Eu encontrei vários exemplos de sistemas que foram cuidadosamente projetados para realizar um trabalho, mas não consideraram alguns dos ambientes e contextos nos quais o sistema teria que operar. Eu não estou criticando os designers por não fazer uma análise cuidadosa, porque você não pode considerar todos os contextos possíveis. No entanto, estou culpando os designers por decidirem que poderiam cortar os cantos para simplificar as coisas – esses cantos não deveriam ter sido cortados. Como resultado, os projetistas impuseram restrições às pessoas que operam os sistemas e distorceram sua compreensão do que estava acontecendo.
O primeiro exemplo é o acidente da Air France 447 em 2009. O avião decolou do Rio de Janeiro no Brasil, indo para Paris, transportando 228 passageiros e tripulantes. Nunca saberemos o que deu errado, mas aqui está a explicação mais plausível que encontrei. Quando o avião subia através das nuvens, cristais de gelo se formavam nos tubos pitot, impedindo que o avião determinasse sua velocidade. Como resultado, o piloto automático foi desligado.
O avião era um Airbus 330, usando a mais recente tecnologia inteligente. Os fabricantes levaram as tripulações a acreditar que era impossível parar o avião. O avião era muito inteligente e não permitia que os pilotos se envolvessem em ações inseguras que pudessem resultar em uma paralisação. E isso era verdade enquanto os sensores estivessem funcionando.
No entanto, com o piloto automático desativado, todas as apostas estavam desativadas. Agora o avião poderia entrar em uma baia. Infelizmente, o piloto que voava aparentemente não sabia disso (ou nunca lhe disseram isso). Então ele continuou subindo rapidamente, sentindo uma falsa sensação de invulnerabilidade. Na verdade, o avião estava subindo tão íngreme, e sua velocidade no ar era tão reduzida que estava em uma trajetória para parar.
Em algum momento, os tubos de Pitot parecem ter descongelado, mesmo que o piloto automático não tenha voltado. Agora, o avião detectou a velocidade no ar e identificou a condição de quase-estol. Como resultado, um aviso de parada foi ativado. Esse aviso auditivo confundiu o piloto que achava que o avião era instável. Ele continuou subindo.
E então o aviso de stall foi desligado !! Por que isso aconteceu? Uma especulação é que a velocidade do ar era muito lenta. Ninguém esperava que um avião estivesse voando tão devagar. A única vez que a velocidade seria tão lenta seria quando o avião estivesse taxiando no chão. Você não quer que os avisos de stall sejam disparados quando o avião estiver no chão. Portanto, uma linha de especulação é que os projetistas impuseram um mínimo – se a velocidade estivesse abaixo desse mínimo, os avisos de stall seriam inibidos. E foi o que aconteceu com a Air France 447. O aviso de stall parou devido à baixa velocidade. O piloto voando deve ter se sentido aliviado com o fato de o aviso de estol e ter sido considerado um bom sinal, em vez de um sinal muito sinistro.
Então um piloto mais experiente entrou na cabine e percebeu que a configuração do vôo era extremamente perigosa. Ele parece ter assumido os controles e colocou o nariz para baixo para aumentar a velocidade. Como resultado – os avisos de stall voltaram! Isso aconteceu porque a velocidade do ar aumentou acima do mínimo. Agora os pilotos estavam completamente confusos. Colocar o nariz para baixo (para fugir das condições das barracas) foi fazê-los gritar pelo sistema, mas continuar subindo era um absurdo. Enquanto tentavam descobrir o que estava acontecendo, o avião parou e caiu no oceano. Levou vários anos até que o avião fosse localizado e o gravador de dados de voo pudesse ser recuperado.
Ninguém imaginara que um avião a jato pudesse estar voando tão devagar. Como resultado, o aviso de estol, destinado a ajudar os pilotos a evitar o perigo, ajudou a matá-los.
O segundo exemplo vem do livro Horse Soldiers, de 2009, sobre as Forças Especiais dos EUA no Afeganistão logo após os ataques de 11 de setembro. Os soldados tiveram que ser trazidos do Uzbequistão para se unirem aos guerreiros tribais afegãos que combatem o Taleban. Os pilotos de helicóptero enfrentaram vários problemas na execução dessa missão. Um era o terreno, as montanhas subindo até 20.000 pés. Os pilotos dos EUA estavam acostumados a voar a 3.000 pés – para eles, 10.000 pés pareciam um máximo, mas no Afeganistão, 10.000 pés era uma baixa altitude para algumas das colinas / montanhas que eles tiveram que enfrentar. Um segundo problema era que os voos tinham que ser conduzidos à noite, para fins de segurança; os pilotos na verdade preferiam voar apagados (sem luzes acesas dentro ou fora da aeronave) ao invés de se tornarem um alvo. Um terceiro problema era o tempo – às vezes eles não pareciam perfurar o fundo da camada de nuvens, que era uma espécie de massa de areia e neve pairando no ar. Um quarto problema era que a magreza do ar naquela altitude (o que dificultava as operações com helicópteros) resultava em débito de oxigênio e hipóxia. O helicóptero tinha um sistema de respiração a bordo, com máscaras alimentadas por garrafas de oxigênio, mas infelizmente houve uma quebra nesse sistema. Durante o primeiro voo, o piloto principal descobriu o problema ao observar seu co-piloto e outros agindo irracionalmente. Então ele desligou o ar para todos a bordo, exceto a si mesmo. Ele conseguiu pousar com segurança, mas o layout complicado do helicóptero impediu a equipe de manutenção de consertar o vazamento, de modo que se tornou parte do desafio.
Para este ensaio, o desafio mais relevante foi o voo da soneca da Terra, para evitar a detecção – às vezes seis metros acima do solo, movendo-se a 160 mph, a uma altitude que chegava a 12 mil pés. À noite. Felizmente, o helicóptero tinha um radar multimodo (MMR) que dava uma capacidade de antecipação que mostrava se a aeronave poderia liberar quaisquer afloramentos rochosos que pudessem estar em seu caminho. O MMR mostrou o piloto se houvesse potência suficiente, levante e acelerasse para chegar à próxima colina. Graças a Deus pelo MMR.
Exceto o sistema foi projetado para desligar acima de 5.000 pés! A teoria era que seria claro navegar em altitudes superiores a 5.000. Então, por que continuar funcionando, drenando energia? Os projetistas não pensavam em voar na terra do norte do Afeganistão.
À medida que os pilotos passavam sobre cada cume, o MMR ligava e desligava, com mensagens de erro sobre BAD DATA. Para piorar, uma vez que o MMR foi desligado, levou alguns minutos para reiniciá-lo. Fale sobre voar cego.
Assim, temos aqui um segundo exemplo de fracasso da imaginação. Por que manter o sistema MMR funcionando acima de 5.000 pés? Nenhuma razão, se você está voando fora de uma base aérea na Geórgia (o estado dos EUA, não o país). Muitas razões se você está atravessando do Uzbequistão para o norte do Afeganistão à noite.
Um terceiro exemplo, muito menos dramático, é o esforço dos projetistas de sistemas de previsão do tempo para “suavizar” os dados e mostrar linhas de tendência, em vez de todo o ruído de leituras diferentes. Os previsores de novatos apreciam esses visores suavizados que os ajudam a ver as tendências gerais. No entanto, meteorologistas experientes não gostam da suavização. Eles querem ver todo o barulho, a turbulência, as condições instáveis. É aí que o tempo está acontecendo. Os meteorologistas experientes sabem ficar de olho nas áreas barulhentas e instáveis para entender como os sistemas climáticos estão começando a se formar.
Esses três exemplos ilustram decisões de design que devem ter parecido razoáveis para atender às especificações e requisitos oficiais, decisões que agora parecem lamentáveis. Como dito acima, não defendo a tentativa de identificar todo tipo de contingência que possa ser enfrentada. Existem muitas complicações potenciais e complexidades contextuais. Em vez disso, acho que devemos ser mais cautelosos em reduzir as capacidades dos tomadores de decisão para se adaptarem a desafios inesperados e inimagináveis. Isso significa que não desligamos os sinais de aviso para velocidades lentas – em vez disso, encontramos outra maneira de inibir o aviso irritante enquanto o avião está no solo. Isso significa que não desligamos os sistemas de radar essenciais acima de alguma altitude nominal “segura”. Isso significa que não eliminamos uma dica importante, como o ruído dos dados, simplesmente porque parece tão confuso. Significa que tentamos dar aos operadores do sistema, aos tomadores de decisão, mais capacidades e clareza, em vez de excluir opções. Facilitar o trabalho em operações normais pode impossibilitar condições anormais.
