sexta-feira, 26 de fevereiro de 2010

Análise detalhada da mudança automática de níveis no sistema do CTA

A crítica central de todas as organizações que se manifestaram sobre as falhas do Controle de Tráfego Aéreo (CTA) brasileiro no acidente do voo da GOL número 1907, (GLO1907) concentram-se na mudança automática na etiqueta de identificação do voo do Legacy (N600XL) do nível autorizado FL370 para FL360 na tela do radar sem que esta autorização (clearance) tenha sido comunicada à tripulação. Já escrevi vários posts sobre este assunto, mas vou destacá-lo aqui por sua importância na análise do acidente. Sobre isto comenta o NTSB:
“The ATC computer automatic insertion of the “cleared altitude” field in the displayed datablock was one of the first chronological events that led to the collision. [...] a design in which two distinctly different pieces of information (that is, requested altitude and cleared altitude) appear identical on the display is clearly a latent error”.
A etiqueta do voo tem o seguinte formato:
Aqui se comete o primeiro erro grave no relatório do CENIPA e que foi utilizado como fundamentação para a análise do NTSB americano. O que está identificado do lado direito não representa o nível que foi autorizado, ou seja, que em algum momento foi comunicado para a tripulação. Primeiramente deve-se ter em mente que o nível que será autorizado para a aeronave deve ser decido, planejado, antes de autorizá-la. Isto parece óbvio, mas não está claro nesta análise. Antes de verbalizar, comunicar, autorizar à tripulação, ele deve ser determinado pelo CTA. O CTA recebe uma solicitação de nível através do plano de voo submetido pela tripulação. Trata este plano de voo e analisa se ele pode ser atendido, o que significa que o plano de voo solicitado pode ser modificado, ou seja, pode ser diferente daquele que foi requisitado pela tripulação. Coordena com os diversos centros de controle este plano e ativa o plano de voo que será autorizado.

Portanto, o lado direito da etiqueta não representa o nível que foi autorizado, mas sim o nível que deve ser autorizado. O significado é diferente. Ele é atemporal, ou seja, ele não adquire significado somente depois de ser comunicado à tripulação, mas ele tem um significado mesmo antes de ser comunicado à tripulação. Obviamente, também não tem sentido algum registrar o que foi autorizado para a tripulação, já que o que o controlador autoriza não pode ser diferente do que deve ser autorizado. Se em função de circunstâncias específicas do voo, aquilo que foi autorizado para a tripulação foi diferente daquilo que foi planejado para o voo (não confundir com o que foi solicitado pela tripulação), o controlador deve simultaneamente à autorização emitida à tripulação alterar esta informação. Por exemplo, se durante o voo a tripulação solicita alteração do nível em função de condições metereológicas, o controlador simultaneamente ao atendimento da solicitação, altera o nível autorizado (CFL). Coincidentemente, na maioria absoluta das vezes ele é o nível solicitado pela tripulação e por isso muitas vezes confunde-se com o nivel do plano de voo apresentado pela tripulação, e que gerou o comentário equivocado do NTSB.

O plano ativado, ou seja, aquele que seria autorizado para a tripulação do N600XL, previa que em Brasília a aeronave deveria descer de FL370 para FL360. Ao passar por Brasília a etiqueta de voo apresentou 370=360, ou seja, a aeronave estava voando em FL370 e deveria ser autorizada a voar em FL360. Veja bem o tempo verbal que utilizei: “deveria”. Não significa de modo algum que “foi” autorizada. Não é relevante se a aeronave recebeu ou não esta autorização anteriormente, o importante é o significado desta etiqueta: FL360 é o nível que a aeronave deve ser conduzida a voar e está diferente da altitude que está voando. Eventualmente, o CTA poderia perfeitamente ter decidido que ao invés de autorizar um plano solicitado de FL370/FL360/FL380, seria autorizado FL370/FL380. Se fosse esta a decisão, apareceria na tela 370=380, ou seja, o lado direito da etiqueta não é o nível requisitado como equivocadamente analisado pelo NTSB.

Deve-se ressaltar que o plano de voo do N600XL foi um plano completamente não usual e inexplicável. Não há sentido algum em solicitar para uma aeronave subir até FL370, pouco depois descer para FL360 e pouco depois subir para FL380. Embora o primeiro trecho do voo, tenha proa 006º (pela aerovia UW2) e o segundo trecho tenha proa 336º (pela aerovia UZ6), a UW2 tem mão única no sentido Brasília e, portanto, o N600XL poderia ir em nivel par do ínicio ao fim do voo. Se a intenção fosse evitar ventos de altitude no nível FL380 antes de Brasília, o N600XL poderia ir em um nível mais baixo (FL340 ou FL360) até Teres e depois subir para FL380. O mais lógico seria um voo em FL380 do inicio ao fim. Paladino em certo momento do voo diz para Lepore que esperava que fosse autorizado FL380 e não FL370. Isto demonstra que nenhum deles olhou mais atentamente seu plano de voo, o qual previa as mudanças de altitude.

Às 18:53h, dois minutos antes da passagem por Brasília, a etiqueta 370=360 começou a piscar, indicando para o controlador solicitar a alteração de nível da aeronave. Das 18:55h, quando o N600XL passou pela vertical de Brasília até 19:02, quando o transponder foi desligado, a etiqueta do voo apresentava 370=360. O controlador, segundo declarou, estava atento a outras aeronaves e não observou esta indicação. O N600XL não tinha nenhuma aeronave cruzando sua rota. Esta é uma situação absolutamente normal, os controladores não ficam monitorando cada aeronave a cada segundo enquanto estão em rota, já que é extremamente raro haver uma mudança de altitude de cruzeiro que não tenha como origem uma solicitação do piloto em função de condições metereológicas.

A partir das 19:02h a etiqueta passa a apresentar 370Z360, mas a altitude real (370) passa a variar porque não se tem a leitura da altitude real fornecida pelo transponder. O mesmo controlador que vinha acompanhando a aeronave, enquanto a aeronave apresentava a etiqueta 370=370, acredita que a aeronave estava em FL360. Não se sabe a razão, se porque não percebeu a alteração de níveis ou se acreditava que a aeronave já havia sido autorizada a descer. Ambas justificativas são plausíveis. O fato é que não percebeu nenhuma situação de risco, porque não havia nenhuma aeronave na rota do N600XL.

Às 19:30h, devido ao desligamento do transponder, o N600XL sai completamente da tela do radar. Às 19:53 ocorre a colisão. Em nenhum momento as duas aeronaves estiveram juntas na mesma tela de radar, de tal forma a tornar perceptível o risco para os controladores.

O NTSB diz que é a principal causa do acidente foi a etiqueta ter alterado de 370=370 para 370=360 em Brasília sem que a aeronave tenha sido autorizada à proceder a descida. Já vimos que o significado do 360 não é que ela tenha sido autorizada, mas sim que ela deveria ser autorizada. Mas admitamos que a afirmativa do NTSB esteja correta e a etiqueta não devesse ser alterada automaticamente e sim que ela deveria permanecer em 370=370 depois de Brasilia, já que a última autorização recebida pela aeronave foi a de nível 370.

Ora, se o controlador não tomou nenhuma atitude quando a etiqueta mostrava 370=360, com certeza também não teria tomado nenhuma atitude com a etiqueta 370=370. Em uma situação normal, com o transponder ligado, não seria tomada nenhuma atitude pelo controlador enquanto ele não analisasse a strip (o plano de voo) do N600XL e solicitasse mudança de altitude. Ele não teria nenhuma indicação na etiqueta do voo que deveria executar a mudança de altitude. Nesta situação ele deveria ter que analisar todos os voos que cruzassem com o N600XL na UZ6. Imaginem a situação de risco, o controlador não teria nenhuma indicação na etiqueta que a aeronave estaria na contramão! Só isto já demonstra a completa insensatez da crítica do NTSB.

Mas mesmo assim, vamos prosseguir na análise do NTSB. Após o desligamento do transponder a etiqueta passaria a apresentar 370Z370. Da mesma forma que o 370Z360 não indicava nenhuma situação de risco, 370Z370 não seria nenhuma indicação de risco porque não havia nenhuma aeronave neste nível. Às 19:30 o N600XL saiu da tela do radar devido ao desligamento do transponder e embora os controladores pudessem ter certeza nesta hipótese que o Legacy estava altitude FL370, como poderiam saber que estava na rota do GLO1907? Só se recorressem às strips dos voos para identificar que eles estariam na mesma aerovia, e que o N600XL antes de sair da tela do radar estava na altitude 370 (diferente do plano de voo da strip), ou seja, um completo absurdo a sugestão e crítica do NTSB pela sua absoluta impossibilidade prática de ser realizada. O acidente ocorreria exatamente da mesma forma porque os controladores não teriam percebido o risco das aeronaves estarem em rotas de colisão porque nunca as duas aeronaves estiveram presentes na mesma tela!

Ou seja, a análise do NTSB e outros que se baseiam nesta crítica estão completamente equivocados e este acidente só teve como causa incontestável e indiscutível o desligamento inadvertido do transponder logo após a prevista mudança de altitude sobre Brasília.

Nenhum comentário: