Pilot in Command or Computer in Command?
Piloto-Em-Comando ou Computador-Em-Comando?
Observations on the conflict between technological progress and pilot accountability
Author: Rechtsanwalt Prof. Dr. Ronald Schmid, Frankfurt am Main / Darmstadt / Germany
[published at: 2000 (XXIV) Air & Space Law 281 - 290]
Observações no conflito entre progresso tecnológico e fiabilidade do piloto
Autor: Rechtsanwalt Prof. Dr. Ronald Schmid, Frankfurt am Main / Darmstadt / Alemanhã
[publicado em: 2000 (XXIV) Air & Space Law 281 -291]
Tradução Humana em 24 JUL 11
por George Rocha
I. Issue
I. Assunto
1. A sarcastic "joke" making the rounds in pilot circles goes like this: "What are an Airbus pilot's first and last words? The first: 'What's it doing now?' The last: 'It's never done that before!"
1. Uma "piada"sarcástica está fazendo rodas nos círculos de piloto prossegue como esta: "Quais são as primeiras e últimas palavras de um piloto de Airbus?
A primeira: 'O que ele [airbus] está fazendo agora?'
A última: 'Ele nunca fez isso antes!'.
This is humour in its very blackest form. Humour is often also a way of repressing fears, however, and thus this joke is indicative of an old, probably deep-seated psychological problem arising out of the man-machine relationship.
Este é humor na sua forma mais negra. Humor é frequentemente também uma maneira de reprimir medos, embora, por qualquer meio, e assim esta piada é indicativo de um velho, provavelmente profundo problema psicológico surgindo do relacionamento homem-máquina.
The special relationship between man and the machine is as old as man's very invention of the machine. It was relatively uncomplicated as long as man controlled the machine - or at least had the feeling he was doing so. However, it became problematic the moment man began to replace himself with the machine. This is not always a cause for concern, but it most certainly is in the areas in which safety plays a role. And that is precisely the case in the field of aviation.
O relacionamento especial entre homem e a máquina é tão velho quanto a genuína invenção da máquina pelo homem. Foi relativamente descomplicado contanto que o homem controlasse a máquina - ou pelo menos tivesse o sentimento de que ele estava fazendo assim. Portanto, tornou-se problemático o momento que o homem começou a substituir ele mesmo com a máquina. Isto não é sempre uma causa para consideração, mas ela muito certamente está nas áreas nas quais segurança faz seu papel. E issso é precisamente o caso no campo da aviação.
The person who designs a machine and puts it into service must personally concern himself with the machine. The aviation pioneer Wilbur Wright, in referring to the "flying machine", is said to have put it this way: "If you seek perfect safety, you are well advised to sit in a tree and watch the birds. If you really want to learn, however, you have to climb in a machine and familiarize yourself with its peculiarities through experimentation".
A pessoa que projeta uma máquina e a coloca em serviço deve pessoalmente considerar ela mesma com a máquina. O pioneiro da aviação Wilbur Wright, em referência a "máquina voadora", é dito a ter colocado desta maneira: "Se você buscar segurança perfeita, você está bem avisado, sentar-se numa árvore e observar os pássaros. Se você realmente quer aprender, por qualquer meio, você tem que subir numa máquina e familiarizar-se com suas peculiaridades através de experimentação".
2. From the very beginning of aviation, the following pattern could be observed: At first technology only assisted man, but soon it started replacing him to an ever greater extent. The historical development of the flight crew has thus borne a strong resemblance to the children's song "Ten Little Indians".
2. Dos primórdios da aviação, o padrão seguinte pode ser observado: em primeiro lugar a tecnologia somente assistiu ao homem, mas brevemente ela iniciou o substituindo para um sempre âmbito maior. O desenvolvimento histórico da tripulação de voo tem assim aguentado uma forte semelhança à cantiga de crianças "Dez Indiozinhos".
When my father started flying again after World War II as a commercial pilot for Lufthansa German Airlines, five or six people still sat in the cockpit of a Lockheed L-1049, the famous "Super Constellation": In addition to the two pilots (backed up by a relief pilot on long-haul flights) there was also a flight engineer, a navigator and a radio operator. The latter, however, was soon no longer needed.
Quando meu pai iniciou voar novamente após a Segunda Guerra Mundial como um piloto comercial da Lufthansa Linhas Aéreas Alemãs, cinco ou seis pessoas ficavam sentadas na cockpit de um Lockheed L-1049, o famoso "Super Constellation": além dos dois pilotos (auxiliados por um piloto de revezamento em voos de longa distância) havia também um engenhiero de voo, um navegador e um operador de rádio. O último, todavia, logo não foi mais necessário.
Shortly after the Boeing 707 and the DC-8 were put into service (i.e. at the beginning of the jet age in the year 1960), the navigator likewise became superfluous on all but a few routes: Only on the routes over the North Pole and over the North Atlantic, where navigation with the aid of very-high-frequency omnidirectional radio range (VOR) was not possible, was a navigator still needed.
Brevemente após o Boeing 707 e o DC-8 terem sido colocados a serviço (isto é, no começo da era jato no ano 1960), o navegador do mesmo modo tornou-se superflúo ao todo, mas em poucas rotas: somente nas rotas sobre o Polo Norte e sobre o Atlântico Norte, onde navegação com auxílio de VOR não era possível, era um navegador ainda necessário.
With the introduction of the inertial navigation system (INS) on aircraft such as the Boeing 747 in 1970, the on-board computer took over the work of the navigator. He could now be dispensed with completely.
Com a introdução do sistema de navegação inercial (INS) nas aeronaves tais como o Boeing 747 em 1970, o computador a bordo assumiu o trabalho do navegador. Ele pode agora ser dispensado por completo.
At the beginning of the 1980s, the battle revolving around the "third man" in the cockpit - the flight engineer - started in earnest. The cockpits of an increasing number of short-range and medium-range Western aircraft no longer even had room for a flight engineer; his services were required only on the bigger commercial aircraft used predominantly for long-haul flights. With the introduction of the newest generation of long-range aircraft such as the Boeing 747-400 and the Airbus A 340, he was no longer needed on these flights either. As in the case of the navigator, on-board computers took over his operational and monitoring functions.
No começo dos anos 1980, a batalha recorrente em torno do “terceiro homem” na cockpit – o engenheiro de vôo – iniciou de fato. As cockpits de um número crescente de aeronaves ocidentais de curto e médio alcance, não mais mesmo tinham espaço para um engenheiro; os serviços dele eram exigidos somente em aeronaves grandes usadas predominantemente para vôos de longo alcance. Com a introdução da mais nova geração de aeronaves de longo alcance tais como os Boeing 747-400 e o Airbus A 340, ele não era mais necessário em qualquer um dos dois. Como no caso do navegador, computadores a bordo assumiram funções operacionais e de monitoração, dele [engenheiro de vôo].
3. Anyone who has followed the development from a cockpit with six, five or four persons to one with a three- and ultimately only two-man crew can thus rightfully ask the following question: What will the cockpit crew be like in the commercial aircraft of the future?
3. Qualquer um que tenha seguido o desenvolvimento de uma cockpit com seis, cinco ou quatro pessoas para uma com uma tripulação de três – e ultimamente somente dois homens, pode assim legitimamente perguntar a seguinte questão: com que se parecerá a tripulação de cockpit em aeronave comercial do futuro?
Pessimists in professional circles already know the answer: A pilot and a dog. Yes, you heard me correctly: The pilot's only job is to feed the dog and keep him awake; the dog is supposed to make sure that the pilot doesn't touch anything.
Pessimistas em círculos profissionais já sabem a resposta: um piloto e um cão. Sim, você ouviu-me corretamente: o único trabalho do piloto é alimentar o cão e mantê-lo acordado; o cão é suposto ter certeza de que o piloto não toca em coisa alguma.
This joke, which made the rounds among pilots in the early stages of the manufacture of second and third-generation Airbus aircraft (A 320, A 340), may be a gross exaggeration, but it reveals the - not totally unfounded - fears of aviators regarding engineers. The latter have always dreamed of resolving the problem of human error by first repressing and ideally later eliminating its "cause", namely man with his weaknesses. At the manufacturing consortium Airbus Industries - in contrast to the American aircraft manufacturers Boeing, McDonnell Douglas or Lockheed - human beings were long considered little more than archaic "software" in the aircraft, a software that was over 50,000 years old. Pilots were considered a necessary evil, one that technically could be overcome if it weren't for the need to take into account the psychology of the passengers. The one-man cockpit (which is indeed feasible, as can be seen from military fighter planes) was viewed as the "logical" intermediate step towards the ultimate goal of remote-controlled aircraft (similar to the unmanned train shuttle "Sky Train" at the Frankfurt Airport connecting the two terminals).
Esta piada, a qual circulou entre pilotos nos estágios iniciais da fabricação da segunda e terceira geração de aeronaves Airbus (A 320, A340) pode ser um bruto exagero, mas ela revela os – não totalmente infundados – medos de aviadores em relação a engenheiros. Os últimos têm sempre sonhado em solucionar o problema de erro humano, em primeiro reprimindo e idealmente mais tarde eliminando suas “causas”, a saber, homem com, fraquezas dele. No consórcio de fabricação Indústrias Airbus – em contraste a fabricantes americanos de aeronaves Boeing, McDonnel Douglas ou Lockheed – seres humanos foram por muito tempo considerados pouco mais que “software” arcaicos em aeronaves, um software que estava com mais de 50.000 anos de idade. Pilotos foram considerados um mal necessário, alguém que tecnicamente podia ser superado se não fossem pela necessidade de levar em conta a psicologia dos passageiros. A cockpit com um homem (a qual é de fato viável, como pode ser visto em aviões caças militares) foi vista como o passo “lógico” intermediário em direção à meta máxima de aeronave remotamente controlada (similar ao serviço de transporte por trem não tripulado “Sky Train” no aeroporto de Frankfurt conectando os dois terminais).
Thus when designing its aircraft, the European manufacturing consortium Airbus Industries focused above all on the human being as the greatest of all possible sources of error. The object was to eliminate this source of error - if not completely, then at least to a major extent. Every effort was made to design technical equipment in a manner that would rule out the possibility of human error or prevent it from affecting the safety of flight operations. This philosophy was reflected in the remark a member of the management board of Airbus Industries is said to have made in February 1990 after the crash of an Indian Airlines A 320 in India: "If only the pilots had kept their sinful fingers off the controls..."
Assim quando planejando suas aeronaves, o consórcio de fabricantes Indústrias Airbus focou acima de tudo sobre o ser humano como a maior de todas possíveis fontes de erro. O objetivo era eliminar esta fonte de erro – se não completamente, então pelo menos numa maior extensão. Cada esforço foi feito para planejar equipamento técnico numa maneira que excluiria a possibilidade de erro humano ou impediria ele [erro] de afetar a segurança de operações de vôo. Esta filosofia foi refletida na observação de um membro do conselho de gerenciamento das Indústrias Airbus que é dito ter feito em Fevereiro de 1990 após a queda de um A320 da Indian Airlines na Índia: “se somente os pilotos tivessem mantido seus dedos pecaminosos fora dos controles ...”
4. The downside of this faith in technology soon becomes apparent, however. The following five examples graphically illustrate this.
4. O aspecto desvantajoso desta crença em tecnologia breve se torna aparente, portanto. Os cinco exemplos seguintes ilustram graficamente isto.
a. When my brother was assigned captain to the then newly introduced Airbus A 310 - a plane which in the 1980s was considered a high-tech aircraft but today already appears antiquated - he told me about an incident that gave me pause: During the last stage of the final approach, a bolt of lightning struck the nose of the aircraft, damaging the plane's electronic equipment in the process. The confused on-board computer still had a suggestion to make, however, and flashed it on the screen: "Shut down engines."
a. Quando meu irmão foi promovido capitão para o então novíssimo apresentado Airbus 310 – um avião o qual nos anos 1980 era considerado uma aeronave de alta tecnologia, mas hoje já parece antiquado – ele contou-me acerca de um incidente que me deu uma pausa: durante o último estágio da aproximação final, um disparo de um relâmpago atingiu o nariz da aeronave, avariando o equipamento eletrônico no processo. O computador desorientado a bordo ainda teve a sugestão de fazer, portanto, e piscou na tela: “Corte os motores”.
Now no sensible pilot in the world would do that during this stage of flight, so "Colleague Computer's" suggestion was ignored. The incident itself makes one stop and think, however: Isn't there the danger that at some point in the future the on-board computer will not merely make a suggestion but go ahead and take action itself ? Isn't there perhaps even a danger that one day, in keeping with the new philosophy I mentioned earlier, the pilot will only be able to intervene to the extent permitted by the computer? No matter how enthusiastically one may basically embrace technical progress, anyone who has retained any critical perspective at all will find it impossible to answer this question with an unequivocal "no". The following additional examples make it clear that a healthy dose of scepticism is by no means unwarranted.
Agora nenhum piloto sensato no mundo faria isso durante este estágio do vôo, dessa maneira a sugestão do “Colega Computador” foi ignorada. O incidente ele mesmo faz alguém parar e pensar, portanto: não há o perigo que em algum ponto no futuro o computador de bordo não meramente fará sugestão, mas irá em frente e tomará decisão ele mesmo? Não há talvez mesmo um perigo de que um dia, ao se manter com a nova filosofia que eu mencionei antes, o piloto não será capaz de intervir ao âmbito permitido pelo computador? Não importa como entusiasticamente alguém poderia basicamente abraçar o progresso técnico, qualquer um que tenha retido qualquer perspectiva crítica ao todo encontrará isso impossível de responder esta questão com um inequívoco “não”. Os exemplos adicionais seguintes fazem isso claro que uma dose saudável de ceticismo é sem dúvida não garantida.
b. On 26 June 1988, a brand-new Air France A 320 that was participating in an air show crashed in a wooded area in the Alsatian town of Habsheim near Mulhouse while performing an extremely low altitude fly by. When the pilot reached the end of the runway and wanted to power up the engines from minimum thrust to the thrust required for climb, the aircraft failed to react to his signal to commence the climb: Since the plane had been flying over the airfield at minimum speed (VLs) on the verge of a stall, the on-board computer refused to obey the command to lift the nose, for if the low thrust had remained unchanged, lifting the nose would have caused the plane to stall and then crash. The plane had not yet attained the higher speed necessary to avert a stall, however, because a jet engine needs several seconds to accelerate. Thus the A 320, controlled by computer logic and unresponsive to the pilot's will, flew into the adjoining woods.
b. Em 26 Junho 1988, um novíssimo A320 da Air France que estava participando em um show aéreo caiu numa área de bosque na cidade Alsaciana de Habsheim perto de Mulhouse enquanto efetuando uma passagem de extremamente baixa altitude. Quando o piloto atingiu o final da pista e quis acelerar totalmente os motores da potência mínima para a máxima potência exigida para subida, a aeronave falhou em reagir ao sinal dele (piloto] para começar a subida: uma vez que o avião tinha estado voando sobre o campo na velocidade mínima (VLs) à beira de uma perda de sustentação, o computador a bordo recusou a obedecer o comando para levantar o nariz, pois a baixa potência tinha permanecido sem mudança, levantar o nariz teria causado ao avião perder a sustentação e então cair. O avião não tinha ainda alcançado a necessária velocidade mais alta para evitar a perda de sustentação, contudo, porque um motor à jato necessita de vários segundos para acelerar. Portanto o A320, controlado pela lógica do computador e indiferente ao desejo do piloto, voou contra o bosque contínguo.
c. On 14 September 1993, a Lufthansa A 320 crashed in Warsaw while landing on a wet runway in the rain. Due to the strong crosswind, the pilot tilted the plane slightly to the right just before touchdown; it thus touched down first on the right main landing gear and then on the left. As a consequence of the A 320's construction at the time, the spoilers (which changes the airflow round the wings, modifying the lift and thus bringing the plane down to the ground) did not work because the main landing gear on both sides were not fully weighted and the wheels - due in no small part to the aquaplaning effect - were not turning at the programmed speed. In short: According to the logic of the computer, the plane had not yet landed but was still turning. Thus the spoilers, which would create a braking effect, were not to be activated.
c. Em 14 SET 1993, um A320 da Lufthansa caiu em Varsóvia enquanto pousando numa pista molhada com chuva. Devido ao forte vento cruzado, o piloto inclinou o avião ligeiramente para a direita quase no toque na pista; ele então tocou primeiro o trem de pouso principal direito e depois o esquerdo. Como uma conseqüência da construção do A320 na época, os spoilers (os quais mudam o fluxo de ar em volta das asas, modificando a sustentação e assim trazendo o avião para baixo contra o solo) não funcionaram, por causa do trem de pouso principal em ambos os lados que não estavam totalmente pressionados pelo peso da aeronave e as rodas – no devido tempo com nenhuma parte menor sob efeito de aquaplanagem – não estavam girando na velocidade programada. Em resumo: de acordo com a lógica do computador, o avião não tinha ainda pousado, mas estava ainda curvando. Assim os spoilers, os quais criariam um efeito de frenagem, não eram para ser ativados.
At that time neither the thrust reversers nor the spoilers of an Airbus A 320 - in contrast to a Boeing 737, for instance - could be manually activated. As a result, the aircraft - braked too slowly and too late - raced towards the end of the runway. The human being (pilot) was helpless.
Naquela hora nem os reversores nem os spoilers de um Airbus 320 – em contraste com um Boeing 737, por exemplo – poderia ser manualmente ativado. Como resultado, a aeronave – freou muito lentamente e muito tarde – correu em disparada em direção ao final da pista. O ser humano (piloto) foi incapaz.
As if that were not enough, the on-board computer did one more thing: The pilot could not fully activate the thrust reversers to brake the plane because the engine performance had been reduced to a maximum of 71 percent of full reverse thrust in order to protect the engines. A captain friend of mine remarked: "That would not have happened with my B 737."
Como se isso não fosse suficiente, o computador a bordo fez mais uma coisa: o piloto não podia ativar totalmente os reversores para frear o avião porque a performance do motor tinha estado reduzida para uma porcentagem máxima de 71 por cento da potência de total potência reversa a fim de proteger os motores. Um comandante amigo meu observou: “Isso não teria acontecido com meu B737”.
Conclusion: "The pilot, who in a crisis decides against protecting the engines and in favor of saving the aircraft and human lives, is rendered powerless by the "foresighted" programmer of the system."
Conclusão: “O piloto, que numa crise decide contra proteção dos motores e em favor de salvar a aeronave e vidas humanas, está pagando impotente pelo programador “previsionado” do sistema”.
d. Discussion of the "battle between the pilot and the aircraft" also brings to mind the tragic Birgenair Flight ALW 301, which crashed off the coast of the Dominican Republic shortly after takeoff from Puerto Plata on 7 February 1996. As you may recall: Presumably as a result of a blocked pitot tube on the Boeing 757, the air data computer was fed incorrect data concerning the speed of the aircraft. Since from the standpoint of the computer the plane was apparently flying too fast, the activated autopilot increased the angle of incidence in order to reduce the speed, and the autothrottle system reduced the thrust. Because the aircraft was actually flying slower than the speed indicated on the display, however, these (incorrect) adjustments brought it to the verge of a stall.
d. Discussão da “batalha entre o piloto e a aeronave” também trás à mente, o trágico vôo ALW 301 da Birgenair, o qual caiu na costa da República Dominicana logo após decolar de Puerto Plata em 7 FEB 1996. Como você pode lembrar: presumivelmente como um resultado de um tubo de pitot obstruído no Boeing 757, o computador de dados aéreos foi alimentado [com] dados incorretos em respeito à velocidade da aeronave. Já que do ponto de vista do computador o avião estava aparentemente voando muito rápido, o piloto automático ativado aumentou o ângulo de indidência a fim de reduzir a velocidade, e o sistema de potência automática reduziu a potência. Porque a aeronave estava realmente voando mais lenta do que a velocidade indicada na tela, portanto, estes (incorretos) ajustamentos trouxeram isso à beira de uma perda de sustentação.
It is still unclear whether the pilot - who after a brief moment of confusion caused by the conflicting information on his screen evidently suspected that the on-board computer was making incorrect decisions on the basis of erroneous data - turned off the autopilot and the thrust management system himself. It is not, however, unlikely that the autopilot system itself did this: A safety mechanism had been installed on the B 757 which automatically turns off the autopilot system as soon as the programmed pitch and bank limits are exceeded. The same thing is true of the thrust management system in the event that maximum speeds are exceeded.
Está ainda incerto se o piloto – que após um breve momento de confusão causado pelo conflito de informação na sua tela evidentemente suspeitou que o coputador a bordo estava fazendo decisões incorretas na base de dados errôneos – desligou o piloto automático e o sistema de gerenciamento de potência, ele mesmo. Não é, todavia, incomum que o sistema do piloto automático, ele mesmo fizesse isso: um mecanismo de segurança tinha sido instalado no B757, o qual automaticamente desliga o sistema de piloto automático tão logo a elevação do nariz programada e limites de inclinação lateral sejam excedidos. A mesma coisa é verdadeira no sistema de gerenciamento de potência no evento que as máximas velocidades sejam excedidas.
It therefore cannot be ruled out that despite deactivation of the automated systems the autopilot engaged itself again and reassumed control of the flight. Boeing disputed this for a long time; the aviation journalist and pilot Tim van Beveren, however, experienced it a number of times in the flight simulator when "reflying" Flight ALW 301. If this was the case - and I say it could indeed have been the case - then the system, which was programmed for climb, interpreted the pilot's corrective nose-down command as interference with "its own agenda" and, by further altering the trim of the nose, evidently tried to "resume" (but in fact further increased!) the climb in order to attain the most recently programmed flight profile. The pilot, for his part, tried again and again to override the autopilot and regain control of the aircraft. Thus man fought against the machine until the latter finally went into a stall and crashed.
Isso por essa razão não pode ser descartado que apesar da desativação dos sistemas automatizados, o piloto automático engajou ele mesmo novamente e reassumiu o controle do vôo. A Boeing discutiu isto por um longo tempo; o jornalista de aviação e piloto Tim van Beveren, todavia, experimentou isso um número de vezes no simulador de voo quando "refazendo" o Voo ALW 301. Se este foi o caso - e eu digo que ele podia de fato ter sido o caso - então o sistema, o qual estava programado para subir, interpretado o comando nariz-embaixo da correção do piloto como interface com "sua própria pauta" e, por adicional alteração do compensador do nariz, evidentemente experimentou "reassumir" (mas de fato além disso aumentou!) a subida a fim de alcançar o perfil de voo programado mais recentemente. O piloto, por sua vez, tentou novamente e novamente sobrepujar o piloto automático e reganhar o controle da aeronave. Assim o homem lutou contra a máquina até a última proposta [desligar o piloto automático] finalmente entrou em perda de sustentação e caiu.
It is also conceivable - although this can no longer be proven and Boeing has long denied it - that the thrust management computer eluded the pilot's commands as well: The so-called "runaway of the autothrottle during flight", i.e. the situation in which the computer independently sends commands to the engines (more or less thrust) via the autothrottle, was evidently a problem affecting the Boeing 757. It was probably not without good reason that in an Airworthiness Directive (AD) issued just about six months after the crash of the Birgenair B 757, the manufacturer gave instructions to operators of B 757 aircraft concerning measures to be taken to ensure that the problem did not occur (again?). For - according to the manufacturer - there was a danger that "the runaway of the autothrottle during flight or ground operations ... could distract the crew from normal operation of the airplane or lead to an unintended speed or altitude change". No further comment is necessary!
É também concebível - apesar disto não poder mais ser provado e a Boeing tem por muito tempo negado isso - que o computador de gerenciamento de potência esquivou-se dos comandos do piloto igualmente: o tão falado "descontrole do sistema de potência automática durante o voo", isto é, a situação na qual o computador independentemente envia comandos para os motores (mais ou menos potência) via sistema de potência automático, era evidentemente um problema afetando o Boeing 757. Era provavelmente não sem boa razão que em numa emissão de Diretriz de Aeronavegabilidade (AD) exatamente considerando medida a ser tomada para assegurar que o problema não ocorreria (novamente?). Pois - de acordo com o fabricante - havia um perigo de que "o descontrole do sistema automático de potência durante o voo ou em operações no solo ... poderia distrair a tripulação da operação normal do avião ou conduzir a uma velocidade não intencionada ou mudança de altitude". Nenhum comentário adiconal é necessário!.
e. And, finally, one last example of the tendency of the computer to take things into its own hands: On one A 321 belonging to a German airline, the air data reference computer (ADR) - acting on the basis of a brief erroneous signal - independently retracted the slats and flaps (which had already been set in position 1 for takeoff) during take off run. Thanks to their flying skill and great luck, the crew was able to avert a catastrophe.
e. E, finalmente, um último exemplo da tendência do computador tomar as coisas em suas próprias mãos: num A321 pertencente a uma empresa alemã, o computador de referência de dados aéreos (ADR) - agiu com base em um breve sinal errôneo - independentemente retraiu os slats e flaps (os quais tinham já sido ajustados na posição 1 para decolagem) durante a corrida de decolagem. Graças ao conhecimento dela e grande sorte, a tripulação foi capaz de evitar a catastrofe.
5. Conclusion: The philosophy of protecting man from himself and his mistakes by means of automated machines may in principle be a correct approach. However, it is always highly questionable if the pilot is rendered powerless by the "foresighted" programmer of the system.
5. Conclusão: a filosofia de proteger o homem dele mesmo e seus enganos por meios de máquinas automatizadas pode em princípio ser uma abordagem correta. Embora, ela seja sempre altamente questionável se o piloto tiver impotentemente pagado pelo programador "previsor" do sistema".
II. The man-machine relationship
II. O relacionamento homem-máquina
Man and the machine (and the computer in particular) have developed function if they work together in harmony. However, they are - and will continue to be - unequal partners due to their different strengths and weaknesses:
A computer can grasp more data and compare it far more swiftly than the human brain will ever be capable of doing. However, it can only call up and compare preconceived and preprogrammed courses of action; it cannot "think" truly independently.
Only man can find new solutions to problems and react to unanticipated situations, even though he collects, compares and processes information at a hopelessly slower rate.
O homem e a máquina (e o computdador em particular) tem função evoluída se eles trabalharem juntos em harmonia. Todavia, eles são - e continuarão a ser - parceiros desiquais devido às suas fraquezas e fortalezas diferentes:
um computador pode agarrar mais dados e compará-los muito mais velozmente do que o cérebro humano será capaz de fazer. Embora, ele possa somente dar instrução e comparar cursos de ações preconcebidas e preprogramadas; ele não pode "pensar" verdadeira e independetemente.
Somente o homem pode encontrar novas soluções para problemas e reagir a situações não previstas, mesmo se ele coleta, compara e processa informação numa razão mais lenta inutilmente.
If these different capabilities are perceived - and above all acknowledged - man and machine can achieve a symbiosis and comprise a "system". If the human element of this partnership is continually weakened, this "system" will become vulnerable: man and machine will become increasingly estranged.
And this is precisely the development that has been observable in recent years in the area of aircraft design: Pilots have increasingly been degraded to system operators ("push-button pilots") who often have no complete picture of the technical processes involved in the aircraft they operate for a living.
e estas capacidades diferentes são percebidas - e acima de tudo reconhecida - homem e máquina podem atingir uma simbiose e compreender um "sistema". Se o elemento humano desta parceria estiver continuamente enfraquecido, este "sistema" tornar-se-á vulnerável: homem e máquina tronar-se-ão amplamente estranhos.
E isto é precisamente o desenvolvimento que tem sido observável em recentes anos na área de projetos de aeronaves: pilotos têm amplamente sido degradados a operadores de sistema ("pilotos empurra-botão") que frequentemente não têm o quadro completo do processo técnico envolvido na aeronave que eles operam para viverem.
In a study conducted in 1996, the Nuremberg professor Holger Ebert came to the following conclusion: "The more advanced cockpits become, the less the pilots know about the technical systems." "Many pilots" would perhaps be more correct. The ones particularly affected are often those who were still flying an old B 727 yesterday but are assigned to fly an A 320 tomorrow; this is like leaping from the Stone Age to the high-tech age overnight.
Professor James Reason of the University of Manchester summed up the inevitable approach to the resolution of this problem in a single sentence: "We cannot change the human condition, but we can change the conditions under which people work."
Num estudo conduzido em 1996, o professor Holger Ebert de Nuremberg veio com a seguinte conclusão: "as mais avançadas cockpits tornam-se, as que menos os pilotos conhecem acerca dos sistemas técnicos". "Muitos pilotos", talvez seriam mais correto [dizer]. Os particularmente afetados são frequentemente aqueles que estivam ainda voando um velho B727 ontem, mas estão designados a voarem um A320 amanhã; isto é como pular da Idade da Pedra para a era de alta tecnologia numa noite.
O professor James Reason da Universidade de Manchester convocou a inevitável abordagem para a solução deste problema numa sentença simples: "nós não podemos mudar a condição humana, mas nós podemos mudar as condições sob as quais pessoas trabalham".
III. Automation and responsibility
III. Automação e responsabilidade
1. We live in a world in which life without automation is virtually inconceivable. Automation means delegating human action to machines - man lets machines work for him. This has not failed to have an impact on aviation as well.
Automation: For one person it is the work of the Devil - for another it is a blessing. Niki Lauda, who as we know can not only drive Formula 1 racecars but also fly all the different aircraft in the fleet of his airline Lauda Air, once told a journalist how he went about steering his ultra-modern Boeing 777: "Look, it's this way: I still take off manually, but then I switch on the autopilot and don't switch it off until after the landing in Los Angeles." This, in my opinion, reveals an attitude that is none too safe, as can be seen from the accident report on Flight ALW 301 and the subsequent modification of the B 757 manual which I mentioned earlier (see I. 4. d.).
Other people have greater reservations about the new technology. They are concerned that human beings might no longer be capable of completely controlling it and thus might no longer be able to assume responsibility for it. "With the introduction of 'fly by wire' technology, crews can be set a limit that is calculated by a computer. For the first time, the 'final authority' of the human being is being called into question."
This, in my opinion, was made eminently clear by the aforementioned accidents involving the A 320 in Warsaw and Mulhouse and the B 757 in Puerto Plata. They are, I feel, prime examples of what can happen when the computers function properly from a technical standpoint but either ignore or replace human input.
1. Nós vivemos num mundo no qual a vida sem automação é virtualmente inconcebível. Automação significa delegar ações humanas às máquinas - o homem deixa máquinas trabalharem para ele. Isto não tem falhado de ter um impacto na aviação também.
Automação: para uma pessoa é o trabalho do Demônio - para uma outra, é uma bênção. Niki Lauda, que como nós abemos não pode somente dirigir carros de corridas de Formula 1, mas também voar todas aeronaves diferentes na frota da empresa dele Lauda Air, uma vez ele contou a um jornalista como ele foi acerca de pilotar o ultra moderno Boeing 777 dele: "Veja, é este caminho: eu ainda decolo manualmente, mas depois eu ligo o piloto automático e não o desligo até depois do pouso em Los Angeles". Isto, em minha opinião, revela uma atitude que é nada muito segura, como pode ser visto do relatório do acidente do Voo ALW 301 e a modificação subsequente do manual do B757, o qual eu mencionei antes (veja I. 4. d.).
Outras pessoas têm maior reservas acerca da nova tecnologia. Elas estão preocupadas que seres humanos não possam por muito tempo ser capazes de controlar isso completamente e assim não podem mais ser capazes de assumir responsabilidade por isso. "Com a introdução da tecnologia 'fly-by-wire', tripulantes podem ajustar um limite que é calculado por um computador. Pela primeira vez, a 'autoridade final' do ser humano está sendo colocada em questão".
Isto, em minha opinião, foi feito eminentetemente claro pelos previamente mencionados acidentes envolvendo o A320 em Varsóvia e Mulhouse e o B757 em Puerto Plata. Eles são, eu sinto, exemplos principais do que pode acontecer quando funções de computadores apropriadamente de um ponto de vista técnico, mas ou ignora ou substitui ação humana.
2. Another potential source of danger is the new layout of modern aircraft cockpits.
2. Uma outra fonte potencial de perigo é o novo esquema de cockpits de aeronaves modernas.
a. The cockpits of modern commercial aircraft are tidier than ever: Monitor technology makes it possible for the multitude of one-dimensional gauges and dials of the old instruments cluttering 1950s-era cockpits to be reduced to just a few screens. There is, however, a danger that - intentionally or unintentionally - the information necessary to comprehend the sequence of technical operations is being suppressed in the process. The idea behind this development is that the pilot should not be burdened with too much information and too much knowledge and distracted from performing his job. In principle, this idea is acceptable, but the line must be drawn at the point at which the human being is confused or even deprived of the ability to make decisions.
a. As cockpits de aeronaves comerciais modernas estão mais limpas do nunca: tecnologia de monitor faz isso possível para a multitude de medidores [em instrumentos] de uma dimensão e mostradores de velhos instrumentos amontoando cockpits da era 1950s para serem reduzidos a exatas umas poucas telas.
Há, todavia, um perigo que - intencional ou não intencionalmente - a informação necessária para compreender a sequência de operações técnicas está sendo suprimida no processo. A ideia atrás deste desenvolvimento é que o piloto não deve estar atarefado com muita informação e muito conhecimento e distraido da execução do seu trabalho. Em princípio, esta ideia é aceitável, mas a linha deve ser desenhada no ponto no qual o ser humano é confundido ou mesmo privado da habilidade para tomar decisões.
b. The same approach must apply to the "synthetic visual system" (high-performance graphics generator) that is presently being developed at the Institut für Flugmechanik und Regelungstechnik at Darmstadt Technical University under the aegis of Professor Kubbat: This system generates a three-dimensional display of the terrain surrounding the aircraft to enable the pilot to fly the aircraft as if visibility were good even when visibility is poor. This is indisputably a great help for the pilot, serves to promote flight safety and should therefore be welcomed. It should not, however, be permitted to lead to the aforementioned deprivation of the pilot's ability to make decisions. This would, for instance, be the case if an on-board computer only permitted the aircraft to be steered within the framework of the topographical conditions generated by the computer itself or defined by the data entered into it.
b. A msma abordagem deve se destinar ao "sistema visual sintético" (gerador gráficos de alta performance) que está atualmente sendo desenvolvido no Instituto Für Flugmechanik und Regelungstechnik em Darmstadt Techinical University sob a égide do Professor Kubbat: este sistema gera uma tela tri-dimensional do terreno em volta da aeronave para capacitar o piloto a voar a aeronave como se a visibilidade estivesse boa mesmo quando a visibilidade estiver pobre. Isto é indiscutivelmente uma grande ajuda para a previamente mencionada privação da habilitade do piloto em tomar decisões. Isto, por exemplo seria o caso se um computador a bordo somente permitisse a aeronave ser guiada dentro da estrutura da condição topográfica gerada pelo próprio computador ou definida pela entrada de dados nele.
c. Moreover, the cockpit layout should not deviate unnecessarily from conditioned action patterns (allocation of warning colours, for instance: orange and red for warning or prohibition, green for all-clear or permission), because human beings swiftly revert to these thought processes in stressful and above all dangerous situations. It is simply a fact that the human brain cannot be immediately reprogrammed to forget conditioned behaviour patterns. The designer of a (flying) machine must therefore also take into account the typical archaic behaviour patterns of the human being.
c. Além disso, o esquema da cockpit não deve desviar desnecessariamente do padrão de ação condicionado (distribuição de cores de alarma, por exemplo: laranja e vermelho para alarma ou proibição, verde para todas liberações ou permissões), porque seres humanos velozmente revertem para estes pensamentos em situações estressantes e acima de todos perigos. É simplesmente um fato que o cérebro humano não pode ser imediatamente reprogramado para esquecer padrões de comportamento condicionados. O projetista de uma máquina (de voar) deve por essa razão também levar em conta os padrões de comportamentos arcaicos típicos do ser humano.
3. Another area in which the question should be posed as to whether pilots can always bear responsibility for executing a flight are bad weather approaches under CAT III c conditions (the lowest category of flight operations), i.e. landings with runway visual range 0 (zero visibility). Even though such approaches are not (yet) permitted today, landings by commercial aircraft on precision approach runways with corresponding ground equipment are already technically possible. This means that the runway visual range (RVR) can be a mere 0 meters instead of the 75 meters still required today for a CAT III b approach, and the decision height (DH) can likewise be 0 meters instead of the 30 meters (100 feet) required today. In other words, landings can be made under conditions in which visibility is so poor that rescue vehicles would find it very difficult or even impossible to find an aircraft that had crashed.
3. Uma outra área na qual a questão deve ser apresentada, se pilotos podem sempre suportar responsabilidades para executar um voo; são aproximações em condições de mau tempo CAT III C (a mais baixa categoria de operações de voo), isto é, pousos com alcance visual da pista) (visibulidade zero). Mesmo se tais aproximações não são permitidas hoje, pousos por aeronave comercial em pista com aproximação de precisão com correspondente equipamento de solo já são tecnicamente possíveis. Isto significa que o alcance visual da pista (RVR) pode ser um metro, 0 [zero] metro, em vez dos 75 metros ainda exigidos para uma aproximação CAT III b, e a altura de decisão (DH) pode do mesmo modo ser 0 metro, em vez dos 30 metros (100 pés) exigidos hoje. Em outras palavras, pousos podem ser feitos sob condições nas quais a visibilidade é tão pobre que veículos de resgate achariam isso muito dificil ou mesmo imposssível para encontrar uma aeronave que tivesse caido.
To put it more specifically: When flying an aircraft like the Boeing 747, which has a landing speed of about 270 km/h, i.e. an approach speed of 76 m/sec, a pilot making a CAT II approach (DH 100 feet = 30 meters, RVR 300 meters) has only two or three seconds to make a "decision" whether to touch down or to go around again. When making a CAT III b approach (DH 17 feet = 5.4 meters, RVR 75 meters), which is already common practice today, he has even less time. In the case of a CAT III c approach, however, the aircraft would already have touched down - correctly or incorrectly - by the time a "decision" was made to go around again. And even if such a decision were to be made, an aircraft still weighing as much as 285 tons at the time of landing (such as a B747-400) would need far too long to react. Anyone can imagine how catastrophic the consequences could be if an aircraft touched down just a few meters to the side or ahead of the runway.
The key questions to be asked, in my opinion, are the following:
Does the technology we are developing still permit responsible action?
And: In the case of which structures is there a real danger that it will ultimately prove impossible to still take responsible action?
Para colocar isso mais especificamente: quando voando uma aeronave como o Boeing 747, o qual tem uma velocidade de pouso de cerca de 270 Km/h, isto é, uma velocidade de aproximação de 76 metros por segundo, um piloto fazendo um aproximação CAT II (DH 100 pés = 30 metros, RVR de 300 metros) tem somente dois ou três segundos para tomar uma "decisão" se [vai] para o toque no solo ou arremete novamente. Quando fazendo uma aproximação CAT III b (DH 17 pés = 5.4 metros, RVR 75 metros), a qual já é prática comum hoje, ele tem mesmo menos tempo. No caso de uma aproximação CAT III C, todavia, a aeronave já teria tocado o solo - correta ou incorretamente - durante o tempo de uma "decisão" que fosse feita para arremeter novamente. E mesmo se tal decisão fosse para ser feita, uma aeronave ainda pesando tanto quanto 285 toneladas na hora do pouso (tal como um B747-400) necessitaria muito mais tempo para reagir. Qualquer um pode imaginar quão catastrófica as consequências poderiam ser se uma aeronave tocasse o solo exatamente uns poucos metros para o lado ou à frente da pista.
As chaves da equestão a ser perguntada, em minha opinião, são as seguintes:
A tecnologia que nós estamos desenvolvendo ainda permite ação confiável?
E: no caso de qual estruturas é nesse ponto um perigo real que ultimamente provará impossível para ainda se tomar ação confiável?
4. And let me point out one more danger that has not yet materialized today but could in the not-too-distant future: In the context of the development of so-called "free-flight concepts", serious consideration is currently being given to the possibility of no longer verbally issuing air traffic control instructions to pilots over the radio but instead transmitting them by radio signal to a receiver in the aircraft which would then carry them out directly - i.e. without delay. At this point - as a first step - the idea is still to have the pilot verify and confirm the instructions before the on-board computer carries them out, but how long will this be the case? Doubts do not appear to be totally unwarranted.
And if such external control of aircraft is someday possible, and if provision is no longer made for the pilot to verify and confirm incoming instructions before they are automatically carried out, who can really rule out the possibility that some crazy and/or criminal "hacker" might someday be tempted to try to "take over" an aircraft?
As a next step, the idea is to network the on-board computers of aircraft to enable them to locate and communicate with each other by independently adjusting and co-ordinating their flight plan, direction and speed with one another. The pilot would then no longer be permitted - or, as yet another step, even be able - to personally intervene. This would be the final departure from the pilot-in-command concept.
4. E deixe-me apontar um perigo maior que não tem já materializado hoje, mas poderia no futuro não muito distante: no contexto do desenvolvimento do tão falado "conceitos de voo livre", consideração séria estar atualmente sendo dada para a possibilidade de não mais, emitir verbalmente instruções de controle de tráfego aéreo para pilotos no radio, mas em vez disso transmiti-las por sinal de rádio para um receptor na aeronave, o qual então as executariam diretamente - isto é, sem demora. Neste ponto - como um primeiro passo - a ideia é ainda para ter que verificar e confirmar as instruções antes do computador a bordo executá-las, mas quanto tempo isto seria o caso? Dúvidas não surgem para serem totalmente não garantidas.
E se tal controle externo de aeronave for algum dia possível, e se a provisão não for mais feita por piloto para verificar e confirmar instruções chegando antes de elas estarem automaticamente realizadas, quem pode realmente excluir a possibilidade de que algum louco e/ou "hacker" possa algum dia ser tentado a experimentar "assumir" uma aeronave?
Como um próximo passo, a ideia é formar rede dos computadores a bordo da aeronave para capacitá-los a localizar e comunicar com cada outro pelo ajuste independentemente e coordenar o plano de voo deles, direção e velocidade com um outro. O piloto então não mais seria permitido - ou, como ainda um outro passo, mesmo ser capaz - a intervir pessoalmente. Isto seria a partida final do conceito pilot-em-comando.
IV. Legal aspects
IV. Aspectos legais
1. We have seen that technology is well on the way to depriving the aircraft pilot of his decision-making capacity and, ultimately, control. From a legal standpoint, this is cause for considerable concern and therefore cannot remain unaddressed. In the Chicago Convention of 1944, the "mother of all aviation regulations", Appendix 6 No. 4.5.1 states: "The pilot-in-command shall be responsible for the operation and safety of the aeroplane and for the safety of all persons on board during flight time."
This provision was universally incorporated into the national legal regimes of the ICAO member states and thus into the German Air Traffic Regulations as well. Section 3 para 1 LuftVO states: "The pilot- in- command shall have the right of decision concerning the operation of the aircraft. He must take the measures necessary to ensure safety during flight, takeoff, landing and taxiing."
Section 1 LuftVO obligates the pilot as an active participant in air traffic to conduct himself in such a manner that safety and order in air traffic are ensured and that no other person is endangered or injured. German air traffic law thus makes it clear that - all automation notwithstanding - it is not the computer but the human being who bears ultimate responsibility for safe execution of the flight. But can he do so?
1. Nós temos visto que tecnologia está bem no caminho de impedir o piloto da aeronave da capacidade de tomar decisão dele, ao final das contas, controlar. De um ponto de vista legal, esta é a causa para considerável preocupação dele mesmo em tal maneira que a segurança e ordem no tráfego aéreo são assegurados e que nenhuma outra pessoa esteja em perigo ou ferida. Lei alemã de tráfego aéreo assim faz isso claro que - toda automação não obstante - não é o computador, mas o ser humano que arca com a responsabilidade final para execução segura do voo. Mas pode ele fazer assim?
2. The ideal the legislator had in mind when drafting the aforementioned provisions, which still prevail today, has been profoundly altered by the new technologies. For technical reasons (feasibility) and due to economic constraints (cost reduction), man is now building systems the monitoring and control of which necessitate a complicated servo system that is susceptible to malfunction. Often, however, this system is so complex that it can only be mastered with great difficulty. In such cases the possibilities for taking responsible action are very limited, to say the least.
The same is true of landings when the visibility is 0 meters (see III. 3. above). If a pilot only has less than two seconds to correct an error he has recognized, and if the technical equipment involved (aircraft or engines) needs a few more seconds to respond after receiving his commands, it is no longer possible for any person to really act responsibly.
For the ability to exercise responsibility presupposes the freedom and opportunity to take action. If, however, the pilot in cases such as those described earlier is de facto incapable of exercising any responsibility, he cannot continue to be burdened with this responsibility de iure.
2. O ideal que o legislador tinha em mente quando rascunhou as provisões previamente mencionadas, as quais ainda prevalecem hoje, tem sido profundamente alterada pelas novas tecnologias. Por razões técnicas (viabilidade) e devido a restrições econômicas (redução de custo), o homem está agora construindo sistemas de monitoração e controle dos quais necessita um sistema servo complexo que é suscetível a mau funcionamento. Frequentemente, todavia, este sistema é tão complexo que ele pode somente ser dominado com grande dificuldade. Em tais casos as possibilidades para tomar ação de responsabilidade são muito limitadas, para dizer pelo menos.
O mesmo é verdadeiro de pousos quando a visibilidade é 0 [zero] metro (veja III. 3. acima). Se um piloto somente tem menos de dois segundos para responder após receber comandos dele, não é mais possível para qualquer pessoa realmente reagir responsavelmente.
Pois a habilidade para exercitar responsabilidade presupõe a liberdade e oportunidade de tomar ação. Se, todavia, o piloto em casos tais como estes descritos previamente estiver de fato incapaz de exercitar qualquer responsabilidade, ele não pode continuar a ser atarefado com esta responsabilidade de acordo com a lei.
3. But that is precisely what some aircraft manufacturers apparently fail to comprehend. During the Fourth ICAO Global Flight Safety and Human Factors Symposium in Santiago (Chile) in April 1999, for instance, Curtis Graeber, a representative of the Boeing Company, stated: "In over 50% of the loss of control accidents ... complete control was available to the flight crew." That may well be. But he - intentionally! - fails to mention the other 50%. And anyone who read Boeing's first statements on the Birgenair crash will recall similar assertions made by other Boeing representatives. The fact that the operations manuals for the B 757 and the B 767 were subsequently modified more or less surreptitiously doesn't really fit this picture.
And during the same symposium, Etienne Tarnowski, a representative of Airbus Industries, compared the role of the pilot to that of a goalkeeper in a soccer game and voiced the opinion that "the pilot as the goalkeeper is ultimately responsible for the safe operation of the aircraft in all circumstances". I am grateful to Mr. Tarnowski for this metaphoric example because in my opinion it clearly reveals the very disturbing attitude of some aircraft designers: It goes without saying that it is precisely the goalkeeper who does not direct and control the game. He is only called upon when the team, especially the defense (in this case the computer), has failed to do its job on the playing field. Then, however, he is "the loneliest man on the field". If the game is lost because of him, no one says anything more about the poor performance of the ten other players on the field or the coach! The pilot is just as lonely as the goalkeeper when the computer doesn't know what to do next or even malfunctions. But there is one big difference: For the pilot, there is no break in the game or any opportunity to bring in a replacement. He has to take action. If things go wrong, it is simply chalked up to the famous "pilot's error" - the real cause is all too gladly forgotten.
3. Mas isso é precisamente o que alguns fabricantes de aeronave aparentemente falham para compreender. Durante o Quarto Simpósio Global de Segurança de Voo e Fatores Humanos da ICAO em Santiago (Chile) 1999, por exemplo, Curtis Graeber, um representante da Boeing Company, declarou: "Em mais de 50% da perda de controle de acidentes ...controle completo estava disponível para a tripulaçao de voo". Isso pode bem ser. Mas ele - intencionalmente! - falha ao mencionar os outros 50%. E qualquer um que ler as declarações primeiras da Boeing na queda do Birgenair lembrará alegações feitas por outros representantes da Boeing. O fato que os manuais de operação para o B757 e o B767 foram subsequentemente modificados mais ou menos clandestinamente não realmente preenche este quadro.
E durante o mesmo simpósio, Etienne Tarnowski, um representante das Indústrias Airbus, comparou o papel do piloto ao daquele de um goleiro num jogo de futebol e deu a opinião que "o piloto como o goleiro é afinal de contas o responsável pela segurança da operação da aeronave em todas circunstâncias". Eu estou agradecido ao Sr. Tarnowski por este exemplo metafórico porque em minha opinião ele claramente revela a atitude muito perturbadora de projetistas de algumas aeronaves: isso sem dizer que é precisamente o goleiro quem não dirige e controla o jogo. Ele é somente convocado quando a equipe, especialmente a defesa (neste caso o computador), falhou para fazer seu trabalho no campo de jogo. Então, todavia, ele é "o mais solitário homem no campo". Se o jogo for perdido por causa dele, ninguém diz qualquer coisa a mais acerca da pobre performance dos dez outros jogadores no campo ou do técnico! O piloto é exatamente tão solitário quanto o goleiro quando o computador não sabe o que fazer em seguida ou mesmo [solucionar] mau funcionamentos. Mas não há uma grande diferença: para o piloto, não há quebra no jogo ou qualquer oportunidade para levar em conta uma substituição. Ele tem que tomar atitude. Se as coisas vão erradas, é simplesmente ganhar pontos para o famoso "erro do piloto" - a real causa é toda muito elegremente esquecida.
Interestingly enough, the comments by the manufacturers' representatives contain no indication of any self-critical thinking about whether "design defects" could perhaps be the cause of aircraft accidents.
To sum it up: If the legal concept of the "pilot-in-command" is to be prevented from degenerating into "pilot-partly-in-command", steps must be taken - now and in the future - to ensure that precisely in the case of complex flight management systems the pilot is able intervene in the highly automated sequence of flight operations at any time and correct them. Otherwise he would degenerate into a "pilot doing his best".
In the future, the pilot-in-command must therefore still be able to switch off the autopilot at any time and stabilize the aircraft in the desired position exclusively by manually setting the pitch, bank and thrust. Unfortunately, however, designers of high-tech aircraft have not always devoted sufficient attention to this idea of furnishing a complete "backup" by reducing the computer override. And I fear that they will devote even less attention to it in the future.
But if one wishes to deprive the human being of his freedom to take action, one must also, as a logical consequence, relieve him of his responsibility for his actions. It would then - as a further logical consequence - be necessary to abandon the legal concept of the "pilot-in-command"; section 3 LuftVO would have to be eliminated or reformulated.
Interessantemente bastante, os comentários pelos representantes dos fabricantes não contêm indicação de qualquer pensamento de autocrítica acerca se "defeitos dos projetos poderiam talvez ser a causa de acidentes de aeronaves".
Para totalizar: se o conceito legal do "piloto-em-comando" é para ser impedido de degenerar para "piloto-parcialmente-em-comando", passos devem ser tomados - agora e no futuro - para assegurar que precisamente no caso de complexos sistemas de gerenciamento de voo, o piloto seja capaz de intervir na altamente automatizada sequencia de operações de voo em qualquer momento e corrigi-los. Caso contrário ele degeneraria para um "piloto fazendo seu melhor".
No futuro, o piloto-em-comando deve por essa razão ainda ser capaz de desligar o piloto automático em qualquer momento e estabilizar a aeronave na posição desejada exclusivamente pela ajustagem manual da elevação do nariz, ânglo de inclinação e potência. Infelizmente, todavia, projetista de aeronaves high-tech não têm sempre devotado atenção suficiente para esta ideia de suprir um completo "backup" pela prodominância do computador. E eu sinto medo que eles devotarão mesmo menos atenção para ele no futuro.
Mas se alguém deseja privar o ser humano da liberdade dele para tomar ação, alguém deve também, como uma consequência lógica, aliviá-lo da responsabilidade dele para ações dele. Então - como uma consequência lógica adicional - seria necessário abandonar o conceito legal do "piloto-em-comando"; seção 3 LuftVO teria de ser eliminada ou reformulada.
V. Summary and conclusions
V. Sumário e conclusões
1. I would like to make one thing very clear: Automation in the cockpit - as in other areas - can basically be a blessing. This is indisputably true of achievements such as the autopilot or the various warning systems. My lecture is therefore not motivated by hostility towards technical equipment or technology but rather solely by a healthy scepticism. For the dream of perfectly functioning technology is just as illusory as the belief in the infallibility of the human being.
The elaborate precautions taken in connection with the Y2K problem show just how (un)certain the "EDP faithful" are about their command of modern computer-controlled technology. Even NASA, which undoubtedly has one of the highest standards of technology, decided to play it safe and brought the space shuttle Discovery and its crew (who had repaired the Hubble space telescope) back to Earth before 1 January 2000 because it could not completely rule out the possibility that a computer glitch might occur at the turn of the "millennium".
1. Eu gostaria de fazer uma coisa muito clara: automação na cockpit - como em outras áreas - pode basicamente ser uma bênção. Isto é idisputavelmente verdade de realizações tais como o piloto automático ou os vários sistemas de alarma. Minha palestra é por essa razão não motivada pela hostilidade em direção a equipamento técnico ou tecnologia, mas preferivelmente somente por um ceticismo saudável. Pois o sonho de tecnologia funcionando perfeitamente é quase tão ilusória quanto a crendice na infabilidade do ser humano.
As precauções elaboradas levadas em conexão com o problema Y2K [bug do milênio) mostra exato como (in) certeza de "fidelidade EDP" estão acerca de seus comandos em tecnologia moderna de computador controlado. Mesmo a NASA, a qual indubitavelmente tem um dos mais altos padrão de tecnologia, decidiu jogar essa seguraça e trouxe a nave espacial Discovery e seus tripulantes (que tinham consertado o telescópio espacial Hubble) de volta à Terra antes de 1 JAN 2000 por causa do que ela não podia excluir completamente a possibilidade de que um pequeno mau funcionamento poderia ocorrer na virada do "milênio".
2. Man and machine are thus equally imperfect. There is a crucial difference between the two, however: A "machine" (or, to be more precise, the computer controlling it) does not think. It only processes and carries out preconceived and pre-programmed courses of action - at least at the present time. The human being, however, can think and is basically capable of deviating from conditioned patterns of action and finding new solutions. This fact cannot in all seriousness be contested and should never be forgotten.
If a pilot is called upon to solve a technical problem, the success of his efforts will hinge on his creativity and his superior understanding of the system. He must understand what is going on in the systems he is operating and what phenomena are determining the sequence of events. He must be able to correctly perceive what is happening even if he cannot look inside the system.
2. Homem e máquina são assim igualmente imperfeitos. Há uma diferença crucial entre os dois, todavia: uma "máquina" (ou, para ser mais preciso, o computador o controlando) não pensa. Ela somente processa e executa preconcebidos e preprogramados cursos de ação - pelo menos no tempo presente. O ser humano, todavia, pode pensar e é basicamente capaz de desviar de padrões de ação condicionados e descobrir novas soluções. Este fato não pode com toda seriedade ser contestado e nunca devia ser esquecido.
Se um piloto é convocado para solucionar um problema técnico, o sucesso dos eforços dele dependerá da criatividade dele e do entendimento superior dele sobre o sistema. Ele deve entender o que acontece nos sistemas que ele está operando e quais fenômenos estão determinando a sequência de eventos. Ele deve ser capaz de perceber corretamente o que está acontecendo mesmo se ele não puder ver dentro do sistema.
3. Given this situation, the role of technology must be - and must continue to be - that of a service provider: It must be limited to providing the resources and information required for flexible and effective action and warn the pilots of dangerous developments. The aircraft designer must therefore, if necessary, even dispense with technical advances in order to ensure that the aircraft remains operable, comprehensible and thus controllable by the human being. Under no circumstances can technology be permitted to filter or block out information, much less take action on its own.
3. Dada esta situação, o papel da tecnologia deve ser - e deve continuar a ser - esse de um provedor de serviço: ele deve ser limitado para fornecer os recursos e informação exigida para ação flexível e efetiva e avisar os pilotos sobre perigosos desenvolvimentos. Os projetista de aeronave devem por essa razão, se necessário, mesmo dispensar os avanços técnicos a fim de assegurar que a aeronave permaneça operável, compreensível e assim controlável pelo ser humano. Sob nenhuma circunstância pode a tecnologia ser permitida para filtrar ou bloquear informação, muito menos tomar ação por si própria.
4. The conclusion: "The strengths of the human being, which lie primarily in his analytical capacity, must be accorded greater consideration in design."
And, moreover: They must be embedded as a basic philosophy in the brain of the designer and taken into account from the very beginning of the development of aircraft an aircraft systems. As long as technology is incapable of completely replacing the human being, the latter's skills - and limitations - must set the standards.
"Aircraft must be adapted to serve as useful, controllable tools for the human being, not vice versa." Or, to put it differently: Man must (continue to) control the machine; the machine must not be allowed to control man. Only then can the pilot-in-command continue to exercise and bear his responsibility.
My aim therefore has been and will be to bring this problem to the attention of those who initially feel no sense of responsibility when an aircraft accident occurs but who are indeed responsible, at least indirectly: The designers, who dream up and build machines that are so computer-controlled as to be barely or no longer controllable by the human being, and the people responsible for the business decisions to purchase and put these aircraft into service. Even though they may not be legally responsible in a given case - they cannot, after all, be reproached for putting a certified aircraft into service - their moral responsibility can, in my opinion, very well be addressed if they knowingly took risks for economic gain.
4. A conclusão: "Os esforços do ser humano, os quais encontram-se fundamentalmente na sua capacidade analítica, devem ser pactuados em maior consideração em projetos".
E, além disso: eles devem estar embutidos como uma filosofia básica no cérebro do projetista e levado em conta sobre o genuíno começo do desenvolvimento da aeronave, específicos sistemas da aeronave. Contanto que a tecnologia seja capaz de substituir completamente o ser humano, os conhecimentos anteriores - e limitações - devem regular os padrões.
"A aeronave deve ser adaptada para sevir como útil, ferramentas controláveis para o ser humano, não vice-versa". Ou, para colocar isso diferentemente: o homem deve (continuar a) controlar a máquina; a máquina não deve ser permitida controlar o homem. Somente então pode o piloto-em-comando continuar a exercitar e suportar a responsabilidade dele.
Minha meta por essa razão tem sido e será trazer este problema para a atenção daqueles que inicialmente não têm senso de responsabilidade quando um acidente de aeronave ocorre, mas que são de fato responsáveis, pelo menos indiretamente: os projetistas, que sonham e constroem máquinas que são, tão computadores-controlados quanto são meramente ou não mais controlável pelo ser humano, e as pessoas responsáveis pelas decisões empresariais para comprarem e colocarem estas aeronaves em serviço. Mesmo se elas não puderem ser legalmente responsáveis num dado caso - elas não podem, depois de tudo, ser repreendidas por colocarem uma aeronave com certificação [homologada] em serviço - a responsabilidade moral delas pode, em minha opinião, muito bem ser destinada se elas sabidamente tomar riscos para ganho econômico.