O colapso do sistema de controle de tráfego aéreo do Reino Unido

 (jameshaydon.github.io)
2 pontos por GN⁺ 2023-09-12 | 1 comentários | Compartilhar no WhatsApp
  • Em 28 de agosto de 2023, a NATS, operadora do controle de tráfego aéreo do Reino Unido, sofreu uma falha técnica grave que levou ao cancelamento de mais de 2.000 voos, gerando um custo de cerca de 100 milhões de libras.
  • Inicialmente, acreditou-se que o problema havia sido causado por um plano de voo defeituoso de uma companhia aérea francesa.
  • A NATS é uma entidade público-privada responsável por todo o controle de tráfego aéreo do Reino Unido, garantindo com segurança a separação horizontal e vertical entre aeronaves.
  • O problema foi rastreado até um plano de voo inserido no sistema de planos de voo, que havia sido aprovado pelo Integrated Initial Flight Plan Processing System (IFPS) da Eurocontrol.
  • Em seguida, o plano de voo foi encaminhado ao sub-sistema Flight Plan Reception Suite Automated (FPRSA-R) da NATS, que converte esses dados para um formato compatível com o National Airspace System (NAS) do Reino Unido.
  • O sistema FPRSA-R falhou ao processar um plano de voo que continha dois waypoints com o mesmo nome, causando a queda do sistema.
  • Essa falha fez com que tanto o sistema principal quanto o sistema de backup do FPRSA-R entrassem em modo de manutenção, interrompendo o processamento automático dos planos de voo.
  • O incidente revelou um bug no software do FPRSA-R, destacando a necessidade de testes mais robustos e de modos de falha melhores no sistema.
  • Apesar das dificuldades técnicas, os controladores de tráfego aéreo garantiram a segurança de todos os voos no espaço aéreo do Reino Unido durante o incidente.
  • O caso desencadeou discussões sobre o uso de verificação formal e model checking em sistemas críticos para segurança, como o controle de tráfego aéreo.
  • O artigo explica o processo de reconciliar planos de voo ICAO e ADEXP, o que inclui corresponder os pontos de início e fim.
  • A função de reconciliação calcula todas as reconciliações possíveis para identificar ambiguidades nos dados e sinaliza esses planos de voo para processamento manual.
  • O artigo fornece um guia passo a passo sobre como extrair a parte britânica de um plano de voo.
  • Se o sistema não encontrar a parte britânica e chegar ao fim do plano, ele retorna um erro.
  • O artigo apresenta um exemplo detalhado de como testar a função de reconciliação com um plano de voo específico.
  • O sistema consegue processar um plano de voo grande, com 158 waypoints de Londres a Sydney, e retornar o resultado quase instantaneamente.
  • O artigo enfatiza que, mesmo com identificadores duplicados no plano de voo, a função de reconciliação consegue alinhar corretamente os dados ICAO e ADEXP e definir o subtrajeto correto.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-12
Comentários do Hacker News
  • O sistema de controle de tráfego aéreo do Reino Unido falhou devido a um bug de software relacionado ao tratamento de consultas “geograficamente distintas”.
  • O sistema não conseguiu lidar com uma situação em que o mesmo nome de waypoint foi usado duas vezes na rota para significar locais diferentes, algo que não havia sido previsto no projeto do software.
  • Ao encontrar uma 'exceção crítica', o sistema entrou em 'modo de manutenção' e travou. O sistema de backup também travou por causa do mesmo bug.
  • Há críticas à ausência de um método chamado "ValidateFlightPlan" que gere erro quando não for possível fazer o parsing do plano de voo, bem como à falta de uma função que coloque planos de voo com falha em uma fila para revisão humana.
  • Esse problema só foi identificado depois de entrar em contato com o fornecedor do software e revisar logs de baixo nível.
  • Há preocupação com a falta de entendimento sobre o funcionamento do software, a julgar pela tentativa de culpar um plano de voo francês que já havia sido aceito pelo Eurocontrol.
  • O incidente causou uma grande interrupção nas viagens, e um usuário relatou uma viagem de 15 horas em vez das habituais 2 horas.
  • Há pedidos por uma validação mais rigorosa dos dados de entrada em sistemas de software, mesmo quando a entrada vem de fontes confiáveis, para evitar esse tipo de falha.
  • O incidente levantou questões sobre possíveis consequências para a Frequentis, fornecedora do software.