Projetos à prova de falhas e o voo AF 447 Quando menino, eu costumava depositar uma moedinha sobre a ferrovia que passava por trás da minha casa à espera da passagem do trem de carvão, que então esmagava a moeda e produzia um medalhão de cobre da espessura de uma folha de papel, para nossa alegria. Nunca nos passou pela cabeça que aquela moeda pudesse descarrilar o trem, e é claro que isso seria impossível. Menciono isto como analogia para descrever o pequeno problema externo que pode ter provocado a tragédia do Air France 447. Pode ser que uma pequena bola de gelo seja responsável pela destruição da aeronave. Se isso for verdade (ou mesmo possível), precisamos consertar o problema. Uma das teorias cogitadas supõe que os sensores de velocidade (chamados pitots) tenham falhado em decorrência do acúmulo de gelo no tubo do pitot. Este sensor de velocidade foi projetado há muito tempo e é usado nas aeronaves há mais de 80 anos. Por outro lado, o sistema de controle de voo do Airbus A330 é extremamente moderno, empregando um complexo sistema de computadores e um sistema "fly by wire" (de controle por cabo elétrico), que praticamente transforma o controle de voo num jogo de Nintendo. O piloto comanda o avião por meio de um joystick na cabine, ligado por fios aos sistemas do piloto automático, ao computador e a servomecanismos hidráulicos nas asas e nas caudas. A comparação com a moeda na ferrovia está no fato de o sistema depender da leitura dos sensores de velocidade. No caso do 447, a falha na leitura de um dispositivo antigo e de tecnologia ultrapassada pode ter desencadeado uma série de eventos que culminou na perda do avião - o que, a esta altura, é um cenário investigado com a máxima seriedade pelos encarregados de desvendar as causas do acidente. Durante os últimos dias, as Marinhas brasileira e francesa recuperaram o estabilizador vertical intacto e diversos corpos inteiros. Somadas a outras evidências forenses, reveladas pelo Estado, isso sugere enfaticamente que o 447 se partiu no ar, em vez de cair relativamente intacto no mar. Um esfacelamento durante o voo tem apenas certo número de explicações possíveis e uma é a perda do controle sobre a aeronave, o que levaria a uma sobrecarga estrutural. Isso já aconteceu antes, com um outro modelo de aeronave da Airbus, em 2001. Quando o ônibus espacial Challenger foi destruído, em 1986, o grande Richard Feynman, da Caltech, foi nomeado para o comitê de investigação do acidente, a Comissão Rogers. A administração da Nasa concluíra anteriormente que a possibilidade de defeito nos componentes individuais era de uma em cem milhões - e a chance de um desastre completo estaria na casa de uma em cem mil. Feynman fez os próprios cálculos e concluiu que a probabilidade de desastres estaria na verdade na casa de uma em cem! Investigações posteriores mostraram que alguns engenheiros da Nasa tinham estabelecido uma probabilidade de desastre da ordem de um para 50, mas sua opinião foi desconsiderada. É claro que hoje sabemos que havia equívocos graves no projeto do ônibus espacial. O sistema "fly by wire" do Airbus é altamente redundante, e é considerado um projeto seguro, parcialmente com base em probabilidades matemáticas. O avião não pode ser pilotado com segurança em todas as condições, combinando múltiplas falhas eletrônicas com fatores externos como turbulências e escuridão. Uma falha elétrica completa também ameaçaria muito a aeronave. O projeto do sistema de controle de voo para o caso de uma falha do computador, que coloca o avião sob os regimes de voo "Abnormal Alternate Law" (entra em vigor se a aeronave estiver em uma atitude anormal, removendo algumas proteções e conferindo ao piloto controle direto na rolagem) ou "Direct Law" (comando direto sobre os controles de voo, sem autotrimming nem proteção; entra em vigor em situações de emergência, com o registro de múltiplas falhas), representa condições extremamente desafiadoras para qualquer piloto, impossibilitando o controle ou mesmo a sobrevivência, especialmente sob mau tempo ou à noite. Obviamente, a Airbus acredita que a probabilidade de ocorrência dessa situação é extremamente pequena. Mas a Nasa estava errada a respeito do caso do ônibus espacial, e talvez a Airbus também esteja equivocada. Como aconteceu com a Challenger e a Nasa, outros deveriam investigar e recalcular a probabilidade de desastre envolvendo o projeto da Airbus. É claro que deve ser levada em consideração a possibilidade de uma falha no sistema pitot. Há várias maneiras de contornar o problema da leitura equivocada dos sensores de velocidade por parte dos computadores. É fundamental que a repetição da sequência de falhas do caso do 447 seja evitada, ou reduzida a uma probabilidade ínfima, a qual deve ser reexaminada atentamente. Os sistemas de controle de voo "fly by wire" (incluindo o piloto automático e os computadores de controle de voo) devem ser capazes de funcionar inteiramente e com segurança utilizando a energia da bateria de emergência. *Robert Ditchey tem diploma de Engenharia Aeronáutica pela Caltech. Acumula 14 anos de experiência como piloto da Marinha americana e já foi executivo de 14 empresas aéreas diferentes, tanto nas áreas operacionais como de manutenção