Crise aérea do Brasil: O sistema informatizado do controle de tráfego aéreo

quinta-feira, 21 de janeiro de 2010

O sistema informatizado do controle de tráfego aéreo

Após o acidente que envolveu o voo GOL 1907, vieram à tona inúmeros problemas envolvendo o setor aéreo brasileiro e que deram origem à chamada crise aérea. As falhas no sistema de tratamento e visualização radar foram apontadas pelos controladores de vôo, na mídia, na CPI e pelo NTSB nos seus comentários ao relatório final como um dos fatores que contribuíram para o acidente. O Tribunal de Contas da União fez então uma "Auditoria no Sistema de Tratamento e Visualização
Radar X-4000" (Sumários Executivos, Acórdão) que teve como objetivo avaliar o sistema utilizado pelo Departamento de Controle do Espaço Aéreo (Decea) no controle do tráfego aéreo brasileiro, com relação à sua operacionalidade, confiabilidade e efetividade. Nunca comentei mais detalhadamente aqui esta auditoria, mas tardiamente estou fazendo agora. A auditoria encontrou as seguintes “falhas” (sic):

1. Ocorrência de falhas no sistema X-4000.
2. Tratamento inadequado de exceções.
3. Travamento e reinicialização da console de visualização em decorrência do acionamento indevido de teclas.
4. Quantidade insuficiente de peças de reposição para manter todas as consoles em operação.
5. Descumprimento do contrato de manutenção do sistema.
6. Sistema não apresenta algumas informações importantes para o serviço de vigilância radar.
7. Informações imprecisas nas transferências entre os controles de aproximação do Rio de Janeiro (APP-RJ) e de São Paulo (APP-SP).
8. Mudança automática do nível de vôo sem aquiescência do controlador.
9. Falta de integração entre o sistema de gerenciamento de torres de controle e o sistema X-4000.
10. Gestão de mudanças inadequada.
11. Falta de padronização do treinamento dos usuários.
12. Inexistência de plano de contingência formal para os ativos de informática.
13. Instalação dos recursos computacionais redundantes no mesmo ambiente físico dos recursos principais.
14. Indícios de ato antieconômico contrato de manutenção.
15. Contratação do desenvolvimento por inexigibilidade de licitação.
16. Carência de recursos humanos para prestar suporte ao sistema.
17. Problemas de síntese radar no controle de aproximação do Rio de Janeiro.
18. Interferências nas radiocomunicações aeronáuticas.

Eu estou acostumado a passar por auditoria de sistemas e fazer auditoria de sistemas e o que me chamou a atenção é como um documento de tão baixa qualidade metodológica possa ser chamado de um relatório de auditoria. Em principio não se faz auditoria de sistemas simplesmente colhendo “opiniões”. O relatório diz “Em entrevistas dadas à equipe de auditoria, controladores de vôo confirmaram a ocorrência de falhas no sistema X-4000”. É o mesmo que perguntar aos pilotos se as aeronaves apresentam falhas, perguntar aos motoristas de taxi se os seus veículos apresentam falhas, perguntar a você se o seu celular apresenta falhas ou se o fornecimento de energia elétrica para sua casa apresenta falhas, e por aí afora. Qualquer artefato, sistema, equipamento, qualquer coisa enfim na face da terra apresenta em algum momento de sua existência algum tipo de falha, quer seja um parafuso ou um computador de bordo de uma nave espacial. O que se verifica em uma auditoria de sistema são indicadores ou métricas, ou seja, índices de falhas. Linhas telefônicas são avaliadas por número de chamadas mal sucedidas por milhares de chamadas. Qualidade de veículos pode ser avaliada, por exemplo, por número de defeitos por milhares de quilômetros rodados ou testes de durabilidade. Mesmo assim, as falhas devem ser classificadas em níveis de severidade segundo o impacto que provoca e os indicadores serem associados aos diversos níveis de severidade. Uma avaliação não deve ser meramente qualitativa, mas preponderantemente quantitativa.

Portanto, metodologicamente, o relatório do TCU é ridiculamente falho. Não parece ter sido elaborado por profissionais que tenham a mínima formação em ciências da computação. Não é necessário fazer uma auditoria para se comprovar que qualquer sistema da face da terra apresenta “falhas”. Ainda não foi inventado um sistema a prova de falhas. O foco de uma auditoria deve ser se os indicadores de falhas e incidentes, presentes em qualquer sistema existente, estão situados em níveis admissíveis em padrões aceitos mundialmente.

Mas o ponto mais significativo desta análise é que com exceção do item 8 (“Mudança automática do nível de vôo sem aquiescência do controlador”) e 11 (“Falta de padronização do treinamento dos usuários”) nenhuma outra “falha” pode ser associada ao acidente da Gol e que na realidade foi o que deu origem à esta auditoria. Ou seja, nenhuma das outras 16 falhas contribuiu para o acidente. Nenhuma das outras falhas apontadas está relacionada como fatores contribuintes no relatório final.

E quanto à mencionada falha relacionada no item 8, tratar-se-ia de um eventual erro de especificação, o que nunca poderia ser considerado como falha de sistema, mas falha de especificação, o que em ciências da computação são eventos distintos. Falhas de sistemas são indiscutíveis, e estão associados a eventos em que o sistema deveria se comportar de uma determinada forma e não se comporta. Falhas de especificação são quando o responsável determina como o sistema deve funcionar e o responsável pelo sistema (e não o desenvolvedor) erra ao determinar como o sistema deve funcionar. A responsabilidade por estas falhas são do especificador e não do sistema. Uma especificação errada seria de responsabilidade do Decea que estabelece e homologa as especificações. A auditoria diz: “Os representantes do Decea, por sua vez, disseram não concordar com a supressão dessa funcionalidade”. Ora se os “donos” do sistema dizem que esta funcionalidade foi desejável no momento em que o sistema foi projetado, quem é o auditor do TCU para dizer que está errada? Não é preciso grande esforço intelectual para concluir que não se trata de uma "falha de sistema" e no mínimo é discutível, o que não significa de modo algum que não possa ser uma funcionalidade a ser aprimorada.

Mas o que é mais curioso, é que a análise deste item é completamente falha e demonstra desconhecimento técnico. O texto da auditoria diz:

“A informação da direita (370) corresponde ao nível previsto no plano da aeronave N600XL, enquanto a da esquerda (370) mostra o nível de vôo real voado pela aeronave. No entanto, nem sempre a aeronave mantém o nível de vôo previsto no plano. Em algumas situações as aeronaves recebem instruções do controlador para voar em um nível diferente do previsto, por solicitação do piloto ou para evitar conflitos de tráfego. O sistema X-4000 possui uma funcionalidade que altera automaticamente o nível de vôo no ponto da rota previsto no plano, sem aquiescência do controlador e independentemente de alteração no nível real voado pela aeronave. Nesse caso, a etiqueta apresenta dois níveis diferentes, como na Figura 2” (TCU, Sumários Executivos, p.17).

A informação da direita não representa o nível previsto no plano da aeronave. Ela representa o nível que será autorizado para a aeronave no momento oportuno no trecho em referência após o tratamento dos conflitos de tráfego que possam eventualmente emergir. Se não houver impedimentos, é igual ao do plano de voo solicitado o que ocorre na maioria absoluta das vezes. Tanto não é o plano previsto é que ele pode ser alterado pelo controlador a qualquer momento que julgar necessário. Se fosse o plano requisitado pela tripulação não poderia ser alterado. Pode-se dizer que ele representa o nível do plano de voo autorizado corrente. Como o voo deve ser planejado pelo ATC, não há sentido algum em chamá-lo de plano de voo autorizado para a tripulação (clearance), já que ele precede à sua comunicação à tripulação. Antes de a aeronave sair do solo, todo o plano de voo que será autorizado já está determinado e pode ser diferente do plano de voo solicitado pela aeronave. E, eventualmente, pode ser alterado ao longo do voo toda vez que o controlador necessitar. Ele é atemporal, ele vale para o momento em que a aeronave passar pelo ponto selecionado. O sistema deve alterar automaticamente o nível de voo no ponto da rota previsto no plano autorizado, para alertar o controlador que deve acompanhar a aeronave para que ela proceda à mudança de altitude. Este é o sentido de haver um nivel real à esquerda e um nivel autorizado a direita da etiqueta do voo. Se a aeronave não recebeu esta instrução anteriormente, o controlador contata a aeronave e solicita que altere sua altitude. Na presença do sinal do transponder esta informação é absolutamente segura. Tanto esta informação é importante para o controlador que ela chega a “piscar” por dois minutos antes que chegue o ponto em que esta mudança seja necessária. Entretanto esta mudança pode ser executada a qualquer momento, antes ou depois do ponto planejado. Se não há tráfego na rota da aeronave, o controlador pode solicitar esta mudança em outro momento. De modo algum, esta informação representa o último nível que foi comunicado para a tripulação. No caso do acidente da Gol, não havia nenhum tráfego na rota e o controlador estava observando outras aeronaves em situações mais críticas de tráfego. Quando voltou sua atenção para o Legacy, ele já havia desligado o transponder. Portanto, sem sombra de dúvida, a mudança automática do nível autorizado é uma funcionalidade desejável, atende as especificações do sistema e diante da presença do sinal do transponder é absolutamente segura para alertar o controlador que deve tomar ações em relação à aeronave. Na ausência do sinal de tranponder, o que está errado não é o sistema que não registra a última autorização verbal fornecida para a aeronave, mas a ausência de ações para a retomada das comunicações com a aeronave, que deve ser executada em qualquer circunstância.

O ministro relator do TCU foi claro em suas conclusões: "As falhas observadas pela equipe de auditoria indicam, sim, possibilidades de melhoria por parte dos órgãos de controle de tráfego aéreo. Estas melhorias, contudo, vêm sendo adotadas pelo Órgão competente, que acerca disto assim se pronunciou, verbis: O DECEA tem plena consciência de que nenhum sistema é tão perfeito que não caiba receber aprimoramentos, tanto assim que novas versões são implantadas com correções e modificações julgadas de interesse técnico-operacional. Assim ocorre com o Sistema X–4000 que vem absorvendo contínua e natural evolução, de acordo com novos conhecimentos ou experiências adquiridas nas áreas operacional, técnica e de Tecnologia da Informação. Estas circunstâncias – comum a todos os sistemas informatizados, volto a repetir – não significam que, em um dado momento, a possibilidade de melhoria e aprimoramento das funcionalidades de um determinado sistema comprometam sua eficácia e confiabilidade. Trata-se de processo evolutivo natural, inerente a sistemas computacionais".

Ao ler, por exemplo, o documento "Review of FAA’s Progress in Enhancing Air Traffic Control Systems Security", do U.S. Department of Transportation, de 02/11/2009, podemos constatar que há ainda inúmeras "falhas" de segurança no sistema de informações do controle de tráfego aéreo americano e inúmeras sugestões de melhorias que foram identificadas no "Information Security Program", de 10/10/2007. O texto diz: "Embora o FAA tenha aprimorado o processo de revisão dos sistemas de segurança do ATC [Air Traffic Control], as revisões não foram devidamente realizados para assegurar a proteção da segurança dos sistemas operacionais do ATC". O que não estaria correto é usar o argumento que as evidências de falhas do sistema do ATC americano seriam as causas de todos os acidente aéreos que envolvam o controle de tráfego aéreo. A constatação de que há "falhas" (sic) nos sistemas, e neste caso, de segurança das informações, não implicam necessariamente que estas falhas deram origem aos eventuais acidentes. Há que se demonstrar a causalidade entre as falhas e o acidente.

Nota: É bom que fique claro para aqueles que não leram os demais artigos deste blog que minha percepção do acidente da GOL é que a ausência de ações dos controladores não se deu porque o sistema informatizado os induziu à erro, mas sim pelo ineditismo na história da aviação de colisão frontal de aeronaves em rota na mesma aerovia, já que as regras que são implementadas na organização do espaço aéreo por si mesmas eliminam este tipo de risco. Não se tem noticia na história da aviação de incidentes desta natureza. Aeronaves voam em segurança sobre oceanos e outras regiões, sem cobertura de rádio ou radar sem que isto represente qualquer ameaça à segurança dos voos. Foi a primeira colisão frontal com aeronaves em rota na mesma aerovia. Isto tem um profundo significado e que é desprezado pela quase totalidade das análises feitas.

Nenhum comentário:

Postar um comentário

Aviso aos Estudantes

O uso acadêmico de qualquer informação aqui contida é altamente desaconselhável.

Não é recomendável o uso de informações contidas neste blog em trabalhos escolares. Este é um blog pessoal, não tenho nenhuma formação aeronáutica e muitas informações que estão aqui não tem procedência reconhecida, embora tenha procurado sempre citar as referências. Está baseado em intuição, reportagens, fóruns de discussão, blogs e documentos pesquisados na internet.

Consulte sempre os posts mais recentes. Posts antigos estão repletos de incorreções por terem sido escritos durante o calor dos acontecimentos.

Como fontes confiáveis de informação consultem:

Este mapa conceitual, embora não seja um documento oficial, já que foi elaborado por mim, auxilia a compreensão do acidente do voo Gol 1907.

Fale Conosco

Porque a responsabilidade do acidente do voo 1907 é da tripulação do Legacy

1. A emissão de uma autorização abreviada de partida em S.José dos Campos seguiu uma prática usual, como em milhares de autorizações que são emitidas em todo o mundo diariamente. Portanto, foi irrelevante para o acidente.
2. Se a tripulação tivesse analisado seu plano de voo e se preparado adequadamente como preveem as normas, ao passar por Brasília estaria aguardando instruções do controle de tráfego aéreo, preparando-se para mudar de altitude e atenta aos instrumentos, o que não aconteceu. Ao contrário, a tripulação estava desatenta aos intrumentos quando passou por Brasília.
3. O transponder foi desligado por um gesto involuntário da tripulação. Embora isto seja um evento de menor significado, o que importa é que foi desligado por imperícia da tripulação.
4. O fato relevante é que a tripulação não observou que o transponder foi desligado inadvertidamente porque estava distraida ao utilizar um notebook na cabina de comando, prática proibida por muitas companias aéreas e que originou até mesmo a perda de licença dos pilotos envolvidos no recente incidente do voo Northwest 188.
5. O controlador não pediu para o Legacy descer em Brasília porque não havia tráfego na rota no momento e estava atento a outros voos, algo normal, frequente e que não fere as normas. O controlador pode solicitar a mudança de altitude a qualquer momento que achar conveniente. Além disso, o controlador não segue todo o tempo o voo de uma aeronave, já que é extremamente incomum uma mudança de altitude planejada. As aeronaves normalmente mudam de altitude em rota por solicitação dos pilotos em função de condições atmosféricas. Os controladores solicitam mudanças por questões de tráfego. Portanto, uma mudança de altitude em Brasília era algo completamente inesperado pelos controladores.
6. O controlador perdeu o controle da altitude real do Legacy e posteriormente o controle total do voo somente e exclusivamente porque o transponder foi desligado, levado-o a formular e seguir a hipótese que o Legacy seguia o plano de voo conforme planejado. O erro do controlador foi induzido pelo desligamento do transponder, e se ao contrário, o transponder estivesse ligado, o controlador quando voltasse sua atenção para o voo do Legacy, solicitaria para a aeronave descer para o nível adequado, exatamente como estaria indicado no console do radar.
7. Se um sistema de controle de voo pudesse prescindir do sinal de transponder, ele não seria tão fundamental para a segurança do tráfego aéreo como reconhecidamente é. É ele que permite que uma aeronave seja identificada na tela de radar.
8. O erro dos controladores foi não executar as ações para recuperar o sinal do transponder. Subestimaram o risco envolvido, já que este foi o primeiro caso na história da aviação de colisão de aeronaves trafegando na mesma aerovia. A finalidade da implementação de aerovias é justamente evitar este tipo de conflito. Aeronaves cruzam oceanos e desertos em segurança onde não há qualquer cobertura de radar.

Por que a responsabilidade não é do Controle de Tráfego Aéreo

1. A autorização abreviada em S.José dos Campos não está errada e é usual. Uma autorização em um nível único, mesmo que na "contramão" não está errada em si, desde que os conflitos em voo sejam tratados.
2. O controlador não precisa, nem está obrigado a comunicar futuras mudanças de níveis. Ele pode fazer a mudança de nível no momento que julgar conveniente em função do tráfego aéreo.
3. O controlador não estava com a atenção voltada para o Legacy quando passou por Brasília porque não havia tráfego na sua rota. Sua atenção estava voltada para outras aeronaves em situação de tráfego mais crítica.
4. Quando o controlador voltou sua atenção para o Legacy, o transponder já estava em standby. Com isto ele não tinha mais a informação da altitude real da aeronave. Aparentemente ele não percebeu que havia uma mudança de altitude em Brasília prevista no plano de voo, algo que é completamente não usual em planos de voo, ou que o Legacy já havia recebido uma autorização antecipadamente para mudar de nível.
5. Se o transponder da aeronave estivesse operacional, o controlador perceberia em seu console a indicação que deveria solicitar que o Legacy descesse para o nível previsto no plano de voo autorizado.
6. O controlador não percebeu uma situação de risco, já que foi uma situação inusitada na história da aviação uma colisão frontal de aeronaves na mesma aerovia. As regras estabelecidas para as aerovias por si só eliminam este tipo de conflito de tráfego.
7. Por não perceber uma situação de risco iminente, o controlador não executou as ações para retomar as comunicações com o Legacy, já que a perda de comunicações é uma situação frequente pelas próprias restrições tecnológicas das comunicações radiofônicas.

Joe Sharkey e o acidente do Vôo 1907

Joe Sharkey é o jornalista que a convite das empresas Excelaire e Embraer estava a bordo do Legacy e que em 29 de setembro de 2006 colidiu em plena Amazônia com um Boeing 737 vôo 1907 da empresa Gol. O Boeing caiu sobre a selva vitimando seus 154 passageiros e tripulantes. Ele, mais quatro passageiros e os dois pilotos do Legacy conseguiram pousar na base aérea de Cachimbo, apesar dos danos na aeronave. Imediatamente verificou-se que o Legacy estava voando na "contramão", ou seja, em altitude incompatível com a regra da aerovia indicada na carta aeronáutica, embora deva ser ressaltado que a altitude que a aeronave deve voar é uma determinação do Controle de Tráfego Aéreo (ATC) e não da tripulação. As autoridades aeronáuticas apuraram que embora a tripulação do Legacy fosse experiente, este seria o primeiro vôo que fariam neste modelo de aeronave após um período de treinamento. Haviam somente passado por simuladores de vôo e algumas poucas horas de vôo acompanhados. Nunca haviam pilotado no espaço aéreo brasileiro, tinham pouca experiência em vôo internacionais e, o mais grave, desconheciam os níveis previstos em seu plano de vôo. Assumiram a autorização verbal abreviada para partida, em formato usual internacionamente, mas que omitiu seu limite até Brasília, como sendo de uma autorização de um único nível para todo o percurso até Manaus. Na verdade a autorização atendia ao plano de vôo solicitado da Universal Weather, empresa americana que elaborou o plano de vôo para a Excelaire, proprietária do Legacy. Neste plano estavam previstos diversos níveis, adequados às regras das aerovias. Por sua falta de preparação e seu desconhecimento com o plano de vôo, a tripulação nem mesmo chegou a esclarecer esta autorização, que se de fato fosse a que compreenderam, punha em risco a segurança do vôo ao trafegar em altitude incompatível com as regras da aerovia. Seria obrigatório por norma que a esclarecessem ao passar por Brasília, já que a tripulação é a responsável final pela segurança do vôo e deveriam estar autorizadas a voar na "contramão". De Brasília a Manaus as cartas aeronáuticas indicam claramente que as aeronaves devem voar em níveis alternados pré-determinados às aeronaves que trafegam em sentido contrário segundo seus rumos magnéticos, e por isso o Legacy precisaria alterar seu nível de vôo ao passar por Brasília, conforme estava previsto no plano de vôo que a sua companhia apresentou ao controle de tráfego aéreo. Ao se aproximar e passar por Brasília, não havia tráfego na rota do Legacy e por isto os controladores não tinham sua atenção voltada para esta aeronave. Por isto, o Controle de Tráfego Aéreo não teve a iniciativa de solicitar a alteração de nível, pois neste momento era desnecessária. Alguns minutos após passar pela vertical de Brasília, o transponder da aeronave, que informa a altitude ocupada pela aeronave ao controle de tráfego aéreo e que está interligado ao sistema anticolisão – TCAS – inexplicavelmente deixou de funcionar. A única explicação possível apurada pelas autoridades aeronáuticas é ser devido à falha dos pilotos em operá-lo. As alegadas falhas do equipamento não foram confirmadas. Pelo contrário, o equipamento passou por inúmeros testes após o acidente sem que tenha apresentado qualquer falha. Além disso, é um equipamento redundante, ou seja, percebida a falha de um módulo, pode ser acionado o outro. A tripulação não monitorava os instrumentos e por isto não percebeu a clara mensagem de desligamento apresentanda em seu painel de comando por quase uma hora. A tripulação estava dedicada a elaboração de cálculos de combustível através de um notebook aberto à frente do painel e não deu atenção aos instrumentos. Algumas companhias aéreas proíbem o uso de notebooks na cabine de comando, já que retiram a concentração dos pilotos no monitoramento dos instrumentos. O sinal do transponder é o que informa a altitude real ocupada pela aeronave para o Controle de Tráfego Aéreo e diante da sua ausência, o controle de tráfego aéreo não se deu conta que a alteração de nivel prevista no plano de vôo não havia sido feita. Se o transponder estivesse operando, o controlador tão logo tivesse sua atenção voltada para este vôo, veria em seu console a clara informação que deveria solicitar à aeronave que alterasse a sua altitude para o nível adequado previsto no planejamento do vôo. Ou seja, o evento que faria o controlador solicitar a alteração de altitude seria a informação que o Legacy voava em uma altitude diferente daquela que havia sido planejada para ele e o controlador com certeza solicitaria que a aeronave descesse para o nível previsto para aquele trecho. É muito provável que os controladores, nem mesmo tenham percebido que este plano previa mudanças de altitude, já que isto é extremamente incomum. Mudanças de níveis têm normalmente origem em resolução de conflitos de tráfego, e por isto não são previsto nos planos de vôo que normalmente estabelecem um único nível de cruzeiro. O plano de voo elaborado por uma companhia americana - a Universal Weather - estabelecia diferentes níveis de voo de forma desnecessária alternava níveis ímpares e pares. Esta empresa não levou em consideração que de S.José dos Campos a Brasília trata-se de uma aerovia de mão única e portanto o Legacy poderia manter um nível par do início do voo até Brasília sem riscos de conflitos. Nestes momentos, como agravante das circustâncias, houve troca de turnos dos controladores que, diante da falta da informação da altitude real pelo desligamento do transponder, passaram a trabalhar com a hipótese, a partir deste momento incorreta, que o Legacy estaria voando no nível previsto no seu plano de vôo. Nenhum dos controladores percebeu que haveria uma mudança de nível em Brasília e que o Legacy estava mantendo o nível do trecho anterior. Ou seja, para chegar a esta conclusão, o controlador precisaria elaborar uma complexa análise do histórico do vôo do Legacy, impossível de ser feita em um ambiente sobrecarregado de tarefas como do ATC. O mais surpreendente é que a mensagem de que o transponder estava desativado permaneceu por mais de uma hora no painel da aeronave, no seu display primário, sem que os pilotos tivessem percebido. Provavelmente por estarem com um notebook aberto à sua frente, através do qual a tripulação analisava os manuais técnicos digitais da aeronave na qual voavam sozinhos pela primeira vez. Diante da falta de informação da altitude exata do Legacy que o transponder fornece, e ainda enganado pelo plano de vôo não usual, que continha desnecessárias e inesperadas mudanças de níveis, o controlador não percebeu que o Legacy estava em nível incompatível com as regras da aerovia e estava em rota de colisão com o Boeing. Os controladores assumiram, incorretamente, que ele voava segundo seu plano de vôo apresentado e autorizado. Voar na "contramão" em um trecho de dimensões continentais era algo que os controladores de vôo não suspeitaram por ser algo completamente inusitado na história da aviação. Para os controladores de vôo tratava-se apenas de um pequeno problema de ausência de comunicações ou ajuste do transponder, evento extremamente comum e frequente. Ao tentar contatar a aeronave por rádio, os controladores não foram bem sucedidos por problemas relacionados com alocações de frequências para comunicação com a aeronave. Os controladores, ao não se darem conta do risco de colisão, pois nunca na história da aviação houve um conflito de aeronaves em uma mesma aerovia, falharam em não tomar as providências que deveriam ter sido iniciadas nesta situação, ou seja, procurar contato com a aeronave por todos os meios e não sendo possível, afastar outras aeronaves de sua trajetória. Pelas falhas dos pilotos em não se prepararem adequadamente para o vôo, não analisando e refletindo sobre seu plano de vôo e com isto, terem um comportamento esperado a ele, ou seja, esclarecer o nível autorizado de Brasília à Manaus; por não operar adequadamente e monitorar os instrumentos por tão longo tempo; por colocarem a aeronave em risco ao não esclarecer e confirmar a autorização que os colocava na "contramão" e, enfim, por terem a responsabilidade final pela segurança do vôo, foram indiciados em processo criminal, como exigem as leis em qualquer lugar do mundo. Também os controladores foram indiciados por terem fornecido uma autorização de vôo sem estabelecer o seu devido limite, e desta forma terem autorizado, por omissão, o vôo em um único nível; por não terem agido com a presteza e com os procedimentos que a situação exigia diante da ausência do sinal do transponder; por terem perdido o controle do vôo nos momentos que se seguiram a perda do sinal do transponder e com isto não evitarem a colisão. Desde então, Joe Sharkey, por motivações até agora não totalmente esclarecidas, tenta por todos os meios imputar toda e exclusiva culpa deste acidente ao controle de tráfego aéreo brasileiro e sua infra-estrutura de controle de tráfego aéreo. Tem se colocado como um jornalista isento, simples passageiro do Legacy. Entretanto sua viagem ao Brasil foi patrocinada pela Excelaire e Embraer o que lhe permite escrever matérias como freelancer para revistas de aviação. Desta forma seu trabalho como jornalista foi viabilizado pelas companhias diretamente envolvidas no acidente, o que lhe confere um caráter de assessor de imprensa e não jornalista. Sharkey relaciona problemas estruturais, culturais e políticos brasileiros como se algum deles, os quais não podem ser contestados por serem evidentes, pudessem ter contribuido para o acidente. Esta linha de ataque tem lhe trazido grande apoio daqueles que se opõe ao governo e à estrutura do tráfego aéreo brasileiro, embora não seja possível estabelecer nenhuma associação efetiva entre os problemas vividos por estas organizações e os fatores contribuintes apresentados na apuração do acidente. Utiliza a estratégia de denegrir a Justiça, autoridades e organizações para inocentar o réu. Desconsidera o desligamento do transponder como o fator que fez o Controle de Tráfego aéreo perder o controle da altitude da aeronave. Desconsidera o inusitado de uma aeronave voar de Brasília a Manaus na "contramão". Desconsidera a omissão da tripulação em não observar os instrumentos por quase uma hora. Desconsidera a imperícia da tripulação em provocar o desligamento involuntário do transponder. Há uma grande campanha na internet através de blogs, fóruns e artigos tentando criar esta versão dos fatos para a mídia, recobrido-a com um disfarce técnico para minimizar, ou até mesmo retirar, a responsabilidade civil da Excelaire e criminal dos pilotos. A versão largamente defendida pela mídia, especialmente internacional, é a versão de Joe Sharkey. Há alguns fóruns que chegam a censurar qualquer argumentação em contrário. O blog de Sharkey não publica qualquer comentário contrário à sua argumentação. Este acidente deu início a crise aérea brasileira, sendo instalada uma CPI “destinada a investigar as causas, conseqüências e responsáveis pela crise do sistema de tráfego aéreo brasileiro, desencadeada após o acidente aéreo ocorrido no dia 29 de setembro de 2006” (Relatório da CPI). Portanto, como está claro nesta apresentação do relatório da CPI, que este acidente provocou a crise aérea, e não o inverso, como Sharkey quer fazer a mídia acreditar.