(sto facendo sempre piu' spesso il polemico... e' una cosa che mi infastidisce, spero di non creare fastidio ad altri)
Rispondo a Walter e a Luca:
Per quanto riguarda i sistemi di emergeza, io non sarei tanto sicuro finche non vedo come sono realizzati, il fatto che non possano essere riprogrammati mi lascia qualche dubbio in quanto un aggiornamento degli eventuali firmware deve essere sempre necessario, esattamente per quello che dice il Prof.
il problema e' che tu paragoni la controllistica di un impianto convenzionale ad una centrale nucleare (anzi all'isola nucleare), che usa sistemi di affidabilita' paragonabile a quelli della ISS.
Quando ho citato il sistema che aziona lo scram ho semplicemente detto che il dispositivo e' reso semplice: gli accelerometri misurano un valore, inviano un segnale elettrico al controllore che lo confronta con un valore di riferimento. Se il valore misurato e' maggiore, il controllore avvia lo scram.
Sicuramente conosci meglio di me l'elettronica, quindi saprai che per confrontare un valore di input (una tensione variabile) e un valore di riferimento (un tensione fissa) basta un semplice comparatore analogico (quindi niente da programmare).
Il prof si riferiva a sistemi di controllo a risposta indipendente da un discriminatore attivo di tipo digitale (o peggio governato da un pc).
Sulla questione "riprogrammabilita' " penso che, per quel che riguarda i sistemi di emergenza, non sia un fatto necessario. Dopo validazione, collaudo e test (fatti anche periodicamente per verificare la risposta) non e' necessario l'intervento a livello di logica. Anzi.
Sai meglio di me che durante una riprogrammazione puo' verificarsi un problema. Inoltre bisogna assumere che la riprogrammazione sia migliorativa (chi dice che la modifica del controllore non contenga altri errori?).
Prendila cosi: il gruppo elettrogeno di cui parli, e' andato fuori servizio alla prima richiesta di potenza... un evento simile non e' accettabile in un impianto critico (lo so, qualcuno fara' qualche batutaccia).
Cmq, si', finche' non c'e' qualche schema e' inutile discutere.
Cmq, credo che difficilmente venga reso pubblico il modo con cui viene realizzato (a livello circuitale) un sistema di controllo per questo tipo di applicazione.
Era intenzione di Serek di fare una similitudine
Il mio cervello evidentemente non e' all'altezza.
Mi dite perche' l'aereo dovrebbe essere una similitudine??
Non ci trovo nulla di paragonabile... ma proprio nulla...
Le situazioni di emergenza di un aereo sono totalmente diverse da quelle di un sistema nucleare.
Te la do' io una situazione di emergenza paragonabile:
saltano, di notte, tutti, dico tutti, i sitemi elettrici... come lo controlli l'aereo??
Oppure, cadono entrambi i motori (so che per i grossi aerei di linea e' previsto il distacco fisico di un motore... molti miei amici sono aerospaziali e a mensa me ne raccontavano...)
Un aereo deve volare, per far questo deve controllare istantaneamente che la portanza sia sufficiente a tenerlo su. Per far questo gli alettoni e i piani di coda (mi pare si chiamano) vengono controllati in funzione dei parametri atmosferici, del peso dell'aereo e della spinta del motore. Se il software del pilota automatico si imputtana, si spera che il pilota "umano" in qualche modo riprenda il controllo. Se cio' non avviene, il sistema e' fottuto (precipita).
L'aereo e' intrinsecamente instabile (perche' la fisica dice che non puo' volare).
I sistemi sono complicati e attivi. E non esiste nessun semplice sistema per modificare il profilo alare.
Ci vuole per forza un sistema attivo di comando, in ogni caso, anche se deve compensare altri sistemi in avaria.
Le situazioni di emergenza, come lo stesso controllo, sono diversi.
Devono si' essere affidabili in entrambi i casi, ma in caso di avaria le cose sono diverse.
Per far funzionare una caldaia posso agire in modo semplice: potrei usare una termocoppia (senza software/firmware/protocolli) che apre e chiude una valvola.
In caso di incidente posso "usare la fisica" per raffreddarla (es, uso la differenza di densita' fra acqua fredda e calda per far circolare o richiamare acqua).
Un impianto a terra e' controllabile con strategie ben diverse dall'aereo, avendo un oggetto del controllo ben diverso. L'aereo tende a suibire molte situazioni di instabilita' rapida (decollo, virata, atterraggio).
Nota macabra: se cade un aereo, il danno e' minimo. La morte di 300 persone e' accettabile (infatti se succede, la gente continua a volare).
Se si rompe una centrale nucleare, anche se perde un po' di acqua attivata, succede un gran casino.
Il fatto della "non affidabilita' " dell'informatica e' riferita alla eccessiva (e forse inutile) complessita' degli algoritmi richiesti per fare operazioni che richiedono "semplici" operazioni.
"il mitico rapporto costo/sicurezza e finchè la statistica pende dalla parte "niente coastrofe" niente incremento."
Per lo stesso motivo per cui non si mettono i corpi speciali a sorvegliare la cassa di un fiorista.
E per lo stesso motivo per cui gli aerei non sono perfettamente schermati dalla radiazione cosmica (quando andiamo in aereo aumenta la dose...): la schermatura aumenterebbe il peso e aumenterebbe costi di progettazione/esercizio.
L'episodio di Fukushima va analizzato considerando l'impianto (che aveva i diesel..., che usava il Mark1, ecc) e l'evento che ha causato l'incidente (un terremoto del 8.9° grado con annesso tsunami con un'onda di non mi ricordo quanti metri).
Su fukushima, per piacere, non riduciamo tutto al "incoscienza" dei tecnici o di chi non ha previsto quello che e' successo; analizziamo le cose per quello che sono (e aspettiamo di avere dati un po' meglio esplicitati oltre che dettagliati).
Dei ricombinatori catalitici non so che dirti... non sono mica istantanei nella riconversione di H2 e O2, andrebbe vista la sequenza degli eventi quale e' stata, quali sono stati i volumi di gas e le sezioni interessate. Il grosso del problema e' stato non esser riusciti a raffreddare e di aver raggiunto, in alcune parti del core, i 1200°C; le esplosioni hanno poi complicato le cose.
Gli ESFs in generale migliorano la risposta agli incidenti, ma vanno analizzati gli eventi.
I piani di manutenzione di quell'impianto io non li conosco (non so i giornalisti...). Non so cosa e', o cosa non e', stato fatto.
Teniamo presente che l'impianto (di un certo tipo) ha subito un evento straordinario.
Per evitare quello che e' successo, penso che l'unica cosa che avrebbe avuto effetto sarebbe stato lo spegnimento, nei mesi prima, delle unita' ancora attive.
