A recente tragédia com o Elevador da Glória Lisboa devastou vidas humanas, património histórico e pôs em causa a confiança nos transportes públicos. Um sistema de mobilidade urbana teve uma falha catastrófica da qual resultaram 16 óbitos e a perda de um ícone histórico da capital do Império. A ocorrência teve impacto mundial. A nível nacional, mexeu com emoções, reivindicações sindicais e a comum profanação do tema por forças políticas sedentas de fragilidades para maximizar acesso ao poder local. Tão nobre é o interesse na população quanto nauseabunda é a busca de bodes expiatórios, a roçar a caça às bruxas.
Felizmente a investigação está a ser levada a cabo pelo GPIAAF, acrónimo do Gabinete de Prevenção e Investigação de Acidentes com Aeronaves e de Acidentes Ferroviários. O GPIAAF foi criado em 2017 pela fusão do Gabinete de Investigação de Segurança e de Acidentes Ferroviários (GISAF) com o Gabinete de Prevenção e Investigação de Acidentes com Aeronaves (GPIAA). É um organismo independente, mesmo que adstrito ao Ministério das Infraestruturas. Caraterística muito importante da sua missão é realizar as suas atividades independentemente das entidades reguladoras do setor, a Autoridade Nacional de Aviação Civil (ANAC) e a Autoridade da Mobilidade e Transportes (AMT).
Não é uma comissão multipartidária nem uma “task force” assemblada ad hoc de emergência, nem uma peça negociável no xadrez de moções de confiança. Reporta a entidades internacionais no que toca a metodologias e princípios de transparência. No caso da aviação segue os preceitos da ICAO. Tem prazos para publicação de relatórios, e não pode encapotar investigações, usar métodos sem consistência nem servir agendas alheias à sua missão.
Isto é difícil de compreender por muitos portugueses que confundem apuração de factos com um exercício subjetivo e apetitoso alimento para teorias da conspiração.
As investigações de acidentes nada têm a ver com o foro criminal, para isso está a PJ, autoridade competente e devidamente empoderada. Os relatórios relatam fatos apurados, relação casuística, e recomendações.
A componente da prevenção é a característica mais importante das recomendações. Pretende-se perceber para melhorar e prevenir no futuro. Não é prioridade apurar responsabilidades para ação punitiva, princípio filosófico completamente desalinhado com as fações que só verão leniência ou perseguição na redação do relatório.
Concretamente, se os procedimentos de manutenção do Elevador não são adequados, não cabe ao técnico que os aplica alterá-los por sua iniciativa. Devem ser analisados de maneira criteriosa e fundamentada, e modificados, se for caso disso. O sistema do Elevador tem 115 anos, e parece ter operado sem acidentes, o que é manifestamente notável.
Parece-me haver uma falha de desenho original. A ação de travagem guarda freios parece ter sido feita corretamente, estando o sistema de travagem a funcionar, e mesmo assim foi insuficiente para travar a cabine. A travagem apenas funciona decisivamente estando as duas cabines ligadas, cada uma servindo de contrapeso recíproco da outra. A redundância não existe, comparemos com um carro em que o travão de pé e o de mão são ativados de maneira independentes e atuam em rodas diferentes. O único cabo que une as cabines é outro risco considerável. Falha do mesmo anula a capacidade de travagem em ambas cabines. É o que se chama “single point of failure”. Mesmo que a ação dos freios numa cabine automaticamente ativasse a travagem na outra cabine, teria sido inconsequente neste caso.
A (falada) mudança do tipo de cabo para outro menos resistente é uma variável importante, mas vamos ter de aguardar pelo relatório final. Tal como a suspeita e que o oleamento dos carris poderá ter inibido a travagem. Honestamente duvido que isso fosse assim tão determinante ao fim de alguns metros, anulando de maneira significativamente a fricção de metal com metal. Mas o acidente é por causa de alguém olear os carris? É porque há 4 000 000 passageiros por ano, quando antes era um décimo disso? É porque o cabo de fibras é menos resistente que o de aço? Será que um dia alguém decidiu ter um cabo só para poupar dinheiro? Não poderíamos ter trocado as cabines do Elevador por modelos modernos, a exemplo dos elétricos?
Esperemos pelo relatório final.
Este ponto do óleo pode ser um de vários determinantes num sistema complexo como o Elevador da Glória, e aproveito para introduzir a teoria do “Queijo Suíço”. A teoria do queijo suíço é um modelo usado em gestão de risco e segurança sobretudo na aviação e transportes e engenharia para analisar acidentes em sistemas complexos. Imagine-se uma série de fatias de queijo lado a lado, com os buracos típicos dos queijos suíços.

Cada fatia de queijo representa uma barreira de proteção contra acidentes, como sistemas tecnológicos, regulamentos, manutenção, formação ou procedimentos operacionais. Os buracos simbolizam as falhas, erros ou vulnerabilidades que existem em cada fatia, podendo ter tamanhos diferentes.
Riscos existem sempre e o cenário normal é aquele em que os buracos não estão alinhados e uma falha numa barreira de proteção é compensada pelas restantes. Por exemplo um sistema de bloqueio de um ascensor que se ativa quando rebenta um cabo. Porém, quando vários buracos se alinham ao mesmo tempo, fica um buraco aberto de lado a lado e abre-se a porta à catástrofe.
De acordo com a doutrina do “Queijo Suíço”, um desastre não resulta de um único erro isolado, mas da combinação simultânea de falhas humanas, técnicas e organizacionais. Ao identificar-se buraco resultante do – até aí – imponderado poderá ser tapado no futuro, se houver uma investigação orientada a uma cultura de prevenção.
O diagrama acima ilustra o acidente do Concorde da Air France em 2000. Uma série de eventos menores, individualmente pouco perigosos, e pouco frequentes, coincidiu e o seu cúmulo gerou um desastre aéreo logo após a descolagem de Paris CDG. Uma pequena peça de um motor de um DC10 acabado de descolar furou um pneu do Concorde na descolagem.
Um pedaço de borracha do pneu furado soltou-se e embateu na asa. O impacto fez rebentar um tanque de combustível, não no ponto onde houve o contacto, mas sim noutra extremidade devido à onda de choque induzida no tanque repleto. O combustível derramou internamente, e incendiou-se. O incêndio desligou os dois motores da asa esquerda, e impediu a recolha do trem. O avião tornou-se incontrolável e não foi possível a aterragem de emergência iniciada.
O Elevador é um bom exemplo de um sistema complexo. Desloca-se numa trajetória 3D, com componente gravítica muito relevante. A descida tem 18 graus de inclinação média, e curva no último quarto. Isso quer dizer que a gravidade representa uma aceleração de 3,0m/s2, se a cabine não estiver travada e não houver atrito nos carris. Ao fim de 10 segundos atingiria os 109 km/h, começando imobilizada, e sem ação de travagem. A propulsão é elétrica, transmitida por um sistema de catenárias (cabos aéreos, que por vezes são ajustados manualmente aos veículos com uma vara), mas os travões são de ação mecânica com contato metálico, coadjuvado pelo peso da cabine recíproca. Transportam passageiros ao longo de uma via não segregada. O Elevador é na realidade constituído por dois veículos que funcionam como sistema único, sem redundância. A presença de sistemas digitais ocorre apenas na bilhética.
Recorde-se que segunda cabine andou para trás dez metros e por pouco não foi parar à Avenida da Liberdade. Estando as duas cabines a meio do percurso poderia ter sido ainda bem pior. Ou poderiam até ter colidido uma com a outra reduzindo a velocidade de embate e ter havido menor perda de vida humana. Podia ter acontecido na viagem de teste matutina, com sucesso na travagem, e ter sido uma excelente oportunidade de se identificar e prevenir o acidente. Ou podia ter acontecido durante a noite, sem qualquer dano que não material. Podia ter resultado nuns dias de encerramento para reparação, trocando o cabo com redundância, melhorando a capacidade de travagem, e quiçá mais 115 anos de operação em plena segurança.
Poder, podia.
Mas não aconteceu, tal como no episódio do Boeing 707 da Independent Air 1851 que colidiu com o terreno na aproximação ao aeroporto de Santa Maria. O avião foi de encontro ao Pico Alto, e morreram os seus 144 ocupantes. Voava 1200 pés abaixo do que devia, porque a tripulação assim o colocou em risco, não respeitando o limite autorizado pelo controlador. Vale a pena ler o relatório, porque a casuística é muito mais complexa do que isso. Tripulação inexperiente e pouco profissional, operação deficiente da companhia, controlador de tráfego aéreo inexperiente em formação, com discutível acompanhamento. O jovem controlador deu aos pilotos um valor de acerto altimétrico incorreto, que induzia um erro de 240 pés. Ou seja, o avião estava abaixo da altitude mínima por esse erro e ainda por mais 1000 pés de erro de pilotagem. O avião acertou praticamente no topo do Pico Alto, a 1795 pés, 131 pés abaixo do ponto máximo, que é 1926 pés. Se o controlador não se tivesse enganado por 240 pés, teria o avião passado incólume? Talvez. É garantido que os pilotos teriam prestado atenção a isso, quando até ignoraram o aviso do sistema anticolisão com o solo Ground Proximity Warning System (GPWS)?
É uma cadeia de se-se-se… Os buracos do Queijo Suíço.
Quem atribuiu de rajada a culpa aos funcionários da manutenção do Elevador pense se não estará a projetar as suas próprias insuficiências num bode expiatório fácil. Convido todos os leitores refletirem sobre as suas ações do quotidiano: Leva o seu carro à IPO de maneira idónea e cumpre os planos de manutenção? Verifica o que a sua equipa faz quando tem essa responsabilidade? Segue as instruções de medicação e vacinação? Realiza devidamente os exames de saúde? Faz caso de políticas de segurança informática? Limpa o mato nos seus terrenos para prevenir fogos?