por Silvio Meira

AF447: o papel de hardware e software no desastre

A

image antes de mais nada, vamos combinar uma coisa: até agora, ninguém sabe ao certo o que causou o desastre do vôo AF447, com  a perda de todas as vidas a bordo. sob qualquer ponto de vista, é uma tragédia sem precedentes, até porque a rota aérea do atlântico sul não tinha acidentes com perda de vidas há décadas.

aviões como o airbus a330 do acidente são verdadeiros feitos de engenharia aeronáutica, mecânica, eletrônica e, mais recentemente, computacional e de software. um número cada vez maior de funções do avião é controlado por múltiplos e redundantes [se um falha, outro toma seu lugar] sistemas computacionais e por muitas, muitas linhas de código, software que faz com que o avião, se tudo correr bem, se torne muito mais fácil de ser pilotado. ou que, dentro de certas circunstâncias, consiga sair do chão e voe entre pontos A e B quaisquer. ou será que ainda há quem ache que voar às cegas, naquelas neblinas ou tempestades em que nós, passageiros, não vemos absolutamente nada, é um feito realizado por pilotos experientes, sem qualquer auxílio tecnológico?…

um avião de fabricação recente é uma plataforma voadora carregada de software [e hardware que o executa]. trata-se de uma verdadeira rede de sistemas de sensores, atuadores, computação e comunicação, de pilotos automáticos [hardware + software] a sistemas anti-colisão [idem], passando por radares e sistemas de observação [idem]… e sistemas que controlam uma infinidade de funções no avião e seu vôo [idem]… sem os quais a complexidade das máquinas voadoras nas quais viajamos as tornaria incontroláveis por meros operadores humanos, face a nosso limitado poder de observação e controle.

só pra gente ter uma idéia, só o sistema de alarme de condições de vôo da classe de aviões a330/a340 tem nada menos que 100.000 linhas de código. e o sistema que controla o vôo do boeing 787 tem mais de 6.000.000 de linhas. mesmo cem mil linhas é muito, bem mais do que se poderia esperar que fosse possível provar que funciona sob qualquer condição de vôo.

e é aí onde mora, senão o perigo, mas a dúvida: esta montanha de código não é um só sistema, testado à exaustão, mas um conjunto de sistemas que interage para fazer o avião voar; e, à falta de uma prova formal [e impossível de ser feita, dado o tamanho e complexidade do software] de que este sistema funciona em todos os contextos de uso, será que os testes de certificação fizeram o avião passar por todas as condições de vôo possíveis, na prática?…

image

a resposta parece ser… não. pelo que se sabe ao certo, até agora, o AF447 pensava estar em velocidades muito diferentes, e ao mesmo tempo. este “bug”, caso se confirme, não seria privilégio dos airbus. pelo menos um boeing 777 da malaysia airlines passou por situação semelhante há alguns anos: o software de controle de vôo achava que o avião estava, também ao mesmo tempo, rápido demais e lento demais, o que transformou um vôo quase sempre tranquilo numa montanha russa. a falha estava na interação entre sistemas de software diferentes e só foi possível controlar a situação porque os pilotos do MH124 desligaram todos os sistemas informatizados e passaram, eles mesmos, a “voar” o avião, o que é muito raro hoje em dia.

se o AF447 reportava velocidades de vôo muito diferentes ao mesmo tempo, será que estaria na mesma condição que o MH124, com um agravante muito mais moderno e radical? nos boeing de última geração, os sistemas totalmente computadorizados de controle de vôo [fly-by-wire] tem um backup à moda antiga, eletro-hidráulico e, em certos casos, manual: em caso de emergência, o piloto pode “pilotar” o avião, de novo, “no braço”.

nos a330, uma das coisas mais modernas que voa por aí, a possibilidade não existe: a alternativa mecânica ao sistema fly-by-wire, neste tipo de avião, é muito rudimentar e difícil de ser usada mesmo em condições meteorológicas normais. em suma, num a330, o piloto não voa o avião: ele dá indicações, a um conjunto de sistemas computacionais, de como quer que o avião voe. se os tais sistemas quiserem –ou acharem que devem, sabe-se lá por que razão- fazer uma coisa completamente diferente, farão. simples assim.

temos alternativa? sim. a cada dia, mais software é embutido em todo tipo de sistemas, de pods e geladeiras a carros e aviões. podemos exigir mais qualidade, ao invés de, pura e simplesmente, mais funcionalidade. mas a nossa pressa vem nos fazendo conviver com, cada vez mais, tecnologia como possibilidade. se dá pra fazer, fazemos. tomamos um conjunto de precauções razoáveis –usando nossa intuição- para evitar que grandes desastres aconteçam, ou só muito remotamente tenham chance de ocorrer… e vamos em frente.

image de uma certa forma, o AF447 talvez seja o titanic de sua era. o último, maravilha e possibilidade de seu tempo, não viu, nem resistiu, a um iceberg. o primeiro, ápice da possibilidade e tecnologia de nossa geração, pode ter sido destruído por uma mera nuvem que deveria saber que estava no seu caminho.

tivéssemos mais cuidado e rigor, talvez os a330 [e aviões de sua classe] ainda estivessem sendo testados e as viagens entre rio e paris fazendo escala em dakar. mas nossa pressa…

Sobre o autor

Silvio Meira

silvio meira é cientista-chefe da TDS.company, professor extraordinário da CESAR.school e presidente do conselho do portodigital.org

por Silvio Meira
por Silvio Meira

Pela Rede

silvio meira é PROFESSOR EXTRAORDINÁRIO da cesar.school, PROFESSOR EMÉRITO do CENTRO DE INFORMÁTICA da UFPE, RECIFE e CIENTISTA-CHEFE, The Digital Strategy Company. é fundador e presidente do conselho de administração do PORTO DIGITAL. silvio é professor titular aposentado do centro de informática da ufpe, fundou [em 1996] e foi cientista-chefe do C.E.S.A.R, centro de estudos e sistemas avançados do recife até 2014. foi fellow e faculty associate do berkman center, harvard university, de 2012 a 2015 e professor associado da escola de direito da FGV-RIO, de 2014 a 2017.

Silvio no Twitter

Arquivo