Ninguém sabe quão perigoso é o avião 737 Max da Boeing. Problemas persistentes podem ser ignorados pelos reguladores e colocar os passageiros em risco.

Por Jeff Wise –onezero.medium.com

E a complexidade só vai aumentar. Os projetistas de aeronaves estão cada vez mais entregando a responsabilidade a sistemas automatizados cuja sofisticação permite que eles tenham um desempenho robusto, mas que também pode abrir todo o tipo de possibilidades de comportamento inesperado. Ao tentar antecipar quais problemas podem surgir, os engenheiros são limitados por sua capacidade de imaginar todos os possíveis resultados. Ao projetar o MCAS, por exemplo, parece que a Boeing contemplou o que aconteceria se o sistema parasse de funcionar, mas não descartou todas as conseqüências de sua fuga.

O que não pode ser imaginado não pode ser planejado. Os modos de falha que os engenheiros não consideram ao projetar aeronaves não serão previstos em testes de voo – ou no treinamento subseqüente da tripulação. “Então você tem um problema triplo acontecendo”, diz Malmquist, “e não há uma boa maneira de escapar.”

Depois que um Lion Air 737 Max caiu na Indonésia em outubro passado, matando todas as 189 pessoas a bordo, a Boeing previu que falha do avião seria relativamente simples de corrigir. Um sensor defeituoso fez com que um sistema automatizado entrasse em ação e empurrasse o nariz do avião para baixo; a tripulação de voo assustada lutou contra o sistema e acabou perdendo o controle. A Boeing começou a reescrever o software do sistema de controle, para que ele não se comportasse mal da mesma maneira novamente, e emitiu uma diretriz dizendo aos pilotos como lidar com tais situações nesse meio tempo.

Quando um avião da Ethiopian Airlines 737 Max caiu menos de cinco meses depois, em circunstâncias semelhantes, matando todas as 137 pessoas a bordo, causou furor em todo o mundo – e, finalmente, o aterramento de toda a frota do 737 Max. Mas a Boeing ainda estava atrás de seu avião. A suposição era que os pilotos da Ethiopian Airlines não tinham as habilidades e o treinamento para seguir o conselho da Boeing. (Muito foi feito da voz de “pânico” do piloto durante o incidente). “O 737 Max é um avião seguro que foi projetado, construído e apoiado por nossos funcionários qualificados que abordam seu trabalho com a maior integridade”, disse a empresa em uma declaração preparada no dia seguinte ao acidente.

Embora as catástrofes gêmeas fossem constrangedoras no curto prazo, a Boeing esperava que alguns ajustes rápidos no sistema automatizado defeituoso bastariam para reconquistar a confiança do público no avião. Esses ajustes, no entanto, podem não levar em conta a enorme complexidade inerente ao software subjacente ao 737 Max. Problemas persistentes podem ser ignorados pelos reguladores e colocar os passageiros em risco.

O desenvolvimento nos últimos dias já minou a noção de que a Boeing tem o problema sob controle. O Ministério de Transporte da Etiópia divulgou ontem seu relatório preliminar de acidente, mostrando que, com base na análise de dados de caixa preta, os pilotos de fato haviam feito exatamente como a diretriz da Boeing havia sugerido, mas sem sucesso. A Ethiopian Airlines emitiu um comunicado declarando que seus pilotos “seguiram os procedimentos de emergência recomendados pela Boeing e aprovados pela FAA para lidar com a situação de emergência mais difícil criada no avião. Apesar de seu trabalho árduo e total conformidade com os procedimentos de emergência, foi muito lamentável que eles não pudessem recuperar o avião da persistência do mergulho com o nariz ”.

O fato de que o conselho da Boeing não funcionou levantou questões sobre se a Boeing realmente tem uma forte compreensão do problema. O mesmo aconteceu com o fato de que, recentemente, havia atrasado a data de entrega estimada em seus patches de software. Quando a frota do 737 Max foi aterrada, a Boeing informou que teria o sistema de controle fixado na primeira semana de abril. Na segunda-feira, a FAA anunciou que a empresa precisaria de mais algumas semanas.

Mesmo esse prognóstico, no entanto, supõe que a Boeing finalmente entende a extensão dos problemas do 737 Max. Especialistas em aeronáutica dizem que sistemas complexos de controle como aqueles incorporados ao Max podem interagir de maneiras difíceis de prever. “Há tantas possibilidades que você terá que modelar”, diz Shem Malmquist, um capitão do 777 que dá aulas de aeronáutica no Florida Institute of Technology. “Há muitas oportunidades para resultados ruins.”

A origem do problema está na tentativa da Boeing de criar um avião de última geração, atualizando o venerável 737, um modelo que voou pela primeira vez em 1967. A fim de maximizar a eficiência de combustível do avião, a Boeing precisava equipar o avião com motores maiores, e para ajustá-los, tinha que montar os motores mais para frente nas asas. Isso fez com que o avião fosse dinamicamente instável, o que significa que, sob certas condições – como as que podem ocorrer durante a decolagem -, o nariz se levantaria com força. Para resolver o problema, a Boeing adicionou um sistema automatizado chamado Sistema de Aumento de Características de Manobra (MCAS), que entraria em ação se um sensor detectasse que o nariz estava muito alto.

O sistema funciona acoplando um motor para girar um macaco na cauda que aciona a parte horizontal móvel da cauda chamada estabilizador. Isso é normalmente definido de modo que o avião voe com seu nariz em um ângulo desejado em relação ao horizonte, uma posição chamada de “compensação”. Um piloto pode então ajustar o ângulo do nariz para cima ou para baixo a partir de sua posição recortada; jugo de controle, que é conectado a uma superfície de controle menor na parte traseira do estabilizador chamada de elevador. No caso do acidente da Ethiopian Airlines, quando o MCAS inesperadamente comandou o estabilizador para cortar o nariz para baixo, os pilotos desligaram o sistema, então usaram o jugo para comandar um movimento de elevador oposto para tentar fazer o nariz subir novamente. As duas superfícies de controle estavam essencialmente em conflito uma com a outra, uma situação chamada “mistrim”.

O procedimento que a Boeing havia recomendado na sequência do acidente da Lion Air, e que os pilotos etíopes tentaram realizar, foi então manualmente uma manivela que retornaria o estabilizador para uma posição neutra. Mas o ex-engenheiro de controles de voo da Boeing, Peter Lemme , defendeu em seu blog que as forças aerodinâmicas na cauda maltratada eram tão fortes que era difícil ou impossível para a tripulação da Ethiopian Airlines aparar manualmente o estabilizador. Em desespero, eles voltaram a ligar o sistema de mau funcionamento, mas só piorou a situação, colocando o avião em um mergulho.

As mudanças de software nas quais a Boeing está trabalhando resolverão parcialmente as falhas do sistema que acionaram as quedas da Lion Air e da Ethiopian Airlines. Por um lado, o sistema atualizado reduzirá de forma menos agressiva o estabilizador horizontal para baixo. E, presumivelmente, indo para a frente, a Boeing usará as descobertas recém-relatadas para refinar ainda mais suas alterações para minimizar as chances de que os mesmos cenários exatos se desdobrem da mesma maneira de novo.

O que a Boeing nunca poderá apagar, no entanto, é o fato de ter sido tomada de surpresa, não uma, mas duas vezes, por modos de falha previamente desconhecidos. E insistiu o tempo todo que seus aviões fossem fundamentalmente sólidos.

A falta de consciência da Boeing sobre sua própria falta de consciência levanta uma questão inevitável: o que mais eles não sabem? Quais outros modos de falha falharam em antecipar?

Em outros lugares, culpei a FAA por transferir gradualmente a responsabilidade pela certificação dos reguladores do governo para o fabricante. Mas Malmquist diz que, dada a complexidade das aeronaves modernas, realmente não há alternativa. “Quando você está olhando para um sistema que tem 30 ou 40 milhões de linhas de código, não há nenhuma maneira que você possa verificar como um policial dando multas de trânsito”, diz ele. “A única maneira de um regulador entender completamente o que está acontecendo seria ter alguém trabalhando no escritório do programa cinco dias por semana, o ano todo.”

De maior preocupação, diz Malmquist, é o fato de que os procedimentos estabelecidos para a certificação de aviões foram desenvolvidos durante as muitas décadas em que os sistemas de aeronaves eram de natureza eletromecânica. Essas abordagens não conseguem lidar com o grande número de maneiras pelas quais os sistemas computadorizados podem interagir uns com os outros.

O problema não está limitado a aviões. À medida que a automação continua sua expansão vertiginosa, veremos mais e mais acidentes que acontecem não porque algo quebra, mas porque os seres humanos e as máquinas complexas reagem de maneiras que nós não – e talvez não possamos – esperar. “Estamos vendo os mesmos acidentes acontecendo em diferentes domínios”, diz Malmquist, de carros autônomos para a catástrofe da Deepwater Horizon. “Existem algumas diferenças, mas no final, esses acidentes são quase idênticos do ponto de vista da teoria dos sistemas.”

Em um comunicado divulgado na quinta-feira após o lançamento do relatório preliminar de acidente na Etiópia, o CEO da Boeing, Dennis Muilenburg, reconheceu que o software teve algum papel no desastre. “Como os pilotos nos disseram, a ativação incorreta da função MCAS pode aumentar o que já é um ambiente de alta carga de trabalho. É nossa responsabilidade eliminar esse risco. Nós a possuímos e sabemos como fazer isso. ”

A grande complexidade desses sistemas automatizados, no entanto, não deixa claro se a Boeing ou qualquer outra empresa sabe o suficiente para eliminar o risco. Especialistas em segurança começaram a desenvolver novas abordagens mais adequadas ao mundo automatizado. Até agora, infelizmente, sua aceitação não correspondeu à taxa em que esses sistemas estão se espalhando para todos os cantos da vida humana.

onezero.medium.com/no-one-knows-how-dangerous-boeings-737-max-actually-is-d4256239af40