Apresento a você a tradução do artigo “Como o Boeing 737 Max Disaster parece para um desenvolvedor de software”, de Greg Travis. Será sobre como o desejo da Boeing de economizar dinheiro e "cortar custos" para obter ganhos comerciais, bem como a cultura de "incompetência e falta de ética" na comunidade de desenvolvimento levaram à morte de 346 pessoas. Não compartilho a posição do autor em tudo (em particular, acredito que o fator humano é muito mais maligno que o software), mas é difícil discordar dos argumentos principais.
Abaixo estão muitas letras. Se você lê preguiça, mas quer se familiarizar com o tópico, em Habré há a primeira versão mais curta deste artigo na tradução de
Vyacheslav Golovanov , que pode ser encontrada
aqui .
As opiniões expressas neste artigo são exclusivamente do autor e não são da IEEE Spectrum ou da IEEE ( aprox. Transl. - e o tradutor também :) ).
Sou piloto com 30 anos de experiência e desenvolvedor de software com 40 anos de experiência. Escrevi muito sobre aviação e desenvolvimento de software. Chegou a hora de escrever sobre as duas coisas ao mesmo tempo.
Agora, todas as notícias estão cheias de manchetes sobre os
acidentes do novo modelo de aeronave Boeing 737 Max (Eng.) , Que ocorreu literalmente um a um com aeronaves recém-lançadas. Para uma indústria cuja existência é totalmente dependente do senso de controle e segurança completos dos clientes, essas duas falhas representam um grande perigo existencial. E apesar do fato de que nas últimas décadas o número de mortes em acidentes de avião tenha diminuído, essa conquista não é de todo um motivo para excesso de autoconfiança.
WestJet Boeing 737 MAX 8, aceito , Creative Commons Attribution 2.0 GenericO primeiro modelo do Boeing 737 apareceu pela primeira vez em 1967, quando eu tinha 3 anos de idade. Era um avião pequeno com motores pequenos e sistemas de controle relativamente simples.
As companhias aéreas (especialmente o sudoeste americano) as adoravam por sua simplicidade, confiabilidade e flexibilidade. Além disso, para pilotá-los no cockpit, em vez das três ou quatro pessoas habituais da época, eram necessários apenas dois tripulantes, o que permitia às companhias aéreas começar a economizar significativamente. Juntamente com o desenvolvimento do mercado de transporte aéreo e o advento de novas tecnologias, o 737 cresceu rapidamente em tamanho e a complexidade da eletrônica e da mecânica aumentou. Obviamente, não apenas o crescimento de 737. Os aviões exigem grandes investimentos, tanto da indústria aeronáutica quanto das companhias aéreas que os compram, portanto, os dois também foram constantemente ampliados.
A maioria dessas forças tecnológicas e de mercado, no entanto, agia com base nos interesses econômicos das empresas e não na segurança dos passageiros. Os engenheiros trabalharam incansavelmente para reduzir o que a indústria chama de "custo por passageiro-quilômetro" - ou seja, o custo de entregar um passageiro do ponto A ao ponto B.
Muito dessa história de otimização tem a ver com mecanismos.
O Teorema de Eficiência de
Carnot (Eficiência) dos motores térmicos diz que, quanto mais quente você produz um motor, mais eficiente ele se torna. Este princípio é igualmente verdadeiro para o motor de motosserra e para o motor a jato.
Elementar. A maneira mais fácil e rápida de tornar um motor mais eficiente em termos de consumo de combustível por unidade de energia é aumentá-lo. É por isso que o motor Lycoming O-360 no meu pequeno Cessna tem pistões do tamanho de uma placa grande. Portanto, os motores diesel nos navios marítimos são do tamanho de uma casa de três andares. E exatamente pela mesma razão, a Boeing queria instalar os enormes motores CFM International LEAP no novo 737.
Há apenas um pequeno problema: o 737 original foi equipado com motores muito pequenos para os padrões atuais, o que tornou fácil colocá-los sob as asas. No entanto, à medida que o 737 aumentava de tamanho, seus motores também aumentavam e a folga entre eles e o solo se tornava cada vez menor.
Para contornar esse problema, muitos truques foram inventados (ou "hacks", como os desenvolvedores de software os chamavam). Por exemplo, o mais notável e óbvio para o público é alterar a forma das entradas de ar de redonda para oval, a fim de fornecer mais espaço sob o motor.
No caso do 737 Max, a situação se tornou crítica. O diâmetro das pás dos motores instalados no 737 original era de 100 cm (40 polegadas), nos novos motores do 737 Max o diâmetro aumentava para 176 cm. Com uma diferença na linha central de mais de 30 cm, não é mais possível deixar a entrada de ar oval para que o motor não começou a raspar o chão.
Decidiu-se construir o motor de cima e movê-lo para frente e para cima em relação à asa. Isso, por sua vez, levou ao deslocamento da linha axial do impulso do motor. Agora, com um aumento na potência do motor, a aeronave tem uma tendência ao cabeamento, isto é, até o nariz.
Para referência: o ângulo de ataque de uma aeronave é o ângulo entre a direção do vetor de velocidade do fluxo de ar recebido e o plano da asa. Imagine que você tira a mão da janela aberta de um carro que se move ao longo da estrada. Se você segurar a palma da mão quase paralela ao chão, este será um pequeno ângulo de ataque; girando a palma da mão sobre o plano da terra, você aumentará o ângulo de ataque. Quando o ângulo de ataque se torna muito grande (supercrítico), a parada aerodinâmica ocorre como resultado da interrupção do fluxo de ar. Você pode verificar isso da mesma maneira colocando a mão para fora da janela de um carro em movimento: girando lentamente a palma da mão, você sentirá uma força de elevação crescente empurrando a mão para cima até que a mão caia repentinamente - esta é uma barragem do fluxo com a barragem subsequente.
Assim, verifica-se que a tendência de se converter com o aumento da potência do motor na prática significa um risco de maior desenvolvimento de estol de aeronaves se os pilotos apertarem o acelerador (como meu filho gosta de dizer). Esse desenvolvimento de eventos torna-se especialmente provável a uma baixa velocidade de vôo.
Pior, devido ao fato de as barreiras do motor serem tão avançadas e grandes, elas mesmas criam sustentação, especialmente em grandes ângulos de ataque. Ou seja, as gôndolas tornaram a situação já ruim ainda pior.
Enfatizo: no 737 Max, as barreiras do motor em ângulos altos de ataque funcionam como asas e criam sustentação. Além disso, o centro de aplicação dessa força é deslocado muito à frente em relação ao centro de aplicação da força de elevação da asa, o que, por sua vez, leva ao fato de que o 737 Max tende a aumentar ainda mais o ângulo de ataque com um aumento no ângulo de ataque. E este é o pior exemplo de incompetência em aerodinâmica.
Por si só, uma mudança de inclinação com uma mudança na potência do motor é uma ocorrência bastante comum no controle de aeronaves. Até minha pequena Cessna levanta o nariz um pouco enquanto aplica gás. Durante o treinamento, os pilotos são informados sobre essas dificuldades e ensinados a superá-las. No entanto, existem certos limites de segurança estabelecidos pelos reguladores com os quais os próprios pilotos estão prontos para cumprir.
Outra coisa é quando o tom muda com o aumento do ângulo de ataque. Um avião, já se aproximando do ponto de estol aerodinâmico, não deve, em circunstância alguma, tender a desenvolver esse efeito. Essa propriedade é chamada de "instabilidade dinâmica", e a única classe de aeronave onde é permitida - caças - é equipada com catapultas para os pilotos.
Todos na comunidade da aviação sonham com um avião, o que seria o mais natural e fácil de pilotar possível. Por exemplo, ao mudar a potência do motor, abaixar os flaps ou estender o trem de pouso, as condições de vôo não devem mudar visivelmente, os giros não devem ocorrer ou o tom deve mudar - o comportamento deve permanecer previsível.
O casco da aeronave (o próprio ferro) deve funcionar inicialmente da maneira mais previsível possível, e não requerer "sinos e assobios" adicionais. Este cânone da aviação foi estabelecido durante os primeiros vôos dos irmãos Wright para Kitty Hawk.
Obviamente, o novo modelo do Boeing 737 Max empurra demais o nariz com maior tração, especialmente em grandes ângulos de ataque. Eles violaram a mais antiga lei da aviação e, possivelmente, os critérios de certificação da FAA (Federal Aviation Administration) nos Estados Unidos. Mas, em vez de voltar à prancheta e consertar o corpo do avião, a Boeing decidiu confiar em algum tipo de
"Sistema de Aumento de Características de Manobras" ( MCAS).
A Boeing resolveu o problema com o ferro usando software.
Deixarei uma discussão sobre o surgimento de um idioma corporativo (
aproximadamente tradução: aparentemente, o autor significa que o nome "Sistema para melhorar a capacidade de manobra" não significa COMO NÃO faz absolutamente nada de incomum em termos de aviação ) na aviação léxico para outro artigo, mas vamos observar que esse sistema pode ser chamado de maneira diferente, por exemplo, "Uma maneira barata de impedir uma paralisação quando os pilotos o socarem" (CWTPASWTPPI). No entanto, provavelmente vale a pena parar no MCAS.
Obviamente, o MCAS é uma alternativa muito mais barata ao processamento profundo da estrutura, dada a necessidade de acomodar novos motores grandes. Esse processamento poderia exigir, por exemplo, o alongamento do trem de pouso dianteiro (que não caberia na fuselagem quando puxado para dentro do corpo), dobrando as asas para cima ou outras alterações semelhantes. Isso seria monstruosamente caro.
Todo o desenvolvimento e fabricação do Max 737 ocorreram sob os auspícios do mito "este é o mesmo bom e velho 737". Reconheça que esse não é um modelo antigo e, em seguida, a recertificação levaria anos e exigiria milhões de dólares.
"De fato, os pilotos licenciados para pilotar o Boeing 737 em 1967 podem controlar todas as versões subseqüentes do 737".
Da revisão de uma versão anterior de um artigo de um dos 737 pilotos de uma das maiores companhias aéreas.
Pior, essas mudanças importantes exigiriam não apenas recertificação pela FAA, mas também o desenvolvimento de um planador da Boeing completamente novo. Agora estamos falando de muito dinheiro, tanto para fabricantes de aeronaves quanto para companhias aéreas.
E tudo porque o principal argumento da Boeing na venda do 737 Max era que era o mesmo 737, e qualquer piloto que voasse em modelos anteriores seria capaz de controlar Max também - sem nova reciclagem cara, obtendo um novo certificado e uma nova classificação. As companhias aéreas - e a Southwest são um excelente exemplo - tendem a preferir uma frota de um tipo de aeronave "padrão". Eles preferem ter um único modelo de avião que possa ser controlado por qualquer um de seus pilotos, desde então, pilotos e aviões se tornam intercambiáveis, maximizando a flexibilidade e minimizando os custos.
De uma forma ou de outra, tudo se resume a dinheiro, e o MCAS se tornou outra oportunidade para a Boeing e seus clientes fazer o dinheiro fluir na direção certa. A necessidade de insistir que as características de voo do 737 Max não diferiam dos modelos anteriores do 737 foi a chave para a intercambiabilidade da frota do 737 Max. Provavelmente foi o motivo pelo qual a documentação sobre a própria existência do MCAS estava oculta.
Se, de repente, essa mudança se tornasse perceptível demais, por exemplo, ela fosse refletida no manual da aeronave ou receberia atenção especial quando os pilotos se submetessem ao treinamento, alguém - provavelmente alguém dos pilotos - se levantaria e diria: Ei, algo que não se parece com 737. " E o dinheiro fluiria na direção errada.
Como já expliquei, você pode realizar um experimento com um ângulo de ataque sozinho, colocando a mão pela janela de um carro em movimento e torcendo a palma da mão. Assim, uma máquina tão complexa como um avião também tem o equivalente mecânico de uma mão exposta de uma janela - um sensor de ângulo de ataque.
Você pode perceber isso ao embarcar em um avião. Como regra, existem dois deles, um de cada lado da aeronave, geralmente logo abaixo das janelas do cockpit. Não os confunda com tubos de pitot (leia sobre eles abaixo). O sensor de ângulo de ataque parece um cata-vento e o tubo pitot parece ... hmm, tubo. O sensor de ângulo de ataque parece um cata-vento exatamente porque é um cata-vento. Sua asa mecânica se move em resposta a mudanças no ângulo de ataque.
Os tubos de Pitot medem a força com a qual o fluxo de ar “pressiona” no avião, e o sensor de ângulo de ataque determina de que direção esse fluxo está vindo. Como os tubos Pitot, de fato, medem a pressão, eles são usados para determinar a velocidade da aeronave em relação ao ar. O sensor de ângulo de ataque determina a direção da aeronave em relação ao fluxo.
Existem dois conjuntos de sensores de ângulo e dois conjuntos de tubos de pitot, um de cada lado da fuselagem. Normalmente, os instrumentos instalados no lado do piloto principal fazem as leituras dos sensores no mesmo lado do casco; da mesma forma, os instrumentos do segundo piloto mostram os valores dos sensores do seu lado da embarcação. Essa abordagem cria uma redundância natural no equipamento, o que permite uma validação cruzada rápida e fácil por qualquer um dos pilotos. Se o co-piloto considerar seu indicador de velocidade no ar estranho, ele poderá compará-lo com o dispositivo semelhante ao lado do piloto principal. Se o testemunho diverge, os pilotos descobrem qual dos dispositivos mostra a verdade e qual está mentindo.
Era uma vez uma piada de que, quando no futuro os aviões puderem voar sozinhos, um piloto e um cachorro ainda terão que sentar no cockpit. É necessário um piloto para que os passageiros fiquem mais calmos com a percepção de que há alguém na frente. O cão deve morder o piloto se ele tentar tocar alguma coisa.
No 737, o Boeing não apenas criou dispositivos e sensores de aeronaves de backup, mas também um computador de bordo de backup, instalando um computador cada um dos pilotos principal e segundo. Um computador de vôo faz muitas coisas úteis diferentes, mas sua principal tarefa é pilotar o avião automaticamente quando solicitado e verificar se o piloto não cometeu erros no modo piloto manual. O último parágrafo é chamado de "proteção da variedade de modos de vôo".
Mas vamos chamar uma pá de pá - este é o "cão mordedor" da piada.
O que o MCAS faz? Este sistema deve abaixar o nariz da aeronave se considerar que a embarcação está além dos limites de ângulos de ataque aceitáveis, a fim de evitar estolagem aerodinâmica. A Boeing instalou o MCAS no 737 Max devido ao fato de que motores maiores e sua nova localização tornaram a parada mais provável do que nas gerações anteriores do modelo.
Nesse momento, quando o MCAS percebe que o ângulo de ataque se tornou muito grande, ele comanda os aparadores da aeronave (o sistema que faz a aeronave se mover para cima ou para baixo) para apontar a proa da embarcação para baixo. Ela também faz outra coisa: indiretamente, usando o que a Boeing chama de “Computador Elevator Feel” (EFC), ela empurra as rodas de controle do piloto (elmos que os pilotos empurram ou puxam para levantar ou abaixar o nariz). aeronaves) para baixo.
No 737 Max, como a maioria dos outros aviões modernos e até carros, um computador monitora todos os processos ou até os controla diretamente. Em muitos casos, não há mais uma conexão mecânica direta (ou seja, cabos, linhas hidráulicas e tubos) entre as ferramentas de controle do piloto e a cauda aerodinâmica real da aeronave, quilha e outros dispositivos que fazem o avião voar. E se houver uma conexão mecânica, o computador decide o que é permitido ao piloto fazer com eles (e novamente o mesmo cão mordedor).
No entanto, é importante que os pilotos recebam uma resposta física sobre tudo o que acontece. Nos bons velhos tempos, quando os cabos ligavam os elementos de controle dos pilotos à plumagem, eles tinham que puxar o leme com grande esforço se o avião estivesse caído. Eles tiveram que forçá-lo a empurrá-lo se o avião estivesse ganhando altitude. Sob a supervisão de um computador, as sensações naturais de controle desapareceram. O 737 Max não tem mais um "sentimento natural".
Sim, em 737 existem sistemas hidráulicos redundantes ligando os controles com os quais o piloto interage e ailerons que trabalham diretamente e outras partes da aeronave. No entanto, esses sistemas hidráulicos são tão poderosos que não transmitem feedback direto das forças aerodinâmicas que atuam nos ailerons. Os pilotos sentirão apenas o que o computador permitirá. E às vezes as sensações não são tão agradáveis.
Quando o computador de vôo direciona o avião a declinar devido ao fato de o sistema MCAS ter decidido que estava prestes a entrar no estábulo, uma cadeia de motores e compensadores faz os lemes do cockpit avançarem. E aconteceu que o computador pode colocar tanto esforço nos lemes que os pilotos, tentando puxá-los para si mesmos e mostrar ao computador que ele está fazendo algo completamente errado, são rapidamente esgotados.
De fato, o fato de o sistema não permitir que o piloto controle a aeronave puxando o leme sobre si mesmo foi uma decisão deliberada dos projetistas do 737 Max. Como se os pilotos podem puxar a coluna de controle e redirecionar o nariz da aeronave para cima, quando o sistema MCAS diz que deve estar apontando para baixo, qual é o sentido de tal sistema?
, MCAS , , , . , , ().
, MCAS, : «, 737», .
— . , , , , . . .
, , . , , , , , . «» , , . — .
737 Max — , . , .
, , , , . , , « ». . -. . — .
, — , , — .
. , , , , . , .
, , . , . , MCAS . , .
, MCAS . .
— HAL, .
— , , , .
MCAS , , , , , “” .
FAA . , , .
, , , FAA , . . FAA , , .
FAA : « , ?” : „ .” FAA: “ , .»
« » (“Designated Engineering Representative,” DER). , , FAA , .
, , , . , . DER , . , - , “ ".
, MCAS 737 Max , , . , , , .
: , MCAS, , 0.8 , , , .
, . , MCAS, , , , , . , ?
, — 737 Max. . 737 . . , , ( ), , . №3.
. , «» DER, .
. , , .
, 737 Max, . Cessna 172 1979 , . 737 (1955 1967).
, ( Garmin G5s) (CAN,
Controller Area Network ), . CAN Drive-by-Wire ( ),
ARINC , 737 Max.
. , 172, MCAS 737 Max. , 737 Max, , , , , , , Lion Air.
, « ” ( ), „“ . , Cessna, , , , . , „ “.
, $20,000 737 , . ?
, (“Supplemental Type Certificate,” STC). , FAA , Cessna 172 1979 Garmin , - , Cessna 172. .
, () ( ), , , . , .
, , , , .
, , . , , . , 172, , 172.
, , Cessna, , 737 Max.
: , , 737 Max , . , MCAS , , , . MCAS …
Outra diferença entre o piloto automático e o sistema com o MCAS no 737 Max é que os dispositivos conectados ao barramento CAN se comunicam e realizam constantemente verificações cruzadas, o que aparentemente o MCAS não faz. Por exemplo, um piloto automático pesquisa constantemente os dois computadores de bordo G5 para determinar a localização. Se os dados divergirem, o sistema notifica o piloto e desliga, alternando para o modo de controle manual. Ela não direciona o avião para o chão, se de repente começar a acreditar que ele está prestes a cair.
E provavelmente a maior diferença é a força que o piloto deve exercer para esmagar os comandos do piloto automático no meu avião e no 737 Max. No meu 172 ainda existem cabos que conectam diretamente os controles às superfícies aerodinâmicas. O computador é forçado a pressionar as mesmas alavancas que eu e é muito mais fraco que eu. Se o computador decidir incorretamente que o avião começa a cair, posso facilmente superar sua resistência.
No meu Cessna, o homem ainda sempre sai vitorioso da batalha com o piloto automático. Exatamente a mesma filosofia sempre foi professada pela Boeing no desenvolvimento de suas aeronaves, além disso, foi usada contra seu rival juramentado Airbus, que agia diretamente em frente. No entanto, com o lançamento do 737 Max, o Boeing, aparentemente, sem contar a ninguém, decidiu mudar a estratégia do relacionamento entre homem e máquina e, com a mesma tranqüilidade, alterar as instruções de operação.
Toda essa saga com o 737 Max deve nos ensinar não apenas que a complicação leve a riscos adicionais e que a tecnologia tem seu próprio limite, mas também o que devemos ter prioridades reais. Hoje, o principal é dinheiro, não segurança. Eles pensam sobre isso apenas na medida em que é necessário continuar o movimento do dinheiro na direção certa. O problema está se tornando mais agudo a cada dia, já que os dispositivos dependem cada vez mais do que é fácil de mudar - o software.
Defeitos no dispositivo e no hardware, sejam motores mal localizados ou anéis de vedação espalhados no frio, são obviamente difíceis de corrigir. Quando digo "difícil", quero dizer "caro". Os defeitos de software, por outro lado, podem ser corrigidos de forma rápida e barata. Tudo o que é necessário é simplesmente publicar a atualização e liberar o patch. Além disso, garantimos que os compradores agora considerem tudo isso a norma - atualizações para o sistema operacional no computador e patches instalados automaticamente no meu Tesla enquanto durmo.
Na década de 1990, escrevi uma vez um artigo comparando a complexidade relativa dos processadores Intel Pentium, expressa no número de transistores por chip, com a complexidade do novo sistema operacional Microsoft Windows, expresso em linhas de código-fonte. Descobriu-se que eles eram relativamente igualmente complexos.
Na mesma época, verificou-se que as versões anteriores dos processadores Pentium estavam sujeitas a um bug chamado
erro FDIV . Somente um pequeno número de usuários do Pentium (aproximadamente trad.: Cientistas e matemáticos) pode ter tido algum problema com ele. Defeitos semelhantes foram encontrados no Windows, que também afetou apenas uma pequena parte dos usuários do SO.
No entanto, as implicações para Intel e Microsoft eram fundamentalmente diferentes. Pequenos patches de software foram lançados sistematicamente para Windows, enquanto a Intel teve que retirar todos os processadores defeituosos em 1994. Isso custou à empresa US $ 475 milhões - mais de 800 milhões aos preços atuais.
Na minha opinião, a relativa simplicidade e falta de custos significativos de material ao atualizar o software levaram ao desenvolvimento de uma cultura de preguiça na comunidade de desenvolvedores. Além disso, devido ao fato de o software controlar cada vez mais o "hardware", essa cultura de preguiça começa a penetrar no desenvolvimento da tecnologia - por exemplo, na construção de aeronaves. Cada vez menos, prestamos a devida atenção ao desenvolvimento de um design correto e simples do equipamento, porque é muito simples corrigir o defeito com a ajuda do software.
Toda vez que uma nova atualização é lançada para o meu Tesla, o computador de voo Garmin no meu Cessna, o termostato Nest ou a TV em minha casa, percebo mais uma vez que nada disso foi lançado da fábrica realmente pronto. Porque seus criadores perceberam que isso não é necessário. O trabalho pode ser concluído algum tempo depois, liberando a próxima atualização.
»Sou engenheiro de rede, um ex-programador que escreveu software para aviônicos de aeronaves. Era sempre curioso que tivéssemos que nos esquivar de colocar uma nova placa-mãe em um computador certificado, e o software não exigia nenhuma certificação (exceto por restrições gerais como “não pode funcionar no Windows” ou “deve ser escrito em C ++”). É verdade, há cerca de 10 anos, espero que as coisas estejam diferentes agora. "
- Anonimamente, por correspondência pessoal
A Boeing está atualmente instalando uma nova atualização para o computador de bordo e o MCAS 737 Max. Não sei ao certo, mas acredito que esta atualização se concentrará principalmente em duas coisas:
O primeiro é ensinar o software a verificar a instrumentação, como os pilotos. Ou seja, se um sensor do ângulo de ataque começa a relatar que o avião está prestes a cair e o outro sensor não, ou seja, a esperança é que o sistema não direcione mais imediatamente o avião com o nariz no chão, mas ainda notifique os pilotos sobre o conflito nas leituras dos sensores.
O segundo é abandonar a estratégia de "atirar primeiro, você fará perguntas depois", ou seja, começar a procurar fontes diferentes em vez de uma.
Pela minha vida, eu não entendo como esses dois princípios básicos da indústria da aviação, os fundamentos do pensamento que serviram fielmente à indústria até agora, podem ser esquecidos ao desenvolver o MCAS. Não sei e não entendo qual processo do trabalho do DER quebrou tanto que causou um defeito tão fundamental no projeto.
Suspeito que o motivo esteja no mesmo local que o desejo da Boeing de fornecer motores maiores e evitar as grandes despesas associadas a ele - o
desejo de comer queijo de graça , o que, como todos sabem, acontece apenas em uma ratoeira.
A ênfase na necessidade de desenvolver sistemas o mais simples possível é bem demonstrada por Charles Parrow, um sociólogo da Universidade de Yale e autor do livro 1984
Acidentes normais: vivendo com tecnologias de alto risco . Toda a essência do livro está contida no título. Parrow argumenta que a falha do sistema é um resultado normal da operação de qualquer sistema complexo com componentes intimamente relacionados, quando o comportamento de um componente afeta diretamente o comportamento de outro. Apesar de individualmente esses erros parecerem ser causados por um mau funcionamento técnico ou um processo interrompido, eles devem ser considerados como características integrais do próprio sistema. Estes são os acidentes "esperados".
Este problema não parece mais agudo do que nos sistemas projetados para aumentar a segurança. Cada nova mudança feita, cada complicação torna-se cada vez menos eficaz e, finalmente, leva a resultados completamente negativos. A imposição de uma correção em cima de outra na tentativa de aumentar a segurança leva à sua redução.
Isto é o que o antigo princípio de engenharia do design nos diz - "Quanto mais simples, melhor" (
"Seja simples, estúpido" , KISS) e sua versão da aviação: "Simplifique e adicione leveza" ("Simplifique e adicione leveza" )
Um dos principais princípios da FAA na certificação de aeronaves durante a era Eisenhower era um pacto peculiar de simplicidade: as aeronaves não deveriam mostrar mudanças significativas no tom com uma mudança na potência do motor. Esse requisito apareceu durante a existência de uma relação direta entre os controles de um piloto no cockpit e a plumagem de uma aeronave. Esse requisito - quando foi escrito - impôs, com razão, um requisito de simplicidade ao design da própria estrutura da aeronave. Agora, entre o homem e a máquina, uma camada de software apareceu e ninguém sabe ao certo o que realmente está acontecendo lá. As coisas se tornaram muito complicadas de entender.
Não consigo tirar da cabeça os paralelos entre as catástrofes do 737 Max e o
ônibus espacial Challenger . O acidente do Challenger aconteceu porque as pessoas seguiram as instruções, e não vice-versa - outra ilustração de desastres "normais". As regras diziam que, antes do lançamento do ônibus, era necessária uma conferência para garantir total prontidão para o voo. Ninguém disse que, ao tomar uma decisão, não se deveria dar muito peso às possíveis consequências políticas que poderiam surgir devido ao adiamento do lançamento. Todos os dados de entrada foram cuidadosamente pesados de acordo com o processo estabelecido, a maioria concordou em lançar. E sete pessoas pereceram.
No caso do 737 Max, tudo também foi feito de acordo com todas as regras. As regras dizem que o tom da aeronave não deve mudar muito quando a potência do motor muda e que o engenheiro designado (DER) tem o direito de assinar quaisquer alterações que visem solucionar esse problema. Não há nada nas regras que o DER não deva ser guiado por considerações de negócios ao tomar uma decisão. E agora 346 pessoas estão mortas.
É muito provável que o MCAS, projetado para melhorar a segurança de vôo, tenha matado mais pessoas do que jamais poderia ter salvo. Não é necessário tentar consertá-lo com um aumento adicional na complexidade, software adicional. Ele só precisa ser removido.
Sobre o autor
Greg Travis - escritor, gerente de desenvolvimento de software, piloto, proprietário de aeronave. Em 1977, aos 13 anos, ele criou o Note, uma das primeiras plataformas de mídia social; seu tempo de vôo é superior a 2000 horas, controlava tudo, desde planadores até o Boeing 757 (em um simulador com simulação completa de movimento).