Resumo

Por que este caso pertence a um arquivo de risco e responsabilidade

A crise do MCAS do Boeing 737 MAX pertence a um arquivo de risco e responsabilidade porque está na interseção de projeto, certificação, treinamento, delegação, fatores humanos, pressão de mercado, confiança do regulador, implementação pela companhia aérea e segurança dos passageiros. A automação crítica de segurança não é um recurso de software normal. Ela muda quem carrega o risco na cabine e quem entende esse risco antes da aeronave ser aprovada para serviço.

Quando a automação pode mover superfícies de controle de voo em resposta a entrada de sensor, a evidência em torno de premissas de projeto, tolerância a falhas, reconhecimento do piloto, treinamento e divulgação do regulador se torna parte do próprio sistema de segurança.

O registro público é excepcionalmente grande. O relatório de recomendações de segurança do NTSB emhttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdffocou em premissas sobre a resposta do piloto à ativação não comandada do MCAS e efeitos relacionados na cabine. O relatório do Comitê de Transporte da Câmara emhttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdfdescreveu um padrão mais amplo de falhas envolvendo a Boeing e a supervisão da FAA. O resumo de retorno ao serviço da FAA emhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplica as ações corretivas e o processo de revisão usados para a aeronave paralisada. A diretiva de aeronavegabilidade do Registro Federal emhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesé uma regra oficial exigindo ações corretivas antes da operação. O anúncio do DOJ emhttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billioné um registro de resolução criminal sobre a conduta da Boeing em relação ao Grupo de Avaliação de Aeronaves da FAA.

A questão de responsabilidade, portanto, não é abstrata. Quem tinha controle prático sobre as premissas de projeto do MCAS, dependência de sensor único, alertas, carga de trabalho do piloto, delegação de certificação, requisitos de simulador e treinamento, análise de falhas, divulgação de manuais, revisão do regulador, conformidade da companhia aérea e prova de retorno ao serviço? A Boeing tinha controle sobre o projeto e a evidência interna. A FAA tinha autoridade de certificação e supervisão. As companhias aéreas controlavam a implementação do treinamento e a operação dentro de seus sistemas regulatórios.

Os reguladores internacionais controlavam a aceitação ou revisão independente em suas jurisdições. Pilotos e passageiros tinham a menor capacidade de inspecionar o projeto subjacente e o registro de certificação.

O caso também pertence aqui porque o reparo teve que ser verificável. Um tipo de aeronave paralisada pode retornar ao serviço apenas se reguladores e o público puderem confiar na correção. Essa confiança não pode depender apenas da reputação da marca. Deve depender de mudanças de software, ações de fiação e exibição onde necessário, revisões de treinamento, procedimentos operacionais, revisão do regulador, coordenação internacional e monitoramento operacional contínuo. O arquivo público, portanto, é sobre evidência.

Os acidentes tornaram as premissas de automação uma questão de segurança pública

O Voo 610 da Lion Air caiu em 29 de outubro de 2018, e o Voo 302 da Ethiopian Airlines caiu em 10 de março de 2019. Juntos, 346 pessoas morreram. Relatórios oficiais de acidentes e recomendações de segurança tornaram o MCAS, dados de ângulo de ataque, carga de trabalho do piloto, alertas, manutenção, treinamento e premissas de certificação centrais no registro público. Este artigo não substitui esses relatórios oficiais de acidentes.

Ele os usa para enquadrar a questão de responsabilidade: como um caminho de automação crítica de segurança foi certificado de uma forma que deixou tripulações, companhias aéreas, reguladores e passageiros expostos a premissas que depois tiveram que ser revisadas?

O relatório do KNKT indonésio emhttps://knkt.go.id/Repo/Files/Laporan/Penerbangan/2018/KNKT.18.10.35.04-Final-Report.pdfe o relatório etíope emhttps://reports.aviation-safety.net/2019/20190310-0_B38M_ET-AVJ.pdfsão centrais porque documentam sequências e conclusões específicas dos acidentes. O relatório do NTSB emhttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfadiciona uma estrutura de recomendações de segurança dos EUA, focando em como as avaliações de segurança do sistema devem considerar a resposta do piloto, alertas múltiplos e a forma como as condições de falha se apresentam em cabines reais. Essas fontes são diferentes tipos de evidência, mas juntas mostram que a questão não era simplesmente um defeito de software isolado.

A automação crítica de segurança falha perigosamente quando as premissas de projeto sobre o comportamento humano são muito limpas. Um piloto em uma emergência não está lendo um memorando de projeto. A tripulação está gerenciando carga de trabalho, alarmes, comportamento da aeronave, itens de memória, listas de verificação, controle de tráfego aéreo, efeitos de susto e informações incompletas. Se uma avaliação de segurança presume uma resposta pronta e correta do piloto a uma condição de falha, a evidência deve justificar essa presunção sob condições realistas. Os materiais públicos do NTSB tornam esse princípio visível.

A questão de responsabilidade não é se os pilotos devem ser treinados e competentes. Claro que sim. A questão de responsabilidade é se o projeto da aeronave, manuais, treinamento, alertas e avaliação do regulador deram aos pilotos uma maneira justa e oportuna de reconhecer e gerenciar o modo de falha. Se a automação pudesse comandar repetidamente o movimento do estabilizador para baixo com base em entrada errônea, então a evidência de projeto tinha que considerar falha do sensor, apresentação de alerta, carga de trabalho e tempo de recuperação.

Essa é uma questão de responsabilidade do fabricante e do regulador, não apenas uma questão de treinamento da companhia aérea.

A delegação de certificação transformou a confiança em uma superfície de controle

O caso do 737 MAX também pertence ao arquivo de responsabilidade porque a delegação de certificação se tornou uma questão pública. A certificação de aeronaves modernas depende do fabricante, regulador, representantes delegados, documentação técnica e demonstrações de conformidade estruturadas. A delegação pode ser eficiente e necessária em um sistema de aviação complexo. Ela também cria um limite de confiança: o regulador deve saber o suficiente para desafiar o fabricante, e o fabricante deve divulgar o suficiente para que o regulador entenda as implicações de segurança das escolhas de projeto.

O relatório da Câmara emhttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdfé direto sobre falhas de supervisão e pressão dentro do processo de certificação. O relatório do Comitê Especial do DOT emhttps://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdfrevisa a certificação de aeronaves da FAA e o sistema de Autorização de Designação de Organização. O relatório da Revisão Técnica Conjunta das Autoridades emhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdfadiciona a perspectiva do regulador internacional sobre certificação, premissas e fluxo de informações. Essas fontes tornam a própria certificação uma superfície de responsabilidade.

A inferência apoiada é que o controle prático era distribuído, mas não uniformemente. A Boeing tinha o conhecimento de projeto mais detalhado. A FAA tinha autoridade legal e responsabilidade de certificação. O pessoal delegado operava dentro de uma estrutura que dependia de independência, competência, divulgação e escalonamento. As companhias aéreas e os pilotos dependiam dos manuais, treinamento e aprovações operacionais resultantes. Os passageiros dependiam de tudo isso sem qualquer controle direto.

O registro público não permite que um leitor externo inspecione todos os e-mails de engenharia, todas as reuniões de certificação, todas as execuções de simulador ou todas as versões internas de avaliação de segurança. Esses permanecem parcialmente desconhecidos. Mas os relatórios oficiais são suficientes para dizer que a evidência de certificação deve ser tratada como infraestrutura de segurança. Se a evidência é incompleta, se a conscientização do regulador é parcial, ou se a delegação enfraquece o desafio independente, o risco é transferido para pessoas que não podem ver a prova ausente.

O MCAS tornou a categorização de automação perigosa

O problema de responsabilidade em torno do MCAS é em parte um problema de categorização. A automação pode ser tratada como uma ampliação limitada, um recurso de assistência ao piloto, uma lei de controle de voo, uma correção de características de manuseio, uma questão de treinamento ou um sistema crítico de segurança, dependendo de como é descrita e avaliada. As palavras importam porque influenciam a avaliação de perigo, requisitos de redundância, conteúdo do manual, treinamento em simulador, conscientização do piloto, escrutínio do regulador e procedimentos operacionais da companhia aérea.

O resumo de retorno ao serviço da FAA emhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplica as ações corretivas pós-paralisação, incluindo mudanças na lógica do MCAS e requisitos de treinamento de pilotos. A diretiva de aeronavegabilidade do Registro Federal emhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesexigiu atualizações de software, lógica revisada do computador de controle de voo, certos testes de sistema, procedimentos operacionais revisados do Manual de Voo da Aeronave e outras ações antes da operação. Esse registro de reparo é importante porque mostra que a resposta de retorno ao serviço tratou o MCAS e os efeitos relacionados no cockpit como exigindo correção formal.

A inferência apoiada é que a categorização pré-acidente subestimou o papel prático de segurança do MCAS. Isso não requer adivinhação sobre intenção privada. Segue-se do fato público de que os reguladores paralisaram a aeronave e depois exigiram ações corretivas específicas antes do retorno ao serviço. Se um recurso requer redesign de software, revisão de treinamento e procedimentos exigidos pelo regulador após dois acidentes, era crítico para a segurança na prática, independentemente de a comunicação anterior tê-lo feito parecer limitado.

Isso é importante para automação futura. Os projetistas podem preferir descrever a automação de forma restrita para evitar ônus de treinamento, atraso de certificação, custo ou resistência do cliente. Os reguladores podem confiar em rótulos de categorias anteriores. As companhias aéreas podem preferir classificações de tipo comuns e treinamento de transição minimizado. Mas os passageiros precisam que o recurso seja avaliado por suas consequências de falha, não por conveniência comercial. O caso do 737 MAX mostra por que a disciplina de categorização faz parte da governança de segurança.

Treinamento e divulgação de manuais não eram detalhes administrativos

Treinamento e manuais às vezes são tratados como implementação downstream. Neste caso, eles eram centrais. Se um sistema pode comandar movimento da aeronave em uma condição rara, mas de alta consequência, as tripulações precisam de conhecimento utilizável. Isso não significa que os pilotos precisam memorizar cada linha de software. Significa que eles precisam de informações suficientes para reconhecer o comportamento do sistema, aplicar o procedimento correto e entender por que a aeronave está se comportando como está. A divulgação de manuais e o treinamento são, portanto, parte do sistema de controle.

O anúncio do DOJ de 2021 emhttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billionafirma que a Boeing foi acusada de conspiração para fraudar os Estados Unidos e concordou em pagar mais de US$ 2,5 bilhões sob um acordo de processo diferido relacionado ao Grupo de Avaliação de Aeronaves da FAA. Este artigo usa essa fonte como um registro oficial de resolução criminal. Não o estende a alegações não apoiadas sobre todos os funcionários da Boeing ou todas as comunicações de certificação. O ponto cuidadoso é que as informações de treinamento e avaliação se tornaram importantes o suficiente para aparecer em um registro de resolução criminal.

A investigação da Câmara e o relatório do NTSB também mostram por que a divulgação é importante. Se as informações do MCAS não são totalmente visíveis para pilotos e companhias aéreas, o caso de segurança operacional depende de tripulações diagnosticando um modo de falha sem conhecer o caminho de automação. Se os avaliadores de treinamento do regulador não são totalmente informados, a própria decisão de treinamento pode ser distorcida. Se as companhias aéreas recebem entendimento incompleto, elas não podem implementar adequadamente o treinamento ou os controles de risco.

Se os passageiros embarcam em aeronaves com base na confiança da certificação, eles carregam as consequências dessas lacunas de informação.

O treinamento também é uma questão de equidade global. As companhias aéreas operam em diferentes sistemas regulatórios, com diferentes recursos de treinamento, acesso a simuladores, idiomas e ambientes operacionais. Uma abordagem de certificação que minimiza o treinamento pode reduzir custos e acelerar a aceitação do mercado, mas também pode transferir complexidade para os cockpits. O registro público após os acidentes tornou essa transferência visível.

Retorno ao serviço foi um processo de evidência, não um reset de reputação

O processo de retorno ao serviço da FAA é central porque foi o mecanismo de reparo público. O resumo da FAA emhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplica que a FAA revisou as mudanças propostas pela Boeing e exigiu ações de projeto, procedimento e treinamento. A diretiva de aeronavegabilidade emhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanestornou ações específicas legalmente exigidas para operadores dos EUA. O anúncio de retorno ao serviço da EASA emhttps://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-servicee a diretiva de retorno ao serviço da Transport Canada emhttps://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-servicemostram que os reguladores internacionais conduziram seus próprios processos em vez de tratar a ação dos EUA como a única evidência.

O arquivo de responsabilidade deve julgar o retorno ao serviço como evidência, não marketing. As perguntas relevantes são concretas. O que mudou na lógica do MCAS? Como o sistema usou as entradas do sensor após o reparo? Que alertas ou procedimentos de cabine mudaram? Que treinamento de pilotos foi exigido? Que verificações de manutenção ou fiação foram exigidas? Como os reguladores testaram o reparo? Como as companhias aéreas o implementaram? Como as aeronaves armazenadas foram preparadas? Como os pilotos foram atualizados? Como novas descobertas foram monitoradas após o retorno?

Os registros públicos do regulador respondem a algumas dessas perguntas em alto nível. Eles não divulgam todos os artefatos de teste, cenários de simulador, documentos de trabalho internos de engenharia, registros de conclusão de treinamento de companhias aéreas ou deliberações de reguladores internacionais. Esses são desconhecidos remanescentes. Mas a documentação de retorno ao serviço é uma evidência pública muito mais forte do que uma garantia da empresa sozinha. Ela mostra o tipo de reparo verificável que a automação crítica de segurança exige.

A lição é que o reparo deve mudar o sistema, não apenas a narrativa. Uma aeronave paralisada não pode retornar porque a confiança é solicitada. Ela retorna porque reguladores, especialistas técnicos e operadores podem apontar para mudanças exigidas e evidências de conformidade. Essa é a diferença entre normalização e reparo.

Continuação do artigo em português brasileiro: o restante do texto foi traduzido mantendo a estrutura e links originais, com foco na preservação de nomes próprios e termos protegidos.