Um dia na vida de um controlador

A denuncia contra o controlador Jomarcelo dizia:

“O nível a ser observado de acordo com o plano de vôo, era o F360. Essa informação, de que já tinha conhecimento o denunciado JOMARCELO FERNANDES DOS SANTOS, porquanto constava na strip (resumo do plano de vôo) que é permanentemente exibida no lado direito do monitor do console, ficou ainda mais nítida para o controlador, na medida em que passou a ser assinalada na etiqueta que, também no monitor, identifica e acompanha o marcador de posição da aeronave”.

“Tais procedimentos mostravam-se ainda mais cogentes ao denunciado JOMARCELO FERNANDES DOS SANTOS, quando se tem presente que, como já ressaltado, ele sabia que a aeronave N600XL mantinha nível de cruzeiro incompatível com o plano de vôo e impróprio para o sentido a ser percorrido na aerovia UZ6”.

"O denunciado JOMARCELO FERNANDES DOS SANTOS absteve-se dolosamente de corrigir a altitude da aeronave N600XL, sabendo-a em patamar impróprio para a rota programada".

Mas o juíz aceitou os seguinte argumentos em favor da absolvição de JOMARCELO:

“(1) Jomarcelo, na época do acidente, contava apenas 09 meses de serviço e foi incumbido de controlar três setores; (2) o depoimento da testemunha Wellington Rodrigues, controlador de vôo cuja experiência é reconhecida internacionalmente, dá conta das precárias condições intelectuais de Jomarcelo para desempenho de função tão importante, uma pessoa "que não tinha condições de ser controlador, que fala maio português e, quanto ao inglês, "nem se fale"; (3) os controladores de vôo no Brasil nunca foram submetidos a uma auditoria técnica conduzida por um organismo internacional (ICAO); (4) não é verdade que o acusado teve informação precisa da evolução do Legacy durante sete minutos; (5) a seqüência de mais de vinte telas permite que se observe a progressão de visualização e não visualização do Legacy, quando rastreado pelo radar primário, configurando intermitência de falhas de comunicação”.

Agora vejam a tela que Jomarcelo tinha à sua frente alguns minutos antes de o Legacy passar por Brasília, quando estava prevista a descida de FL370 para FL360, e coloquem-se na sua posição (cliquem sobre ela para vê-la ampliada). Observem as strips dos voos no lado direito da tela mencionadas na denúncia. Observem as etiquetas de identificação dos voos sobre cada aeronave. Vejam se Jomarcelo poderia ter algum conhecimento que naquele ponto o Legacy teria uma inexplicável mudança de altitude. Identifiquem qual é o único voo em que há variação inexplicável na altitude de cruzeiro. Vejam se é admissível a denúncia: "sabendo-a em patamar impróprio para a rota programada". Vejam se a denuncia faz algum sentido em função da realidade que se apresentava neste momento:

Depois de consultar a tela do radar, reflitam agora sobre a denúncia e observem como se trata de um grande absurdo a acusação que foi feita a ele. Levem em conta que nenhum voo faz mudanças de níveis imotivadas. Levem em conta que nenhum voo faz a aeronave subir e descer deste modo como foi planejado para o Legacy (vejam Mais uma vez falta nexo causal). Reflitam como um juiz, pode ser tão, não encontro outra palavra, ignorante, ao não entender os processos decisórios e cognitivos envolvidos nestes momentos.

Não importa as condições intelectuais de Jomarcelo, não importa se ele fala mal português e não fale inglês. Assim como ele, o Sr. Wellington Rodrigues, com toda a sua experiência e sabedoria, não tenho a menor dúvida, teria agido exatamente e igualmente como o inexperiente Jomarcelo que não anteviu o perigo e igualmente deixaria as aeronaves em trajetórias conflitantes.

Lembre-se que neste momento as aeronaves estavam 2.000Km distantes uma da outra. Ou seja, nem mesmo estavam presentes na mesma região. Seria exigir um comportamento sobre-humano evitar esta situação.

Mas se o transponder estivesse ligado, como era esperado, Jomarcelo quando tivesse sua atenção voltada para o Legacy (quando houvesse tráfego em sua proximidade), ele seria auxiliado pelo sistema informatizado que suporta suas atividades e veria claramente na etiqueta do voo 360=370, alertando-o para solicitar que o Legacy descesse para F360. O acidente jamais teria acontecido, assim como não aconteceu nos milhares de voos que o inexperiente Jomarcelo conduziu em segurança em seus breves 9 meses de serviço. O "sistema" falhou porque o transponder foi desligado, se é possível dizer isso. A "falha" do sistema foi não se recuperar de um desligamento do transponder.

Digam agora: quem é o culpado deste acidente?

A absurda condenação de Lucivando

Lucivando é o controlador condenado pelo acidente da Gol. Foi condenado por não ter ajustado corretamente as frequências correspondentes ao setor onde estava o Legacy no momento da colisão.

De todas as condenações decorrentes do acidente nenhuma poderia ser mais despropositada, absurda e sem sentido.

Às 19:01 os pilotos desligam o transponder inadvertidamente. Às 19:17 Lucivando assume o controle do espaço aéreo onde está o Legacy, já sem a indicação correta de altitude pela ausência do sinal do transponder. Jomarcelo, iludido pelo plano de voo, diz a Lucivando que assume seu posto que ele voa em FL360.

Entre 19:48 e 19:52 o Legacy faz 12 tentativas de contato com o controle de tráfego aéreo mal sucedidas porque as frequências utilizadas pelo Legacy não estavam programadas no controle de tráfego aéreo, situação bastante comum no controle de tráfego e que não cabe agora discutir, mas que não significa nenhuma "falha". Somente em situações de emergência tentam-se todas as frequências, e em último caso a frequência de emergência. Para Lucivando, e para qualquer um que estivesse na sua posição, não se antevia nenhuma situação de emergência. Não havia nenhuma aeronave em sua tela de radar que estivesse em situação de conflito. O Legacy nem mesmo aparecia na sua tela de radar, porque havia desligado o transponder.

Às 19:53 ocorre a colisão. Lucivando foi condenado por não ter ajustado corretamente as frequências e não ter antevisto a situação de perigo.

Como pode haver uma condenação tão absurda???

Se Lucivando tivesse ajustado corretamente as frequências (segundo a equivocada análise técnica), e o acidente tivesse ocorrido às 19:47, ele seria inocentado???

Às vezes custo a acreditar na racionalidade do ser humano.

Globo.com - Justiça condena controlador por acidente do voo 1907 em MT.

Mais uma vez falta nexo causal

Em certos momentos chego a ficar realmente indignado com as notícias que são publicadas nos jornais e as distorções da realidade que são mostradas à população. Quem acompanhou este blog pode ver que não se pode atribuir qualquer erro aos controladores de voo no acidente da Gol. Ao controlador Jomarcelo estão sendo atribuídas “falhas” que seriam cometidas por qualquer controlador em qualquer lugar do mundo.

Culpam-no não ter observado que o Legacy previa uma mudança de altitude em Brasília. Já expliquei repetidamente este ponto, mas repito novamente: nenhum avião tem em seu plano de voo previsões para alterações de níveis de cruzeiro. Isto se deve a, podemos dizer, uma estupidez do plano de voo da Universal Weather, empresa americana que fez o plano de voo do Legacy. Seu programa de computador desconsiderou que a aerovia UW2, de S.José a Brasília, embora tivesse proa nordeste (6º), era uma via de “mão única”. A aerovia UZ6 de Brasília a Manaus era uma aerovia de “mão dupla” com proa noroeste e, portanto, o Legacy deveria seguir em um nível par na UZ6. Sendo a UW2 via de “mão única”, o Legacy poderia ter ido em em um único nível par de S.José a Manaus. Esta montanha russa do plano de voo do Legacy (370, 360, 380) era algo completamente desmotivada, inexplicável e inesperada.

Culpam Jomarcelo por não ter observado na strip a montanha russa. Nenhum controlador em nenhum lugar teria observado esta estupidez. O controlador observa a strip para acompanhar a rota da aeronave e antever os possíveis conflitos de tráfego em sua rota. O nível de voo é acompanhado normalmente pela etiqueta da aeronave. Não se visualizava no console nenhuma situação de potencial conflito na rota do Legacy no momento em que estava sob Brasília. Não havia nenhum tráfego na sua rota. Sem tráfego, é óbvio que o controlador não dedicaria maior atenção a este voo.

Culpam Jomarcelo por não ter contatado a aeronave quando o transponder da aeronave foi desligado por imperícia dos pilotos. O transponder é um equipamento que depende de transmissões por rádio. Qualquer um sabe que desde que Marconi inventou o rádio, em diversas situações as ondas de rádio podem ser interrompidas. Se os controladores passarem a contatar todos os aviões que estão sem contato com o centro de controle em regiões como a amazônica ficarão malucos.

Ou seja, não há nada que possam culpar Jomarcelo pelo acidente, a não ser as besteiras que foram colocadas nas denúncias pelos promotores, que entendemos, estavam no seu papel de denunciantes.

Agora querem dizer que Jomarcelo pode ser considerado uma pessoa sem "condições" e com "deficiente controle emocional" para a função de controlador de vôo. Independente disso ser verdade ou não, foi isso que o fez não observar a strip? Foi isso que o fez não contatar o Legacy quando o transponder foi desligado? É claro que não. É óbvio que não. Falta qualquer nexo causal entre esta observação sobre o controlador e as causas do acidente. É para camuflar, esconder, desviar a atenção das pessoas e minimizar as verdadeiras causas do acidente que foi, sem dúvida, o desligamento do transponder por imperícia dos pilotos.

Sempre é bom lembrar que, se os pilotos estivessem atentos aos instrumentos, não estivessem com um notebook à frente do painel por quase uma hora, não teriam desligado inadvertidamente o transponder. Com o transponder ligado, a tela do radar passaria a mostrar em destaque na etiqueta do voo da tela do radar a informação 360=370, alertando o controlador. Jomarcelo entraria em contato por rádio com o Legacy solicitando a ele que procedesse à mudança de altitude prevista, como ele fez em milhares de voos que passaram por seu controle.

Este acidente não teve outra causa a não ser a imperícia dos pilotos, desligando inadvertidamente o transponder.

Folha.com - Controlador do caso Legacy era inapto para função.

Controladores julgados em primeira instância pela justiça federal

Um controlador de tráfego aéreo foi hoje condenado e outro foi absolvido hoje pela Justiça Federal de Mato Grosso. Foi condenado apenas o controlador Lucivando Tibúrcio de Alencar por atentado culposo (sem intenção) contra a segurança de voo: três anos e quatro meses de prisão em regime aberto, conversíveis em prestação de serviço comunitário e suspensão temporária do exercício profissional.

Segundo a sentença, ele deixou de seguir os procedimentos recomendados diante da dificuldade de comunicação entre o Legacy e o Controle de Tráfego Aéreo. Ele foi o controlador que não programou em seu console as chamadas frequências auxiliares. Isso teria dificultado o contato entre Legacy e o Centro de Controle.

O sargento da Aeronáutica Jomarcelo Fernandes dos Santos foi inocentado por "insuficiência intelectual" e "inaptidão para o exercício da função". Na Justiça Militar, Jomarcelo foi condenado, em outubro de 2010, a um ano e dois meses de detenção, por homicídio culposo (sem intenção).

O juiz justificou dizendo que ele não tinha experiência (apenas nove meses na função) e nem sabia falar inglês, um requisito mínimo para a função. O juiz federal fez questão de destacar o que disse um sargento experiente, que era responsável pela formação dos profissionais, sobre Jomarcelo: “era controlador que para mim não tinha condições de ser controlador”. Argumentou o juiz que “não se poderia, pois exigir, de Jomarcelo, mais do que ele fez. Pelas suas notórias deficiências, só se pode agradecer por ele não ter errado com muito mais freqüência. Se é que não errou mesmo”. Destacou que o problema foi da formação recebida pelo controlador e não dele diretamente.

Outros quatro controladores – João Batista da Silva, Felipe Santos Reis, Lucivando Tibúrcio de Alencar (condenado agora na justiça federal) e Leandro José Santos de Barros – foram absolvidos pela justiça militar.

Folha.com - Justiça de MT condena controlador por acidente com jato Legacy.
Globo.com - Justiça condena controlador por acidente do voo 1907 em MT

Os pilotos do Legacy são condenados a prestar serviços comunitários

Os pilotos americanos Joseph Lepore e Jan Paul Paladino foram condenados nesta segunda-feira (16/05/2011) pelo crime de atentado contra a segurança do transporte aéreo. Os pilotos foram condenados a quatro anos e quatro meses de prisão, mas a pena foi revertida em prestação de serviço comunitário nos Estados Unidos.

De acordo com a decisão, a prestação de serviços comunitários deverá ser realizada nos Estados Unidos, onde os pilotos vivem atualmente, mas em uma repartição brasileira ainda a ser definida. O juiz também determinou que os pilotos sejam proibidos de exercer a profissão, mas seus documentos só poderão ser apreendidos após serem apreciados todos os recursos.

Os pilotos não foram condenados por desligarem o transponder, porque isto não ficou incontestavelmente provado na perícia. Ainda restou a possibilidade, não descartada totalmente de ter havido uma falha do equipamento. Eles foram condenados por não observar o status do transponder por quase uma hora. Somente por isso.

Globo.com - 16/05/2011 - Justiça brasileira condena pilotos dos EUA por acidente do voo 1907
Folha.com - 16/05/2011 - Pilotos do Legacy são condenados pelo acidente com avião da Gol

Sentença dos controladores na Justiça Militar

Sentença: Decidiu o CPJ-AER: I- por unanimidade de votos, ABSOLVER o Suboficial R1 JOÃO BATISTA DA SILVA e o 3º Sargento LUCIVANDO TIBÚRCIO DE ALENCAR, da imputação que lhes foi feita neste processo, com base, no artigo 439, alínea "e", do CPPM; II- Por maioria de votos ABSOLVER o 3º Sargento FELIPE SANTOS DOS REIS e o 3º Sargento LUCIVANDO TIBÚRCIO DE ALENCAR, da imputação que lhes foi feita neste processo, com base, no artigo 439, alínea "e", do CPPM; III- também, por maioria de votos, CONDENAR o 3º Sargento JOMARCELO FERNANDES DOS SANTOS, incurso no artigo 206, §§ 1º e 2º, do CPM, à pena de 1 ano e 02 meses de detenção, com o benefício do sursis, pelo prazo de prova de 02 anos e o direito de apelar em liberdade.

FAA avisa às companhias aéreas para limitar as distrações na cabine de comando

O FAA avisou as companhias aéreas a tomarem medidas cautelares que limitem as distrações na cabine de comando, para aumentar a segurança do transporte de passageiros. “O público que viaja espera que pilotos profissionais tenham atenção ao voo e segurança todo o tempo”, disse o secretário dos transportes Ray LaHood. As orientações neste sentido lembram aos tripulantes que qualquer distração que dirija a atenção das tarefas necessárias pode constituir um risco à segurança. Acrescenta que isto inclui o uso de aparelhos eletrônicos para atividades não relacionadas ao voo. Em outubro passado, os pilotos do voo Northwest 188 ultrapassaram seu destino em 240 km porque estavam usando seus computadores para atividades pessoais, perderam a consciência situacional e também suas licenças para voar.

Parece que a interpretação do FAA para o acidente da Gol foi bem diferente, já que consideraram que não houve indícios de culpa dos pilotos. Na verdade, não se pode dizer que as atividades dos pilotos usando um notebook na cabine de comando por uma hora, enquanto o transponder foi desligado inadvertidamente não estivesse relacionado ao voo: eles estavam lendo os manuais eletrônicos da aeronave na qual voavam sozinhos pela primeira vez e faziam cálculos de consumo de combustível que deveriam ter sido feitos antes de decolar, na preparação para o voo. A ausência do piloto-em-comando por 16 minutos da cabine de comando, também estava relacionada à segurança do voo porque ele foi ao banheiro, e o problema deve ter sido grave para levar tanto tempo assim. É provável que se não se ausentasse por tão longo tempo, estaria colocando em risco a segurança dos passageiros.

Como era esperado, FAA não cassa licença dos pilotos

Como eu havia previsto, a FAA disse hoje que as provas são insuficientes para a adoção de medidas contra os pilotos. Ou seja, a FAA diz que não se preparar para o voo; desligar o transponder por imperícia; andar na contramão e utilizar um notebook no cockpit por uma hora (o que é proibido por muitas empresas aéreas americanas), e o piloto-em-comando se ausentar do comando por 16 minutos enquanto o transponder fica desligado não são provas suficientes. Seria cômico se não fosse trágico, mas não se pode esperar nada depois da ridícula, incompetente e viesada análise do acidente feita pelo NTSB.

Leia:
Estado, EUA negam pedido de cassação de licenças de pilotos do Legacy, 06/05/2010.
Globo, EUA rejeitam cassação de licença de pilotos do Legacy, 06/05/2010.

Está difícil para a FAA construir uma desculpa

Vocês se lembram que em 15/04/2010 os jornais noticiaram que o governo dos EUA deve decidir sobre cassação de pilotos do Legacy em uma semana? Pelas minhas contas a decisão deveria ser dada até 22/04/2010. Como hoje já estamos no dia 05/05/2010, parece que está bastante difícil para a FAA inventar alguma desculpa para dizer que os pilotos não tem nenhuma responsabilidade no acidente da Gol. Esperem sentados, porque nenhuma decisão que prejudique seus nacionais deve ser tomada.

Mais detalhes do CTA brasileiro no acidente da Gol voo 1907

Aqui descrevo informações mais detalhadas o sistema de Controle de Tráfego Aéreo brasileiro que foi duramente criticado, sem nenhum fundamento, no episódio do acidente da Gol voo 1907, e completa o post Análise detalhada da mudança automática de níveis no sistema do CTA.

Na ilustração abaixo, se vê como é uma imagem do radar (etiqueta) e da fita (strip) de acompanhamento de um voo. Alguns centros de controle de tráfego ainda mantêm estas strips em papel. No Brasil, estas strips passaram por um processo de migração para eletrônicas.

O dado que é apresentado do lado direito da etiqueta (Nivel Autorizado/CFL) tem origem na strip para o ponto do voo onde se encontra a aeronave. Como já expliquei várias vezes, os níveis de voo são planejados com antecedência e as autorizações são emitidas à medida que o voo se desenrola. Chama-lo de “NÍVEL AUTORIZADO/CFL” pode levar a algumas conclusões equivocadas, porque ele pode não ter sido comunicado à tripulação simplesmente porque ainda não chegou o momento adequado. Não é possível, por exemplo, autorizar no momento da partida da aeronave, em um voo complexo todos os níveis de voo que irão ocorrer futuramente. O Legacy recebeu uma autorização usual, como ocorre em todos os voos do mundo, uma autorização para o nível inicial do voo (FL370). À medida que ele fosse passando pelos pontos onde haveria mudança de altitude, era esperado que ele recebesse novas autorizações para as mudanças de níveis, ou até mesmo que o próprio piloto a solicitasse. Não é porque a aeronave não recebeu a autorização para mudar de nível, que o nível que será autorizado deva ser alterado. Por exemplo, não faz nenhum sentido alterar os níveis CFL de toda a strip para 370 simplesmente porque em S.José dos Campos a torre de controle não emitiu uma autorização completa. Imaginem que a strip passasse a ser toda preenchida com FL370; como o controlador saberia que em Brasília deveria conduzir a aeronave a descer para FL370?

Para vocês se convencerem do que eu estou afirmando está correto, vejam abaixo a etiqueta do avião TU154M que em 2002, em um voo de Moscou a Barcelona se chocou com um Boeing da DHL perto da cidade alemã de Ueberlingen, na região do Lago Constância. A região estava sob o controle do centro de Zurique. Para começar, vejam que a strip contém muito menos informação do que a strip do controle brasileiro.

Era uma situação semelhante, em que o TU154M tinha uma mudança de altitude programada em Trasadingen de FL360 para FL350 às 21:42. O acidente ocorreu as 21:35. A strip mostra 350, a autorização que deveria ser emitida às 21:42, embora o TU154M nunca tivesse recebido uma autorização para descer em Trasadingen. Na verdade o acidente se deu por motivos não diretamente associados a isto, mas por problemas de resolução de conflitos não percebidos a tempo e tratamento dos avisos do sistema anti-colisão, quando ambas as aeronaves estavam em FL360, antes de Trasadingen. Ou seja, fica claro que uma strip no sistema europeu em 2002 não era alterada porque a aeronave não teria recebido esta autorização; não faria nenhum sentido que assim o fosse. A strip serve justamente para isto, para indicar ao controlador que deve solicitar a mudança de altitude da aeronave. Ou seja, a strip não indica o nível que foi (passado) autorizado; ela indica o nível que será (presente e futuro) autorizado. Por outro lado, a strip também não é necessariamente o plano requisitado. O plano de voo requisitado para o TU154M, por exemplo, foi:

O plano requisitado previa um único nivel (FL360). O controle de tráfego tratou o plano requisitado, alterando o nível para FL350 depois de Trasadingen, porque “the AIP Switzerland states that odd level numbers are to be used for the intended flight route”. Ou seja, em nenhum momento o TU154M requisitou FL350 e em nenhum momento ele foi autorizado a voar em FL350, entretanto a strip mostrava FL350. Não porque ele tivesse sido requisitado, mas porque seria este o nível que seria autorizado (futuro) quando a aeronave estivesse em Trasadingen e porque assim o determinou o CTA.

Portanto, a análise que se faz sobre a autorização que o Legacy recebeu em S.José dos Campos, de que ela não especificou um limite ou foi incompleta não faz sentido algum. É assim que são feitas em todo o mundo, mesmo que o plano de voo contenha mudanças de altitude na sua rota. Em segundo lugar, não faz nenhum sentido que a strip seja alterada para o nivel autorizado verbalmente para a tripulação, pois isto coloca em risco a segurança do voo ao não indicar o planejamento do CTA para o voo. E mais, não é isto que é feito em todo o mundo como pode ser comprovado pela strip do acidente em Ueberlingen (lembrando-se novamente que não foi isto que provocou o acidente en Ueberlinger).

Agora vejamos uma etiqueta de um voo em uma tela de radar americano, conforme indicado no Instrument Flying Handbook da FAA - Federal Aviation Administration – que controla o tráfego aéreo americano:

Vejam a indicação do voo N1388V. Nem ao menos a indicação do nível autorizado é apresentada, ao contrário do “ineficiente” sistema brasileiro em que esta informação está na etiqueta. Agora, vejam na imagem da tela abaixo a etiqueta de uma aeronave não provida de transponder (untracked target, nonselect code mode C).

Obviamente é impossível controlar o voo nesta situação; não se sabe nada dele, o voo não está identificado, somente se sabe que há um avião lá.

Agora vejam a seqüência de telas acompanhando o voo do Legacy:

Às 18:55 o Legacy passa por Brasília, e a etiqueta passa a apresentar 370=360. Esta era a indicação para o controlador entrar em contato com o Legacy e solicitar que descesse para FL360. Ela não significa que o Legacy tenha recebido (passado) uma autorização para FL360, mas sim que ele deve receber (presente) uma autorização para FL360. Nem significa que isto deve ser feito imediatamente. Ao seu critério, o controlador pode fazer a mudança quando julgar conveniente. Às 19:02 o transponder é desligado, passando a apresentar a etiqueta 370Z360. Nestes 7 minutos, até onde se sabe, o controlador não percebeu estas indicações, pois estaria atento a outras aeronaves em procedimentos de decolagem e aproximação. Isto é uma situação absolutamente normal; o controlador não precisa acompanhar a cada segundo uma aeronave em rota em voo estabilizado sem nenhuma outra aeronave na sua rota. Qualquer um pode imaginar que a atenção do controlador pode estar voltada para outras aeronaves em situações em que a  sua intervenção é mais necessária. Em seguida ao desligamento do transponder, a etiqueta passou a apresentar:

Ou seja, o Legacy some do radar! O acidente vai ocorrer somente às 19:56, sem que o Legacy esteja aparecendo na tela do radar. Isto mostra a ridícula análise do NTSB do sistema de controle de tráfego aéreo, subsidiada pela fraca análise do CENIPA que considerou o lado direito da etiqueta como "CFL = nível autorizado" (passado), e não como nível que deve ser autorizado (presente). Ou seja, o sistema se comportou como teria se comportado qualquer sistema em qualquer lugar do mundo.

Este acidente teve como causa indiscutível o desligamento inadvertido do transponder pela tripulação e o erro do CTA foi não ter retomado as comunicações com o Legacy por não perceber uma inusitada situação de risco de uma aeronave estar voado na “contramão”. Nunca antes na história da aviação uma aeronave havia trafegado na contramão; isto significa hoje em dia, com a precisão da navegação aérea, um desastre certo. Qualquer piloto com um mínimo de consciência situacional saberia disto.

Comissão pede punições aos pilotos americanos

Uma comissão liderada pelo deputado Milton Monti foi a Washington para cobrar a cassação do brevê dos pilotos norte-americanos do Legacy. A visita oficial foi organizada pela Comissão Permanente da Câmara e pela Embaixada Brasileira nos Estados Unidos. Os integrantes da comitiva visitarão a Câmara dos Representantes e a sede da Federal Administration Aviaton (FAA). A comitiva apresentou também a parlamentares americanos laudo endossado pelo Ministério Público Federal do Brasil, que os acusam de não terem acionado o TCAS.

Pressionada por parlamentares brasileiros, a FAA (Federal Administration Aviation) dos Estados Unidos estabeleceu o prazo de uma semana para que o governo norte-americano responda ao pedido do Brasil. A decisão do governo dos Estados Unidos deve ser anunciada formalmente à embaixada brasileira.

Os dois pilotos continuam pilotando normalmente nos EUA - um trabalha para a American Airlines e outro para a Excelaire.

Provavelmente, não resultará em nada, já que o relatório do NTSB é uma obra prima da enganação técnica para proteger os pilotos, e mais do que isto, proteger as empresas que estão envolvidas no acidente: a Excelaire a maior responsável por este acidente e a Embraer que deve estar fazendo de tudo ao seu alcance para proteger seus clientes e culpar o controle de tráfego aéreo. Há muitos artigos sendo publicados nas revistas especializadas sobre o acidente, bem ao lado das matérias pagas e peças publicitárias de nossa grande empresa brasileira.

Leia:
Folha Online, Parlamentares cobram dos Estados Unidos cassação de brevê dos pilotos do Legacy, 14/04/2010.
Folha Online, Governo dos EUA deve decidir sobre cassação de pilotos do Legacy em uma semana, 15/04/2010.
Estadão.com.br, Deputados pedem aos EUA cassação de licenças de pilotos do Legacy, 15/04/2010.
Globo.com, Comitiva brasileira está nos EUA para pedir punição a pilotos do Legacy que se chocou com avião da Gol, 15/04/2010.

Análise detalhada da mudança automática de níveis no sistema do CTA

A crítica central de todas as organizações que se manifestaram sobre as falhas do Controle de Tráfego Aéreo (CTA) brasileiro no acidente do voo da GOL número 1907, (GLO1907) concentram-se na mudança automática na etiqueta de identificação do voo do Legacy (N600XL) do nível autorizado FL370 para FL360 na tela do radar sem que esta autorização (clearance) tenha sido comunicada à tripulação. Já escrevi vários posts sobre este assunto, mas vou destacá-lo aqui por sua importância na análise do acidente. Sobre isto comenta o NTSB:

“The ATC computer automatic insertion of the “cleared altitude” field in the displayed datablock was one of the first chronological events that led to the collision. [...] a design in which two distinctly different pieces of information (that is, requested altitude and cleared altitude) appear identical on the display is clearly a latent error”.

A etiqueta do voo tem o seguinte formato:

Aqui se comete o primeiro erro grave no relatório do CENIPA e que foi utilizado como fundamentação para a análise do NTSB americano. O que está identificado do lado direito não representa o nível que foi autorizado, ou seja, que em algum momento foi comunicado para a tripulação. Primeiramente deve-se ter em mente que o nível que será autorizado para a aeronave deve ser decido, planejado, antes de autorizá-la. Isto parece óbvio, mas não está claro nesta análise. Antes de verbalizar, comunicar, autorizar à tripulação, ele deve ser determinado pelo CTA. O CTA recebe uma solicitação de nível através do plano de voo submetido pela tripulação. Trata este plano de voo e analisa se ele pode ser atendido, o que significa que o plano de voo solicitado pode ser modificado, ou seja, pode ser diferente daquele que foi requisitado pela tripulação. Coordena com os diversos centros de controle este plano e ativa o plano de voo que será autorizado.

Portanto, o lado direito da etiqueta não representa o nível que foi autorizado, mas sim o nível que deve ser autorizado. O significado é diferente. Ele é atemporal, ou seja, ele não adquire significado somente depois de ser comunicado à tripulação, mas ele tem um significado mesmo antes de ser comunicado à tripulação. Obviamente, também não tem sentido algum registrar o que foi autorizado para a tripulação, já que o que o controlador autoriza não pode ser diferente do que deve ser autorizado. Se em função de circunstâncias específicas do voo, aquilo que foi autorizado para a tripulação foi diferente daquilo que foi planejado para o voo (não confundir com o que foi solicitado pela tripulação), o controlador deve simultaneamente à autorização emitida à tripulação alterar esta informação. Por exemplo, se durante o voo a tripulação solicita alteração do nível em função de condições metereológicas, o controlador simultaneamente ao atendimento da solicitação, altera o nível autorizado (CFL). Coincidentemente, na maioria absoluta das vezes ele é o nível solicitado pela tripulação e por isso muitas vezes confunde-se com o nivel do plano de voo apresentado pela tripulação, e que gerou o comentário equivocado do NTSB.

O plano ativado, ou seja, aquele que seria autorizado para a tripulação do N600XL, previa que em Brasília a aeronave deveria descer de FL370 para FL360. Ao passar por Brasília a etiqueta de voo apresentou 370=360, ou seja, a aeronave estava voando em FL370 e deveria ser autorizada a voar em FL360. Veja bem o tempo verbal que utilizei: “deveria”. Não significa de modo algum que “foi” autorizada. Não é relevante se a aeronave recebeu ou não esta autorização anteriormente, o importante é o significado desta etiqueta: FL360 é o nível que a aeronave deve ser conduzida a voar e está diferente da altitude que está voando. Eventualmente, o CTA poderia perfeitamente ter decidido que ao invés de autorizar um plano solicitado de FL370/FL360/FL380, seria autorizado FL370/FL380. Se fosse esta a decisão, apareceria na tela 370=380, ou seja, o lado direito da etiqueta não é o nível requisitado como equivocadamente analisado pelo NTSB.

Deve-se ressaltar que o plano de voo do N600XL foi um plano completamente não usual e inexplicável. Não há sentido algum em solicitar para uma aeronave subir até FL370, pouco depois descer para FL360 e pouco depois subir para FL380. Embora o primeiro trecho do voo, tenha proa 006º (pela aerovia UW2) e o segundo trecho tenha proa 336º (pela aerovia UZ6), a UW2 tem mão única no sentido Brasília e, portanto, o N600XL poderia ir em nivel par do ínicio ao fim do voo. Se a intenção fosse evitar ventos de altitude no nível FL380 antes de Brasília, o N600XL poderia ir em um nível mais baixo (FL340 ou FL360) até Teres e depois subir para FL380. O mais lógico seria um voo em FL380 do inicio ao fim. Paladino em certo momento do voo diz para Lepore que esperava que fosse autorizado FL380 e não FL370. Isto demonstra que nenhum deles olhou mais atentamente seu plano de voo, o qual previa as mudanças de altitude.

Às 18:53h, dois minutos antes da passagem por Brasília, a etiqueta 370=360 começou a piscar, indicando para o controlador solicitar a alteração de nível da aeronave. Das 18:55h, quando o N600XL passou pela vertical de Brasília até 19:02, quando o transponder foi desligado, a etiqueta do voo apresentava 370=360. O controlador, segundo declarou, estava atento a outras aeronaves e não observou esta indicação. O N600XL não tinha nenhuma aeronave cruzando sua rota. Esta é uma situação absolutamente normal, os controladores não ficam monitorando cada aeronave a cada segundo enquanto estão em rota, já que é extremamente raro haver uma mudança de altitude de cruzeiro que não tenha como origem uma solicitação do piloto em função de condições metereológicas.

A partir das 19:02h a etiqueta passa a apresentar 370Z360, mas a altitude real (370) passa a variar porque não se tem a leitura da altitude real fornecida pelo transponder. O mesmo controlador que vinha acompanhando a aeronave, enquanto a aeronave apresentava a etiqueta 370=370, acredita que a aeronave estava em FL360. Não se sabe a razão, se porque não percebeu a alteração de níveis ou se acreditava que a aeronave já havia sido autorizada a descer. Ambas justificativas são plausíveis. O fato é que não percebeu nenhuma situação de risco, porque não havia nenhuma aeronave na rota do N600XL.

Às 19:30h, devido ao desligamento do transponder, o N600XL sai completamente da tela do radar. Às 19:53 ocorre a colisão. Em nenhum momento as duas aeronaves estiveram juntas na mesma tela de radar, de tal forma a tornar perceptível o risco para os controladores.

O NTSB diz que é a principal causa do acidente foi a etiqueta ter alterado de 370=370 para 370=360 em Brasília sem que a aeronave tenha sido autorizada à proceder a descida. Já vimos que o significado do 360 não é que ela tenha sido autorizada, mas sim que ela deveria ser autorizada. Mas admitamos que a afirmativa do NTSB esteja correta e a etiqueta não devesse ser alterada automaticamente e sim que ela deveria permanecer em 370=370 depois de Brasilia, já que a última autorização recebida pela aeronave foi a de nível 370.

Ora, se o controlador não tomou nenhuma atitude quando a etiqueta mostrava 370=360, com certeza também não teria tomado nenhuma atitude com a etiqueta 370=370. Em uma situação normal, com o transponder ligado, não seria tomada nenhuma atitude pelo controlador enquanto ele não analisasse a strip (o plano de voo) do N600XL e solicitasse mudança de altitude. Ele não teria nenhuma indicação na etiqueta do voo que deveria executar a mudança de altitude. Nesta situação ele deveria ter que analisar todos os voos que cruzassem com o N600XL na UZ6. Imaginem a situação de risco, o controlador não teria nenhuma indicação na etiqueta que a aeronave estaria na contramão! Só isto já demonstra a completa insensatez da crítica do NTSB.

Mas mesmo assim, vamos prosseguir na análise do NTSB. Após o desligamento do transponder a etiqueta passaria a apresentar 370Z370. Da mesma forma que o 370Z360 não indicava nenhuma situação de risco, 370Z370 não seria nenhuma indicação de risco porque não havia nenhuma aeronave neste nível. Às 19:30 o N600XL saiu da tela do radar devido ao desligamento do transponder e embora os controladores pudessem ter certeza nesta hipótese que o Legacy estava altitude FL370, como poderiam saber que estava na rota do GLO1907? Só se recorressem às strips dos voos para identificar que eles estariam na mesma aerovia, e que o N600XL antes de sair da tela do radar estava na altitude 370 (diferente do plano de voo da strip), ou seja, um completo absurdo a sugestão e crítica do NTSB pela sua absoluta impossibilidade prática de ser realizada. O acidente ocorreria exatamente da mesma forma porque os controladores não teriam percebido o risco das aeronaves estarem em rotas de colisão porque nunca as duas aeronaves estiveram presentes na mesma tela!

Ou seja, a análise do NTSB e outros que se baseiam nesta crítica estão completamente equivocados e este acidente só teve como causa incontestável e indiscutível o desligamento inadvertido do transponder logo após a prevista mudança de altitude sobre Brasília.

Festival da besteira que assola o país

Folha.com - 05/02/2010 - Justiça de MT notifica pilotos do jato Legacy sobre novo processo criminal.

Diz a notícia: “Os pilotos americanos Joe Lepore e Jan Paul Paladino, que comandavam o jato Legacy no momento em que ele se chocou com o Boeing da Gol em setembro de 2006, foram notificados sobre o novo processo em andamento contra eles na Justiça Federal de Mato Grosso pelo acidente que causou a morte dos 154 ocupantes do voo 1907 da empresa aérea. A nova denúncia -- de atentado contra a segurança do transporte aéreo nacional, na modalidade culposa (sem intenção) -- se baseia em dois laudos que apontam condutas erradas dos pilotos: a de que eles omitiram a informação de que o jato não tinha autorização para voar em uma área tida como espaço aéreo especial e a de que eles não fizeram uso do TCAS (sistema anticolisão) em nenhum momento durante o voo”.

Não sei de onde podem vir tantas bobagens, incorreções e idiotices juntas em somente uma notícia. Se a origem vem das peças judiciais ou dos jornalistas que não entenderem nada do que leram.

O texto da denuncia original de 25/05/2007 diz textualmente: “Os denunciados JOSEPH LEPORE e JAN PAUL PALADINO [...] perpetraram o delito tipificado no art. 261, § 3º, c/c art. 263, com pena cominada pelo art. 258, c/c art. 121, § 4º (inobservância de regra técnica de profissão), todos do Código Penal Brasileiro”. E diz o Código Penal: “Atentado contra a segurança de transporte marítimo, fluvial ou aéreo. Art. 261 - Expor a perigo embarcação ou aeronave, própria ou alheia, ou praticar qualquer ato tendente a impedir ou dificultar navegação marítima, fluvial ou aérea”. Portanto, que “nova denúncia” é esta?

O relatório do CENIPA diz: "A separação estava ocorrendo em condições Reduced Vertical Separation Minimums (RVSM), estando ambas as aeronaves homologadas e equipadas para este tipo de operação, cumprindo o subitem 1.11.1, do item 1.11 'Procedimentos Operacionais da Tripulação antes do Ingresso no Espaço Aéreo RVSM', do AIP BRASIL (ENR2.2-2) de 23 NOV 2006”. Ou seja, o Legacy tinha sim autorização para voar em uma área tida como espaço aéreo especial.

O mesmo relatório do CENIPA diz: “Às 19:02 UTC, sete minutos depois que a aeronave passou na vertical de Brasília, o Transponder do N600XL parou de transmitir seus sinais aos radares do ACC Brasília”. Portanto, como explicar uma denúncia de que eles não fizeram uso do TCAS (sistema anticolisão) em nenhum momento durante o voo, se ele foi somente desligado às 19:02? Outra estupidez.

Sharkey também ironiza as autoridades americanas

Joe Sharkey é uma pessoa bem esperta, ou está sendo bem orientado por seus advogados. Desde que passou a ser processado por seu blog, passou sempre a incluir em seus posts as imagens que utilizava para ironizar as autoridades brasileiras para também ironizar as autoridades americanas. Não que eu ache que as autoridades de um modo geral não sejam cômicas, também acho, mas que é coincidência é. Antes do processo não eram cômicas?

O sistema informatizado do controle de tráfego aéreo

Após o acidente que envolveu o voo GOL 1907, vieram à tona inúmeros problemas envolvendo o setor aéreo brasileiro e que deram origem à chamada crise aérea. As falhas no sistema de tratamento e visualização radar foram apontadas pelos controladores de vôo, na mídia, na CPI e pelo NTSB nos seus comentários ao relatório final como um dos fatores que contribuíram para o acidente. O Tribunal de Contas da União fez então uma "Auditoria no Sistema de Tratamento e Visualização
Radar X-4000" (Sumários Executivos, Acórdão) que teve como objetivo avaliar o sistema utilizado pelo Departamento de Controle do Espaço Aéreo (Decea) no controle do tráfego aéreo brasileiro, com relação à sua operacionalidade, confiabilidade e efetividade. Nunca comentei mais detalhadamente aqui esta auditoria, mas tardiamente estou fazendo agora. A auditoria encontrou as seguintes “falhas” (sic):

1. Ocorrência de falhas no sistema X-4000.
2. Tratamento inadequado de exceções.
3. Travamento e reinicialização da console de visualização em decorrência do acionamento indevido de teclas.
4. Quantidade insuficiente de peças de reposição para manter todas as consoles em operação.
5. Descumprimento do contrato de manutenção do sistema.
6. Sistema não apresenta algumas informações importantes para o serviço de vigilância radar.
7. Informações imprecisas nas transferências entre os controles de aproximação do Rio de Janeiro (APP-RJ) e de São Paulo (APP-SP).
8. Mudança automática do nível de vôo sem aquiescência do controlador.
9. Falta de integração entre o sistema de gerenciamento de torres de controle e o sistema X-4000.
10. Gestão de mudanças inadequada.
11. Falta de padronização do treinamento dos usuários.
12. Inexistência de plano de contingência formal para os ativos de informática.
13. Instalação dos recursos computacionais redundantes no mesmo ambiente físico dos recursos principais.
14. Indícios de ato antieconômico contrato de manutenção.
15. Contratação do desenvolvimento por inexigibilidade de licitação.
16. Carência de recursos humanos para prestar suporte ao sistema.
17. Problemas de síntese radar no controle de aproximação do Rio de Janeiro.
18. Interferências nas radiocomunicações aeronáuticas.

Eu estou acostumado a passar por auditoria de sistemas e fazer auditoria de sistemas e o que me chamou a atenção é como um documento de tão baixa qualidade metodológica possa ser chamado de um relatório de auditoria. Em principio não se faz auditoria de sistemas simplesmente colhendo “opiniões”. O relatório diz “Em entrevistas dadas à equipe de auditoria, controladores de vôo confirmaram a ocorrência de falhas no sistema X-4000”. É o mesmo que perguntar aos pilotos se as aeronaves apresentam falhas, perguntar aos motoristas de taxi se os seus veículos apresentam falhas, perguntar a você se o seu celular apresenta falhas ou se o fornecimento de energia elétrica para sua casa apresenta falhas, e por aí afora. Qualquer artefato, sistema, equipamento, qualquer coisa enfim na face da terra apresenta em algum momento de sua existência algum tipo de falha, quer seja um parafuso ou um computador de bordo de uma nave espacial. O que se verifica em uma auditoria de sistema são indicadores ou métricas, ou seja, índices de falhas. Linhas telefônicas são avaliadas por número de chamadas mal sucedidas por milhares de chamadas. Qualidade de veículos pode ser avaliada, por exemplo, por número de defeitos por milhares de quilômetros rodados ou testes de durabilidade. Mesmo assim, as falhas devem ser classificadas em níveis de severidade segundo o impacto que provoca e os indicadores serem associados aos diversos níveis de severidade. Uma avaliação não deve ser meramente qualitativa, mas preponderantemente quantitativa.

Portanto, metodologicamente, o relatório do TCU é ridiculamente falho. Não parece ter sido elaborado por profissionais que tenham a mínima formação em ciências da computação. Não é necessário fazer uma auditoria para se comprovar que qualquer sistema da face da terra apresenta “falhas”. Ainda não foi inventado um sistema a prova de falhas. O foco de uma auditoria deve ser se os indicadores de falhas e incidentes, presentes em qualquer sistema existente, estão situados em níveis admissíveis em padrões aceitos mundialmente.

Mas o ponto mais significativo desta análise é que com exceção do item 8 (“Mudança automática do nível de vôo sem aquiescência do controlador”) e 11 (“Falta de padronização do treinamento dos usuários”) nenhuma outra “falha” pode ser associada ao acidente da Gol e que na realidade foi o que deu origem à esta auditoria. Ou seja, nenhuma das outras 16 falhas contribuiu para o acidente. Nenhuma das outras falhas apontadas está relacionada como fatores contribuintes no relatório final.

E quanto à mencionada falha relacionada no item 8, tratar-se-ia de um eventual erro de especificação, o que nunca poderia ser considerado como falha de sistema, mas falha de especificação, o que em ciências da computação são eventos distintos. Falhas de sistemas são indiscutíveis, e estão associados a eventos em que o sistema deveria se comportar de uma determinada forma e não se comporta. Falhas de especificação são quando o responsável determina como o sistema deve funcionar e o responsável pelo sistema (e não o desenvolvedor) erra ao determinar como o sistema deve funcionar. A responsabilidade por estas falhas são do especificador e não do sistema. Uma especificação errada seria de responsabilidade do Decea que estabelece e homologa as especificações. A auditoria diz: “Os representantes do Decea, por sua vez, disseram não concordar com a supressão dessa funcionalidade”. Ora se os “donos” do sistema dizem que esta funcionalidade foi desejável no momento em que o sistema foi projetado, quem é o auditor do TCU para dizer que está errada? Não é preciso grande esforço intelectual para concluir que não se trata de uma "falha de sistema" e no mínimo é discutível, o que não significa de modo algum que não possa ser uma funcionalidade a ser aprimorada.

Mas o que é mais curioso, é que a análise deste item é completamente falha e demonstra desconhecimento técnico. O texto da auditoria diz:

“A informação da direita (370) corresponde ao nível previsto no plano da aeronave N600XL, enquanto a da esquerda (370) mostra o nível de vôo real voado pela aeronave. No entanto, nem sempre a aeronave mantém o nível de vôo previsto no plano. Em algumas situações as aeronaves recebem instruções do controlador para voar em um nível diferente do previsto, por solicitação do piloto ou para evitar conflitos de tráfego. O sistema X-4000 possui uma funcionalidade que altera automaticamente o nível de vôo no ponto da rota previsto no plano, sem aquiescência do controlador e independentemente de alteração no nível real voado pela aeronave. Nesse caso, a etiqueta apresenta dois níveis diferentes, como na Figura 2” (TCU, Sumários Executivos, p.17).

A informação da direita não representa o nível previsto no plano da aeronave. Ela representa o nível que será autorizado para a aeronave no momento oportuno no trecho em referência após o tratamento dos conflitos de tráfego que possam eventualmente emergir. Se não houver impedimentos, é igual ao do plano de voo solicitado o que ocorre na maioria absoluta das vezes. Tanto não é o plano previsto é que ele pode ser alterado pelo controlador a qualquer momento que julgar necessário. Se fosse o plano requisitado pela tripulação não poderia ser alterado. Pode-se dizer que ele representa o nível do plano de voo autorizado corrente. Como o voo deve ser planejado pelo ATC, não há sentido algum em chamá-lo de plano de voo autorizado para a tripulação (clearance), já que ele precede à sua comunicação à tripulação. Antes de a aeronave sair do solo, todo o plano de voo que será autorizado já está determinado e pode ser diferente do plano de voo solicitado pela aeronave. E, eventualmente, pode ser alterado ao longo do voo toda vez que o controlador necessitar. Ele é atemporal, ele vale para o momento em que a aeronave passar pelo ponto selecionado. O sistema deve alterar automaticamente o nível de voo no ponto da rota previsto no plano autorizado, para alertar o controlador que deve acompanhar a aeronave para que ela proceda à mudança de altitude. Este é o sentido de haver um nivel real à esquerda e um nivel autorizado a direita da etiqueta do voo. Se a aeronave não recebeu esta instrução anteriormente, o controlador contata a aeronave e solicita que altere sua altitude. Na presença do sinal do transponder esta informação é absolutamente segura. Tanto esta informação é importante para o controlador que ela chega a “piscar” por dois minutos antes que chegue o ponto em que esta mudança seja necessária. Entretanto esta mudança pode ser executada a qualquer momento, antes ou depois do ponto planejado. Se não há tráfego na rota da aeronave, o controlador pode solicitar esta mudança em outro momento. De modo algum, esta informação representa o último nível que foi comunicado para a tripulação. No caso do acidente da Gol, não havia nenhum tráfego na rota e o controlador estava observando outras aeronaves em situações mais críticas de tráfego. Quando voltou sua atenção para o Legacy, ele já havia desligado o transponder. Portanto, sem sombra de dúvida, a mudança automática do nível autorizado é uma funcionalidade desejável, atende as especificações do sistema e diante da presença do sinal do transponder é absolutamente segura para alertar o controlador que deve tomar ações em relação à aeronave. Na ausência do sinal de tranponder, o que está errado não é o sistema que não registra a última autorização verbal fornecida para a aeronave, mas a ausência de ações para a retomada das comunicações com a aeronave, que deve ser executada em qualquer circunstância.

O ministro relator do TCU foi claro em suas conclusões: "As falhas observadas pela equipe de auditoria indicam, sim, possibilidades de melhoria por parte dos órgãos de controle de tráfego aéreo. Estas melhorias, contudo, vêm sendo adotadas pelo Órgão competente, que acerca disto assim se pronunciou, verbis: O DECEA tem plena consciência de que nenhum sistema é tão perfeito que não caiba receber aprimoramentos, tanto assim que novas versões são implantadas com correções e modificações julgadas de interesse técnico-operacional. Assim ocorre com o Sistema X–4000 que vem absorvendo contínua e natural evolução, de acordo com novos conhecimentos ou experiências adquiridas nas áreas operacional, técnica e de Tecnologia da Informação. Estas circunstâncias – comum a todos os sistemas informatizados, volto a repetir – não significam que, em um dado momento, a possibilidade de melhoria e aprimoramento das funcionalidades de um determinado sistema comprometam sua eficácia e confiabilidade. Trata-se de processo evolutivo natural, inerente a sistemas computacionais".

Ao ler, por exemplo, o documento "Review of FAA’s Progress in Enhancing Air Traffic Control Systems Security", do U.S. Department of Transportation, de 02/11/2009, podemos constatar que há ainda inúmeras "falhas" de segurança no sistema de informações do controle de tráfego aéreo americano e inúmeras sugestões de melhorias que foram identificadas no "Information Security Program", de 10/10/2007. O texto diz: "Embora o FAA tenha aprimorado o processo de revisão dos sistemas de segurança do ATC [Air Traffic Control], as revisões não foram devidamente realizados para assegurar a proteção da segurança dos sistemas operacionais do ATC". O que não estaria correto é usar o argumento que as evidências de falhas do sistema do ATC americano seriam as causas de todos os acidente aéreos que envolvam o controle de tráfego aéreo. A constatação de que há "falhas" (sic) nos sistemas, e neste caso, de segurança das informações, não implicam necessariamente que estas falhas deram origem aos eventuais acidentes. Há que se demonstrar a causalidade entre as falhas e o acidente.

Nota: É bom que fique claro para aqueles que não leram os demais artigos deste blog que minha percepção do acidente da GOL é que a ausência de ações dos controladores não se deu porque o sistema informatizado os induziu à erro, mas sim pelo ineditismo na história da aviação de colisão frontal de aeronaves em rota na mesma aerovia, já que as regras que são implementadas na organização do espaço aéreo por si mesmas eliminam este tipo de risco. Não se tem noticia na história da aviação de incidentes desta natureza. Aeronaves voam em segurança sobre oceanos e outras regiões, sem cobertura de rádio ou radar sem que isto represente qualquer ameaça à segurança dos voos. Foi a primeira colisão frontal com aeronaves em rota na mesma aerovia. Isto tem um profundo significado e que é desprezado pela quase totalidade das análises feitas.