segunda-feira, 29 de novembro de 2010
Sentença dos controladores na Justiça Militar
Sentença: Decidiu o CPJ-AER: I- por unanimidade de votos, ABSOLVER o Suboficial R1 JOÃO BATISTA DA SILVA e o 3º Sargento LUCIVANDO TIBÚRCIO DE ALENCAR, da imputação que lhes foi feita neste processo, com base, no artigo 439, alínea "e", do CPPM; II- Por maioria de votos ABSOLVER o 3º Sargento FELIPE SANTOS DOS REIS e o 3º Sargento LUCIVANDO TIBÚRCIO DE ALENCAR, da imputação que lhes foi feita neste processo, com base, no artigo 439, alínea "e", do CPPM; III- também, por maioria de votos, CONDENAR o 3º Sargento JOMARCELO FERNANDES DOS SANTOS, incurso no artigo 206, §§ 1º e 2º, do CPM, à pena de 1 ano e 02 meses de detenção, com o benefício do sursis, pelo prazo de prova de 02 anos e o direito de apelar em liberdade.
sexta-feira, 7 de maio de 2010
FAA avisa às companhias aéreas para limitar as distrações na cabine de comando
O FAA avisou as companhias aéreas a tomarem medidas cautelares que limitem as distrações na cabine de comando, para aumentar a segurança do transporte de passageiros. “O público que viaja espera que pilotos profissionais tenham atenção ao voo e segurança todo o tempo”, disse o secretário dos transportes Ray LaHood. As orientações neste sentido lembram aos tripulantes que qualquer distração que dirija a atenção das tarefas necessárias pode constituir um risco à segurança. Acrescenta que isto inclui o uso de aparelhos eletrônicos para atividades não relacionadas ao voo. Em outubro passado, os pilotos do voo Northwest 188 ultrapassaram seu destino em 240 km porque estavam usando seus computadores para atividades pessoais, perderam a consciência situacional e também suas licenças para voar.
Parece que a interpretação do FAA para o acidente da Gol foi bem diferente, já que consideraram que não houve indícios de culpa dos pilotos. Na verdade, não se pode dizer que as atividades dos pilotos usando um notebook na cabine de comando por uma hora, enquanto o transponder foi desligado inadvertidamente não estivesse relacionado ao voo: eles estavam lendo os manuais eletrônicos da aeronave na qual voavam sozinhos pela primeira vez e faziam cálculos de consumo de combustível que deveriam ter sido feitos antes de decolar, na preparação para o voo. A ausência do piloto-em-comando por 16 minutos da cabine de comando, também estava relacionada à segurança do voo porque ele foi ao banheiro, e o problema deve ter sido grave para levar tanto tempo assim. É provável que se não se ausentasse por tão longo tempo, estaria colocando em risco a segurança dos passageiros.
quinta-feira, 6 de maio de 2010
Como era esperado, FAA não cassa licença dos pilotos
Como eu havia previsto, a FAA disse hoje que as provas são insuficientes para a adoção de medidas contra os pilotos. Ou seja, a FAA diz que não se preparar para o voo; desligar o transponder por imperícia; andar na contramão e utilizar um notebook no cockpit por uma hora (o que é proibido por muitas empresas aéreas americanas), e o piloto-em-comando se ausentar do comando por 16 minutos enquanto o transponder fica desligado não são provas suficientes. Seria cômico se não fosse trágico, mas não se pode esperar nada depois da ridícula, incompetente e viesada análise do acidente feita pelo NTSB.
Leia:
Estado, EUA negam pedido de cassação de licenças de pilotos do Legacy, 06/05/2010.
Globo, EUA rejeitam cassação de licença de pilotos do Legacy, 06/05/2010.
Leia:
Estado, EUA negam pedido de cassação de licenças de pilotos do Legacy, 06/05/2010.
Globo, EUA rejeitam cassação de licença de pilotos do Legacy, 06/05/2010.
quarta-feira, 5 de maio de 2010
Está difícil para a FAA construir uma desculpa
Vocês se lembram que em 15/04/2010 os jornais noticiaram que o governo dos EUA deve decidir sobre cassação de pilotos do Legacy em uma semana? Pelas minhas contas a decisão deveria ser dada até 22/04/2010. Como hoje já estamos no dia 05/05/2010, parece que está bastante difícil para a FAA inventar alguma desculpa para dizer que os pilotos não tem nenhuma responsabilidade no acidente da Gol. Esperem sentados, porque nenhuma decisão que prejudique seus nacionais deve ser tomada.
sexta-feira, 30 de abril de 2010
Mais detalhes do CTA brasileiro no acidente da Gol voo 1907
Aqui descrevo informações mais detalhadas o sistema de Controle de Tráfego Aéreo brasileiro que foi duramente criticado, sem nenhum fundamento, no episódio do acidente da Gol voo 1907, e completa o post Análise detalhada da mudança automática de níveis no sistema do CTA.
Na ilustração abaixo, se vê como é uma imagem do radar (etiqueta) e da fita (strip) de acompanhamento de um voo. Alguns centros de controle de tráfego ainda mantêm estas strips em papel. No Brasil, estas strips passaram por um processo de migração para eletrônicas.
O dado que é apresentado do lado direito da etiqueta (Nivel Autorizado/CFL) tem origem na strip para o ponto do voo onde se encontra a aeronave. Como já expliquei várias vezes, os níveis de voo são planejados com antecedência e as autorizações são emitidas à medida que o voo se desenrola. Chama-lo de “NÍVEL AUTORIZADO/CFL” pode levar a algumas conclusões equivocadas, porque ele pode não ter sido comunicado à tripulação simplesmente porque ainda não chegou o momento adequado. Não é possível, por exemplo, autorizar no momento da partida da aeronave, em um voo complexo todos os níveis de voo que irão ocorrer futuramente. O Legacy recebeu uma autorização usual, como ocorre em todos os voos do mundo, uma autorização para o nível inicial do voo (FL370). À medida que ele fosse passando pelos pontos onde haveria mudança de altitude, era esperado que ele recebesse novas autorizações para as mudanças de níveis, ou até mesmo que o próprio piloto a solicitasse. Não é porque a aeronave não recebeu a autorização para mudar de nível, que o nível que será autorizado deva ser alterado. Por exemplo, não faz nenhum sentido alterar os níveis CFL de toda a strip para 370 simplesmente porque em S.José dos Campos a torre de controle não emitiu uma autorização completa. Imaginem que a strip passasse a ser toda preenchida com FL370; como o controlador saberia que em Brasília deveria conduzir a aeronave a descer para FL370?
Para vocês se convencerem do que eu estou afirmando está correto, vejam abaixo a etiqueta do avião TU154M que em 2002, em um voo de Moscou a Barcelona se chocou com um Boeing da DHL perto da cidade alemã de Ueberlingen, na região do Lago Constância. A região estava sob o controle do centro de Zurique. Para começar, vejam que a strip contém muito menos informação do que a strip do controle brasileiro.
Era uma situação semelhante, em que o TU154M tinha uma mudança de altitude programada em Trasadingen de FL360 para FL350 às 21:42. O acidente ocorreu as 21:35. A strip mostra 350, a autorização que deveria ser emitida às 21:42, embora o TU154M nunca tivesse recebido uma autorização para descer em Trasadingen. Na verdade o acidente se deu por motivos não diretamente associados a isto, mas por problemas de resolução de conflitos não percebidos a tempo e tratamento dos avisos do sistema anti-colisão, quando ambas as aeronaves estavam em FL360, antes de Trasadingen. Ou seja, fica claro que uma strip no sistema europeu em 2002 não era alterada porque a aeronave não teria recebido esta autorização; não faria nenhum sentido que assim o fosse. A strip serve justamente para isto, para indicar ao controlador que deve solicitar a mudança de altitude da aeronave. Ou seja, a strip não indica o nível que foi (passado) autorizado; ela indica o nível que será (presente e futuro) autorizado. Por outro lado, a strip também não é necessariamente o plano requisitado. O plano de voo requisitado para o TU154M, por exemplo, foi:
O plano requisitado previa um único nivel (FL360). O controle de tráfego tratou o plano requisitado, alterando o nível para FL350 depois de Trasadingen, porque “the AIP Switzerland states that odd level numbers are to be used for the intended flight route”. Ou seja, em nenhum momento o TU154M requisitou FL350 e em nenhum momento ele foi autorizado a voar em FL350, entretanto a strip mostrava FL350. Não porque ele tivesse sido requisitado, mas porque seria este o nível que seria autorizado (futuro) quando a aeronave estivesse em Trasadingen e porque assim o determinou o CTA.
Portanto, a análise que se faz sobre a autorização que o Legacy recebeu em S.José dos Campos, de que ela não especificou um limite ou foi incompleta não faz sentido algum. É assim que são feitas em todo o mundo, mesmo que o plano de voo contenha mudanças de altitude na sua rota. Em segundo lugar, não faz nenhum sentido que a strip seja alterada para o nivel autorizado verbalmente para a tripulação, pois isto coloca em risco a segurança do voo ao não indicar o planejamento do CTA para o voo. E mais, não é isto que é feito em todo o mundo como pode ser comprovado pela strip do acidente em Ueberlingen (lembrando-se novamente que não foi isto que provocou o acidente en Ueberlinger).
Agora vejamos uma etiqueta de um voo em uma tela de radar americano, conforme indicado no Instrument Flying Handbook da FAA - Federal Aviation Administration – que controla o tráfego aéreo americano:
Vejam a indicação do voo N1388V. Nem ao menos a indicação do nível autorizado é apresentada, ao contrário do “ineficiente” sistema brasileiro em que esta informação está na etiqueta. Agora, vejam na imagem da tela abaixo a etiqueta de uma aeronave não provida de transponder (untracked target, nonselect code mode C).
Obviamente é impossível controlar o voo nesta situação; não se sabe nada dele, o voo não está identificado, somente se sabe que há um avião lá.
Agora vejam a seqüência de telas acompanhando o voo do Legacy:
Às 18:55 o Legacy passa por Brasília, e a etiqueta passa a apresentar 370=360. Esta era a indicação para o controlador entrar em contato com o Legacy e solicitar que descesse para FL360. Ela não significa que o Legacy tenha recebido (passado) uma autorização para FL360, mas sim que ele deve receber (presente) uma autorização para FL360. Nem significa que isto deve ser feito imediatamente. Ao seu critério, o controlador pode fazer a mudança quando julgar conveniente. Às 19:02 o transponder é desligado, passando a apresentar a etiqueta 370Z360. Nestes 7 minutos, até onde se sabe, o controlador não percebeu estas indicações, pois estaria atento a outras aeronaves em procedimentos de decolagem e aproximação. Isto é uma situação absolutamente normal; o controlador não precisa acompanhar a cada segundo uma aeronave em rota em voo estabilizado sem nenhuma outra aeronave na sua rota. Qualquer um pode imaginar que a atenção do controlador pode estar voltada para outras aeronaves em situações em que a sua intervenção é mais necessária. Em seguida ao desligamento do transponder, a etiqueta passou a apresentar:
Ou seja, o Legacy some do radar! O acidente vai ocorrer somente às 19:56, sem que o Legacy esteja aparecendo na tela do radar. Isto mostra a ridícula análise do NTSB do sistema de controle de tráfego aéreo, subsidiada pela fraca análise do CENIPA que considerou o lado direito da etiqueta como "CFL = nível autorizado" (passado), e não como nível que deve ser autorizado (presente). Ou seja, o sistema se comportou como teria se comportado qualquer sistema em qualquer lugar do mundo.
Este acidente teve como causa indiscutível o desligamento inadvertido do transponder pela tripulação e o erro do CTA foi não ter retomado as comunicações com o Legacy por não perceber uma inusitada situação de risco de uma aeronave estar voado na “contramão”. Nunca antes na história da aviação uma aeronave havia trafegado na contramão; isto significa hoje em dia, com a precisão da navegação aérea, um desastre certo. Qualquer piloto com um mínimo de consciência situacional saberia disto.
Na ilustração abaixo, se vê como é uma imagem do radar (etiqueta) e da fita (strip) de acompanhamento de um voo. Alguns centros de controle de tráfego ainda mantêm estas strips em papel. No Brasil, estas strips passaram por um processo de migração para eletrônicas.
Para vocês se convencerem do que eu estou afirmando está correto, vejam abaixo a etiqueta do avião TU154M que em 2002, em um voo de Moscou a Barcelona se chocou com um Boeing da DHL perto da cidade alemã de Ueberlingen, na região do Lago Constância. A região estava sob o controle do centro de Zurique. Para começar, vejam que a strip contém muito menos informação do que a strip do controle brasileiro.
Portanto, a análise que se faz sobre a autorização que o Legacy recebeu em S.José dos Campos, de que ela não especificou um limite ou foi incompleta não faz sentido algum. É assim que são feitas em todo o mundo, mesmo que o plano de voo contenha mudanças de altitude na sua rota. Em segundo lugar, não faz nenhum sentido que a strip seja alterada para o nivel autorizado verbalmente para a tripulação, pois isto coloca em risco a segurança do voo ao não indicar o planejamento do CTA para o voo. E mais, não é isto que é feito em todo o mundo como pode ser comprovado pela strip do acidente em Ueberlingen (lembrando-se novamente que não foi isto que provocou o acidente en Ueberlinger).
Agora vejamos uma etiqueta de um voo em uma tela de radar americano, conforme indicado no Instrument Flying Handbook da FAA - Federal Aviation Administration – que controla o tráfego aéreo americano:
Agora vejam a seqüência de telas acompanhando o voo do Legacy:
Este acidente teve como causa indiscutível o desligamento inadvertido do transponder pela tripulação e o erro do CTA foi não ter retomado as comunicações com o Legacy por não perceber uma inusitada situação de risco de uma aeronave estar voado na “contramão”. Nunca antes na história da aviação uma aeronave havia trafegado na contramão; isto significa hoje em dia, com a precisão da navegação aérea, um desastre certo. Qualquer piloto com um mínimo de consciência situacional saberia disto.
sábado, 17 de abril de 2010
Comissão pede punições aos pilotos americanos
Uma comissão liderada pelo deputado Milton Monti foi a Washington para cobrar a cassação do brevê dos pilotos norte-americanos do Legacy. A visita oficial foi organizada pela Comissão Permanente da Câmara e pela Embaixada Brasileira nos Estados Unidos. Os integrantes da comitiva visitarão a Câmara dos Representantes e a sede da Federal Administration Aviaton (FAA). A comitiva apresentou também a parlamentares americanos laudo endossado pelo Ministério Público Federal do Brasil, que os acusam de não terem acionado o TCAS.
Pressionada por parlamentares brasileiros, a FAA (Federal Administration Aviation) dos Estados Unidos estabeleceu o prazo de uma semana para que o governo norte-americano responda ao pedido do Brasil. A decisão do governo dos Estados Unidos deve ser anunciada formalmente à embaixada brasileira.
Os dois pilotos continuam pilotando normalmente nos EUA - um trabalha para a American Airlines e outro para a Excelaire.
Provavelmente, não resultará em nada, já que o relatório do NTSB é uma obra prima da enganação técnica para proteger os pilotos, e mais do que isto, proteger as empresas que estão envolvidas no acidente: a Excelaire a maior responsável por este acidente e a Embraer que deve estar fazendo de tudo ao seu alcance para proteger seus clientes e culpar o controle de tráfego aéreo. Há muitos artigos sendo publicados nas revistas especializadas sobre o acidente, bem ao lado das matérias pagas e peças publicitárias de nossa grande empresa brasileira.
Leia:
Folha Online, Parlamentares cobram dos Estados Unidos cassação de brevê dos pilotos do Legacy, 14/04/2010.
Folha Online, Governo dos EUA deve decidir sobre cassação de pilotos do Legacy em uma semana, 15/04/2010.
Estadão.com.br, Deputados pedem aos EUA cassação de licenças de pilotos do Legacy, 15/04/2010.
Globo.com, Comitiva brasileira está nos EUA para pedir punição a pilotos do Legacy que se chocou com avião da Gol, 15/04/2010.
Pressionada por parlamentares brasileiros, a FAA (Federal Administration Aviation) dos Estados Unidos estabeleceu o prazo de uma semana para que o governo norte-americano responda ao pedido do Brasil. A decisão do governo dos Estados Unidos deve ser anunciada formalmente à embaixada brasileira.
Os dois pilotos continuam pilotando normalmente nos EUA - um trabalha para a American Airlines e outro para a Excelaire.
Provavelmente, não resultará em nada, já que o relatório do NTSB é uma obra prima da enganação técnica para proteger os pilotos, e mais do que isto, proteger as empresas que estão envolvidas no acidente: a Excelaire a maior responsável por este acidente e a Embraer que deve estar fazendo de tudo ao seu alcance para proteger seus clientes e culpar o controle de tráfego aéreo. Há muitos artigos sendo publicados nas revistas especializadas sobre o acidente, bem ao lado das matérias pagas e peças publicitárias de nossa grande empresa brasileira.
Leia:
Folha Online, Parlamentares cobram dos Estados Unidos cassação de brevê dos pilotos do Legacy, 14/04/2010.
Folha Online, Governo dos EUA deve decidir sobre cassação de pilotos do Legacy em uma semana, 15/04/2010.
Estadão.com.br, Deputados pedem aos EUA cassação de licenças de pilotos do Legacy, 15/04/2010.
Globo.com, Comitiva brasileira está nos EUA para pedir punição a pilotos do Legacy que se chocou com avião da Gol, 15/04/2010.
sexta-feira, 26 de fevereiro de 2010
Análise detalhada da mudança automática de níveis no sistema do CTA
A crítica central de todas as organizações que se manifestaram sobre as falhas do Controle de Tráfego Aéreo (CTA) brasileiro no acidente do voo da GOL número 1907, (GLO1907) concentram-se na mudança automática na etiqueta de identificação do voo do Legacy (N600XL) do nível autorizado FL370 para FL360 na tela do radar sem que esta autorização (clearance) tenha sido comunicada à tripulação. Já escrevi vários posts sobre este assunto, mas vou destacá-lo aqui por sua importância na análise do acidente. Sobre isto comenta o NTSB:
Aqui se comete o primeiro erro grave no relatório do CENIPA e que foi utilizado como fundamentação para a análise do NTSB americano. O que está identificado do lado direito não representa o nível que foi autorizado, ou seja, que em algum momento foi comunicado para a tripulação. Primeiramente deve-se ter em mente que o nível que será autorizado para a aeronave deve ser decido, planejado, antes de autorizá-la. Isto parece óbvio, mas não está claro nesta análise. Antes de verbalizar, comunicar, autorizar à tripulação, ele deve ser determinado pelo CTA. O CTA recebe uma solicitação de nível através do plano de voo submetido pela tripulação. Trata este plano de voo e analisa se ele pode ser atendido, o que significa que o plano de voo solicitado pode ser modificado, ou seja, pode ser diferente daquele que foi requisitado pela tripulação. Coordena com os diversos centros de controle este plano e ativa o plano de voo que será autorizado.
Portanto, o lado direito da etiqueta não representa o nível que foi autorizado, mas sim o nível que deve ser autorizado. O significado é diferente. Ele é atemporal, ou seja, ele não adquire significado somente depois de ser comunicado à tripulação, mas ele tem um significado mesmo antes de ser comunicado à tripulação. Obviamente, também não tem sentido algum registrar o que foi autorizado para a tripulação, já que o que o controlador autoriza não pode ser diferente do que deve ser autorizado. Se em função de circunstâncias específicas do voo, aquilo que foi autorizado para a tripulação foi diferente daquilo que foi planejado para o voo (não confundir com o que foi solicitado pela tripulação), o controlador deve simultaneamente à autorização emitida à tripulação alterar esta informação. Por exemplo, se durante o voo a tripulação solicita alteração do nível em função de condições metereológicas, o controlador simultaneamente ao atendimento da solicitação, altera o nível autorizado (CFL). Coincidentemente, na maioria absoluta das vezes ele é o nível solicitado pela tripulação e por isso muitas vezes confunde-se com o nivel do plano de voo apresentado pela tripulação, e que gerou o comentário equivocado do NTSB.
O plano ativado, ou seja, aquele que seria autorizado para a tripulação do N600XL, previa que em Brasília a aeronave deveria descer de FL370 para FL360. Ao passar por Brasília a etiqueta de voo apresentou 370=360, ou seja, a aeronave estava voando em FL370 e deveria ser autorizada a voar em FL360. Veja bem o tempo verbal que utilizei: “deveria”. Não significa de modo algum que “foi” autorizada. Não é relevante se a aeronave recebeu ou não esta autorização anteriormente, o importante é o significado desta etiqueta: FL360 é o nível que a aeronave deve ser conduzida a voar e está diferente da altitude que está voando. Eventualmente, o CTA poderia perfeitamente ter decidido que ao invés de autorizar um plano solicitado de FL370/FL360/FL380, seria autorizado FL370/FL380. Se fosse esta a decisão, apareceria na tela 370=380, ou seja, o lado direito da etiqueta não é o nível requisitado como equivocadamente analisado pelo NTSB.
Deve-se ressaltar que o plano de voo do N600XL foi um plano completamente não usual e inexplicável. Não há sentido algum em solicitar para uma aeronave subir até FL370, pouco depois descer para FL360 e pouco depois subir para FL380. Embora o primeiro trecho do voo, tenha proa 006º (pela aerovia UW2) e o segundo trecho tenha proa 336º (pela aerovia UZ6), a UW2 tem mão única no sentido Brasília e, portanto, o N600XL poderia ir em nivel par do ínicio ao fim do voo. Se a intenção fosse evitar ventos de altitude no nível FL380 antes de Brasília, o N600XL poderia ir em um nível mais baixo (FL340 ou FL360) até Teres e depois subir para FL380. O mais lógico seria um voo em FL380 do inicio ao fim. Paladino em certo momento do voo diz para Lepore que esperava que fosse autorizado FL380 e não FL370. Isto demonstra que nenhum deles olhou mais atentamente seu plano de voo, o qual previa as mudanças de altitude.
Às 18:53h, dois minutos antes da passagem por Brasília, a etiqueta 370=360 começou a piscar, indicando para o controlador solicitar a alteração de nível da aeronave. Das 18:55h, quando o N600XL passou pela vertical de Brasília até 19:02, quando o transponder foi desligado, a etiqueta do voo apresentava 370=360. O controlador, segundo declarou, estava atento a outras aeronaves e não observou esta indicação. O N600XL não tinha nenhuma aeronave cruzando sua rota. Esta é uma situação absolutamente normal, os controladores não ficam monitorando cada aeronave a cada segundo enquanto estão em rota, já que é extremamente raro haver uma mudança de altitude de cruzeiro que não tenha como origem uma solicitação do piloto em função de condições metereológicas.
A partir das 19:02h a etiqueta passa a apresentar 370Z360, mas a altitude real (370) passa a variar porque não se tem a leitura da altitude real fornecida pelo transponder. O mesmo controlador que vinha acompanhando a aeronave, enquanto a aeronave apresentava a etiqueta 370=370, acredita que a aeronave estava em FL360. Não se sabe a razão, se porque não percebeu a alteração de níveis ou se acreditava que a aeronave já havia sido autorizada a descer. Ambas justificativas são plausíveis. O fato é que não percebeu nenhuma situação de risco, porque não havia nenhuma aeronave na rota do N600XL.
Às 19:30h, devido ao desligamento do transponder, o N600XL sai completamente da tela do radar. Às 19:53 ocorre a colisão. Em nenhum momento as duas aeronaves estiveram juntas na mesma tela de radar, de tal forma a tornar perceptível o risco para os controladores.
O NTSB diz que é a principal causa do acidente foi a etiqueta ter alterado de 370=370 para 370=360 em Brasília sem que a aeronave tenha sido autorizada à proceder a descida. Já vimos que o significado do 360 não é que ela tenha sido autorizada, mas sim que ela deveria ser autorizada. Mas admitamos que a afirmativa do NTSB esteja correta e a etiqueta não devesse ser alterada automaticamente e sim que ela deveria permanecer em 370=370 depois de Brasilia, já que a última autorização recebida pela aeronave foi a de nível 370.
Ora, se o controlador não tomou nenhuma atitude quando a etiqueta mostrava 370=360, com certeza também não teria tomado nenhuma atitude com a etiqueta 370=370. Em uma situação normal, com o transponder ligado, não seria tomada nenhuma atitude pelo controlador enquanto ele não analisasse a strip (o plano de voo) do N600XL e solicitasse mudança de altitude. Ele não teria nenhuma indicação na etiqueta do voo que deveria executar a mudança de altitude. Nesta situação ele deveria ter que analisar todos os voos que cruzassem com o N600XL na UZ6. Imaginem a situação de risco, o controlador não teria nenhuma indicação na etiqueta que a aeronave estaria na contramão! Só isto já demonstra a completa insensatez da crítica do NTSB.
Mas mesmo assim, vamos prosseguir na análise do NTSB. Após o desligamento do transponder a etiqueta passaria a apresentar 370Z370. Da mesma forma que o 370Z360 não indicava nenhuma situação de risco, 370Z370 não seria nenhuma indicação de risco porque não havia nenhuma aeronave neste nível. Às 19:30 o N600XL saiu da tela do radar devido ao desligamento do transponder e embora os controladores pudessem ter certeza nesta hipótese que o Legacy estava altitude FL370, como poderiam saber que estava na rota do GLO1907? Só se recorressem às strips dos voos para identificar que eles estariam na mesma aerovia, e que o N600XL antes de sair da tela do radar estava na altitude 370 (diferente do plano de voo da strip), ou seja, um completo absurdo a sugestão e crítica do NTSB pela sua absoluta impossibilidade prática de ser realizada. O acidente ocorreria exatamente da mesma forma porque os controladores não teriam percebido o risco das aeronaves estarem em rotas de colisão porque nunca as duas aeronaves estiveram presentes na mesma tela!
Ou seja, a análise do NTSB e outros que se baseiam nesta crítica estão completamente equivocados e este acidente só teve como causa incontestável e indiscutível o desligamento inadvertido do transponder logo após a prevista mudança de altitude sobre Brasília.
“The ATC computer automatic insertion of the “cleared altitude” field in the displayed datablock was one of the first chronological events that led to the collision. [...] a design in which two distinctly different pieces of information (that is, requested altitude and cleared altitude) appear identical on the display is clearly a latent error”.A etiqueta do voo tem o seguinte formato:
Portanto, o lado direito da etiqueta não representa o nível que foi autorizado, mas sim o nível que deve ser autorizado. O significado é diferente. Ele é atemporal, ou seja, ele não adquire significado somente depois de ser comunicado à tripulação, mas ele tem um significado mesmo antes de ser comunicado à tripulação. Obviamente, também não tem sentido algum registrar o que foi autorizado para a tripulação, já que o que o controlador autoriza não pode ser diferente do que deve ser autorizado. Se em função de circunstâncias específicas do voo, aquilo que foi autorizado para a tripulação foi diferente daquilo que foi planejado para o voo (não confundir com o que foi solicitado pela tripulação), o controlador deve simultaneamente à autorização emitida à tripulação alterar esta informação. Por exemplo, se durante o voo a tripulação solicita alteração do nível em função de condições metereológicas, o controlador simultaneamente ao atendimento da solicitação, altera o nível autorizado (CFL). Coincidentemente, na maioria absoluta das vezes ele é o nível solicitado pela tripulação e por isso muitas vezes confunde-se com o nivel do plano de voo apresentado pela tripulação, e que gerou o comentário equivocado do NTSB.
O plano ativado, ou seja, aquele que seria autorizado para a tripulação do N600XL, previa que em Brasília a aeronave deveria descer de FL370 para FL360. Ao passar por Brasília a etiqueta de voo apresentou 370=360, ou seja, a aeronave estava voando em FL370 e deveria ser autorizada a voar em FL360. Veja bem o tempo verbal que utilizei: “deveria”. Não significa de modo algum que “foi” autorizada. Não é relevante se a aeronave recebeu ou não esta autorização anteriormente, o importante é o significado desta etiqueta: FL360 é o nível que a aeronave deve ser conduzida a voar e está diferente da altitude que está voando. Eventualmente, o CTA poderia perfeitamente ter decidido que ao invés de autorizar um plano solicitado de FL370/FL360/FL380, seria autorizado FL370/FL380. Se fosse esta a decisão, apareceria na tela 370=380, ou seja, o lado direito da etiqueta não é o nível requisitado como equivocadamente analisado pelo NTSB.
Deve-se ressaltar que o plano de voo do N600XL foi um plano completamente não usual e inexplicável. Não há sentido algum em solicitar para uma aeronave subir até FL370, pouco depois descer para FL360 e pouco depois subir para FL380. Embora o primeiro trecho do voo, tenha proa 006º (pela aerovia UW2) e o segundo trecho tenha proa 336º (pela aerovia UZ6), a UW2 tem mão única no sentido Brasília e, portanto, o N600XL poderia ir em nivel par do ínicio ao fim do voo. Se a intenção fosse evitar ventos de altitude no nível FL380 antes de Brasília, o N600XL poderia ir em um nível mais baixo (FL340 ou FL360) até Teres e depois subir para FL380. O mais lógico seria um voo em FL380 do inicio ao fim. Paladino em certo momento do voo diz para Lepore que esperava que fosse autorizado FL380 e não FL370. Isto demonstra que nenhum deles olhou mais atentamente seu plano de voo, o qual previa as mudanças de altitude.
Às 18:53h, dois minutos antes da passagem por Brasília, a etiqueta 370=360 começou a piscar, indicando para o controlador solicitar a alteração de nível da aeronave. Das 18:55h, quando o N600XL passou pela vertical de Brasília até 19:02, quando o transponder foi desligado, a etiqueta do voo apresentava 370=360. O controlador, segundo declarou, estava atento a outras aeronaves e não observou esta indicação. O N600XL não tinha nenhuma aeronave cruzando sua rota. Esta é uma situação absolutamente normal, os controladores não ficam monitorando cada aeronave a cada segundo enquanto estão em rota, já que é extremamente raro haver uma mudança de altitude de cruzeiro que não tenha como origem uma solicitação do piloto em função de condições metereológicas.
A partir das 19:02h a etiqueta passa a apresentar 370Z360, mas a altitude real (370) passa a variar porque não se tem a leitura da altitude real fornecida pelo transponder. O mesmo controlador que vinha acompanhando a aeronave, enquanto a aeronave apresentava a etiqueta 370=370, acredita que a aeronave estava em FL360. Não se sabe a razão, se porque não percebeu a alteração de níveis ou se acreditava que a aeronave já havia sido autorizada a descer. Ambas justificativas são plausíveis. O fato é que não percebeu nenhuma situação de risco, porque não havia nenhuma aeronave na rota do N600XL.
Às 19:30h, devido ao desligamento do transponder, o N600XL sai completamente da tela do radar. Às 19:53 ocorre a colisão. Em nenhum momento as duas aeronaves estiveram juntas na mesma tela de radar, de tal forma a tornar perceptível o risco para os controladores.
O NTSB diz que é a principal causa do acidente foi a etiqueta ter alterado de 370=370 para 370=360 em Brasília sem que a aeronave tenha sido autorizada à proceder a descida. Já vimos que o significado do 360 não é que ela tenha sido autorizada, mas sim que ela deveria ser autorizada. Mas admitamos que a afirmativa do NTSB esteja correta e a etiqueta não devesse ser alterada automaticamente e sim que ela deveria permanecer em 370=370 depois de Brasilia, já que a última autorização recebida pela aeronave foi a de nível 370.
Ora, se o controlador não tomou nenhuma atitude quando a etiqueta mostrava 370=360, com certeza também não teria tomado nenhuma atitude com a etiqueta 370=370. Em uma situação normal, com o transponder ligado, não seria tomada nenhuma atitude pelo controlador enquanto ele não analisasse a strip (o plano de voo) do N600XL e solicitasse mudança de altitude. Ele não teria nenhuma indicação na etiqueta do voo que deveria executar a mudança de altitude. Nesta situação ele deveria ter que analisar todos os voos que cruzassem com o N600XL na UZ6. Imaginem a situação de risco, o controlador não teria nenhuma indicação na etiqueta que a aeronave estaria na contramão! Só isto já demonstra a completa insensatez da crítica do NTSB.
Mas mesmo assim, vamos prosseguir na análise do NTSB. Após o desligamento do transponder a etiqueta passaria a apresentar 370Z370. Da mesma forma que o 370Z360 não indicava nenhuma situação de risco, 370Z370 não seria nenhuma indicação de risco porque não havia nenhuma aeronave neste nível. Às 19:30 o N600XL saiu da tela do radar devido ao desligamento do transponder e embora os controladores pudessem ter certeza nesta hipótese que o Legacy estava altitude FL370, como poderiam saber que estava na rota do GLO1907? Só se recorressem às strips dos voos para identificar que eles estariam na mesma aerovia, e que o N600XL antes de sair da tela do radar estava na altitude 370 (diferente do plano de voo da strip), ou seja, um completo absurdo a sugestão e crítica do NTSB pela sua absoluta impossibilidade prática de ser realizada. O acidente ocorreria exatamente da mesma forma porque os controladores não teriam percebido o risco das aeronaves estarem em rotas de colisão porque nunca as duas aeronaves estiveram presentes na mesma tela!
Ou seja, a análise do NTSB e outros que se baseiam nesta crítica estão completamente equivocados e este acidente só teve como causa incontestável e indiscutível o desligamento inadvertido do transponder logo após a prevista mudança de altitude sobre Brasília.
sexta-feira, 5 de fevereiro de 2010
Festival da besteira que assola o país
Folha.com - 05/02/2010 - Justiça de MT notifica pilotos do jato Legacy sobre novo processo criminal.
Diz a notícia: “Os pilotos americanos Joe Lepore e Jan Paul Paladino, que comandavam o jato Legacy no momento em que ele se chocou com o Boeing da Gol em setembro de 2006, foram notificados sobre o novo processo em andamento contra eles na Justiça Federal de Mato Grosso pelo acidente que causou a morte dos 154 ocupantes do voo 1907 da empresa aérea. A nova denúncia -- de atentado contra a segurança do transporte aéreo nacional, na modalidade culposa (sem intenção) -- se baseia em dois laudos que apontam condutas erradas dos pilotos: a de que eles omitiram a informação de que o jato não tinha autorização para voar em uma área tida como espaço aéreo especial e a de que eles não fizeram uso do TCAS (sistema anticolisão) em nenhum momento durante o voo”.
Não sei de onde podem vir tantas bobagens, incorreções e idiotices juntas em somente uma notícia. Se a origem vem das peças judiciais ou dos jornalistas que não entenderem nada do que leram.
O texto da denuncia original de 25/05/2007 diz textualmente: “Os denunciados JOSEPH LEPORE e JAN PAUL PALADINO [...] perpetraram o delito tipificado no art. 261, § 3º, c/c art. 263, com pena cominada pelo art. 258, c/c art. 121, § 4º (inobservância de regra técnica de profissão), todos do Código Penal Brasileiro”. E diz o Código Penal: “Atentado contra a segurança de transporte marítimo, fluvial ou aéreo. Art. 261 - Expor a perigo embarcação ou aeronave, própria ou alheia, ou praticar qualquer ato tendente a impedir ou dificultar navegação marítima, fluvial ou aérea”. Portanto, que “nova denúncia” é esta?
O relatório do CENIPA diz: "A separação estava ocorrendo em condições Reduced Vertical Separation Minimums (RVSM), estando ambas as aeronaves homologadas e equipadas para este tipo de operação, cumprindo o subitem 1.11.1, do item 1.11 'Procedimentos Operacionais da Tripulação antes do Ingresso no Espaço Aéreo RVSM', do AIP BRASIL (ENR2.2-2) de 23 NOV 2006”. Ou seja, o Legacy tinha sim autorização para voar em uma área tida como espaço aéreo especial.
O mesmo relatório do CENIPA diz: “Às 19:02 UTC, sete minutos depois que a aeronave passou na vertical de Brasília, o Transponder do N600XL parou de transmitir seus sinais aos radares do ACC Brasília”. Portanto, como explicar uma denúncia de que eles não fizeram uso do TCAS (sistema anticolisão) em nenhum momento durante o voo, se ele foi somente desligado às 19:02? Outra estupidez.
Diz a notícia: “Os pilotos americanos Joe Lepore e Jan Paul Paladino, que comandavam o jato Legacy no momento em que ele se chocou com o Boeing da Gol em setembro de 2006, foram notificados sobre o novo processo em andamento contra eles na Justiça Federal de Mato Grosso pelo acidente que causou a morte dos 154 ocupantes do voo 1907 da empresa aérea. A nova denúncia -- de atentado contra a segurança do transporte aéreo nacional, na modalidade culposa (sem intenção) -- se baseia em dois laudos que apontam condutas erradas dos pilotos: a de que eles omitiram a informação de que o jato não tinha autorização para voar em uma área tida como espaço aéreo especial e a de que eles não fizeram uso do TCAS (sistema anticolisão) em nenhum momento durante o voo”.
Não sei de onde podem vir tantas bobagens, incorreções e idiotices juntas em somente uma notícia. Se a origem vem das peças judiciais ou dos jornalistas que não entenderem nada do que leram.
O texto da denuncia original de 25/05/2007 diz textualmente: “Os denunciados JOSEPH LEPORE e JAN PAUL PALADINO [...] perpetraram o delito tipificado no art. 261, § 3º, c/c art. 263, com pena cominada pelo art. 258, c/c art. 121, § 4º (inobservância de regra técnica de profissão), todos do Código Penal Brasileiro”. E diz o Código Penal: “Atentado contra a segurança de transporte marítimo, fluvial ou aéreo. Art. 261 - Expor a perigo embarcação ou aeronave, própria ou alheia, ou praticar qualquer ato tendente a impedir ou dificultar navegação marítima, fluvial ou aérea”. Portanto, que “nova denúncia” é esta?
O relatório do CENIPA diz: "A separação estava ocorrendo em condições Reduced Vertical Separation Minimums (RVSM), estando ambas as aeronaves homologadas e equipadas para este tipo de operação, cumprindo o subitem 1.11.1, do item 1.11 'Procedimentos Operacionais da Tripulação antes do Ingresso no Espaço Aéreo RVSM', do AIP BRASIL (ENR2.2-2) de 23 NOV 2006”. Ou seja, o Legacy tinha sim autorização para voar em uma área tida como espaço aéreo especial.
O mesmo relatório do CENIPA diz: “Às 19:02 UTC, sete minutos depois que a aeronave passou na vertical de Brasília, o Transponder do N600XL parou de transmitir seus sinais aos radares do ACC Brasília”. Portanto, como explicar uma denúncia de que eles não fizeram uso do TCAS (sistema anticolisão) em nenhum momento durante o voo, se ele foi somente desligado às 19:02? Outra estupidez.
domingo, 24 de janeiro de 2010
Sharkey também ironiza as autoridades americanas
quinta-feira, 21 de janeiro de 2010
O sistema informatizado do controle de tráfego aéreo
Após o acidente que envolveu o voo GOL 1907, vieram à tona inúmeros problemas envolvendo o setor aéreo brasileiro e que deram origem à chamada crise aérea. As falhas no sistema de tratamento e visualização radar foram apontadas pelos controladores de vôo, na mídia, na CPI e pelo NTSB nos seus comentários ao relatório final como um dos fatores que contribuíram para o acidente. O Tribunal de Contas da União fez então uma "Auditoria no Sistema de Tratamento e Visualização
Radar X-4000" (Sumários Executivos, Acórdão) que teve como objetivo avaliar o sistema utilizado pelo Departamento de Controle do Espaço Aéreo (Decea) no controle do tráfego aéreo brasileiro, com relação à sua operacionalidade, confiabilidade e efetividade. Nunca comentei mais detalhadamente aqui esta auditoria, mas tardiamente estou fazendo agora. A auditoria encontrou as seguintes “falhas” (sic):
1. Ocorrência de falhas no sistema X-4000.
2. Tratamento inadequado de exceções.
3. Travamento e reinicialização da console de visualização em decorrência do acionamento indevido de teclas.
4. Quantidade insuficiente de peças de reposição para manter todas as consoles em operação.
5. Descumprimento do contrato de manutenção do sistema.
6. Sistema não apresenta algumas informações importantes para o serviço de vigilância radar.
7. Informações imprecisas nas transferências entre os controles de aproximação do Rio de Janeiro (APP-RJ) e de São Paulo (APP-SP).
8. Mudança automática do nível de vôo sem aquiescência do controlador.
9. Falta de integração entre o sistema de gerenciamento de torres de controle e o sistema X-4000.
10. Gestão de mudanças inadequada.
11. Falta de padronização do treinamento dos usuários.
12. Inexistência de plano de contingência formal para os ativos de informática.
13. Instalação dos recursos computacionais redundantes no mesmo ambiente físico dos recursos principais.
14. Indícios de ato antieconômico contrato de manutenção.
15. Contratação do desenvolvimento por inexigibilidade de licitação.
16. Carência de recursos humanos para prestar suporte ao sistema.
17. Problemas de síntese radar no controle de aproximação do Rio de Janeiro.
18. Interferências nas radiocomunicações aeronáuticas.
Eu estou acostumado a passar por auditoria de sistemas e fazer auditoria de sistemas e o que me chamou a atenção é como um documento de tão baixa qualidade metodológica possa ser chamado de um relatório de auditoria. Em principio não se faz auditoria de sistemas simplesmente colhendo “opiniões”. O relatório diz “Em entrevistas dadas à equipe de auditoria, controladores de vôo confirmaram a ocorrência de falhas no sistema X-4000”. É o mesmo que perguntar aos pilotos se as aeronaves apresentam falhas, perguntar aos motoristas de taxi se os seus veículos apresentam falhas, perguntar a você se o seu celular apresenta falhas ou se o fornecimento de energia elétrica para sua casa apresenta falhas, e por aí afora. Qualquer artefato, sistema, equipamento, qualquer coisa enfim na face da terra apresenta em algum momento de sua existência algum tipo de falha, quer seja um parafuso ou um computador de bordo de uma nave espacial. O que se verifica em uma auditoria de sistema são indicadores ou métricas, ou seja, índices de falhas. Linhas telefônicas são avaliadas por número de chamadas mal sucedidas por milhares de chamadas. Qualidade de veículos pode ser avaliada, por exemplo, por número de defeitos por milhares de quilômetros rodados ou testes de durabilidade. Mesmo assim, as falhas devem ser classificadas em níveis de severidade segundo o impacto que provoca e os indicadores serem associados aos diversos níveis de severidade. Uma avaliação não deve ser meramente qualitativa, mas preponderantemente quantitativa.
Portanto, metodologicamente, o relatório do TCU é ridiculamente falho. Não parece ter sido elaborado por profissionais que tenham a mínima formação em ciências da computação. Não é necessário fazer uma auditoria para se comprovar que qualquer sistema da face da terra apresenta “falhas”. Ainda não foi inventado um sistema a prova de falhas. O foco de uma auditoria deve ser se os indicadores de falhas e incidentes, presentes em qualquer sistema existente, estão situados em níveis admissíveis em padrões aceitos mundialmente.
Mas o ponto mais significativo desta análise é que com exceção do item 8 (“Mudança automática do nível de vôo sem aquiescência do controlador”) e 11 (“Falta de padronização do treinamento dos usuários”) nenhuma outra “falha” pode ser associada ao acidente da Gol e que na realidade foi o que deu origem à esta auditoria. Ou seja, nenhuma das outras 16 falhas contribuiu para o acidente. Nenhuma das outras falhas apontadas está relacionada como fatores contribuintes no relatório final.
E quanto à mencionada falha relacionada no item 8, tratar-se-ia de um eventual erro de especificação, o que nunca poderia ser considerado como falha de sistema, mas falha de especificação, o que em ciências da computação são eventos distintos. Falhas de sistemas são indiscutíveis, e estão associados a eventos em que o sistema deveria se comportar de uma determinada forma e não se comporta. Falhas de especificação são quando o responsável determina como o sistema deve funcionar e o responsável pelo sistema (e não o desenvolvedor) erra ao determinar como o sistema deve funcionar. A responsabilidade por estas falhas são do especificador e não do sistema. Uma especificação errada seria de responsabilidade do Decea que estabelece e homologa as especificações. A auditoria diz: “Os representantes do Decea, por sua vez, disseram não concordar com a supressão dessa funcionalidade”. Ora se os “donos” do sistema dizem que esta funcionalidade foi desejável no momento em que o sistema foi projetado, quem é o auditor do TCU para dizer que está errada? Não é preciso grande esforço intelectual para concluir que não se trata de uma "falha de sistema" e no mínimo é discutível, o que não significa de modo algum que não possa ser uma funcionalidade a ser aprimorada.
Mas o que é mais curioso, é que a análise deste item é completamente falha e demonstra desconhecimento técnico. O texto da auditoria diz:
“A informação da direita (370) corresponde ao nível previsto no plano da aeronave N600XL, enquanto a da esquerda (370) mostra o nível de vôo real voado pela aeronave. No entanto, nem sempre a aeronave mantém o nível de vôo previsto no plano. Em algumas situações as aeronaves recebem instruções do controlador para voar em um nível diferente do previsto, por solicitação do piloto ou para evitar conflitos de tráfego. O sistema X-4000 possui uma funcionalidade que altera automaticamente o nível de vôo no ponto da rota previsto no plano, sem aquiescência do controlador e independentemente de alteração no nível real voado pela aeronave. Nesse caso, a etiqueta apresenta dois níveis diferentes, como na Figura 2” (TCU, Sumários Executivos, p.17).
A informação da direita não representa o nível previsto no plano da aeronave. Ela representa o nível que será autorizado para a aeronave no momento oportuno no trecho em referência após o tratamento dos conflitos de tráfego que possam eventualmente emergir. Se não houver impedimentos, é igual ao do plano de voo solicitado o que ocorre na maioria absoluta das vezes. Tanto não é o plano previsto é que ele pode ser alterado pelo controlador a qualquer momento que julgar necessário. Se fosse o plano requisitado pela tripulação não poderia ser alterado. Pode-se dizer que ele representa o nível do plano de voo autorizado corrente. Como o voo deve ser planejado pelo ATC, não há sentido algum em chamá-lo de plano de voo autorizado para a tripulação (clearance), já que ele precede à sua comunicação à tripulação. Antes de a aeronave sair do solo, todo o plano de voo que será autorizado já está determinado e pode ser diferente do plano de voo solicitado pela aeronave. E, eventualmente, pode ser alterado ao longo do voo toda vez que o controlador necessitar. Ele é atemporal, ele vale para o momento em que a aeronave passar pelo ponto selecionado. O sistema deve alterar automaticamente o nível de voo no ponto da rota previsto no plano autorizado, para alertar o controlador que deve acompanhar a aeronave para que ela proceda à mudança de altitude. Este é o sentido de haver um nivel real à esquerda e um nivel autorizado a direita da etiqueta do voo. Se a aeronave não recebeu esta instrução anteriormente, o controlador contata a aeronave e solicita que altere sua altitude. Na presença do sinal do transponder esta informação é absolutamente segura. Tanto esta informação é importante para o controlador que ela chega a “piscar” por dois minutos antes que chegue o ponto em que esta mudança seja necessária. Entretanto esta mudança pode ser executada a qualquer momento, antes ou depois do ponto planejado. Se não há tráfego na rota da aeronave, o controlador pode solicitar esta mudança em outro momento. De modo algum, esta informação representa o último nível que foi comunicado para a tripulação. No caso do acidente da Gol, não havia nenhum tráfego na rota e o controlador estava observando outras aeronaves em situações mais críticas de tráfego. Quando voltou sua atenção para o Legacy, ele já havia desligado o transponder. Portanto, sem sombra de dúvida, a mudança automática do nível autorizado é uma funcionalidade desejável, atende as especificações do sistema e diante da presença do sinal do transponder é absolutamente segura para alertar o controlador que deve tomar ações em relação à aeronave. Na ausência do sinal de tranponder, o que está errado não é o sistema que não registra a última autorização verbal fornecida para a aeronave, mas a ausência de ações para a retomada das comunicações com a aeronave, que deve ser executada em qualquer circunstância.
O ministro relator do TCU foi claro em suas conclusões: "As falhas observadas pela equipe de auditoria indicam, sim, possibilidades de melhoria por parte dos órgãos de controle de tráfego aéreo. Estas melhorias, contudo, vêm sendo adotadas pelo Órgão competente, que acerca disto assim se pronunciou, verbis: O DECEA tem plena consciência de que nenhum sistema é tão perfeito que não caiba receber aprimoramentos, tanto assim que novas versões são implantadas com correções e modificações julgadas de interesse técnico-operacional. Assim ocorre com o Sistema X–4000 que vem absorvendo contínua e natural evolução, de acordo com novos conhecimentos ou experiências adquiridas nas áreas operacional, técnica e de Tecnologia da Informação. Estas circunstâncias – comum a todos os sistemas informatizados, volto a repetir – não significam que, em um dado momento, a possibilidade de melhoria e aprimoramento das funcionalidades de um determinado sistema comprometam sua eficácia e confiabilidade. Trata-se de processo evolutivo natural, inerente a sistemas computacionais".
Ao ler, por exemplo, o documento "Review of FAA’s Progress in Enhancing Air Traffic Control Systems Security", do U.S. Department of Transportation, de 02/11/2009, podemos constatar que há ainda inúmeras "falhas" de segurança no sistema de informações do controle de tráfego aéreo americano e inúmeras sugestões de melhorias que foram identificadas no "Information Security Program", de 10/10/2007. O texto diz: "Embora o FAA tenha aprimorado o processo de revisão dos sistemas de segurança do ATC [Air Traffic Control], as revisões não foram devidamente realizados para assegurar a proteção da segurança dos sistemas operacionais do ATC". O que não estaria correto é usar o argumento que as evidências de falhas do sistema do ATC americano seriam as causas de todos os acidente aéreos que envolvam o controle de tráfego aéreo. A constatação de que há "falhas" (sic) nos sistemas, e neste caso, de segurança das informações, não implicam necessariamente que estas falhas deram origem aos eventuais acidentes. Há que se demonstrar a causalidade entre as falhas e o acidente.
Nota: É bom que fique claro para aqueles que não leram os demais artigos deste blog que minha percepção do acidente da GOL é que a ausência de ações dos controladores não se deu porque o sistema informatizado os induziu à erro, mas sim pelo ineditismo na história da aviação de colisão frontal de aeronaves em rota na mesma aerovia, já que as regras que são implementadas na organização do espaço aéreo por si mesmas eliminam este tipo de risco. Não se tem noticia na história da aviação de incidentes desta natureza. Aeronaves voam em segurança sobre oceanos e outras regiões, sem cobertura de rádio ou radar sem que isto represente qualquer ameaça à segurança dos voos. Foi a primeira colisão frontal com aeronaves em rota na mesma aerovia. Isto tem um profundo significado e que é desprezado pela quase totalidade das análises feitas.
Radar X-4000" (Sumários Executivos, Acórdão) que teve como objetivo avaliar o sistema utilizado pelo Departamento de Controle do Espaço Aéreo (Decea) no controle do tráfego aéreo brasileiro, com relação à sua operacionalidade, confiabilidade e efetividade. Nunca comentei mais detalhadamente aqui esta auditoria, mas tardiamente estou fazendo agora. A auditoria encontrou as seguintes “falhas” (sic):
1. Ocorrência de falhas no sistema X-4000.
2. Tratamento inadequado de exceções.
3. Travamento e reinicialização da console de visualização em decorrência do acionamento indevido de teclas.
4. Quantidade insuficiente de peças de reposição para manter todas as consoles em operação.
5. Descumprimento do contrato de manutenção do sistema.
6. Sistema não apresenta algumas informações importantes para o serviço de vigilância radar.
7. Informações imprecisas nas transferências entre os controles de aproximação do Rio de Janeiro (APP-RJ) e de São Paulo (APP-SP).
8. Mudança automática do nível de vôo sem aquiescência do controlador.
9. Falta de integração entre o sistema de gerenciamento de torres de controle e o sistema X-4000.
10. Gestão de mudanças inadequada.
11. Falta de padronização do treinamento dos usuários.
12. Inexistência de plano de contingência formal para os ativos de informática.
13. Instalação dos recursos computacionais redundantes no mesmo ambiente físico dos recursos principais.
14. Indícios de ato antieconômico contrato de manutenção.
15. Contratação do desenvolvimento por inexigibilidade de licitação.
16. Carência de recursos humanos para prestar suporte ao sistema.
17. Problemas de síntese radar no controle de aproximação do Rio de Janeiro.
18. Interferências nas radiocomunicações aeronáuticas.
Eu estou acostumado a passar por auditoria de sistemas e fazer auditoria de sistemas e o que me chamou a atenção é como um documento de tão baixa qualidade metodológica possa ser chamado de um relatório de auditoria. Em principio não se faz auditoria de sistemas simplesmente colhendo “opiniões”. O relatório diz “Em entrevistas dadas à equipe de auditoria, controladores de vôo confirmaram a ocorrência de falhas no sistema X-4000”. É o mesmo que perguntar aos pilotos se as aeronaves apresentam falhas, perguntar aos motoristas de taxi se os seus veículos apresentam falhas, perguntar a você se o seu celular apresenta falhas ou se o fornecimento de energia elétrica para sua casa apresenta falhas, e por aí afora. Qualquer artefato, sistema, equipamento, qualquer coisa enfim na face da terra apresenta em algum momento de sua existência algum tipo de falha, quer seja um parafuso ou um computador de bordo de uma nave espacial. O que se verifica em uma auditoria de sistema são indicadores ou métricas, ou seja, índices de falhas. Linhas telefônicas são avaliadas por número de chamadas mal sucedidas por milhares de chamadas. Qualidade de veículos pode ser avaliada, por exemplo, por número de defeitos por milhares de quilômetros rodados ou testes de durabilidade. Mesmo assim, as falhas devem ser classificadas em níveis de severidade segundo o impacto que provoca e os indicadores serem associados aos diversos níveis de severidade. Uma avaliação não deve ser meramente qualitativa, mas preponderantemente quantitativa.
Portanto, metodologicamente, o relatório do TCU é ridiculamente falho. Não parece ter sido elaborado por profissionais que tenham a mínima formação em ciências da computação. Não é necessário fazer uma auditoria para se comprovar que qualquer sistema da face da terra apresenta “falhas”. Ainda não foi inventado um sistema a prova de falhas. O foco de uma auditoria deve ser se os indicadores de falhas e incidentes, presentes em qualquer sistema existente, estão situados em níveis admissíveis em padrões aceitos mundialmente.
Mas o ponto mais significativo desta análise é que com exceção do item 8 (“Mudança automática do nível de vôo sem aquiescência do controlador”) e 11 (“Falta de padronização do treinamento dos usuários”) nenhuma outra “falha” pode ser associada ao acidente da Gol e que na realidade foi o que deu origem à esta auditoria. Ou seja, nenhuma das outras 16 falhas contribuiu para o acidente. Nenhuma das outras falhas apontadas está relacionada como fatores contribuintes no relatório final.
E quanto à mencionada falha relacionada no item 8, tratar-se-ia de um eventual erro de especificação, o que nunca poderia ser considerado como falha de sistema, mas falha de especificação, o que em ciências da computação são eventos distintos. Falhas de sistemas são indiscutíveis, e estão associados a eventos em que o sistema deveria se comportar de uma determinada forma e não se comporta. Falhas de especificação são quando o responsável determina como o sistema deve funcionar e o responsável pelo sistema (e não o desenvolvedor) erra ao determinar como o sistema deve funcionar. A responsabilidade por estas falhas são do especificador e não do sistema. Uma especificação errada seria de responsabilidade do Decea que estabelece e homologa as especificações. A auditoria diz: “Os representantes do Decea, por sua vez, disseram não concordar com a supressão dessa funcionalidade”. Ora se os “donos” do sistema dizem que esta funcionalidade foi desejável no momento em que o sistema foi projetado, quem é o auditor do TCU para dizer que está errada? Não é preciso grande esforço intelectual para concluir que não se trata de uma "falha de sistema" e no mínimo é discutível, o que não significa de modo algum que não possa ser uma funcionalidade a ser aprimorada.
Mas o que é mais curioso, é que a análise deste item é completamente falha e demonstra desconhecimento técnico. O texto da auditoria diz:
“A informação da direita (370) corresponde ao nível previsto no plano da aeronave N600XL, enquanto a da esquerda (370) mostra o nível de vôo real voado pela aeronave. No entanto, nem sempre a aeronave mantém o nível de vôo previsto no plano. Em algumas situações as aeronaves recebem instruções do controlador para voar em um nível diferente do previsto, por solicitação do piloto ou para evitar conflitos de tráfego. O sistema X-4000 possui uma funcionalidade que altera automaticamente o nível de vôo no ponto da rota previsto no plano, sem aquiescência do controlador e independentemente de alteração no nível real voado pela aeronave. Nesse caso, a etiqueta apresenta dois níveis diferentes, como na Figura 2” (TCU, Sumários Executivos, p.17).
A informação da direita não representa o nível previsto no plano da aeronave. Ela representa o nível que será autorizado para a aeronave no momento oportuno no trecho em referência após o tratamento dos conflitos de tráfego que possam eventualmente emergir. Se não houver impedimentos, é igual ao do plano de voo solicitado o que ocorre na maioria absoluta das vezes. Tanto não é o plano previsto é que ele pode ser alterado pelo controlador a qualquer momento que julgar necessário. Se fosse o plano requisitado pela tripulação não poderia ser alterado. Pode-se dizer que ele representa o nível do plano de voo autorizado corrente. Como o voo deve ser planejado pelo ATC, não há sentido algum em chamá-lo de plano de voo autorizado para a tripulação (clearance), já que ele precede à sua comunicação à tripulação. Antes de a aeronave sair do solo, todo o plano de voo que será autorizado já está determinado e pode ser diferente do plano de voo solicitado pela aeronave. E, eventualmente, pode ser alterado ao longo do voo toda vez que o controlador necessitar. Ele é atemporal, ele vale para o momento em que a aeronave passar pelo ponto selecionado. O sistema deve alterar automaticamente o nível de voo no ponto da rota previsto no plano autorizado, para alertar o controlador que deve acompanhar a aeronave para que ela proceda à mudança de altitude. Este é o sentido de haver um nivel real à esquerda e um nivel autorizado a direita da etiqueta do voo. Se a aeronave não recebeu esta instrução anteriormente, o controlador contata a aeronave e solicita que altere sua altitude. Na presença do sinal do transponder esta informação é absolutamente segura. Tanto esta informação é importante para o controlador que ela chega a “piscar” por dois minutos antes que chegue o ponto em que esta mudança seja necessária. Entretanto esta mudança pode ser executada a qualquer momento, antes ou depois do ponto planejado. Se não há tráfego na rota da aeronave, o controlador pode solicitar esta mudança em outro momento. De modo algum, esta informação representa o último nível que foi comunicado para a tripulação. No caso do acidente da Gol, não havia nenhum tráfego na rota e o controlador estava observando outras aeronaves em situações mais críticas de tráfego. Quando voltou sua atenção para o Legacy, ele já havia desligado o transponder. Portanto, sem sombra de dúvida, a mudança automática do nível autorizado é uma funcionalidade desejável, atende as especificações do sistema e diante da presença do sinal do transponder é absolutamente segura para alertar o controlador que deve tomar ações em relação à aeronave. Na ausência do sinal de tranponder, o que está errado não é o sistema que não registra a última autorização verbal fornecida para a aeronave, mas a ausência de ações para a retomada das comunicações com a aeronave, que deve ser executada em qualquer circunstância.
O ministro relator do TCU foi claro em suas conclusões: "As falhas observadas pela equipe de auditoria indicam, sim, possibilidades de melhoria por parte dos órgãos de controle de tráfego aéreo. Estas melhorias, contudo, vêm sendo adotadas pelo Órgão competente, que acerca disto assim se pronunciou, verbis: O DECEA tem plena consciência de que nenhum sistema é tão perfeito que não caiba receber aprimoramentos, tanto assim que novas versões são implantadas com correções e modificações julgadas de interesse técnico-operacional. Assim ocorre com o Sistema X–4000 que vem absorvendo contínua e natural evolução, de acordo com novos conhecimentos ou experiências adquiridas nas áreas operacional, técnica e de Tecnologia da Informação. Estas circunstâncias – comum a todos os sistemas informatizados, volto a repetir – não significam que, em um dado momento, a possibilidade de melhoria e aprimoramento das funcionalidades de um determinado sistema comprometam sua eficácia e confiabilidade. Trata-se de processo evolutivo natural, inerente a sistemas computacionais".
Ao ler, por exemplo, o documento "Review of FAA’s Progress in Enhancing Air Traffic Control Systems Security", do U.S. Department of Transportation, de 02/11/2009, podemos constatar que há ainda inúmeras "falhas" de segurança no sistema de informações do controle de tráfego aéreo americano e inúmeras sugestões de melhorias que foram identificadas no "Information Security Program", de 10/10/2007. O texto diz: "Embora o FAA tenha aprimorado o processo de revisão dos sistemas de segurança do ATC [Air Traffic Control], as revisões não foram devidamente realizados para assegurar a proteção da segurança dos sistemas operacionais do ATC". O que não estaria correto é usar o argumento que as evidências de falhas do sistema do ATC americano seriam as causas de todos os acidente aéreos que envolvam o controle de tráfego aéreo. A constatação de que há "falhas" (sic) nos sistemas, e neste caso, de segurança das informações, não implicam necessariamente que estas falhas deram origem aos eventuais acidentes. Há que se demonstrar a causalidade entre as falhas e o acidente.
Nota: É bom que fique claro para aqueles que não leram os demais artigos deste blog que minha percepção do acidente da GOL é que a ausência de ações dos controladores não se deu porque o sistema informatizado os induziu à erro, mas sim pelo ineditismo na história da aviação de colisão frontal de aeronaves em rota na mesma aerovia, já que as regras que são implementadas na organização do espaço aéreo por si mesmas eliminam este tipo de risco. Não se tem noticia na história da aviação de incidentes desta natureza. Aeronaves voam em segurança sobre oceanos e outras regiões, sem cobertura de rádio ou radar sem que isto represente qualquer ameaça à segurança dos voos. Foi a primeira colisão frontal com aeronaves em rota na mesma aerovia. Isto tem um profundo significado e que é desprezado pela quase totalidade das análises feitas.
terça-feira, 12 de janeiro de 2010
TRF anula decisão que absolvia pilotos de negligência
Estado, 12/01/2010, Justiça anula absolvição de pilotos do Legacy em acidente da Gol
Globo, 12/01/2010, TRF anula decisão que absolvia pilotos envolvidos no acidente da Gol
O Tribunal Regional Federal (TRF) da 1a Região, em Brasília, anulou nesta terça-feira a absolvição de negligência pela tripulação do Legacy. A absolvição havia sido determinada por um juiz de Sinop, no Mato Grosso, em um julgamento em dezembro de 2008. Para o desembargador Cândido Ribeiro, relator do caso, há necessidade de se levantar mais provas, ouvir mais testemunhas e investigar mais profundamente o caso. A denúncia, segundo Ribeiro, se sustenta na constatação de que, embora tivessem pouca familiaridade com o Legacy, eram suficientemente experientes para constatar as contradições do plano de voo que receberam antes de decolar e para saber que deveriam acionar o sistema de comunicação de emergência ao não conseguir contato com o controle de tráfego aéreo (sic, isto é muita bobagem junta, não sei se do desembargador ou do jornalista). Com a anulação da absolvição, o processo retorna para a primeira instância. Os advogados dos pilotos podem recorrer da decisão do TRF.
Estas decisões judiciais mostram desconhecimento do caso pelos ilustres magistrados (ou erros de transcrição dos jornalistas). A denúncia original teve o seguinte texto: "JAN PAUL PALADINO assumiu momentaneamente o comando absoluto da aeronave. Foi quando ocorreram as falhas de comunicação. Competia ao último, pois, tomar as precauções regulamentares. Não o fez. JOSEPH LEPORE, todavia, omitiu-se na seqüência, eis que, sendo informado do acontecido, quedou-se inerte". Há outras denúncias, mas desta eles foram absolvidos porque não faz sentido nenhum denunciá-los por não tomar as "precauções regulamentares" se em nenhum momento houve "falha de comunicações". Isto que foi mencionado na denúcia ocorreu 2 a 3 minutos antes do choque. O que eles são responsáveis é por não retomar as comunicações do transponder, mas nunca por não tomar as providências na falta delas. Anular esta absolvição só fará atrasar o andamento do processo, portanto, uma infeliz decisão.
Isto não elimina os outros elementos da denúncia. Eles foram denunciados por conduzirem equivocadamente, e em desconformidade com o plano de voo, o que não é verdade porque eles seguiram exatamente o plano de voo autorizado e, portanto, certamente serão absolvidos. Além disso, foram denunciados por manter nível de cruzeiro reservado para o sentido de deslocamento contrário àquele que seguiam. "Manter o nivel" não está errado em si, ao contrário, eles estavam corretos em seguir exatamente o nível autorizado. Seu erro foi não ter consciência do risco que isto representava, e isto se chama imprudência (inobservância das precauções necessárias). Ao não questionar a altitude autorizada ao controle de tráfego aéreo, também cometeram imperícia, porque zelar pela segurança do voo é um dever da profissão de piloto. E ainda foram denunciados por desativarem o transponder, que nesse estado só permaneceu porque também negligenciaram sua conferência e a dos diversos sinais de desligamento exibidos no painel, o que caracteriza, sem dúvida e inquestionavelmente, imperícia e negligência.
Globo, 12/01/2010, TRF anula decisão que absolvia pilotos envolvidos no acidente da Gol
O Tribunal Regional Federal (TRF) da 1a Região, em Brasília, anulou nesta terça-feira a absolvição de negligência pela tripulação do Legacy. A absolvição havia sido determinada por um juiz de Sinop, no Mato Grosso, em um julgamento em dezembro de 2008. Para o desembargador Cândido Ribeiro, relator do caso, há necessidade de se levantar mais provas, ouvir mais testemunhas e investigar mais profundamente o caso. A denúncia, segundo Ribeiro, se sustenta na constatação de que, embora tivessem pouca familiaridade com o Legacy, eram suficientemente experientes para constatar as contradições do plano de voo que receberam antes de decolar e para saber que deveriam acionar o sistema de comunicação de emergência ao não conseguir contato com o controle de tráfego aéreo (sic, isto é muita bobagem junta, não sei se do desembargador ou do jornalista). Com a anulação da absolvição, o processo retorna para a primeira instância. Os advogados dos pilotos podem recorrer da decisão do TRF.
Estas decisões judiciais mostram desconhecimento do caso pelos ilustres magistrados (ou erros de transcrição dos jornalistas). A denúncia original teve o seguinte texto: "JAN PAUL PALADINO assumiu momentaneamente o comando absoluto da aeronave. Foi quando ocorreram as falhas de comunicação. Competia ao último, pois, tomar as precauções regulamentares. Não o fez. JOSEPH LEPORE, todavia, omitiu-se na seqüência, eis que, sendo informado do acontecido, quedou-se inerte". Há outras denúncias, mas desta eles foram absolvidos porque não faz sentido nenhum denunciá-los por não tomar as "precauções regulamentares" se em nenhum momento houve "falha de comunicações". Isto que foi mencionado na denúcia ocorreu 2 a 3 minutos antes do choque. O que eles são responsáveis é por não retomar as comunicações do transponder, mas nunca por não tomar as providências na falta delas. Anular esta absolvição só fará atrasar o andamento do processo, portanto, uma infeliz decisão.
Isto não elimina os outros elementos da denúncia. Eles foram denunciados por conduzirem equivocadamente, e em desconformidade com o plano de voo, o que não é verdade porque eles seguiram exatamente o plano de voo autorizado e, portanto, certamente serão absolvidos. Além disso, foram denunciados por manter nível de cruzeiro reservado para o sentido de deslocamento contrário àquele que seguiam. "Manter o nivel" não está errado em si, ao contrário, eles estavam corretos em seguir exatamente o nível autorizado. Seu erro foi não ter consciência do risco que isto representava, e isto se chama imprudência (inobservância das precauções necessárias). Ao não questionar a altitude autorizada ao controle de tráfego aéreo, também cometeram imperícia, porque zelar pela segurança do voo é um dever da profissão de piloto. E ainda foram denunciados por desativarem o transponder, que nesse estado só permaneceu porque também negligenciaram sua conferência e a dos diversos sinais de desligamento exibidos no painel, o que caracteriza, sem dúvida e inquestionavelmente, imperícia e negligência.
Assinar:
Postagens (Atom)