oltre trent’anni, ritengo giunto il momento di riportarli all’attenzione dei Lettori, nella speranza che qualcuno ne faccia ancora tesoro, perché, a mio modo di vedere, ce n’è ancora bisogno.
Sono utili per approfondire il tema dell’automazione che commento da tempo e per valutare i punti essenziali di alcuni di questi documenti che ritengo “illuminanti” ancora ai nostri giorni, per chi li voglia considerare seriamente.
A quel tempo i modelli di aeromobili parzialmente automatizzati (es.:- con auto manetta, autobrake, computers di navigazione ed in seguito con FSM - Flight Management Systems) erano ben pochi:
1964: l’Hawker-Siddeley HS 121, trireattore denominato “Trident”;
1969: il Boeing B. 747;
1970: il MDD DC 10-10 ed il Lockheed 1011 Tristar;
1972 l’Airbus A. 300 e il MDD DC 10-30
mentre erano in fase di costruzione e collaudo, su progetti già annunciati al pubblico, aeromobili come l’A. 310 e successivi sviluppi A. 320 e 321, i Boeing B. 757, 767 e 737).
Primo documento SAS
Ciò che allora mi colpì della presentazione, fu il primo documento presentato dalla SAS, intitolato «Is automation detrimental to Flight Safety ? – È l’automazione pregiudizievole per la sicurezza del volo ?». Sulla pagina di copertina, nel Sommario, riportava la seguente frase:-«Sebbene l’automazione generalmente aumenti la sicurezza del volo, tuttavia possono svilupparsi certi rischi in conseguenza della sua utilizzazione. Questo documento elenca alcuni di questi rischi ed evidenzia l’importanza di attenuarli per mezzo dell’applicazione di validi criteri di progettazione, adeguate procedure operative ed addestrative e la necessità di opporsi allo sviluppo di comportamenti di rilassatezza e autocompiacimento».
Il testo inizia con il chiedersi:- «Che cosa cerchiamo di acquistare con l’automazione ?». Con l’automazione s’intende alleviare il problema del carico di lavoro troppo intenso [particolarmente per gli equipaggi di condotta composti da due soli membri – ndr], composito e svariato specialmente nelle Aree Terminali di Controllo.
In conseguenza di ciò evidenzia che «il primo scopo dell’automazione è quello di diminuire tale carico di lavoro troppo intenso e concentrato e che l’impiego dell’automazione è quello di migliorare le prestazioni, con l’utilizzo dell’autopilota, degli autospoilers e del sistema di decelerazione automatica durante l’atterraggio (autobrake). Evidenzia inoltre che i sistemi automatici non sono soggetti alla fatica, influenzati dalle illusioni ottiche e da altri effetti che colpiscono gli esseri umani».
Continua poi considerando che, oltre al costo di tali sistemi automatici, si deve considerare che essi implicano anche alcuni rischi, che sarebbero in grado di vanificare gli scopi stessi dell’automazione, qualora non fossero conosciuti e neutralizzati.
Infatti, un’automazione “troppo esuberante” può facilmente indurre i piloti all’autocompiacimento, inteso come rilassamento della vigilanza [per l’eccessiva fiducia sull’affidabilità dell’automazione]. Il testo prosegue confermando che tutti i sistemi automatici compiono esattamente ed accuratamente gli ordini che gli vengono impartiti con la programmazione che è introdotta dall’essere umano, sia esso il progettista del sistema o, tatticamente, l’operatore finale, vale a dire il pilota.
Di conseguenza, ogni sistema automatico dovrebbe essere progettato [ed ancora oggi tali non lo sono compiutamente – ndr] in maniera logica per il pilota che lo deve utilizzare e la programmazione prima del volo sia facile e chiara.
Rimane comunque il rischio che il pilota possa inserire erroneamente dei dati, in particolare nei sistemi automatici di navigazione e di condotta del volo [INS, FMS, ecc. – ndr] e questo rischio aumenta con l’accresciuta sofisticazione e complessità dell’automazione impiegata. Il rischio maggiore si corre allorquando un sistema automatico, o peggio, l’intera automazione di uno dei due piloti ai comandi va improvvisamente in avaria, mentre il peggiore dei rischi rimane quello dell’avaria non manifesta (non palese), quando in pratica il sistema sembra lavorare ed invece, in realtà, non reagisce ai comandi introdotti durante la programmazione del volo. Esempio può essere quello dell’autopilota che manca di effettuare la commutazione automatica ai diversi “modi” programmati di funzionamento.
A questo punto il documento si chiede come si possano superare questi rischi. I suggerimenti sono esposti in quattro sezioni.
La prima sezione tratta essenzialmente dell’esigenza che debba esser fatto ogni sforzo affinché nel ramo delle componenti fisiche del sistema (hardware) siano rispettati rigorosamente i principi di ingegneria riguardanti il funzionamento della mente dell’essere umano, mentre dal lato dei componenti di programmazione (software) i principi costruttivi devono esser tali che la gestione del sistema sia logica e chiara e consenta pure l’adozione e l’applicazione d’una lista di semplici regole fondamentali.
La seconda sezione è dedicata alle procedure, che devono essere ben definite sia tecnicamente che operativamente per il corretto utilizzo del sistema.
La terza sezione riguarda l’eliminazione del rischio e quindi dell’errore. Infatti è dedicata al delicatissimo aspetto dell’addestramento, in quanto parte dalla premessa che « può non essere più sufficiente soltanto addestrare i piloti ad azionare i comandi appropriati per ottenere la funzione voluta, ma siano necessarie ben maggiori e complete informazioni di fondo. Più precisamente si tratta di nozioni su come sia stato concepita la progettazione del sistema, come i dati di immissione sono stati immagazzinati e come possono essere reperiti, inibiti o bloccati ed infine quale sia l’interazione fra i differenti computers che compongono il sistema».
Ancora più importante dev’essere l’insegnamento riguardante ciò che il sistema può fare, ma anche ciò che il sistema non può fare e più precisamente specificare che il sistema non è in grado né di pensare, né di prendere decisioni, ma soprattutto che non può esercitare alcun discernimento [funzione tipica della mente dell’essere umano – ndr].
Compito dell’addestramento iniziale e di quello ricorrente è anche quello di ribadire che durante l’utilizzo dell’automazione non può esser tollerato alcun rilassamento nella vigilanza da parte del pilota ed infine che egli deve essere il “padrone del sistema”.
La quarta sezione è dedicata ad un elemento ritenuto talmente importante da esser nuovamente trattato a fondo:- questo riguarda [precipuamente in fase di crociera – ndr] il rischio di rilassamento della vigilanza per noia, ma soprattutto per autocompiacimento in merito alla situazione [quando cioè tutto sembra … sotto controllo, perché tutto sembra andare per il meglio – ndr]. Da notare che in questo documento l’argomento è trattato in modo originale, proprio perché trattato in epoca … antesignana ! Si afferma che «per superare il problema del rilassamento e dell’eccesso di fiducia nell’automazione è necessario un’eliminazione pressoché totale dei rischi creati dall’utilizzo dell’automazione stessa !». Rischi di principio che sono stati pressoché individuati nel testo presentato … oltre trent’anni fa !
Commento
Ancora oggi condivido questo antesignano pensiero esposto dall’Autore appartenente alla prestigiosa SAS, in merito all’automazione a bordo degli aeromobili attualmente in uso nell’aviazione commerciale internazionale. Mi viene logico di chiedermi:- Ma tutti questi principi riguardanti i rischi dell’automazione (ed altri in seguito rivelatisi più peculiari), saranno mai stati valutati ed incorporati anche nell’automazione dei progetti riguardanti gli UAV/UAS, sui quali non esiste più un pilota in volo sull’aeromobile, ma soltanto un “manovratore/sorvegliante” del sistema confinato però a terra dentro una remota stazione di controllo, che non consente di avvertire stimoli ed effetti fisici capaci di mettere in preallarme i piloti degli “aeromobili che volano” ?
L’uso degli aeroveicoli senza pilota a bordo può esser giustificato militarmente dall’esigenza di non porre a rischio la vita di piloti altamente specializzati in missioni particolarmente pericolose (sia come incursori in territorio nemico che, in certi casi, come rifornitori di armi e materiali sulla linea del fronte).
Questo non è però giustificato per l’aviazione commerciale se non per un motivo molto azzardato:- quello di ridurre, inizialmente, ad un unico pilota l’equipaggio di condotta necessario a guidare un aeromobile ed in un tempo successivo quello di eliminare totalmente i piloti a bordo, ma utilizzare qualcuno per manovrare a distanza dei “mezzi –aerei” che dovrebbero trasportare quei coraggiosi passeggeri che vorranno viaggiare in futuro. Le garanzie saranno proprio le stesse ?
Secondo documento SAS
Il secondo documento presentato sullo stesso tema sempre dalla SAS tratta della «Automatic complacency», titolo che in questo caso va tradotto, come in psicologia applicata, e cioè come «Aspettativa umana nell’automazione», ovvero, più semplicemente, come “auto-confidenza dell’essere umano nell’automazione”.
Il documento inizia affermando che il problema del ruolo dei piloti è quello di confrontarsi con la necessità d’avere un comportamento qualificato e professionale di fronte all’interfaccia tra i due sistemi:- la mente dell’essere umano a fronte del concetto progettuale applicato nella costruzione della “macchina”, specialmente se componente d’un sistema più complesso.
Per ben inquadrare l’argomento, personalmente ritengo utile ricordare che “la macchina”, anche il più complesso computer, è solo una “macchina utensile”, progettata per aiutare l’uomo a compiere certe specifiche funzioni, ma assolutamente non per prendere decisioni al posto dell’essere umano.
Specifica il documento:- «la macchina non è in grado di “pensare” per noi, non può lavorare al di fuori dei propri rigidi confini di prestazioni e non può nemmeno rendersi “compiacente” nei confronti dell’utilizzatore. Di conseguenza sta a noi [piloti – ndr] non lasciare che questo utensile lavori in proprio e senza che noi ne conosciamo i suoi punti deboli ed i suoi limiti».
Il documento prosegue esaminando alcune peculiarità:- ad esempio l’autopilota e l’automanetta normalmente lavorano molto bene nei loro rispettivi compiti, ma nessuno dei due sistemi di bordo conosce molto di ciò che sta facendo l’altro o ciò che l’altro intenderebbe fare … e poi ancora, nessuno dei due conosce molto delle limitazioni operative dell’aeromobile [seppure qualcosa è cambiato in questi trent’anni – ndr].
Sembra, tuttavia, che i piloti contino molto sui sistemi automatizzati [anche perché adesso è loro imposto di usarli sempre, tanto da perdere la”manualità del pilotaggio” – ndr] e, nel caso particolare, si affidino sempre ai comandi di volo automatizzati, al punto tale da trascurare i dati primari degli strumenti di volo, tanto da modificare le precedenze sulla consultazione dei dati disponibili. Così l’utilizzo dell’automanetta tende a degradare la consapevolezza della velocità, come l’utilizzo della pre-selezione per l’aggancio automatico dell’altitudine/altezza assegnata tende a degradare la consapevolezza [e la vigilanza –ndr] della quota e così via per i tanti automatismi che divengono disponibili. Un altro modo di descrivere il problema è quello di constatare che i piloti si adattano ad uscire dal “circuito di comando e controllo” (loop). Ciò che più stupisce è il fatto che i piloti si difendono incolpando il sistema automatizzato (che però è solo un fattore contribuente dell’eventuale errore umano) e quindi si tende a giustificare il comportamento confidando eccessivamente sulla tecnica e modificando il comportamento procedurale consistente appunto nella scansione strumentale dei dati primari di volo.
In definitiva i piloti devono ancorarsi ai seguenti principi:-
1.- la macchina non solleva l’uomo dalle sue responsabilità;
2.- la macchina non riduce il carico di lavoro dell’uomo, con riferimento al conseguimento dei suoi risultati;
3.- la macchina aumenta il rendimento complessivo;
4.- l’aumentato rendimento consente di:
- migliorare la sicurezza;
- equilibrare i carichi di lavoro;
- migliorare la precisione;
- ottimizzare la regolarità;
- ridurre i costi [vero fine ultimo dell’automazione – ndr].
In questo contesto, il ruolo gestionale del pilota può essere riassunto come segue:-
Pianificare – Programmare – Convalidare – Sorvegliare – Correggere – e, se necessario – Scartare e/o Rilevare la funzione.
Vale a dire:- rimanere nel “loop” !
Commento
Bisogna riconoscere che l’Autore di questo documento, un pilota degli anni ’70, aveva comunque ben inquadrato i problemi professionali che si andavano presentando ed arriva ad elencare da un lato ed a consigliare da un altro, i principi comportamentali che sono rimasti tuttora validi. Principi che dovrebbero essere alla base delle conoscenze professionali di ciascun pilota, in merito ai rischi presentati dall’utilizzo di qualsiasi sistema automatizzato nelle operazioni di volo.
Documento British
Questo è stato presentato da un “Management Pilot”della British Airways, il quale poi nel testo finisce per presentarsi come un pilota che è stato assegnato ad un aeroplano di costruzione britannica che, a buon titolo, può esser considerato il primo aeroplano che presentava nel cockpit una discreta automazione, consistente prevalentemente in un autopilota tecnicamente molto progredito per l’epoca. Si tratta del trireattore a medio-raggio Hawker-Siddeley HS 121 “Trident” che aveva volato per la prima volta nel 1962 e fu introdotto in linea nel 1964 dalla British European Airlines – BEA. Aereo per certi versi avveniristico in quanto, assieme soltanto al “Caravelle SE 210 della Sud Est Aviation, era in grado di effettuare procedure automatiche di atterraggio (autoland) e l’unico, a quel tempo, ad avere una mappa mobile di navigazione, gestita da un sistema Doppler.
L’Autore esordisce con la sua autobiografica:-«Avendo speso nove anni su di un aeromobile avente un autopilota estremamente progredito [per l’epoca – ndr] ed altri sistemi automatizzati prima d’essere trasferito ad un aereo relativamente più semplice, ho avuto la possibilità d’osservare alcuni dei cambiamenti che avvengono riguardo alle tecniche ed alle attitudini mentali allorché un individuo è posto in un ambiente di lavoro automatizzato … Tutti gli aeroplani dovrebbero essere automatizzati quanto più possibile e penso che i progressi tecnologici siano avvenimenti naturali. Ritengo però che il grado di addestramento e quello del successivo utilizzo dei sistemi automatizzati abbiano bisogno di controlli molto, ma molto accurati. Più un sistema è all’avanguardia, più i controlli dovrebbero essere accurati».
Così, dopo aver spiegato i comportamenti da lui tenuti sul discretamente automatizzato HS 121 “Trident”, particolarmente riguardo alle tecniche di avvicinamento ed atterraggio automatizzate con l’autopilota governato da tre distinti canali, ebbe modo di notare le notevoli differenze con le procedure di avvicinamento manuale. Quando fu assegnato al più modesto bireattore BAC 1-11, impiegato sul corto raggio, cioè un velivolo che per quanto attiene all’autopilota era piuttosto “primordiale”, (aveva cioé la sola funzione di mantenimento prua e di aggiustare lo stabilizzatore del timone di profondità per mantenere le altitudini assegnate, senza l’automanetta), ebbe modo di rafforzare le sue osservazioni relativamente alle notevoli differenze tecniche ed operative.
Entrambi gli aeroplani presentavano però un “vizio” comune, cioè quello di essere molto sensibili alle variazioni del centro di gravità soprattutto in fase di atterraggio, variando di molto la maniera di effettuare la fase di richiamata prima della toccata sulla superficie della pista (flare). Di conseguenza si ebbero diversi casi di “atterraggio pesante”, con danni strutturali ad entrambi i tipi di velivoli sopra menzionati.
Questo pilota trae le sue conseguenze ed afferma sia indispensabile seguire certe regole fondamentali:-
1.- I criteri di funzionamento dei comandi automatizzati dovrebbero seguire quanto più possibile i criteri dei comandi di controllo manuali.
2.- I modus operandi dei sistemi automatizzati dovrebbero essere gli stessi delle operazioni effettuate in modo manuale.
3.- Il comportamento dell’aeroplano sotto controllo automatizzato dev’essere tale da rimanere ben dentro i confini di capacità di quel sistema; ad es:- non utilizzare una funzione di automanetta il cui funzionamento sia basato solamente sulla differenza rispetto alla velocità impostata, in quanto non sarebbe in grado di sopportate le minima variazione del fattore vettore.
4.- Assicurarsi che tutti coloro che impiegano il sistema siano consapevoli delle sue limitazioni, o meglio, di quali siano i lati positivi e quali quelli deboli del sistema stesso.
5.- Garantire che l’utilizzo dei sistemi automatizzati di bordo mantenga sempre il pilota nel “loop” (al centro del processo), in modo tale che in caso di avaria o di malfunzionamento il pilota sia capace d’intervenire in sicurezza [ ma questo forse tuttora è il punto più disatteso dai progettisti –ndr].
Commento
Indubbiamente si tratta d’un documento con un punto di vista molto limitato sull’automazione a causa delle esperienze dell’Autore con due tipi di aeroplano, uno automatizzato e l’altro no. Tuttavia è encomiabile lo sforzo prodotto per esaminare e raccomandare dei criteri per migliorare e fornire i concetti informatori che dovrebbero esser tenuti in considerazione ancora oggi.
Documento TWA
Il quarto documento, presentato da TWA, è dedicato alla «Gestione delle prestazioni dell’aeromobile in una cabina di pilotaggio automatizzata» e illustra l esperienze fatte in merito all’utilizzo di un sistema computerizzato di gestione delle prestazioni (PMS – Performance Management System) collegato all’automanetta e quindi dei vantaggi operativi che si attendevano dall’utilizzo di questo sistema. Ciò perché i parametri usati per ottenere le prestazioni dell’aeroplano ricavate dai dati disponibili sia durante la pianificazione prima del volo che da quelli ricavati in volo dalla consultazione del Manuale di volo del Costruttore, raramente erano precisi ed accurati. Il cervello di quel sistema era fondato totalmente sul PMS, in grado di fornire informazioni su tutti gli aspetti del volo, quali la velocità da mantenere in crociera, l’altitudine ottimale [e quindi consentiva la “crociera a gradini” - ndr], il profilo di discesa, quello per la deviazione all’alternato ed era fisicamente connesso ai comandi di volo dell’aeromobile attraverso l’azione dell’autopilota e dell’auto- manetta.
Si trattava insomma, a parere dello scrivente, d’uno dei primi tentativi operativi di automazione, in seguito concretizzatosi con il FMS (Flight Management System) come lo conosciamo, perfezionato, oggi.
Parlando in termini pionieristici, TWA si premurava d’informare i suoi piloti dei possibili rischi per la sicurezza del volo. Dovevano essere attentamente valutati in quanto, non sempre, questi potevano apparire materialmente inequivocabili [inizi del problema del cambiamento dei “modi” di funzionamento – ndr]. Le ripercussioni sulla sicurezza – si premoniva – potevano essere molto subdole e questa doveva essere la principale preoccupazione degli equipaggi di condotta durante l’utilizzo di quel sistema antesignano.
Commento
È dunque attraverso pionierismi del genere che si è giunti a certi risultati nell’attuale realizzazione dell’automazione di bordo, spesso ora portata a livelli molto spinti, talvolta esasperati. Oggi, come allora, la mole dei rischi che si possono correre con l’automazione troppo spinta, viene costantemente (o quasi) superata dalla disciplina professionale e dalla vigilanza esercitata dai membri dell’equipaggio di condotta, equipaggio ormai generalmente ridotto a due soli piloti.
Conclusione
Ho scelto di presentare questi datati documenti in quanto, a parere mio, emblematici del fatto che fin da allora si poteva intravedere la latente discrasia tra la logica con la quale funziona la mente umana dell’utilizzatore (cioè quella operativa del pilota) e quella introdotta nella “macchina” dai suoi progettisti. Specialmente se questa è complessa in quanto costituita dalla sommatoria di dati di più computers e di solito immessa con criteri e principi logici da progettisti talvolta di differenti scuole di pensiero cibernetico, che purtroppo sono raramente a diretto contatto con i problemi del volo e dell’effettivo ambiente operativo (ATC, aeroporti, meteorologia e relative informazioni più o meno attendibili).
Logica questa che, alla prova dei fatti, non è risultata sempre idonea ad interfacciare le due entità:- la logica del cervello dell’operatore (soprattutto se scarsamente informata ed addestrata) e quella del sistema, concepito a tavolino, ma con scarsa conoscenza dei reali problemi ambientali nei quali il sistema deve operare. Un esempio per tutti:- la ri-programmazione del sistema nelle fasi critiche del volo come quelle dell’avvicinamento ed atterraggio, quando la pista assegnata viene cambiata all’ultimo momento.
Dopo questa panoramica dei primi anni in cui l’automazione si affacciava sulla scena operativa e ricorrendo con la memoria a quanto vado da tempo esponendo nei miei scritti, non mi rimane che sperare che la corsa insensata verso l’automazione e la robotizzazione del volo non divenga così spinta o audace da ipotizzare e realizzare l’eliminazione dell’essere umano a bordo degli aeromobili commerciali, per trasferire i problemi su altri esseri umani, però basati a terra e privati anche delle percezioni fisico-sensoriali che il pilota in volo prova.
In merito all’automazione così esasperata degli ultimi anni e quella che si promette dall’industria per il futuro (aeroplani commerciali con un unico pilota a bordo entro il 2025 e senza alcun pilota a bordo dopo il 2030), ma anche per sdrammatizzare la serietà della situazione così presentata, mi sia consentito di riportare una facezia di humour inglese che ben si adatta a mettere in ridicolo certi atteggiamenti super-tecnologici:- «Un contadino va in città a trovare il figlio, che dopo un brillante corso di studi, è diventato ricercatore industriale. Rivolgendosi al figlio, il padre s’informa:- “Allora, figliolo, cosa fai ?”
Il figliolo risponde con sussiego:- “Sono responsabile d’un laboratorio e sto mettendo a punto un solvente liquido universale, cioè un solvente che scioglie qualsiasi sostanza conosciuta”. Il buon padre, scarpe grosse e cervello fine, come s’usa dire, riflette un po’, e poi osserva:- “Ma dimmi: il tuo solvente … che scioglie tutto, in quale bidone pensi di metterlo ?».
data inserimento: Venerdì 30 Luglio 2010