quarta-feira, 19 de setembro de 2012

Acidente com comboios de alta velocidade há um ano em Wenzhu


O distinto e apreciado meu colega do Porto, especialista de transportes, enviou-me um artigo da revista do IRSE (Institution of Railways Signalling Engineers) com as conclusões possíveis sobre as causas da colisão na China, há pouco mais de um ano, entre dois comboios de alta velocidade, com a morte de 40 pessoas.
O artigo foi elaborado com base no relatório oficial de Dezembro de 2011 e em informações não oficiais.
Confirmou-se uma das hipóteses da análise que fiz logo a seguir ao acidente.
(ver
http://fcsseratostenes.blogspot.pt/2011/07/acidente-em-linha-de-alta-velocidade-na.html)

Que as pressas definidas pelo poder político na colocação em serviço das linhas de alta velocidade conduziram ao não cumprimento das regras de segurança no desenvolvimento do software de controle e na não execução dos ensaios completos antes da entrada em serviço.
O ministro dos transportes e altos responsáveis ferroviários estão aliás a responder em tribunal por acusações de apropriação ilegítima de fundos para o investimento ferroviário.
Adicionalmente, houve pouco cuidado no estudo, concurso, homologação e instalação dos interfaces entre os equipamentos de controle de sinalização ferroviária de fornecedores independentes.
Basicamente, o acidente deveu-se ao sistema CTCS (equivalente ao ERMTS europeu) de sinalização e ATP (automatic train protection) não ser de natureza “fail-safe” como reação à avaria de um componente.
Uma descarga atmosférica provocou a fusão de um fusível do subsistema de aquisição de informação do estado de ocupação do troço de via (o subsistema de deteção da presença de comboios, por circuitos de via, não falhou, como foi o caso do acidente com o ATP do metro de Washington).
Os informáticos que desenvolveram o programa previram, nestas circunstancias, que o sistema mantinha a ultima informação confirmada (isto é, depois da avaria do subsistema, manteve-se a informação anterior, de que a via estava livre) e introduziram uma subrotina de alarme ativada pela deteção da avaria, que no caso do acidente só funcionou depois do comboio que embateu no outro ter recebido a mensagem de via livre para avançar.
Trata-se de um típico erro de software não seguro (não “fail-safe”). A falta de experiencia e o reduzido tempo para o projeto terá impedido os projetistas de realizar que o sistema de alarme não era seguro. De acordo com as normas de segurança, o sistema só deve dar ordem de avanço depois de confirmadas por duplicação de processamento em paralelo (dois processadores) ou em série (o mesmo processador testando de duas formas diferentes os subsistemas de aquisição). Igualmente falhou a previsão de alimentação a partir de fonte alternativa.
É ainda estranho as linhas do acidente estarem a funcionar desde 2007 e só agora ter ocorrido uma convergência de circunstancias que o provocou. O secretismo que rodeou a investigação (os veículos acidentados foram destruídos antes da investigação formal) e que proíbe a discussão pública do assunto e a divulgação de medidas corretivas (apenas foi baixada a velocidade máxima de exploração de 250 para 200 km/h, sendo certo que o acidente ocorreu a 99 km/h) sugere que o acidente para além do facilitismo no projeto, concurso, homologação e colocação em serviço, pode ter sido também potenciado por um clima de facilitismo na exploração e manutenção (desconheço se a empresa terá economizado nos seus quadros a inclusão de técnicos da especialidade que poderiam ter detetado a falha do projeto).
Este secretismo prejudica até os interesses económicos da China, uma vez que a sua industria pretende aumentar a exportação.
O secretismo choca, porque também é contra o respeito que se deve aos mortos no acidente (o que se estranha na China) a falta de debate público, a falta de discussão internacional com os técnicos da especialidade e a ausência de informação sobre o que foi feito para evitar a repetição deste tipo de acidente (com origem num “bug” do projeto).
Interessa também reforçar a ideia que uma instalação ferroviária não deve ser sujeita às pressas das inaugurações, que os critérios técnicos devem prevalecer sobre os critérios políticos, e que os técnicos de segurança ferroviária não são inuteis.

E não é assim com tudo, neste mundo, que deveriam ser os cálculos fundamentados a sobrepor-se às motivações políticas, aos interesses económicos e aos dogmas religiosos e ideológicos?
Extratos do artigo da revista do IRSE, de George Nikandros

Sem comentários:

Enviar um comentário