segunda-feira, 6 de setembro de 2010

Computer Virus Suspiciously Influenced Spanair MD-82 Flight JK5022 Crash on AGO 20, 2008



Veja um curto video do acidente

SUSPECT AND REALITY
Suspeita e Realidade
PORTUGUÊS ENGLISH

Dois anos atrás, um avião MD-82 da Spanair acidentou-se na decolagem em Madrid, matando 154 pessoas e marcou como a pior tragédia aérea da Espanha em 25 anos.

No dia 20 AGO 2008, a aeronave McDonnell Douglas DC-9-82 (MD-82), matrícula EC-HFP, operada pela companhia Spanair, aterrisou no aeroporto de Madrid-Barajas às 10:23 horas procedente de Barcelona, completando o primeiro voo previsto para esse dia. O avião estava programado para realizar depois o trajeto entre Madrid e Las Palmas com a mesma tripulação de voo da etapa anterior. Na hora estimada de saída era 13:00 horas.Agora, um código malicioso infectando um computador do departamento de manutenção foi envolvido no acidente do avião.

Quando a aeronave se encontrava na cabeceira da pista, pronta para iniciar a decolagem, a tripulação comunicou ao Controle de Tráfego Aéreo (TWR), que tinha um problema e devia regressar à plataforma de embarque. Os pilotos haviam detectado uma indicação ALTA anormalmente da temperatura da sonda RAT (Ram Air Temperatura probe) e o avião retornou ao estacionamento para tratar de resolver o problema. Após a intervenção dos serviços de manutenção sobre o avião, a companhia se propôs e foi aceito nodespacho do voo do avião.


Às14:00 horas a aeronave foi outra vez autorizada para a taxiar. Às 14:23 horas o avião estava situado na cabeceira da pista 36L e foi autorizado a decolar novamente. Foi iniciada a corrida de deoclagem e imediatamente depois de sair do solo, o avião desceu até colidir com o terreno.


A aeronave acabou destruída em consequência dos impactos com o solo e o posterior incêndio.


A investigação tem determinado que a decolagem se realizou com uma configuração inapropriada e não aprovada, por estar os FLAPS e os SLATS totalmente retraídos.


O sistema de advertência de configuração inadequada para a a decolagem (TOWS = Take-Off warning System) com o qual estava equipada a aeronave, não se ativou.

SUPOSIÇÕES
Para ser claro, o código não foi voado nos próprios sistemas da aeronave e não causou o acidente. Este acidente especifico poderia ter sido evitado independente da existência de virus de computador, mas a descoberta do código malicioso introduzido num sistema em terra, operado pelo departamento de manutenção da empresa aérea, sugere certas possibilidades negativas.


Um possível cenário é que, o código tornou lento um programa, o qual se apropriadamente mantido, teria sinalizado a aeronave para [receber] manutenção e não permitido a decolagem por causa de uma série de problemas menores já mencionados com o avião, os quais foram uma porção de qualificadores.

Mas o fato é que o sistema estava infectado e a aeronave não foi sinalizada  para voo [AOG = aircraft on ground], neste caso fechou-se uma porta sobre uma oportunidade de salvar o voo. Também sugere a urgência de manutenção apropriada de computador em todas partes do sistema inteiro, de empresa aérea, para assegurar segurança do voo.como indisponível

O jato da Spanair, segundo rumores, tinha recebido [registrado] dois problemas de manutenção no dia antes do acidente e então abortou a decolagem exato antes da corrida de decolagem fatal devido a uma sensor defeituoso.

A tarefa deste computador [do departamento de manutenção] é supervisionar a condição técnica de fragmentos em peças da frota aérea. Tão logo que os problemas técnicos surjam de modo similar, três vezes consecutivas, o sistema causa um alerta, para os pilotos do avião em questão.

O sistema de rastreamento de manutenção usado pela empresa aérea poderia ter emitido um alerta baseado naquelas três anomalias e impedido a tentativa da próxima decolagem. Mas relatórios de midia da Espanha dizem que levou 24 horas totais para a última anomalia entrar (upload) no sistema [da aeronave]. É possível que o atraso foi causado em parte pela influência do vírus. Nenhum julgamento deve ser passado até a entidade de investigação oficial publicar seu relatório final. O que nós sabemos é que após a decolagem abortada, a tripulação taxiou a aeronave para uma outra tentativa e tentou uma segunda decolagem enquanto os SLATS [veja imagens no texto em inglês] da aeronave ficaram inapropriadamente ajustados.


A tripulação não notou o erro e parece que nenhum dos avisos de cockpit soaram para torná-los atentos.

O acidente correu às 14:24 do dia 20 AGO 2008, quando a aeronave partia para um destino de lazer nas Ilhas Canárias, Las Palmas da Grande Canárias.

Esse voo, JK5022, era um voo compartilhado com o voo 255 da Lufhansa.

O NTSB americano relatou numa investigação preliminar que o avião tinha decolado com seus FLAPS e SLATS retraidos - e que nenhum alerta sonoro tinha sido ouvido para avisar isto, porque os sistemas expedindo energia ao sistema de alertas de decolagem, falharam.

O virus no computador da [empresa] Spanair foi identificado como um tipo de "Cavalo de Tróia". Ele pode ter entrado no sistema da empresa aérea de várias maneiras.

Algumas das mais prováveis maneiras são através de dispositivos de terceiros, tais como PEN drives, os quais foram responsáveis pela infecção por virus na Estação Espacial Internacional - ISS em 2008, ou através de uma conecção VPN remota que não pode ter a mesma proteção como um computador dentro da rede da empresa. Abrindo um maliciouso arquivo num computador simples, é tudo que ele necessita para infectar um sistema inteiro.

A REALIDADE
OPERAÇÃO DOS FLAPS/SLATS

Os SLATS operam conjuntamente com os FLAPS e têm 3 posições, as quais dependem da posição selecionada na alavanca de FLAPS:

- Retraídos
- Extensão Média
- Extensão Total


Assim, com a alvanca de FLAPS/SLATS na posição UP/RET, os SLATS se encontram retraídos.


Se a alavanca de FLAPS/SLATS estiver numa posição menor que 14º, os SLATS se estendem até uma posição média e com a alavanca de FLAPS/SLATS em posições superiores a 14º, os SLATS se estendem totalmente.

O controle dos SLATS é mecânico para as posições de FLAP compreendidas entre 0º e 13º. E é eletromecânico entre 15º e 40º das posições dos FLAPS, a qual corresponde à extensão total dos SLATS.

Uma das condições do projeto, estabelecida na instalação do gravador de dados de voo - DFDR neste avião, é que a gravação se ponha em funcionamento  ao ser liberado o Freio de Estacionamento [Parking brake] e que seja interrompida a gravação ao aplicá-lo.


PRIMEIRA TENTATIVA DE DECOLAGEM
13:13:57 o gravador de registro de dados de voo (DFDR) começou a registrar os dados. A temperatura da sonda RAT é de 56ºC e sobe até 104ºC. Os FLAPS indicam uma deflexão de 11º.


13:25:23 foi recebida a autorização para decolar.


13:26:27 a tripulação informou ao ATC que tinha um problema e que devia abandonar a pista.


13:29:00 a gravação da DFDR é interrompida. [aplicação do Parking Brake]


13:33:12 a tripulação informa ao ATC que deve regressar à plataforma de embarque.


13:33:47 a gravação da DFDR é reiniciada. [Parking Brake solto]


13:42:50 a gravação volta a ser interrompida. [aplicação do Parking Brake]
O parâmetro de deflexão de FLAPS permaneceu nos 11º em todo o período de tempo. A temperatura da sonda RAT continuou em 104ºC.


AERONAVE ESTACIONADA PARA REPAROS
13:51:22 inicou a gravação no Gravador de Voz - CVR.


13:57:47 o co-piloto inicia uma conversação telefônica pelo seu telefone celular, dizendo que ainda estão em Madrid e que se atrasará e fala com sua interlocutora que, há necessidade de trocar a aeronave, na qual estão.


14:02:36 o comandante disse que ia descer do avião para reabastecimento de combustível e solicita que avisem os passageiros.

APÓS O REABASTECIMENTO
SEGUNDA TENTATIVA DE DECOLAGEM
14:07:02 o Co-piloto solicita autorização ao ATC para taxiar, mas ele utiliza o canal de frequência de Táxi em vez de usar a frequência de Autorizações. Depois de sintonizar a frequência correta, recebem a Autorização do ATC às 14:08:08 horas.


14:08:43 a tripulação inicia o primeiro "checklist" antes da partida dos motores. PRESTART "below the line".


14:08:50  realizam o segundo "Checklist" BEFORE START. O Comandante se adianta e conteja alguns dos itens do "checklist" antes que o co-piloto os leia.


14:09:01 é inicada a partida dos motores e durante esse processo a tripulação discute sobre, se realizarão ou não uma decolagem manual.


14:12:08 é iniciado o "checklist" AFTER START (lista de verificação após Partida dos Motores).


Antes de ler o último ítem, FLAPS/SLATS, o Comandante interrompe o Co-piloto e solicita que seja pedida a Autorização para Taxiar. E enquanto esperam a autorização para taxiar, eles calculam a EPR e é ouvida a taxa de potência a ser aplicada nos motores,  1.95. Voltam a falar, se vão fazer uma decolagem manual ou com AUTO THROTTLE. [Potência Automática].


AFTER START 'checklist'São 8 itens e o último trata do "TAKE OFF BRIEFING", no qual o Comandante combina com o Co-piloto como será a decolagem e caso haja pane durante a corrida de decolagem, quais as providências a serem tomadas. Neste 'briefing' são comentadas novamente as velocidades críticas da decolagem, a configuração dos FLAPS para decolagem e outros.

O último ítem deste 'checklist' é o de número 9, no qual se encontra a seleção de FLAPS/SLATS. A resposta para este ítem é "SET and CHECKED". Na descrição deste ítem é detalhada no 'checklist' expandido, no qual aparece um aviso específico informando que o acionamento dos FLAPS só deve ser feito quando for recebido o sinal com as mãos feito pelo mecânico em terra (assistente de pista), de que a área debaixo dos FLAPS está livre [de vaículos e pessoas].
É um ítem que é realizado pelo Co-piloto selecionando a deflexão dos FLAPS que se tenha obtido previamente nos cálculos de performance de decolagem. Ambos pilotos devem verificar se a sequência de luzes de indicação dos SLATS está correta.
Este ítem só é executado mediante a solicitação do Comandante, uma vez que ele é quem recebe o sinal do mecânico assistente de pista.
Esse mecânico rotineiramente manuseia trator e outros veículos debaixo do nariz da aeronave e ao término de suas funções, ele deve sair debaixo do nariz do avião e afastar-se o suficiente para trás lateralmente, de modo que o Comandante dentro da cockpit, o veja nitidamente pela janela esquerda e assim possa ver a sinalização do mecânico, informando que a área está livre abaixo dos FLAPS e em volta da aeronave para que também seja dada a partida dos motores.
Após a partida do motores, e o Comandante ter recebido o sinal de 'área livre', ele deve solicitar ao Co-piloto o ajuste de FLAPS/SLATS.

TAXI 'checklist'
14:14:23 o Comandante pergunta ao ATC a previsão da demora.


14:14:33 é reiniciada a gravação da DFDR. [Parking Brake solto]
Desde o início do Táxi, o parâmetro na DFDR da deflexão de FLAPS indicou ZERO. Este valor se mantém até o final da gravação.
O horário nos gráficos da DFDR é LOCAL, ou seja, UTC -2.



14:16:39 receberam uma comunicação do ATC informando que eles trocassem de frequência no rádio.


14:19:00 a aeronave se encontrava na taxiway R-5 e o ATC solicitou que os pilotos se comunicassem com a frequência de decolagem.

14:21:05 foram autorizados a entrar na pista e manter a posição.


14:22:06 foram ouvidos na cabine, o sinal da comissária de voo de que a cabine de passageiros se encontrava preparada para a decolagem. O Co-piloto iniciou o "checklist" de DECOLAGEM IMEDIATA (Take Off Inminent). Neste momento a aeronave estava taxiando pela taxiway Z-2 e realizando uma curva à direita. O Co-piloto leu todos os itens do "checklist" [Take Off Inminente] e o Comandante cotejou.


14:23:09 a aeronave foi autorizada a decolar e o Comandante cotejou a autorização.

LEMBRETE 1:
O último ítem do 'checklist' AFTER START, o qual é FLAPS/SLATS, foi pulado quando o Comandante interrompeu o Co-piloto.

LEMBRETE 2:
O checklist ao ser interrompido, deve ser reassumido no item da interrupção. Nas aeronaves com 'glass cockpit', o ítem NÃO VERIFICADO ou pulado, ficará na cor azul e antes de iniciar a corrida de decolagem, deverá ser certificada a ausência total de itens em azul. [alguns sistemas pode variar a cor, porém em termos oftalmológicos a cor CYAN em fundo negro chama mais a atenção dos pilotos]

14:23:10 foi iniciado o movimento das alavancas [manetes] de potência dos motores. [aceleração]

14:23:19 os freios foram soltos.

14:23:29 a EPR alcançou o valor de 1.4.

14:23:31 a tripulação comentou que não funcionava o sistema de AUTO THROTTLE (potência automática) e tinham que fazer uma decolagem manual.

14:23:40 a EPR atingiu 1.95.

Durante a corrida de decolagem foram ouvido os anúncios em voz alta [call outs]:

'sixty', 'one hundred', 'V1', 'power check' e 'rotate'. No momento que se ouve 'V1', a velocidade gravada no DFDR era de 154 Knots e ao se ouvir,  'rotate', a velocidade gravada foi de 157 Knots.

14:24:10 o gravador DFDR registrou a mudança do sinal de modo terra para o modo voo, procedente do sistema GPWS. [é quando o avião eleva-se no ar e o peso dele sobre as pernas do trem de pouso é anulado, o switch nas pernas do trem de pouso abre as lâminas do contato elétrico]

Durante toda a corrida de decolagem e até o final da gravação no gravador de voz - CVR, não foi registrado nenhum som relacionado com o sistema de alerta de configuração inadequada para a decolagem. [TOWS = Take Off Warning System].

14:24:14  a coluna de controle [manche] do sistema de aviso de perda de sustentação se ativou [Stall Warning Stick Shaker].

O Co-piloto disse: "falha de motor?" [sic] em tom interrogativo.

14:24:15 o Comandante, perguntou em tom de voz muito alto, 'como se cancela a voz?'. E nesse momento a velocidade era de 168 Knots e o Rádio altímetro indicava 25 pés positivos, o ângulo do pitch era de 15.5º e um ângulo de inglinação lateral de 4.4º à direita. A inclinação lateral aumentou até um máximo de 20º. Neste momento foi produzida uma variação da posição das manetes de potência de uns 4º(a manete esquerda) e 32º a manete(lever) direita, com a intenção de diminuir a potência, durante um segundo. Como consequência a EPR reduziu por 2 segundos, depois para um valor de 1.65 em ambos motores. Imediatamente as manetes de potência foram movidas até suas posições todas à frente, alcançando os valores em torno de 2.15. Estes valores se mantiveram constantes até o final.

14:24:19 foi alcançado o valor máximo de pitch 18.3º (ângulo) e o Rádio altímetro acusava 40 pés.

14:24:24 se ouviu o primeiro impacto contra o terreno, o qual alcançou uma aceleração de 3.17 G.


ENGLISH

Computer Virus Linked (Loosely) To Airline Crash

Two years ago, a Spanair MD-82 crashed on takeoff at Madrid, killing 154 people and marking Spain's worst air tragedy in 25 years.
Now, malicious code infecting a maintenance department computer has been implicated in the crash.
To be clear, the code was not flown on the aircraft's own systems and did not cause the crash. This specific crash could have been avoided regardless of the malware's existence.

But the discovery of malicious code introduced into an on-ground system operated by the airline's maintenance department does suggests certain negative possibilities.

One possible scenario is that the code slowed a program which, if properly maintained, would have flagged the aircraft for service and disallowed the takeoff because of a series of smaller problems already noted with the plane. That's a lot of qualifiers.

But the fact that the system was infected and didn't flag the aircraft in this case closed one door on an opportunity to save the flight. It also suggests the urgency of proper computer maintenance throughout the entire airline system to assure safety of flight.

The Spanair jet reportedly had hosted two maintenance problems on the day prior to the crash and then aborted a takeoff just prior to the fatal takeoff run due to a faulty sensor.

The task of this maintenance computer is it to supervise the technical condition of splinter airs airplane fleet. As soon as a technical of problems arises in similar way three times in succession, the system is to cause a warning for pilots of the questionable airplane.

A maintenance tracking system used by the airline could have issued an alert based on those three anomalies and prevented the next takeoff attempt. But Spanish media reports say it took a full 24 hours for the last anomaly to enter the system. It is possible that delay was caused in part by the influence of bad code. No judgment should be passed until investigative bodies publish their final report. What we do know is that after the aborted takeoff, the crew taxied the aircraft for another attempt and attempted a second takeoff while the aircraft's SLATS were improperly set.
SLATS as seen in the pictures for another aircraft type

The crew didn't notice the error and it seems no cockpit warnings sounded to make them aware.

The accident occurred at 2:24 p.m. as the aircraft departed for a leisure destination in the Canary Islands, Las Palmas de Gran Canarias.

That the flight, JK5022, was a codeshare with Lufthansa flight 255.

The U.S. National Transportation Safety Board reported in a preliminary investigation that the plane had taken off with its flaps and slats retracted - and that no audible alarm had been heard to warn of this because the systems delivering power to the take-off warning system failed. Two earlier events had not been reported by the automated system.

The malware on the Spanair computer has been identified as a type of Trojan horse. It could have entered the airline's system in a number of ways.

Some of the most likely ways are through third party devices such as USB sticks, Yaneeza said, which were responsible for the International Space Station virus infection in 2008, or through a remote VPN connection that may not have the same protection as a computer within the enterprise network. Opening just one malicious file on a single computer is all it takes to infect an entire system.





Nenhum comentário:

Postar um comentário