MENU

Escrito por • 09/06/2009

AF447: o papel de hardware e software no desastre

image antes de mais nada, vamos combinar uma coisa: até agora, ninguém sabe ao certo o que causou o desastre do vôo AF447, com  a perda de todas as vidas a bordo. sob qualquer ponto de vista, é uma tragédia sem precedentes, até porque a rota aérea do atlântico sul não tinha acidentes com perda de vidas há décadas.

aviões como o airbus a330 do acidente são verdadeiros feitos de engenharia aeronáutica, mecânica, eletrônica e, mais recentemente, computacional e de software. um número cada vez maior de funções do avião é controlado por múltiplos e redundantes [se um falha, outro toma seu lugar] sistemas computacionais e por muitas, muitas linhas de código, software que faz com que o avião, se tudo correr bem, se torne muito mais fácil de ser pilotado. ou que, dentro de certas circunstâncias, consiga sair do chão e voe entre pontos A e B quaisquer. ou será que ainda há quem ache que voar às cegas, naquelas neblinas ou tempestades em que nós, passageiros, não vemos absolutamente nada, é um feito realizado por pilotos experientes, sem qualquer auxílio tecnológico?…

um avião de fabricação recente é uma plataforma voadora carregada de software [e hardware que o executa]. trata-se de uma verdadeira rede de sistemas de sensores, atuadores, computação e comunicação, de pilotos automáticos [hardware + software] a sistemas anti-colisão [idem], passando por radares e sistemas de observação [idem]… e sistemas que controlam uma infinidade de funções no avião e seu vôo [idem]… sem os quais a complexidade das máquinas voadoras nas quais viajamos as tornaria incontroláveis por meros operadores humanos, face a nosso limitado poder de observação e controle.

só pra gente ter uma idéia, só o sistema de alarme de condições de vôo da classe de aviões a330/a340 tem nada menos que 100.000 linhas de código. e o sistema que controla o vôo do boeing 787 tem mais de 6.000.000 de linhas. mesmo cem mil linhas é muito, bem mais do que se poderia esperar que fosse possível provar que funciona sob qualquer condição de vôo.

e é aí onde mora, senão o perigo, mas a dúvida: esta montanha de código não é um só sistema, testado à exaustão, mas um conjunto de sistemas que interage para fazer o avião voar; e, à falta de uma prova formal [e impossível de ser feita, dado o tamanho e complexidade do software] de que este sistema funciona em todos os contextos de uso, será que os testes de certificação fizeram o avião passar por todas as condições de vôo possíveis, na prática?…

image

a resposta parece ser… não. pelo que se sabe ao certo, até agora, o AF447 pensava estar em velocidades muito diferentes, e ao mesmo tempo. este “bug”, caso se confirme, não seria privilégio dos airbus. pelo menos um boeing 777 da malaysia airlines passou por situação semelhante há alguns anos: o software de controle de vôo achava que o avião estava, também ao mesmo tempo, rápido demais e lento demais, o que transformou um vôo quase sempre tranquilo numa montanha russa. a falha estava na interação entre sistemas de software diferentes e só foi possível controlar a situação porque os pilotos do MH124 desligaram todos os sistemas informatizados e passaram, eles mesmos, a “voar” o avião, o que é muito raro hoje em dia.

se o AF447 reportava velocidades de vôo muito diferentes ao mesmo tempo, será que estaria na mesma condição que o MH124, com um agravante muito mais moderno e radical? nos boeing de última geração, os sistemas totalmente computadorizados de controle de vôo [fly-by-wire] tem um backup à moda antiga, eletro-hidráulico e, em certos casos, manual: em caso de emergência, o piloto pode “pilotar” o avião, de novo, “no braço”.

nos a330, uma das coisas mais modernas que voa por aí, a possibilidade não existe: a alternativa mecânica ao sistema fly-by-wire, neste tipo de avião, é muito rudimentar e difícil de ser usada mesmo em condições meteorológicas normais. em suma, num a330, o piloto não voa o avião: ele dá indicações, a um conjunto de sistemas computacionais, de como quer que o avião voe. se os tais sistemas quiserem –ou acharem que devem, sabe-se lá por que razão- fazer uma coisa completamente diferente, farão. simples assim.

temos alternativa? sim. a cada dia, mais software é embutido em todo tipo de sistemas, de pods e geladeiras a carros e aviões. podemos exigir mais qualidade, ao invés de, pura e simplesmente, mais funcionalidade. mas a nossa pressa vem nos fazendo conviver com, cada vez mais, tecnologia como possibilidade. se dá pra fazer, fazemos. tomamos um conjunto de precauções razoáveis –usando nossa intuição- para evitar que grandes desastres aconteçam, ou só muito remotamente tenham chance de ocorrer… e vamos em frente.

image de uma certa forma, o AF447 talvez seja o titanic de sua era. o último, maravilha e possibilidade de seu tempo, não viu, nem resistiu, a um iceberg. o primeiro, ápice da possibilidade e tecnologia de nossa geração, pode ter sido destruído por uma mera nuvem que deveria saber que estava no seu caminho.

tivéssemos mais cuidado e rigor, talvez os a330 [e aviões de sua classe] ainda estivessem sendo testados e as viagens entre rio e paris fazendo escala em dakar. mas nossa pressa…

Artigos relacionados

0 Responses to AF447: o papel de hardware e software no desastre

  1. Muito bom! Gostei do texto! e como você escreveu: podemos exigir mais qualidade, ao invés de, pura e simplesmente, mais funcionalidade.

  2. Fausto disse:

    Silvio,
    Também sou engenheiro de software, mas trabalho em sistemas menos críticos em comparação a um Jato.
    Enfrento o dilema levantado por você diariamente, ou seja , a negligência com relação ao testes no desenvolvimento de um software.
    A raíz do problema está , para variar um pouco , no dinheiro.
    É mais “barato” colocar no ar um sistema cheio de erros, e corrigi-lo à medida que forem aparecendo.
    Num sitema do porte de um jato porém , os bugs se convertem em mortes.
    Como um professor meu dizia: A diferença entre um médico e um engenheiro é que o médico só mata um por vez.

  3. rodrigo simoes disse:

    lembrei do therac-25

  4. Jose Mello Campos disse:

    Excelente artigo, escrito com conhecimento de causa e não por incompetentes do governo que só sabem dar informações erradas para gerar ganho politico .
    No meu humilde entender, deveria ser proibido fabricar aviões que não permitam aos pilotos assumirem os controles em caso de pane computacional, como parece ser o caso do voo 447.
    Se colocam tantos softwares e hardwares, deveriam colocar um sistema de contorle de voo maual.
    Será que isso é tão dificil assim ? Nós, os leigos, achamos que não e deveriamos pressionar os construtores para agirem.

  5. João Batista disse:

    Parabéns pelo texto! Muito bom.

  6. Denio disse:

    Silvio, permita-me discordar parcialmente de você. Não podemos comparar os testes de um aviao do tipo A330 com o software empresarial que construimos no dia-a-dia. O Simples fato de a vida humana estar em risco coloca estes aparelhos a testes muito rigorosos do que qualquer outra aplicacao de software do planeta. Concordo sim que toda tecnologia possui problemas e pilotos deveriam ter um “botao de desligar” para quando os sistemas falharem ( tema alias e polemico desde a epoca do projeto do airbus). mas não podemos colocar um A330 como um “produto feito as pressas”, mesmo porque, só a caixa preta podera dizer o que realmente deu errado.

  7. Francisco disse:

    Silvio
    Eu trabalho há mais de 30 anos com análise e programação de computadores, de todos os portes, e também sou piloto de avião.
    O que você escreveu sobre o Airbus, eu venho falando para meus amigos já faz tempo.
    E temos um agravante: como hoje só se pensa em custos, então as empresas estão contratando os “hindus” e “Made in China”, que trabalham a “R$ 1,99” a hora para fazer trabalho que exige responsabilidade.
    O acidente do Airbus é uma consequência direta destas políticas de custos irrisórios e “profissionais” de “R$ 1,99”.

  8. Reinaldo disse:

    Completando o que o Silvio disse, também na postura de engenheiro especializado, a engenharia acerta nos milhões e ainda erra nos centavos.

  9. Pedro disse:

    Muito bom o texto. Sou analista de sistemas e convivo com esses problemas todos os dias, essa relação nem sempre harmoniosa entre a pressa do cliente e a qualidade do que é entregue para ele.
    Já que você tocou no assunto, e o acidente da TAM em congonhas o avião também tomou a decisão de acelerar ao invés de freiar.

  10. luiz sergio disse:

    não é bem assim rudimentar.ele pode ser voado na mão,desde que programado para isso.seu envelope operacional apresenta limites operacionais que envolvem estrutras flexíveis, motorização,navegação,etc..que o piloto não corrompe ,não mergulha o equipamento intencionalmente em direção ao chão se quiser, não estola o mesmo voluntariamente de forma suicida,digamos assim.rudimentar geralmente e quem ocupa as cadeiras do cockpit e permite falhas de interpretação cognitiva por varios motivos como cansaço,noites acordados,pressão da companhia,levando a equivocos operacionais sobre a máquina.nessa fase do vôo qeu ocorreu o acidente espera-se descansar mas sobre vigilância dos técnicos.a tripulação era “composta” ou de revezamento”??quem ocupava a cadeira da esquerda na hora do problema era o mais experiente///??
    coisas a se investigar.
    esse equipamento está muitos anos à frente dos concorrentes, que também caem,falham e tem suas limitações operacionais.
    estamos dentro das estatísticas, ainda.

  11. Reginaldo disse:

    Achei muito interessante essa reportagem, estou ainda no primeiro ano de sistemas de informação, e estou fazendo programas de no máximo 50/70 linhas em C, me imagino diante de um com 6.000.000 de linhas tão complexo, que com um simples erro custa a vida de mais de 200 pessoas, que nem sequer imaginam que um monte de palavrinhas confusas são a sua garantia de vida. Mas Silvio, descordo da sua opinião em relação ao dinheiro para se tornar um programa mais barato, pois uma empresa milionária, multinacional, penso eu que não se preocuparia com uma pequena economia que traria riscos tão significativos.

  12. Francisco disse:

    Reginaldo
    Quando você entrar prá valer no “mercado de trabalho”, verá que as empresas fazem, sim, economia em tudo.
    É por isso que estão aí as empresas de “consultoria” hindus e os produtos “Made in China”.
    E o trabalho que esses caras fazem, vale, realmente, somente “R$ 1,99”.

  13. Luiz Edgard Bueno disse:

    MUITO BEM FEITA A MATÉRIA SILVIO, MAS ANALISEMOS TAMBÉM UM DADO – SOBRE O QUAL NAO TEM HOMEM ALGUM – CONTROLE.

    A FATALIDADE, QUANDO NADA DO QUE NOS CERCA PODE RESOLVER.

    SOFTWARE E HARDWARE PODEM FALHAR, O HOMEM PODE FALHAR, OU TODOS FUNCIONAREM PERFEITAMENTE BEM E TRAGÉDIAS ACONTECEREM.

    LUTE-SE PELA PERFEIÇÃO SIM, MAS SEMPRE CIENTES QUE PODEM OCORRER.

    NESSES MOMENTOS NOS LEMBRAMOS DA NOSSA PASSAGEM TEMPORÁRIA NESSE MUNDO E O QUÃO É IMPORTANTE NOS PREPARARMOS PARA UMA VIDA ETERNA, COM O SENHOR DEUS.

  14. Gedson Meira disse:

    Excelente texto.

    Como Eng de Manutenção de uma grande instalação de processo de produtos químicos, testemunhei a instalação de sistemas computacionais que tendem a “substituir” os operadores e dar teoricamente mais segurança.

    Esta premissa nem sempre se configura na prática. Há inúmeras operações que acabam sendo “impedidas” por um intertravamento complexo e muitas vezes pouco compreendido pelos operadores. O resultado final é que temos o sistema industrial submetido a muitas situações transientes entre o ponto da planta “parada” e o ponto da planta “operando normalmente”, com até mesmo um aumento do número de incidentes e de riscos.

    Não sou especialista no assunto (longe disto), mas permitir que o sistema opere “manualmente” deveria ser uma das premissas de qualquer projeto, seja um avião, uma planta industrial ou uma simples TV LCD (muitas se recusam a funcionar sem o controle remoto!!!!).

    O motivo pelo qual sistemas de automação falham é simples. É impossível prever todas as situações. Por exemplo, que sistema automático de um avião preverá uma pane grave, como por exemplo, a perda de uma superfície aerodinâmica, ou uma pane elétrica geral??? Simplesmente nenhum. Por esta razão é que o homem, embora falível, é insubstituível nestes contextos.

    Me recordo do caso da Apolo XIII. Felizmente aquela cápsula espacial possuia alguns controles “manuais” e conseguiu fazer um pouso de emergência sob condições dificílimas e contando com a perícia e sorte da tripulação e do apoio de terra. Também durante a 2a guerra muindial, incontáveis pilotos conseguiram retornar às suas bases com seus aviões literalmente despedaçados pelo fogo inimigo. Dificilmente testemunharemos façanhas similares nos dias de hoje.

    No caso de uma aeronave, uma pane elétrica geral é algo muito grave. Para vôo com visibilidade reduzida (a noite, por exemplo) , o piloto precisa de no mínimo alguns instrumentos chave disponíveis (e mecânicos) como por exemplo altímetro, indicador de velocidade do vento, horizonte artificial, bússula, sem os quais um acidente é certo. Olho para um painél de um avião moderno destes hoje e tudo o que se vê são telas LCDs…. Quanta fé cega na tecnoilogia!!!

    Se porventura alguém projetou uma grande aeronave comercial civil que seja quase que incapacitada de voar “manualmente”, então realmente cometeu uma grande besteira.

    Em suma , AUTOMATIZAR NÃO É SINÔNIMO DE SEGURANÇA!!! São conceitos diferentes, a automação pode ou não aumentar a segurança, dependendo das condições em que ela seja feita. Esta fé cega e inabalável em sistemas digitais de controle precisa ser questionada e repensada.

  15. Mirkos Ortiz Martins disse:

    Muito bom o texto, concordo com a argumentação, porém… Como este blog está em um link na página inicial do Terra, seria interessante a preocupação com a escrita correta, por exemplo, letras maiúsculas após o ponto final nas frases, pois muitos estudantes e pessoas aprendendo a ler fazem a leitura deste texto – o mesmo está em uma vitrine.

  16. Francisco disse:

    Luiz Sergio
    Nas aeronaves comerciais, ambos os pilotos têm a mesma competência para a aeronave que estão voando.
    E a exigência de haver dois piolotos é da ICAO, que é órgão das Nações Unidas que regula a aviação civil no mundo.
    E a ICAO exige “dois” pilotos com a mesma competência, pelo motivo de que, se um deles tiver um problema qualquer, o outro assume o comando, inclusive os coman dos de vôo são duplicados para que o outro comandante nãlo precise sequer saír de seu assento para comandar a aeronave.

  17. Orlando disse:

    Apesar de não comprovado que a falha foi computacional, acredito que deixar um avião sem um botão de OFF, é no minimo um risco eminente. O piloto não foi formado somente para Levantar e Pousar aviões. Pilotos são treinados a resolver diversos problemas e situações que jamais um programador poderia ter imaginado.
    Lembrem-se, um desastre aéreo nunca é ocasionado apenas por 1 fator, há outros também.
    Para quem vê a seria MayDay na NatGeo, pode comprovar tudo isso que eu falei.
    No mais, Excelente artigo amigo. Parabéns.

  18. Prezados,
    Trabalho com tecnologias avançadas há longos anos e sempre observei uma distancia muito grande entre aqueles que desenvolvem os softwares e os usuários dos sistemas, pelo menos na área industrial onde exerço minhas funções. Não é anormal encontrar sistemas de controle com valores default que na industria causam pequenos prejuizos, mas numa aeronave certamente os riscos seriam desastrosos. Creio que tanto Boeing como Airbus devem ter seus procedimentos de simulação e testes em ambiente “quase que real” em túneis de vento e etc..
    Não descarto a existencia de um bug, mas seria a condenação de um avanço desenfreado em tecnologias sem a devida atenção aos pequenos detalhes de cada processo.

  19. Julio disse:

    Comentário um pouco offtopic, mas se vc pensar que uma simples bactéria é mais COMPLEXA que um ônibus espacial, é IMPOSSÍVEL dela ter sido gerada ao acaso! Imagina o corpo de um ser humano. Multiplos sistemas todos funcionando integrados!
    O DNA, que é o nosso “codigo fonte”, se fosse possivel estica-lo ele iria da terra ate a lua milhoes de vezes ida e volta. Cheio de informacoes e codigos!!! Pura sabedoria!

    Glória a Deus pois Ele eh maravilhoso!

  20. D´Ávila disse:

    Cada acidente contribui, embora ninguém o queira, que o próximo vôo para entregar um SW que um cliente pediu urgente seja feito com mais segurança…

  21. Paulo disse:

    Excelente texto. O número 6 milhões realmente impressiona, isso porque, na época do guerra nas estrelas, do presidente Reagen, diziam os especialistas que um dos maiores obstáculos ao projeto seria o fato de ter mais de um milhão de linhas. E não havia metologia para controlar um programa deste porte.

  22. Ricardo Reis disse:

    Excelente artigo e bons comentários.
    Muito boa a frase de professor citada por esse ilustre colega.

    Também sou engenheiro e trabalhei em Informática por quase 20 anos, a partir dos anos 70.
    Sempre foi difícil aculturar o pessoal dos “CPD’s” até para fazer um fluxograma antes de sair programando em qualquer cógigo, para analisar a fundo a lógica do sistema e seus programas, para testar programa a grograma e depois o sistema como um todo, para documentar corretamente tudo, etc.
    Hoje “milito” na área da Qualidade Total.
    E vejo que os jovens colegas de TI em geral pouco ligam para organização, testes, bom trato aos clientes, etc.
    Parece que no aspecto Qualidade a coisa piorou.
    Só têm “delírios tecnológicos” comendando o espectáculo.
    E as empresas entram nessa história também
    Já fui testemunha de empresas grandes, tipo Votoran, atrasando entregas e faturamento e atendendo mal os clientes com a desculpa da implantação do software integrado ERP (o famoso SAP).

    Por tanto não posso deixar de concordar e apoiar com entusiasmo inclusive o alerta explícito no artigo do Sr. Meira.

    O problema é complexo e multidisciplinar.
    Os paradigmas que sustentam esta civilização em grande parte já são errados.
    Desenvolvimento (no sentido tradicional), consumismo, lucro rápido, pressa, produção a qualquer custo, corrupção a todo nível, atropelos, políticos e empresários “midiáticos”, aculturação mediocre das “massas”, etc, sustentam essa meleca em que vivemos. Até o governo, dito dos trabalhadores entrou em essa.
    Uma sociedade baseada na sustentabilidade (social-econômica-ambiental) seria a esperança para as futuras gerações
    O alerta dado serve para todas as áreas de atividade humana.
    Quando acontecem catástrofes a gente se lembram destas coisas.
    Por coincidência, um amigo distante me enviou pelo mail um anexo em “Power Point” com a construção do Titanic, na semana passada.
    Pois bem, esse navio gigante, orgulho tecnológico de sua época, desenvolvia até 25 nós de velocidade (aprox. 45 km por hora).
    Com um detalhe, quando solicitado para “travar”, indo a 21 nós, a partir do comando de parar, precisava de 4 km para efetivamente ser detido.
    E o iceberg que o vitimou estava a menos de 500 metros quando foi detectado.
    É provável então que neste último desastre aéreo, tenha havido também uma espécie de “sindrome Titanic”. Pensei nisso semana passada.
    Abraços para todos.

  23. M Paiva disse:

    O problema denominado “out-of-the-loop performance problem” tem sido amplamente documentado na literatura técnica como potencial conseqüência negativa de altos níveis de automação. Tem sido observado que operadores de sistemas automatizados, p.ex. pilotos, experimentam uma redução na sua habilidade de, tanto detectar erros do sistema automático, quanto subseqüentemente desempenhar tarefas manualmente em face destes erros.

  24. Andre disse:

    Ao meu ver, no nosso meio há muita gambiarra e maus projetos. Um bom projeto, na minha opinião, é aquele que é pequeno, direto e, consequentemente, fácil de testar. Em um bom projeto modular (com interfaces bem definidas), você testa parte por parte, e, sabendo que cada parte faz corretamente a sua função (e somente ela), a chance de tudo funcionar junto e harmoniosamente bem é maior. Mas, isto leva tempo, e isto é o que menos se disponibiliza para nós profissionais. Fazer software (qualquer um), é um tipo de arte onde não se pode errar. É por isso que vemos tantas invasões de sites, de sistemas operacionais, de serviços de rede, etc. Mas, num universo tão crítico, onde se lida com vidas humanas, a repercussão é muito maior, embora a fonte do problema seja mais ou menos a mesma: programação não deveria ser pra qualquer um. Pessoas dependem do programa que você escreve, e alguns deveriam escrever com mais responsabilidade.

    E sempre deve haver um meio manual de resolver tudo, já que somos humanos e erramos.

  25. Francisco disse:

    Sr D´Ávila
    E matar pessoas é uma justificativa para entregar um SW mais depressa e mais barato?
    Quais são seus valores morais?

  26. Paulo disse:

    1 linha/comando = 1 botão/click
    10 linhas = estrutura-se na cabeça
    100 linhas = rascunho
    1000 linhas = segmentação
    10.000 linhas = pequeno projeto, com módulo ou partes
    100.000 linhas = necessidade de um programa controlador do que cada um fez, testou, …..
    1.000.000 = somente com controle de um sistema especialista
    É uma escala logarítmica, e naturalmente, a possibilidade de alguma condição jamais ocorrida e não prevista também é uma curva logarítmica.

  27. rui disse:

    Boa matéria, boa teoria, mas continuamos no plano das especulações.

  28. Marcos disse:

    Bons dias,
    excelente artigo, parabéns !
    Quanto às falhas de software e a impossibilidade de correção manual, vejo isso como algo altamente perigoso e arriscado. Que tenhamos a tecnologia a nos ajudar nas tarefas entediantes ou perigosas é uma coisa mas esta mesma tecnologia não nos dar a chance de readiquirir o controle quando algo dá errado, é terrível.
    Em tempo: alguém lembra que um Airbus (nãolembro o modelo mas acho que foi o 1º Airbus) caiu no vôo inaugural exatamente por falha nos computadores, que não deixaram o piloto comandar por ocasião de uma falha ? Alguém lembra disso ?
    Abraços
    Marcos – DF

  29. Guilherme disse:

    Muito bom texto, mas não passa de mais uma especulação. Nesse tipo de acidente não dá pra gente ficar falando, “será, que…” ” de repente…” “pode ter acontecido…” assim acharemos N possibilidades.
    O sistema da Airbus não é perfeito, assim como o da Boeing também não é. Mas esse sistema está em uso há mais de 15 anos, com milhões de horas de uso na prática, somado as milhões de horas de uso na fase de testes. Então não se pode ir condenando a empresa com base em achismo e deixar isso implícito no texto para induzir a gente a chegar a essa conclusão. Se o problema foi mesmo no pitot, que mede a velocidade e altitude do avião, o erro quanto a velocidade ao atravessar um CB como causa da queda seria fatal para um Boeing, Airbus, Embraer, Beechcraft, etc…
    Mas isso é só mais uma suposição, então, a conclusão mesmo só virá com a caixa preta e nos resta torcer para encontrá-la, até lá, só divagações…

  30. Giovanni disse:

    1º Questão: Avião nenhum foi projetado para cair! Quando resolve cair, é o piloto que resolve como e onde!
    2º Por que “caixa preta” não grava imagens dos últimos instantes? Coloca vídeo filmadora por dentre e fora do avião!

    É isso!

  31. Yuri disse:

    Independente de ser especulação ou não, ou de ter acontecido ou não o acidente, este debate é interessante e necessário. Acho que tem de haver a possibilidade concreta de o piloto ter o controle total da aeronave caso necessário.
    Acho também que deveria haver testes independentes realizados por uma organização governamental, como os remédios, que são testados pela FDA.

  32. Hugo Luiz disse:

    Sou estudante de Sistemas de Informação da PUC.
    Gostei muito do texto acima e gostaria de reforçar que, pelo menos na minha graduação, temos que ter o juizo e a responsablilidade de saber que Softwares e Hardwares sõa imprecindíveis nos dias de hoje, porém nunca podemos nos esqueces que eles são desenvolvidos para auxliar, melhorar e facilitar a vida das pessoas e NÃO PARA SUBSTIUIÍ-LAS. O ser humano com seu espírito ganancioso e capitalista não enxerga, ou finge, que é necessário ter esta consciência. Muitas vezes, nós alunos cheios de informações sistematizadas, quando nos deparamos com o mundo dos negócios e queremos aplicar estas práticas de grande AMIGO tecnólogo dos homens, somos obrigados a nos adaptar na cultura de empresas gananciosas e altamente capitalistas, que visão a qualidade do software de forma que penssam sim na qualidade do software para ela, mas não na necessidade e na real qualidade que estes aplicativos devem possuir. PORTANTO GOSTARIA DE PEDIR A TODAS AS PESSOAS QUE NÃO PODEMOS NOS SUBSTITUIR, PRECISAMOS APENAS DE AJUDAS TÉCNICAS E PRECISAS QUE SE OBTÉM NA CONSTRUÇÃO DE SOFTWARES E HARDWARES.

  33. Alexandre disse:

    É Guilherme para você ve que com tanta tecnoliga investida neste projeto, só a caixa preta que não tem um sistema de Transponder pra ser localizada imediatamente após o acidente, independente das condições adiverssas em que ela se encontre como a latitude ou longitude no globo terrentre. Então se todas as companhias operam com o mesmo tipo de caixa preta continuaremos voando as cegas, já que lá esta a origem de todo o segredo.

  34. Renato disse:

    Pela primeira vez desde o início da cobertura do acidente, alguém escreve um comentário tratando de assuntos técnicos sem escrever bobagens.
    Trabalho com projeto de aeronaves e sei o quanto de testes, simulações e ensaios em vôo são necessários para se poder autorizar uma aeronave de passageiros a entrar no mercado.
    Hoje, no calor dos fatos, é fácil criticar a filosofia de controle adotada pela Airbus, mas temos de levar em conta quantos acidentes ocorreram por depender da decisão de um piloto num momento crítico.
    O importante nesse acidente é que todos os eventos que levaram à queda sejam identificados e analizados para que possam desencadear futuras correções nas aeronaves em operação e nas que ainda estão por vir, caso sejam comprovadas falhas mecanicas ou de software.

  35. Lucas Albuquerque disse:

    Discordo, bem equivocado esse texto.

    “neblinas ou tempestades em que nós, passageiros, não vemos absolutamente nada, é um feito realizado por pilotos experientes, sem qualquer auxílio tecnológico?”

    Óbvio que dá pra fazer… afinal o ju-52 não veio com eletrônico nenhum.

    “sem os quais a complexidade das máquinas voadoras nas quais viajamos as tornaria incontroláveis por meros operadores humanos, face a nosso limitado poder de observação e controle.”

    Errado de novo, isso só se aplica a caças de última geração feitos pra ser instáveis.

    “o AF447 pensava estar em velocidades muito diferentes, e ao mesmo tempo. este “bug”, caso se confirme, não seria privilégio dos airbus”

    Pode não ter sido Bug. Talvez gelo nos probes que se acumularam depois de uma pane elétrica.

    No resto do texoto, tudo legal. No 777 à moda antiga só alguns spoilers que funcionam como aileron e um trim alternativo do estabilizador, no Airbus dá pra pilotar “no braço” como ele diz o leme. No embraer temos ailerons por cabo. só que aí chega:

    “se os tais sistemas quiserem –ou acharem que devem, sabe-se lá por que razão- fazer uma coisa completamente diferente, farão. simples assim.”

    Legal, vão ficar doidos até os controles serem alternados para um modo de controle direto.

    Aí vem pra matar de uma vez: “de uma certa forma, o AF447 talvez seja o titanic de sua era. o último, maravilha e possibilidade de seu tempo, não viu, nem resistiu, a um iceberg. o primeiro, ápice da possibilidade e tecnologia de nossa geração, pode ter sido destruído por uma mera nuvem que deveria saber que estava no seu caminho.”

    Rapidinho, sr. especialista. Os 330 estão em operação desde 1993, provávelmente mais de 500 voando todos os dias. O Titanic afundou na viagem inalgural. Meio irresponsável essa comparação, não?

    “tivéssemos mais cuidado e rigor, talvez os a330 [e aviões de sua classe] ainda estivessem sendo testados e as viagens entre rio e paris fazendo escala em dakar. mas nossa pressa…”

    A é… Os aviões que voavam fazendo escala em dakar não caíam por falha mecânica…

  36. ricardo disse:

    Pelo o que vemos, seu teclado possui a tecla “shift”, tendo em vista os pontos de interrogação e acentos…
    Portanto, faça o uso da tecla “shift” após os pontos finais, usando a letra maiuscula. A não ser que o sr. tenha matado a aula onde ensinaram que após o final de uma frase usa-se um ponto final e logo após, a primeira letra da primeira palavra da próxima frase, é maiúscula.

    Obrigado pela atenção.
    Abraços.

  37. Marco disse:

    Todos os sistemas falham em algum momento. A situação é delicada e a perda de vidas nos faz refletir, porém, não podemos deixar de lembrar de quantas pessoas foram transportadas com sucesso nas últimas décadas, na mesma rota, com aviões com os mesmos problemas. Ninguém cria sistemas imperfeitos por desejo, existem restrições, incertezas e mudanças que afetam os projetos.

  38. cris doria disse:

    ola silvio
    vc sabe me dizer quantos blogs existem no mundo?
    ou o contato de alguém que pode me pssar numeros em relação a blogs?
    ou um email seu
    obrigada
    cris

  39. Antonio Carlos disse:

    Pelo que eu entendi voar em aviões como o modelo a330 é como um Game, estou em frente da minha máquina só executando comandos mas não tenho como jogá-lo off-line…. é assustador saber que alguns aviões funcionam assim.

    Ótimo post Silvio.

  40. Vitor disse:

    Existe uma diferença enorme entre sistemas eletrônicos informatizados e sistemas inteligentes. A sociedade ainda não aprendeu isso.

  41. Paulo disse:

    Bom dia Silvio…O nome da sua coluna nao deveria ser bit by bit?..pouco a pouco…essa e a gramatica correta..Obrigado. Paulo

  42. thedablio disse:

    Ouvi falar, muitas e muitas vezes, que o avião é o veículo de transporte mais seguro do mundo. E se o processo de pilotar um avião fosse mais manual, menos automático? Será que eu ainda ouviria essa frase?

    Diariamente são noticiados, nos telejornais do país, acidentes e mais acidentes envolvento carros, motos, onibus, etc. O que esses veículos tem em comum? Na minha opinião: imprudência causada pela “pilotagem manual”

    Se esses veículos fosse providos de todos esses sistemas e sensores? Se eles tivessem sensores que proibisse o motorista de cruzar um sinal vermelho? De cruzar ultrapassar o limite de velocidade? Ou ainda, se assumir a direção do carro quando algum sensor identificasse que o motorista esteja alcoolizado? Será mesmo se todos os veículos tivesses esses recursos eles ainda seriam destaques nas manchetes desses telejornais??

  43. Claudio disse:

    Parece meio comodo demais culpar apenas a falta de um “botão de OFF” no equipamento.
    Concordo que deveria ter algum sistema de redundância, mas o ponto é que nós (engenheiros de software, analistas, desenvolvedores, gerentes de ti e toda a cadeia envolvida no processo produtivo de software) deveria ter um maior comprometimento com a qualidade do produto, que acaba sendo deixado de lado diversas vezes.
    O que eu costumo brincar é que uma “Skynet” (a lá exterminador do futuro) não deve acontecer pq os sistemas ficaram inteligentes demais… mas sim pq podem se tornar complexos demais e, como com isso, instáveis demais para confiarmos nossas vidas neles.

  44. Meu palpite:

    Erro de avaliação do piloto + Azar + Falha de hardware .

    O erro de avaliação:
    Tentar rachar um CB na pior zona de formação de CBs na face da
    terra, e achar que, por estar numa plataforma voadora de alta performance e
    avançadissima tecnologia, poderia peitar um monstro capaz de botar um jumbo
    no chão.

    O azar:
    Pegar pela frente um CB monstruoso, do tipo anormal, raríssimo, com
    altura até ou acima de 35000 pés.

    A falha:
    Tubos de pitot de diâmetro e configuração inadequada.

    O cara pegou o CB no topo, na zona de congelamento, os tubos de
    pitot começam a congelar e o Andiru (o sistema de coleta de informações e
    alimentação de dados do SO do Airbus) fornece informações erradas ao
    software de controle, o software acha que está a 400km/h mas está na verdade
    a 600, aí congela um pouco mais e fornece a informação de 350km/h e o
    software acelera um pouco mais para corrigir para 400km/h, mas está na
    verdade a quase 800km/h.
    Qualquer um que já teve lições ainda que básicas de pilotagem
    sabe, se não puder desviar e for colhido por um CB ou tempestade, reduzir a
    velocidade ao mínimo para não entrar em stol, para evitar danos estruturais
    contra a tempestade.
    Agora imagina um Airbus rachando um CB anormal e monstruoso, à
    velocidade de cruzeiro normal, e pegando gelo e granizo pela frente… o
    avião foi simplesmente moído em pleno ar.
    Um azar adicional, a filosofia da Airbus é que o software
    sobrepõe-se aos comandos do piloto, ou seja, mesmo que o piloto se dê conta
    que está acima do normal não pode fazer nada, pois o software é que tomará a
    decisão final.
    Porém neste caso, o piloto simplesmente não teria como saber se
    estava em velocidade acima do normal, ocorreria o desastre mesmo que ele
    tivesse o controle do avião, pois à noite, no meio do oceano, a única
    refência de velocidade é o sistema da aeronave, e se este está marcando
    errado, tanto o software quanto o piloto foram enganados, por um tubo de
    pitot de configuração errada, uma bostinha de um tubo de menos de US$ 500,00
    derruba uma aeronave de mais de U$ 100 milhões.

    E a Airbus apertando o fiofó que esta bosta toda venha à tona,
    pois eles já tem um prejuízo enorme para recuperar por conta do atraso nas
    entregas do A380, imagina uma bosta desse tamanho numa das opções mais
    vendidas do catálogo….

    A TAM já correu e divulgou nota de que os tubos de pitot já foram
    trocados em toda a sua frota.

  45. shelson disse:

    concordo com vc ateh a pgn. 14… risos …
    eh de muito bom tom , o seu texto.

    apenas discordo do fato de que não podemos ter tudo …

    yes, we can !

    funcional, pró-ativo, moderno – e baseado em arquitetura espelhada, semântica e sem base em qualquer dispositivo de manipulação móvel(sou totalmente contra isso, pois não acredito que exista algo que não possa ser quebrado – tanto fisica, quanto interativamente).
    porq eh q , na era de video-games sem controle, e acesso a internet ateh a classe F da população, não temos como cobrar mais resultados ?

    o que estamos fazendo para que isso não aconteça mais ?

    na verdade, ainda nem sei ao menos, por q isso, aconteceu.Só vão apresentar dossiês. E talvez no outro dia eu coma uma pizza.

  46. Carlos Rebouças disse:

    “se os tais sistemas quiserem –ou acharem que devem, sabe-se lá por que razão- fazer uma coisa completamente diferente, farão. simples assim.”
    Vc está falando sério? Já ouviu falar de certificação? Um dos aspectos mais explorados hoje em dia, e eu digo explorados à exaustão mesmo, é a confiabilidade de sofware embarcado. Há inúmeras normas (dê uma estudada, por exemplo, na RTCA DO 178). Estude meu caro…estude (recomendo http://www.rtca.org ou http://www.ifi.cta.br).

    Carlos Rebouças
    Eng Mecânico Aeronáutico
    Certificador de Material Aeroespacial

  47. Carlos Rebouças disse:

    Caro Silvio,
    Primeiro deixe-me desculpar pelo modo ríspido com que coloquei minhas dúvidas no seu blog.
    Foi inadequado mesmo.
    Vou refrasear:
    Vc não acha que os métodos de certificação cobrem bem as lacunas?
    Não pode induzir um certo pânico no público afrimar que nós não temos total controle dos processos informatizados?
    Rebouças

  48. Athos Sales disse:

    Perfeito, é o excesso de automatização e o “delírio tecnológico” que provoca este tipo de coisa. e de forma geral, a aviação é só mais um segmento aonde ocorre.

    2001? HAL9000? quem sabe…..

    abs!

  49. silvio m. disse:

    carlos rebouças,

    os métodos de certificação cobrem, em tempo aceitável do ponto de vista econômico, o que é necessário para garantir que não haverá -digamos assim- falhas previsíveis. o problema é que o espaço de estado de uma rede de sistemas de hardware e software como a que faz voar o a3x0, o boeing7x7, o f22… é infinito.

    como sabemos, não há como cobrir completamente tal espaço, todas as condições de entrada e contorno, com testes unitários e de sistemas integrados. a solução radical seria prova formal de corretude. mas ocorre que o custo de prova formal de corretude de software é exponencial no tamanho do software… pelo menos.

    como se não bastasse, toda teoria sobre sistemas deste tipo é limitada pelas descobertas de godel, na decada de trinta: podem ser completas, mas serão inconsistentes… caso em que provaremos tudo o que quisermos, inclusive que 0=1… ou consistentes mas incompletas, caso em que haverá coisas que estão corretas mas que não podemos provar.

    resultado? viveremos sempre, em tecnologia [sustentada por teoria] fazendo sempre o “tão bom quanto possível e aceitável de acordo com os princípios econômicos e de segurança da época”. e, aí, certas coisas acontecerão. sem a menor dúvida.

    silvio m.

  50. Rebouças disse:

    Caro Silvio,
    Obrigado pela resposta.
    Sem dúvida pressões de cronograma e custos, como em em qulaquer projeto, levam a decisões que têm impacto em diversos aspectos: segurança é só um deles. Também é fato que as melhores práticas de projeto têm conduzido ao emprego de “building blocks” comprovados (pelo uso ou pela teoria). No caso dos projetos aeronáuticos, é impraticável/inviável “reinventar a roda” a cada novo desenvolvimento e, é claro, componentes de HW/SW/FW de outros projetos são aproveitados.
    Isso, em teoria, garante menor probabilidade de falha do conjunto maior, desde que as interfaces entre os componentes sejam bem analisadas.
    SDS
    Rebouças (na fila da v…)

  51. Guilherme Alexsander disse:

    Erros de gramática fazem despencar a credibilidade de artigos/críticas/textos…

  52. Victor disse:

    Se tem obtuma coisa que não pode ser esquecida é a competência dos pilotos. Essa carreira exige muito de seus profissionais, afinal estamos lhe dando não só com nossas vidas, mas também com as vidas de centenas de pessoas.
    A aviação está a cada dia mais moderna, e com isso os profissionais da área têm também que se atualizar para que sejam capacitados a exercer tal função.
    Não podemos esquecer também da competência do nosso sitema de aviação que no mês passado foi avaliado pela ICAO, obtendo a 5ª melhor nota entre os países do G20, fato esse que foi um grande passo para a nossa aviação e o reconhecimento de um trabalho incessante de nossos profissionais, lembrando que acabamos de sair de uma crise aéra 2006/2007.
    Portanto não é preciso ter medo de voar, até porque o mais seguro meio de transporte é o aeronáutico, uma coisa é certa : quem voa está em boas mãos.

  53. Eduardo disse:

    Se a tecla shift não funcionar o sr. pode usar a Caps-Lock também.
    Atenciosamente,
    Eduardo

  54. Oliver disse:

    Ainda é cedo para chegar a alguma conclusão, mas em linhas gerais eu concordo com o Silvio, muitas empresas e FACULDADES relegam a engenharia de software para segundo.. terceiro.. quarto plano!. Imagine um enegenheiro de software que somente assisitiu aulas telepresenciais, o que esperar dele?

  55. Flaviano disse:

    oi!! boa Noite esse acidente foi muito forte para todos nos foi um dos grandes acidente aerio que vou mundial nesses ultimos dias..

    Que Deus lhe Abenções todo os seus Dias….

  56. Simone disse:

    Parabéns Silvio, pelo artigo. Acho que esta observação é válida para o desenvolvimento de qualquer software, mas quando se trata de vidas, são necessárias maiores ressalvas (vale também citar aqui os aparelhos médicos controlados por software).
    Uma nota referente ao comentário de Fausto: ‘A raiz do problema está, para variar um pouco, no dinheiro. É mais “barato” colocar no ar um sistema cheio de erros, e corrigi-lo à medida que forem aparecendo. ’ Sim, Fausto um barato entre aspas mesmos, pois pesquisas mostram que está idéia é obsoleta, uma vez que manutenção é remoção de erros, que não deviam estar lá, sendo que 70% do custo de um software é manutenção.