A FAA, delegou ao longo dos anos autoridade crescente à Boeing para assumir o trabalho de certificação e segurança de seus próprios aviões.

Um trabalhador é visto dentro de um Boeing 737 MAX 9 na fábrica de Renton. O sensor circular visto no canto inferior direito mede o ângulo de ataque do avião, o ângulo entre o fluxo de ar e a asa. Este sensor nos aviões 737 MAX … (Mike Siegel / The Seattle Times) 

Os gerentes da Administração Federal de Aviação (Federal Aviation Administration) empurraram seus engenheiros para delegar ampla responsabilidade pela avaliação da segurança do 737 MAX para a Boeing. Mas os engenheiros de segurança familiarizados com os documentos que compartilham detalhes que mostram a análise incluíram falhas cruciais.

Por Dominic Gates – Repórter aeroespacial do Seattle Times

Enquanto a Boeing avançava em 2015 para alcançar a Airbus e certificar seu novo 737 MAX, os gerentes da Federal Aviation Administration (FAA) pressionaram os engenheiros de segurança da agência a delegar avaliações de segurança à própria Boeing e aprovar rapidamente a análise resultante.

Mas a análise de segurança original que a Boeing entregou à FAA para um novo sistema de controle de voo no MAX – um relatório usado para certificar o avião como seguro para voar – teve várias falhas cruciais.

O sistema de controle de voo, chamado MCAS (Sistema de Aumento de Características de Manobra), está sob investigação depois que duas quedas do jato em menos de cinco meses resultaram na ordem de quarta-feira da FAA para aterrar o avião.

Engenheiros atuais e antigos diretamente envolvidos com as avaliações ou familiarizados com o documento compartilhavam detalhes da “Análise de Segurança do Sistema” da Boeing, do MCAS, confirmada pelo Seattle Times.

A análise de segurança:

Subestimado o poder do novo sistema de controle de voo, que foi projetado para girar a cauda horizontal para empurrar o nariz do avião para baixo para evitar uma tenda. Quando os aviões entraram em serviço mais tarde, o MCAS foi capaz de mover a cauda mais de quatro vezes mais do que foi declarado no documento inicial de análise de segurança.

Não foi possível explicar como o sistema poderia se reinicializar a cada vez que um piloto respondia, perdendo assim o impacto potencial do sistema repetidamente empurrando o nariz do avião para baixo.

Avaliamos uma falha do sistema como um nível abaixo de “catastrófico”. Mas mesmo esse nível de perigo “perigoso” deveria ter impedido a ativação do sistema com base na entrada de um único sensor – e, ainda assim, foi assim que foi projetado.

As pessoas que conversaram com o The Seattle Times e compartilharam detalhes da análise de segurança, todos falaram sob condição de anonimato para proteger seus empregos na FAA e em outras organizações de aviação.

Tanto a Boeing quanto a FAA foram informadas sobre os detalhes dessa história e foram solicitadas respostas 11 dias atrás, antes do segundo crash de um 737 MAX no último domingo .

Na sexta-feira, a FAA disse que seguiu seu processo de certificação padrão no MAX. Citando uma semana agitada, um porta-voz disse que a agência “não é capaz de investigar detalhes detalhados”.

A Boeing respondeu no sábado com uma declaração de que “a FAA considerou a configuração final e os parâmetros operacionais do MCAS durante a certificação MAX, e concluiu que cumpriu todos os requisitos regulamentares e de certificação”.

Adicionando que é “incapaz de comentar … por causa da investigação em curso” sobre os acidentes, a Boeing não respondeu diretamente à descrição detalhada das falhas na certificação MCAS, além de dizer que “existem algumas descaracterizações significativas”.

Vários especialistas técnicos dentro da FAA disseram que o acidente de Lion Air em outubro, onde o MCAS foi claramente implicado por investigadores na Indonésia, é apenas o mais recente indicador de que a delegação de certificação de aeronaves foi longe demais, e que é inadequado para funcionários da Boeing tanta autoridade sobre as análises de segurança dos jatos da Boeing.

“Precisamos ter certeza de que a FAA está muito mais envolvida nas avaliações de falhas e nas suposições que entram nelas”, disse um engenheiro de segurança da FAA.

Certificando um novo sistema de controle de voo

Indo contra uma longa tradição da Boeing de dar ao piloto o controle completo da aeronave, o novo sistema automático de controle de voo MCAS do MAX foi projetado para atuar em segundo plano, sem entrada de piloto.

Isso foi necessário porque os motores muito maiores do MAX tinham que ser colocados mais para frente na asa, alterando a sustentação aerodinâmica da estrutura.

Projetado para ser ativado automaticamente somente na situação de voo extremo de uma cabine de alta velocidade, este chute extra para baixo do nariz faria com que o avião sentisse o mesmo para um piloto do que os 737s do modelo antigo.

Os engenheiros da Boeing autorizados a trabalhar em nome da FAA desenvolveram a Análise de Segurança do Sistema para o MCAS, um documento que, por sua vez, foi compartilhado com reguladores estrangeiros de segurança aérea na Europa, no Canadá e em outras partes do mundo.

O documento, “desenvolvido para garantir a operação segura do 737 MAX”, concluiu que o sistema cumpria todos os regulamentos aplicáveis ​​da FAA.

No entanto, os dados de caixa preta recuperados após o acidente da Lion Air indicam que um único sensor defeituoso – uma palheta na parte externa da fuselagem que mede o “ângulo de ataque” do avião – o ângulo entre o fluxo de ar e a asa – disparou o MCAS várias vezes. vôo mortal, iniciando um cabo de guerra quando o sistema repetidamente empurrou o nariz do avião para baixo e os pilotos lutaram com os controles para puxá-lo de volta, antes do acidente final.

Na quarta-feira, ao anunciar o aterramento do 737 MAX, a FAA citou semelhanças na trajetória de voo da Lion Air e no acidente do voo 302 da Ethiopian Airlines no último domingo.

Investigadores também encontraram o jackscrew do avião etíope , uma parte que move a cauda horizontal da aeronave, e indicou que a cauda horizontal do jato estava em uma posição incomum – com o MCAS como uma possível razão para isso.

Investigadores estão trabalhando para determinar se o MCAS pode ser a causa de ambos os acidentes.

Delegado à Boeing

A FAA, citando falta de financiamento e recursos, delegou ao longo dos anos autoridade crescente à Boeing para assumir mais o trabalho de certificar a segurança de seus próprios aviões.

Logo no início da certificação do 737 MAX, a equipe de engenharia de segurança da FAA dividiu as avaliações técnicas que seriam delegadas à Boeing em comparação com aquelas que eles consideravam mais críticas e que seriam mantidas dentro da FAA.

Mas vários especialistas técnicos da FAA disseram em entrevistas que, enquanto a certificação prosseguia, os gerentes os incitaram a acelerar o processo. O desenvolvimento do MAX estava atrasado nove meses atrás do rival Airbus A320neo. O tempo era essencial para a Boeing.

Um ex-engenheiro de segurança da FAA que estava diretamente envolvido na certificação do MAX disse que na metade do processo de certificação, “foi-nos pedido pela administração para reavaliar o que seria delegado. A gerência achava que havíamos conservado demais na FAA.

“Houve pressão constante para reavaliar nossas decisões iniciais”, disse o ex-engenheiro. “E mesmo depois de termos reavaliado… houve uma discussão contínua da administração sobre delegar ainda mais itens para a Boeing Company”.

Mesmo com o trabalho retido, a revisão de documentos técnicos fornecidos pela Boeing, foi reduzida.

“Não houve uma revisão completa e adequada dos documentos”, acrescentou o ex-engenheiro. “A revisão foi feita com pressa para alcançar determinadas datas de certificação.”

Quando o tempo era muito curto para que a equipe técnica da FAA concluísse uma revisão, às vezes os gerentes assinavam os próprios documentos ou delegavam sua revisão à Boeing.

“Os gerentes da FAA, não os especialistas técnicos da agência, têm autoridade final sobre delegação”, disse o engenheiro.

Limite impreciso

Nessa atmosfera, a Análise de Segurança do Sistema do MCAS, apenas um pedaço da montanha de documentos necessários para a certificação, foi delegada à Boeing.

O documento original da Boeing fornecido à FAA incluía uma descrição especificando um limite para o quanto o sistema poderia mover a cauda horizontal – um limite de 0,6 graus, de um máximo físico de apenas menos de 5 graus de movimento do nariz para baixo.

Esse limite foi aumentado depois que os testes de voo mostraram que era necessário um movimento mais potente da cauda para evitar uma baia de alta velocidade, quando o avião corre o risco de perder a sustentação e cair em espiral.

O comportamento de um avião em um stall de alto ângulo de ataque é difícil de modelar antecipadamente puramente por análise e assim, como pilotos de teste trabalham em rotinas de recuperação de stall durante testes de voo em um novo avião, não é incomum ajustar o controle software para refinar o desempenho do jato.

Após o acidente com o voo 610 da Lion Air, a Boeing forneceu pela primeira vez os detalhes das companhias aéreas sobre o MCAS. O boletim da Boeing para as companhias aéreas afirmou que o limite do comando do MCAS era de 2,5 graus.

Esse número era novo para os engenheiros da FAA que haviam visto 0,6 graus na avaliação de segurança.

“A FAA acredita que o avião foi projetado para o limite de 0,6, e é isso que as autoridades reguladoras estrangeiras também pensaram”, disse um engenheiro da FAA. “Isso faz diferença na sua avaliação do risco envolvido.”

O limite mais alto significava que cada vez que o MCAS era acionado, causava um movimento muito maior da cauda do que o especificado no documento original de análise de segurança.

O ex-engenheiro de segurança da FAA que trabalhou na certificação MAX, e um ex-engenheiro de controle de voo da Boeing que trabalhou no MAX como representante autorizado da FAA, disse que essas análises de segurança precisam ser atualizadas para refletir as informações mais precisas da aeronave.

“Os números devem corresponder a qualquer projeto testado e colocado em campo”, disse o ex-engenheiro da FAA.

Mas ambos disseram que às vezes eram feitos acordos para atualizar documentos apenas em uma data posterior.

“É possível que os números mais recentes não estejam lá, contanto que tenham sido revisados ​​e eles concluíram que as diferenças não mudariam as conclusões ou a gravidade da avaliação de risco”, disse o ex-engenheiro de controle de voo da Boeing.

Se o documento final de análise de segurança foi atualizado em partes, certamente ainda continha o limite de 0,6 em alguns lugares e a atualização não foi amplamente comunicada dentro da equipe de avaliação técnica da FAA.

“Nenhum dos engenheiros estava ciente de um limite maior”, disse um segundo engenheiro atual da FAA.

A discrepância sobre este número é ampliada por outro elemento na Análise de Segurança do Sistema: O limite de autoridade do sistema para mover a cauda se aplica sempre que o MCAS é acionado. E pode ser acionado várias vezes, como no voo da Lion Air.

Um engenheiro de segurança da FAA disse que, toda vez que os pilotos no voo da Lion Air reinicializavam os controles de suas colunas de controle para puxar o nariz para cima, o MCAS teria chutado novamente e “permitido novos incrementos de 2,5 graus”.

“Então, uma vez que eles empurraram um par de vezes, eles estavam em ponto final”, ou seja, na extensão total do giro da cauda, ​​ele disse.

Peter Lemme, um ex-engenheiro de controle de voo da Boeing que agora é aviônico e consultor de comunicações por satélite, disse que, como o MCAS é reiniciado a cada vez que é usado, “ele tem autoridade ilimitada”.

Girar a cauda horizontal, que é tecnicamente chamada de estabilizador, até o batente final dá ao nariz do avião o impulso máximo possível para baixo.

“Ele tinha autoridade total para mover o estabilizador o valor total”, disse Lemme. “Não havia necessidade disso. Ninguém deveria ter concordado em dar autoridade ilimitada.

No voo da Lion Air, quando o MCAS empurrou o nariz do jato para baixo, o capitão o puxou de volta para cima , usando chaves de polegar na coluna de controle. Ainda operando sob a falsa leitura do ângulo de ataque, o MCAS chutou a cada vez para girar a cauda horizontal e empurrar o nariz para baixo novamente.

Os dados da caixa preta divulgados no relatório de investigação preliminar mostram que, após esse ciclo repetido 21 vezes, o capitão do avião cedeu o controle ao primeiro oficial. Quando o MCAS empurrou o nariz para baixo duas ou três vezes mais, o primeiro oficial respondeu com apenas dois movimentos curtos dos interruptores de polegar.

No limite de 2,5 graus, dois ciclos de MCAS sem correção teriam sido suficientes para atingir o efeito máximo de nose-down.

Nos segundos finais, os dados da caixa preta mostram que o capitão retomou o controle e recuou com muita força. Mas era tarde demais. O avião mergulhou no mar a mais de 800 quilômetros por hora.

Falha no sistema em um único sensor

O resultado da Análise de Segurança do Sistema da Boeing em relação ao MCAS foi que, em voo normal, uma ativação do MCAS para a autoridade máxima assumida de 0,6 graus foi classificada como apenas uma “falha grave”, significando que poderia causar sofrimento físico às pessoas. no avião, mas não a morte.

No caso de uma manobra extrema, especificamente quando o avião está em uma espiral descendente inclinada, uma ativação do MCAS foi classificada como uma “falha perigosa”, o que significa que poderia causar ferimentos graves ou fatais a um pequeno número de passageiros. Esse ainda é um nível abaixo de uma “falha catastrófica”, que representa a perda do avião com múltiplas fatalidades.

O ex-engenheiro de controle de voo da Boeing, que trabalhou na certificação do MAX em nome da FAA, disse que o sistema de um jato pode ter uma entrada de sensor ou ter dois, devido à classificação de falha na análise de segurança do sistema.

Ele disse que virtualmente todo equipamento em qualquer avião comercial, incluindo os vários sensores, é confiável o suficiente para atender ao requisito de “falha grave”, que é que a probabilidade de uma falha deve ser menor que uma em 100.000. Tais sistemas são, portanto, tipicamente autorizados a confiar em um único sensor de entrada.

Mas quando as conseqüências são avaliadas como mais severas, com um requisito de “falha perigosa” exigindo uma probabilidade mais rigorosa de uma em 10 milhões, então um sistema normalmente deve ter pelo menos dois canais de entrada separados caso um dê errado.

“Um modo de falha perigosa, dependendo de um único sensor, eu não acho que vale a pena”, disse Lemme.

Como todos os 737, o MAX realmente tem dois dos sensores, um de cada lado da fuselagem perto do cockpit. Mas o MCAS foi projetado para fazer uma leitura de apenas um deles.

Lemme disse que a Boeing poderia ter projetado o sistema para comparar as leituras das duas pás, o que teria indicado se uma delas estava fora.

Alternativamente, o sistema poderia ter sido projetado para verificar se a leitura do ângulo de ataque estava correta enquanto o avião estava taxiando no solo antes da decolagem, quando o ângulo de ataque deveria ser zero.

“Eles poderiam ter projetado um sistema de dois canais. Ou eles poderiam ter testado o valor do ângulo de ataque no chão ”, disse Lemme. “Eu não sei porque eles não fizeram.”

Os dados da caixa preta fornecidos no relatório de investigação preliminar mostram que as leituras dos dois sensores diferiam em cerca de 20 graus não apenas durante o voo, mas também enquanto o avião taxiava no solo antes da decolagem.

Sem treinamento, sem informação

Após o acidente da Lion Air, 737 MAX pilotos em todo o mundo foram notificados sobre a existência do MCAS e o que fazer se o sistema for acionado de forma inadequada.

A Boeing insiste que os pilotos no voo da Lion Air deveriam ter reconhecido que o estabilizador horizontal estava se movendo não comandado e deveria ter respondido com um procedimento padrão de checklist de piloto para lidar com o que é chamado de “estabilizador fugitivo”.

Se tivessem feito isso, os pilotos teriam apertado os interruptores de corte e desativado o movimento de estabilização automática.

A Boeing apontou que os pilotos que voaram no mesmo avião no dia anterior ao acidente tiveram um comportamento semelhante ao do voo 610 e fizeram exatamente isso: eles acionaram os interruptores do estabilizador, retomaram o controle e continuaram com o restante do voo.

No entanto, pilotos e especialistas em aviação dizem que o que aconteceu no voo da Lion Air não parece um estabilizador padrão , porque isso é definido como um movimento contínuo sem cauda da cauda.

No voo do acidente, o movimento da cauda não era contínuo; os pilotos conseguiram contrariar o movimento do nariz para baixo várias vezes.

Além disso, o MCAS alterou a resposta da coluna de controle ao movimento do estabilizador. Puxar de volta a coluna normalmente interrompe qualquer movimento de inclinação para baixo do estabilizador, mas com o MCAS em operação essa função da coluna de controle foi desativada.

Essas diferenças certamente poderiam confundir os pilotos da Lion Air com o que estava acontecendo.

Como o MCAS deveria ser ativado apenas em circunstâncias extremas, muito além do envelope de voo normal, a Boeing decidiu que pilotos do 737 não precisavam de treinamento extra no sistema – e, na verdade, eles nem precisavam saber disso. Não foi mencionado nos seus manuais de voo.

Essa postura permitiu que o novo jato ganhasse uma “classificação de tipo” comum com os modelos 737 existentes, permitindo que as companhias aéreas minimizassem o treinamento de pilotos que se deslocam para o MAX.

Dennis Tajer, porta-voz da Associação de Pilotos Aliados da American Airlines, disse que seu treinamento para passar do antigo cockpit do modelo 737 NG para o novo 737 MAX consistiu em pouco mais de uma sessão de uma hora em um iPad, sem treinamento em simulador.

Minimizar o treinamento de transição do piloto MAX foi uma importante economia de custos para os clientes de linhas aéreas da Boeing, um importante ponto de venda para o jato, que acumulou mais de 5.000 pedidos.

O site da empresa lançou o jato para companhias aéreas com a promessa de que “à medida que você constrói sua frota de 737 MAX, milhões de dólares serão economizados devido à sua semelhança com o Next-Generation 737”.

No rescaldo do acidente, funcionários dos sindicatos dos pilotos da American e da Southwest Airlines criticaram a Boeing por não fornecer informações sobre o MCAS, ou seu possível mau funcionamento, nos manuais do 737 MAX.

Um engenheiro de segurança da FAA disse que a falta de informação prévia poderia ter sido crucial no acidente da Lion Air.

A análise de segurança da Boeing sobre o sistema assumiu que “os pilotos reconheceriam o que estava acontecendo como um fugitivo e cortariam os interruptores”, disse o engenheiro. “As suposições aqui estão incorretas. Os fatores humanos não foram devidamente avaliados ”.

O cockpit de um jato aterrado Lion Air 737 MAX 8 é visto no Aeroporto Internacional Soekarno-Hatta em Cengkareng, na Indonésia, na semana passada. O acidente de um avião da Ethiopian Airlines apresentava semelhanças com o de outubro de … (Dimas Ardian / Bloomberg) 

Na segunda-feira, antes do aterramento do 737 MAX, a Boeing descreveu “um aprimoramento de software de controle de voo para o 737 MAX”, que vem sendo desenvolvido logo após o acidente da Lion Air.

De acordo com um detalhado briefing da FAA aos legisladores, a Boeing mudará o software do MCAS para fornecer a entrada do sistema a partir de ambos os sensores de ângulo de ataque.

Também limitará o quanto o MCAS pode mover a cauda horizontal em resposta a um sinal errôneo. E quando ativado, o sistema entrará em ação somente por um ciclo, em vez de várias vezes.

A Boeing também planeja atualizar os requisitos de treinamento de pilotos e os manuais da tripulação de voo para incluir o MCAS.

Essas mudanças propostas espelham a crítica feita pelos engenheiros de segurança nessa história. Eles haviam conversado com o Seattle Times antes do acidente etíope.

A FAA informou que vai mandar a correção de software da Boeing em uma diretiva de aeronavegabilidade até abril.

Enfrentando ações legais trazidas pelas famílias dos mortos, a Boeing terá que explicar por que essas correções não faziam parte do projeto original do sistema. E a FAA terá que defender sua certificação do sistema como segura.

seattletimes.com/business/boeing-aerospace/failed-certification-faa-missed-safety-issues-in-the-737-max-system-implicated-in-the-lion-air-crash/?utm_campaign=the_download.unpaid.engagement&utm_source=hs_email&utm_medium=email&utm_content=70867447&_hsenc=p2ANqtz-8JIcd2fhmjZoWiiWj-zfOn6Aqt-Q8By5YWDffU7MLwFccPU-BtWanT1pPVGu0gZgr9l_ciDHLQNIcOJojekVi2gfEgDb-k8Xjcun81Eire6zf_hto&_hsmi=70867447