Pode um erro de um único controlador de tráfego aéreo causar uma colisão entre os planos?

Eu não vi o episódio de Breaking Bad, mas na minha experiência, qualquer cena relacionada a aviação em filmes e séries geralmente está esticando a realidade além do ponto de ruptura.

Mas é possível que um único erro possa causar um acidente. A probabilidade de isso acontecer é extremamente remota, no entanto.

Normalmente, existem várias barreiras de segurança (também chamadas de camadas defensivas) no sistema ⁽¹⁾ que impedem que qualquer erro se desenvolva em uma colisão. No entanto, cada barreira tem uma pequena probabilidade de não detectar o problema (por exemplo, devido a ele não ser perfeito ou estar em estado de manutenção / falha), de modo que, eventualmente, uma falha possa resultar de um único erro.

Isto é frequentemente chamado de Modelo do Queijo Suíço (originalmente de Reason, J. (1990) Human Error. Cambridge: University Press, Cambridge.)

Quando um acidente acontece, às vezes a frase "todos os buracos no queijo suíço alinhados" é ouvida, e agora você sabe por quê.

Enquanto o primeiro buraco pode ser o erro de um controlador, os outros buracos podem não ser erros, mas são certamente raras circunstâncias e falhas no sistema. A investigação de acidentes se concentra na identificação desses fatores contribuintes.

No acidente de Überlingen mencionado por Portree Kid, duas causas imediatas foram identificadas ⁽²⁾ :

1. The imminent separation infringement was not noticed by ATC in time. The instruction for the TU154M to descend was given at a time when the prescribed separation to the B757-200 could not be ensured any more.
2. The TU154M crew followed the ATC instruction to descend and continued to do so even after TCAS advised them to climb. This manoeuvre was performed contrary to the generated TCAS RA.

A primeira causa pode ser vista como um erro pelo controlador, no entanto, esse erro só pode acontecer devido a vários fatores contribuintes (causas sistêmicas):

• Management and quality assurance of the air navigation service company did not ensure that during the night all open workstations were continuously staffed by controllers.
• Management and quality assurance of the air navigation service company tolerated for years that during times of low traffic flow at night only one controller worked and the other one retired to rest.

Além do acima, o sistema de alerta de conflitos de curto prazo (STCA) não exibiu conflitos para o controlador de tráfego aéreo por causa da manutenção (não listado como uma causa no relatório, mas discutido no texto).

A segunda causa não é um erro da tripulação do TU154M, mas uma falha latente no modo como o ACAS / TCAS II foi introduzido. Nunca alguém deu orientação sobre o que fazer se o controlador e o TCAS dessem instruções conflitantes.

No relatório, isso é identificado como uma causa sistêmica:

• The integration of ACAS/TCAS II into the system aviation was insufficient and did not correspond in all points with the system philosophy. The regulations concerning ACAS/TCAS published by ICAO and as a result the regulations of national aviation authorities, operational and procedural instructions of the TCAS manufacturer and the operators were not standardised, incomplete and partially contradictory.

Assim, enquanto o acidente foi causado por um único erro do controlador, também houve muitas falhas no sistema, que, juntas, permitiram que o erro se transformasse em um acidente.

⁽¹⁾ Por sistema refiro-me ao sistema de aviação como um todo, não apenas aos sistemas de controle de tráfego aéreo (computador).

⁽²⁾ Relatório de acidentes de Überlingen

Olhando para isso como um ato deliberado, é realmente possível, mas ainda assim seria necessário o elemento do acaso para fazê-lo funcionar. Existe uma tecnologia projetada para evitar tal ocorrência:

• software ATC. A imagem que o ATC vê é gerada por computador com muitas informações extras e procura potenciais colisões e alertas para elas. Eu acredito que o sistema dos EUA envia sinais de áudio e visuais chamados "ofertas"
• Aeronaves comerciais acima de um certo tamanho estão quase sempre equipadas com o TCAS (Traffic Collision Avoidance System), que avisa os pilotos sobre colisões em potencial e lhes diz para subir ou descer
• O olho humano: os pilotos estão sempre observando e podem identificar um conflito em potencial

Assim, um controlador que quer causar uma colisão pode definir 2 aviões sem o TCAS em rota de colisão com mau tempo ou no escuro, então ignorar mensagens de conflito automatizadas e causar uma situação muito perigosa. Isso não garante uma colisão, pois há muito espaço aéreo lá em cima, então o controlador poderia fazer todo esse trabalho diligente e só conseguir uma "quase falha".

Quanto a acidentes, sim, os erros do controlador levaram a colisões no passado. Geralmente é uma cascata de erros, em vez de um único erro.

Não só é possível, mas na verdade ocorreu no sul da Alemanha .
 Devido a outro controlador em repouso, um controlador estava assistindo a duas estações de trabalho. Pouco antes do acidente, ele percebeu a situação e disse a um avião para descer. Infelizmente, o TCAS alertou o outro avião a descer também. O primeiro avião ignorou a instrução do TCAS de escalar e ambos os aviões colidiram matando 71 pessoas. O controlador foi posteriormente assassinado por um parente enlutado.

Este remonta a um caminho, mas sim. (início dos anos 70) O centro dividiu um vôo de 4 F-4s em 2 lances de 2 sobre a Flórida, empilhou-os sobre um navaid no padrão de espera. O controlador confundiu os sinais de chamada e decolou o voo superior de 2 até o 2, mantendo-se a mil pés abaixo. Um F-4 perdeu o estabilizador vertical, ambos os pilotos aterrissaram com segurança após uma queda de náilon. O outro F-4 no ar perdeu 6 pés de asa e aterrissou com segurança no cabo de parada de aproximação BAK-9.

Claro. Eu fui dado um título incorreto para voar que poderia ter sido trágico (voar em montanha ou outra aeronave). Assim como os pilotos, os controladores podem perder a consciência da situação. Especialmente devido às suas agendas que os fazem trabalhar com um mínimo de tempo de inatividade / descanso.