Nadal mam mnóstwo roboty a w czasie wolnym zajmuje mnie śledzenie wydarzeń na wojnie, ale temu tematowi nie przepuszczę - jak chyba łatwo się domyślić będzie  o Titanie.

Raczej wszyscy słyszeli co się stało, więc tylko w dużym skrócie: Paru gości z firmy Oceangate zrobiło pojazd podwodny do wożenia bogatych turystów na duże głębokości, na przykład do wraku Titanica  (3800 m), i zanurzenie nie poszło według planu. Pilot i czterech turystów nie żyją.

No i wczoraj zobaczyłem filmik, w którym jakiś inżynier od techniki podwodnej pokazuje i komentuje logi z komunikacji między pojazdem a statkiem na powierzchni. Logi mają timestampy, a to przecież ważne. Komunikacja jest tekstowa, nie głosowa. UWAGA: Logi pochodzą z nieoficjalnego źródła i mogą być fejkowe, ale brzmią całkiem sensownie więc raczej są prawdziwe.

Polecam obejrzenie, gość wie o czym mówi, chociaż według mnie idzie w analizie w złą stronę. On wziął sobie czas schodzenia na tą głębokość z wypraw Camerona i z prospektów firmy, i cały czas mówi że schodzą za szybko, bo powinno być 25,33 m/min. Ja bym się jednak do tego czasu i prędkości za bardzo nie przywiązywał - Cameron miał całkiem inny pojazd, więc czasy są całkowicie nieporównywalne, a w prospekcie można napisać wszystko. No i ten gość liczy prędkości od momentu startu, który nie jest zbyt jasny. Procedura przy tym Titanie jest taka, że na statku stoi on na takiej pływającej platformie, najpierw platforma zjeżdża na powierzchnię wody, potem zanurza się razem z pojazdem. Dalej pojazd odłącza się od platformy, platformę zabierają na statek a pojazd rozpoczyna zanurzenie. Trudno powiedzieć z jakiej głębokości startują i w którym momencie zaczynają liczyć czas. To teraz może moja analiza (pomijam wiadomości nie wnoszące nic bezpośrednio do sprawy):

• o 8:19:53 ze statku mówią że minęło 15 minut i pytają o głębokość.
• o 8:21:28 wraca informacja, że jest 756 m. Jeżeli wierzyć w te 15 minut i liczyć od zera, to prędkość opadania wychodzi 44 m/min. Tą wartość pomijamy, jest zbyt niepewna.
• o 8:34:02 statek mówi że 30 minut i pyta o status - wszystko OK.
• o 8:49:10 statek mówi że 45 minut i pyta o głębokość
• o 8:51:30 głębokość jest 1934 m. Licząc od poprzedniej głębokości prędkość wychodzi 39 m/min.
• o 9:15:21 statek mówi że 75 minut (ciut szybko, jest dopiero 71) i znowu pyta o głębokość.
• o 9:17:50 głębokość jest 2960 m. Od poprzedniej prędkość wychodzi 34 m/min.
• o 9:28:16 pojazd zgłasza alarm od RTM (Real-Time Monitoring, to ma nadzorować stan kadłuba)
• o 9:28:35 głębokość jest 3433 m, załoga mówi "Reducing velocity descent". To nie jest całkiem jednoznaczne - oni redukują prędkość schodzenia, czy ona spadła sama? Z obliczenia od poprzedniej głębokości  prędkość wychodzi 44 m/min, czyli wzrosła, więc raczej starają się zredukować. Opadanie szybciej może świadczyć o przecieku. A tak w ogóle to są już 400 m nad dnem.
• o 9:30:36 pojazd melduje, że mimo że odpalili silniki żeby iść w górę (albo coś w tym rodzaju, nie jest jasne) prędkość opadania nie spadła, a nawet rośnie. Według mnie, nabierają wody. Mówią jeszcze, że zrzucą balast.
• o 09:32:12 pojazd mówi że zrzucenie balastu nie pomogło, i że odrzucą ramę (chyba chodzi o ten stojak, na którym pojazd stoi po wyciągnięciu).
• o 9:35:48 pojazd melduje, że potrzebowali kilku prób żeby odrzucić ramę, ale się udało, i teraz się wynurzają.
• o 9:38:09 pojazd zgłasza trzeszczenie od strony rufy.
• o 9:42:12 pojazd próbuje puścić diagnostykę, melduje wynurzanie, ale bardzo powolne, dźwięki zanikły ale RTM ma wszystko czerwone (jeżeli dobrze zrozumiałem, to ten RTM ma ileśtam czujników i do każdego jest czerwony LED na alarm albo coś na monitorze. Znaczy wszystkie alarmy świecą).
• o 9:43:42 mówią, że wynurzają się, ale nie wiedzą dlaczego tak wolno. Głębokość 3476 m.
• o 9:46:37 status czerwony na zasilaniu głównym, przełączają na awaryjne, głębokość 3457 m, więcej dźwięków od rufy.

I tu komunikacja się urywa.

Nie trzeba być fachowcem od pojazdów podwodnych żeby wyciągnąć wniosek, że nie wytrzymał kadłub. Najpierw miał mały przeciek, potem trochę większy (stąd wzrost prędkości opadania i trudności w przejściu do wynurzenia, a dalej problemy z zasilaniem), a potem implodował.

Tu dochodzimy do tematu którym (między innymi) zajmuję się zawodowo, czyli do functional safety i po co to jest. Gościu od tego Titana wymyślił sobie że zrobi biznes na bogatych turystach ekstremalnych, i zrobi to po taniości oszczędzając na safety. Paru pracowników odeszło z jego firmy na tle konfliktów co do jego podejścia do safety. Chyba wszyscy już słyszeli o sterowaniu jego pojazdem bezprzewodowym kontrolerem do gier za 29,90 USD. Tak, ja wiem, wojsko też używa podobnych, ale jednak trochę droższych i nie w zastosowaniach safety critical. Ale ten kontroler to w sumie niezbyt istotny drobiazg, on nie rozumiał problemu na znacznie głębszym poziomie.

Największym problemem był ten kadłub: Gość uważał, że kadłub jest bezpieczny, bo ma ten system monitoringu. Nie trzeba jednak mieć pojęcia o zasadach functional safety żeby zauważyć, że jak jesteś o półtorej godziny wynurzania od domu (i to jak naprawdę dobrze pójdzie) to jedyne co ci ten monitoring da, to powie ci że jesteś martwy z pewnym wyprzedzeniem w stosunku do innych metod. W tym przypadku było to 10 minut (od alarmu RTM do trzeszczenia). Według reguł safety, monitoring ma sens tylko jeżeli jest połączony z jakąś reakcją na wykryty problem. A co możesz zrobić, jak ci na prawie czterech kilometrach głębokości zaczyna pękać kadłub?

Nie będę się znęcał nad innymi technicznymi pomysłami oszczędzania na safety w tym pojeździe, bo - teraz napiszę kontrowersyjną rzecz - w safety wcale nie chodzi o faktyczne bezpieczeństwo użytkowania. A przynajmniej nie jest to cel główny - bezpieczeństwo użytkowania to tylko skutek uboczny celu głównego.

A co jest celem głównym? Ha, to za chwilę będzie dokładnie widać w sprawie Titana. Firma kazała klientom podpisywać umowy że można na tej wycieczce umrzeć, i na pewno było tam wykluczenie odpowiedzialności. Ponieważ pojazd nie miał potrzebnych certyfikacji, wycieczki odbywały się na wodach międzynarodowych. Wszystko ładnie kryte, co? Chyba jednak to tak nie działa.

Bardzo bogaci klienci dobrze płacą, ale mają też dobrych prawników jakby coś miało być nie tak. Więc należy się spodziewać paru pozwów od rodzin ofiar. Wykluczenie odpowiedzialności wykluczeniem odpowiedzialności, ale zawsze można skarżyć z "nie dołożenia należytej staranności" przy projektowaniu, produkowaniu lub obsłudze. I tak pewnie będzie tutaj.

Wypadki się zdarzają, z każdym urządzeniem technicznym, i po każdym wypadku może się trafić dokładnie taki pozew - z "nie zachowania należytej staranności". "Należytą staranność" trzeba wtedy udowodnić, a publiczne wypowiedzi szefa firmy że "całe to safety jest bez sensu i tylko hamuje rozwój" wcale tu nie pomagają.

Udowodnienie "zachowania należytej staranności" nie jest trudne - wystarczy przedstawić dokumenty świadczące o tym, że wszystko jest zrobione według przepisów. Tyle że TRZEBA JE MIEĆ, I TO KOMPLETNE!

Co to znaczy "kompletne"? To oczywiście zależy od branży i rodzaju urządzenia. Na przykład przy urządzeniach elektrycznych powszechnego użytku wystarczy świadectwo badania na bezpieczeństwo elektryczne (sorry, nie jestem studentem prawa i nie pamiętam jak to się dokładnie nazywa, miałem kiedyś z tym kontakt, ale to było 30 lat temu). U mnie, w samochodach, są na to normy ASIL, na ich podstawie trzeba sobie zrobić listę potrzebnych dokumentów. W innych branżach są normy SIL, w farmaceutykach GMP, itd. itd. Jeżeli masz poddostawców - oni muszą dostarczyć potrzebne podkładki do swoich kawałków.  Zrobisz dokumenty według takich list - i jesteś kryty w sądzie. Nie masz - leżysz i kwiczysz.

I tak będzie kwiczeć Oceangate.

Może jeszcze dam przykład, jak działa brak przepisów definiujących "należytą staranność". W samochodach wożenie dziecka w foteliku jest obowiązkowe i są przepisy definiujące jakie wymagania takie foteliki mają spełniać. Teoretycznie nie byłoby problemu, żeby takich samych fotelików używać w samolotach - na pewno poprawiłoby to bezpieczeństwo, co nie?

Tyle że nie ma żadnych przepisów definiujących wymagania na foteliki dla dzieci w samolocie. Gdyby linia lotnicza udostępniła fotelik, a dziecku stałoby się cokolwiek, nie byłoby jak odeprzeć zarzutu o "nie dołożeniu należytej staranności". Ile papierów, świadectw i certyfikatów by nie mieć, prawnik strony skarżącej zawsze może wymyślić coś jeszcze, czego nie ma. To już lepiej nie dać fotelika, bo wtedy nikt nie będzie mógł się przyczepić.

I jeszcze: Dokładnie tak samo działa całe BHP. Głównym celem BHP jest krycie pracodawcy, bezpieczeństwo pracowników jest tylko skutkiem ubocznym.

EDIT 2023.07.08: Obejrzałem jeszcze parę materiałów, i:

• James Cameron (tak, ten Cameron od Titanica i Avatara, on jest prawdziwym specjalistą od pojazdów głębinowych) powiedział  o tym RTM dokładnie to samo co ja i prawie tymi samymi słowami.
• Prędkość opadania 25,33 m/min wychodzi z poprzednich nurkowań Titana, więc rzeczywiście coś było nie tak już od początku nurkowania. Może byli za ciężcy? W notce przypisywałem wzrost ciężaru przeciekowi, ale:
• Naprawdę głośnie trzaski w kadłubie były słyszane już w poprzednich nurkowaniach.
• Po obejrzeniu szczegółów konstrukcji kadłuba i paru hintach z filmików fachowców tak się zastanawiam nad rozkładem obciążeń w tej rurze kadłuba. I to jest tak: tam jest metalowa rura, owinięta włóknami węglowymi i zalaminowana epoksydem. Jak to w laminacie włókna węglowe pracują tylko na rozciąganie, a na ściskanie w kierunku dośrodkowym pracuje ta metalowa rura i epoksyd. Problemem jest ściskanie w kierunku równoległym do osi podłużnej - tam jest ta rura i epoksyd, a włókna węglowe zapobiegają temu, żeby ściśnięta rura rozgięła się na zewnątrz. Ale ona może (przy odpowiednio większym nacisku) wgiąć się również do wewnątrz, bo żadnych wręg tam nie ma. Wtedy kadłub się trochę skróci, a wyporność zmniejszy. Stawiam hipotezę, że każdy z tych głośnych trzasków to były kolejne etapy składania się kadłuba w harmonijkę. Badań kadłuba między nurkowaniami tam na wszelki wypadek nie robili, więc nie zostało to wykryte.