o acidente que revelou o fracasso do aprendizado

Diferentemente do Challenger, perdido antes mesmo de completar dois minutos de voo, o Columbia foi destruído após uma missão aparentemente bem-sucedida, quando já retornava à Terra ao fim de 16 dias em órbita.

O acidente da missão STS-107, em 1º de fevereiro de 2003, não revelou uma falha desconhecida ou um comportamento inesperado do sistema. Ao contrário: o dano que levaria à perda do veículo foi observado, discutido e registrado poucos minutos após o lançamento.

O que torna o Columbia particularmente perturbador do ponto de vista da segurança operacional não é a complexidade do evento técnico, mas a incapacidade organizacional de transformar informação em ação. Houve dados. Houve tempo. Houve alertas internos. O que não houve foi decisão.

Dano conhecido, risco subestimado

Pouco após a decolagem do Columbia, câmeras de acompanhamento registraram o impacto de um grande fragmento de espuma isolante desprendido do External Tank contra a borda de ataque da asa esquerda do Orbiter. O fenômeno não era novo. O desprendimento de espuma já havia ocorrido em voos anteriores e, ao longo dos anos, deixou de ser tratado como uma anomalia grave para ser encarado como uma característica indesejável, porém aceitável, do sistema.

A região atingida, entretanto, era crítica. A borda de ataque da asa era composta por painéis de Reinforced Carbon-Carbon (RCC), projetados para suportar as temperaturas mais elevadas da reentrada. Qualquer perda de integridade nesses componentes criava a possibilidade de entrada de plasma superaquecido na estrutura interna da asa, majoritariamente construída em alumínio.

A avaliação inicial classificou o impacto como potencialmente relevante, mas improvável de comprometer a missão. Essa classificação não se baseou em dados conclusivos, mas na experiência passada: impactos semelhantes haviam ocorrido antes sem consequências aparentes. Mais uma vez, o histórico operacional substituiu a análise conservadora do risco.

O momento decisório

Este foi o ponto em que o Columbia se afastou definitivamente do Challenger — e, paradoxalmente, se tornou ainda mais inquietante. Diferentemente de 1986, quando a decisão crítica ocorreu sob pressão de tempo antes do lançamento, em 2003 houve dias para reflexão, análise e questionamento.

Engenheiros ligados às equipes de análise de detritos (Debris Assessment Team) expressaram preocupação com a magnitude do impacto e com a ausência de dados suficientes para avaliar a integridade dos painéis de RCC. Foram feitas solicitações para obtenção de imagens de alta resolução do Orbiter em órbita, incluindo a possibilidade de empregar sensores militares baseados em satélites para inspecionar a asa danificada.

Esses pedidos não foram adiante. A justificativa formal foi que as imagens não seriam necessárias, uma vez que não existia um plano de reparo viável em órbita e que a probabilidade de dano catastrófico era considerada baixa. Em termos práticos, a organização decidiu que obter mais informações não alteraria o curso da missão — e, portanto, não valeria o esforço institucional de buscar esses dados.

Essa lógica revela um erro clássico de gestão de risco: assumir que, se não há solução imediata, a incerteza pode ser ignorada.

A falsa sensação de controle

Durante os dias seguintes, a missão transcorreu sem anomalias aparentes. Experimentos foram conduzidos conforme o planejado, sistemas funcionaram normalmente e não houve qualquer indicação operacional de que o Orbiter estivesse comprometido. Essa normalidade reforçou a percepção de que o impacto inicial não teria consequências relevantes.

Em sistemas complexos, essa é uma armadilha recorrente. A ausência de sintomas não equivale à ausência de risco. O Columbia não precisava “falhar” em órbita para estar condenado. Bastava que o dano permanecesse latente até o único momento em que ele se tornaria irreversível: a reentrada atmosférica.

Do ponto de vista organizacional, a missão entrou em um estado de conforto operacional. O risco deixou de ser revisitado. A discussão técnica foi encerrada não por resolução, mas por esgotamento.

Quando a lei da física substitui a gestão

Na fase inicial da reentrada, a cerca de 400.000 pés de altitude, o Columbia começou a experimentar aquecimento aerodinâmico intenso, como previsto. Entretanto, devido à falha em um painel de RCC na asa esquerda, plasma superaquecido passou a penetrar na estrutura interna da asa.

O efeito foi progressivo e invisível. O calor degradou a resistência do alumínio, comprometendo longarinas, nervuras e pontos de fixação internos. Sensores começaram a registrar temperaturas anômalas e leituras inconsistentes de pressão nos pneus do trem de pouso esquerdo, indicando aquecimento interno significativo.

O sistema automático de controle de voo compensou a crescente assimetria aerodinâmica por meio de comandos cada vez mais amplos, mascarando a perda estrutural até o ponto em que não havia mais autoridade de controle disponível. Quando a estrutura da asa finalmente colapsou, o Orbiter entrou instantaneamente em um regime de cargas aerodinâmicas fora de qualquer envelope de projeto, levando à desintegração do veículo.

Nesse estágio, nenhuma ação humana era possível. O acidente já estava determinado muito antes da ignição do plasma na reentrada.

Dois acidentes, um padrão

Tecnicamente, os acidentes do Challenger e do Columbia são profundamente diferentes. Um envolveu a falha de vedação em um propulsor sólido; o outro, a perda de proteção térmica causada por impacto de detritos. No entanto, do ponto de vista da segurança organizacional, ambos seguem o mesmo padrão.

No Challenger, o risco era conhecido antes do lançamento e foi aceito sob pressão institucional. No Columbia, o dano era conhecido após o lançamento e foi considerado improvável demais para justificar intervenção. Em ambos os casos, desvios conhecidos haviam sido normalizados, alertas técnicos foram diluídos ao longo da cadeia hierárquica e decisões críticas foram moldadas mais pela expectativa de sucesso do que pela incerteza real.

Mudaram os mecanismos físicos. Não mudou o comportamento organizacional.

O fracasso do aprendizado organizacional

O Relatório da Columbia Accident Investigation Board identificou barreiras de comunicação notavelmente semelhantes às observadas no acidente do Challenger. Engenheiros envolvidos na análise de detritos expressaram preocupações técnicas legítimas, mas tiveram dificuldade em fazer essas avaliações chegarem aos níveis decisórios mais altos. A estrutura organizacional rígida e hierarquizada dificultava o fluxo de informações críticas, enquanto o questionamento recorrente de decisões era percebido como comportamento indesejável.

Nesse ambiente, profissionais que levantavam “más notícias” corriam o risco de serem vistos como obstáculos à missão, criando um desincentivo claro à escalada de incertezas técnicas.

A comissão de investigação foi explícita ao apontar uma inversão perigosa no processo decisório da NASA. Em vez de exigir demonstração clara de que um sistema era seguro, a organização passou a operar sob a premissa implícita de que ele continuava seguro até que alguém conseguisse provar o contrário. Esse deslocamento do ônus da prova corroeu a postura necessária em sistemas de alta complexidade.

Paralelamente, a NASA passou a se enxergar como uma “organização de aprendizado”, confiante de que havia internalizado as lições do Challenger. Na prática, porém, essa autopercepção gerou resistência a críticas externas e confiança excessiva em modelos analíticos teóricos, frequentemente utilizados além de seus limites de validade. Produziam-se análises sofisticadas e relatórios tecnicamente consistentes, mas sem tradução efetiva em decisões operacionais mais seguras.

Talvez o aspecto mais desconfortável do Columbia seja o contexto histórico. Em 2003, a NASA já havia passado pelo Challenger. Havia relatórios, comissões independentes e extensa literatura interna sobre normalização do desvio, pressão de cronograma e erosão da autoridade técnica.

Mesmo assim, o padrão se repetiu. A organização reconheceu o risco, discutiu o risco e, ainda assim, decidiu não agir. O aprendizado existia no papel, mas não havia sido incorporado de forma estrutural ao processo decisório.

O Columbia não foi apenas um acidente técnico. Foi a demonstração de que sobreviver a um grande desastre não garante aprendizado permanente. A cultura organizacional não se transforma por decreto nem por memória institucional isolada. Ela precisa ser constantemente reforçada — especialmente quando tudo parece estar funcionando.

Lições para a segurança de voo

Para a aviação civil e corporativa, o Columbia oferece lições diretas e desconfortáveis. Reconhecer um risco não é o mesmo que gerenciá-lo. Dados sem ação não são mitigação. Sistemas automáticos podem mascarar degradações severas até o ponto de não retorno. E organizações experientes não estão imunes a decisões frágeis.

A pergunta crítica não é “qual a probabilidade de falha?”, mas “o que acontece se estivermos errados?”. Quando essa pergunta deixa de ser feita, a segurança passa a depender da sorte — ainda que envolta em tecnologia sofisticada.

Quando aprender não é suficiente

O Columbia mostrou que a segurança não se herda de acidentes passados. Ela exige vigilância contínua, humildade organizacional e disposição para agir mesmo quando a resposta não é clara ou confortável. O veículo não foi perdido por ignorância técnica, mas por incapacidade de transformar conhecimento em decisão.

Poucas organizações têm um caso como o Challenger. Pouquíssimas têm um caso como o Columbia. Aquelas que têm ambos oferecem ao mundo uma lição rara e incômoda: em sistemas complexos, o maior risco não é a falha desconhecida, mas a falha que todos preferem acreditar que não acontecerá desta vez.

^{Este artigo integra uma série de dois estudos sobre falhas organizacionais em sistemas críticos. Na edição 381, disponível nas versões impressa e digital (Zinio), leia “Challenger: a falha antes do lançamento”, uma análise de como decisões organizacionais e a normalização do desvio corroeram a segurança de voo.}