Etiquetas

, ,

Hace poco asistimos a un naufragio. El crucero Costa Concordia embarrancaba y pronto empezó la sarta de declaraciones de periodistas de tierra adentro que, aunque jamás se hayan acercado a un barco, opinaban como auténticos lobos de mar y encontraban al responsable antes aún de que se iniciara la investigación. Como siempre pasa, se habló de “error humano”, se linchó mediáticamente al capitán y todos contentos: ya hay un responsable, ya podemos embarcarnos en un crucero con total tranquilidad porque si en nuestro barco no está al mando el funesto capitán Schettino todo saldrá bien.

No sé si la actuación del capitán fue correcta o no y tampoco soy quién para determinarlo. Para eso está la investigación de los expertos, los de verdad. Lo que sí sé es que en un sistema complejo un único fallo no basta para provocar un accidente. Es necesario algo más, porque las barreras de seguridad son múltiples y un capitán inepto sólo es una grieta en una de ellas. La fatalidad tiene que traspasarlas todas para provocar una desgracia. Como lo logró la noche del 1 de julio de 2002.

Aquella noche, a 36.000 pies de altitud (casi 12.000 metros) sobre Überlingen, a orillas del lago Constanza, colisionaron en pleno vuelo dos aviones: un Tupolev 154 con 60 pasajeros y 9 tripulantes a bordo, y un carguero Boeing 757 con 2 tripulantes. Rápidamente se habló del consabido error humano y se linchó mediáticamente al controlador aéreo de servicio, que posteriormente sería asesinado por un hombre que perdió a su familia en el accidente. Un ejemplo de lo que se pudo llegar a leer está en este enlace de El País, según el cual la fiscalía suiza investigaba la presencia de una mujer, a la que el periodista califica de “joven ayudante”, en la “torre de control” de Zurich. El que la mujer trabajara allí es un detalle que parece tener poca importancia para el periodista, que demuestra su falta de rigor al hablar de torre de control y no de centro de control. Y es que no todos los controladores aéreos trabajan en una torre y ese detalle es el primero que se aprende cuando se investiga mínimamente el tema.

Todo el mundo oyó hablar de aquel accidente y casi todo el mundo leyó acerca del error del controlador, pero casi nadie sabe que en el juicio posterior los dos controladores de servicio fueron absueltos mientras que tres gestores de la compañía suiza de control y un técnico de mantenimiento fueron condenados. Para Peter Nielsen, el controlador asesinado, la absolución llegaba tarde porque ya había sido juzgado sumarísimamente por los medios y su sentencia ya había sido ejecutada. ¿De verdad la pena de muerte está abolida en toda Europa?

El análisis de los hechos, a partir del informe del accidente (descargable aquí en inglés y aquí en alemán) realizado por la oficina alemana correspondiente nos aclara todas las circunstancias que hubieron de darse para que se produjera la tragedia. Como era de esperar no hay una única causa sino toda una cadena de circunstancias que conducen fatalmente al desenlace.

Para que el accidente se produjera fue fundamental, además de que aparecieran dos aviones dirigiéndose al mismo punto y a la misma altitud, que aquella desgraciada noche se hubiese programado una reorganización del espacio aéreo. Como consecuencia había que actualizar el sistema informático de control por lo que los ordenadores que procesan la información radar y de comunicaciones no funcionaban con todas sus prestaciones. En estos casos, al haber poco tráfico se confía en que sea posible manejarlo incluso sin radar. Esto es posible porque los controladores siguen utilizando las fichas de progresión de vuelo en las que hay información de la altitud y puntos de paso de los aviones. La tarea del controlador es evitar que dos aviones coincidan a la vez en el mismo punto y a la misma altitud y para eso puede utilizar la información de las fichas, pero como en la actualidad éstas apenas se usan como apoyo a la información radar, ya no aparecen en ellas todos y cada uno de los puntos de paso. En el informe del accidente se pueden consultar las fichas de los dos aviones.

La peculiaridad es que a la derecha vemos los puntos de paso de ambas aeronaves, pero no aparece un punto común. Por eso el informe especifica que no era posible prever ningún conflicto a partir únicamente de la información de las fichas de progresión de vuelo.

Aquella noche Peter Nielsen era el único controlador de servicio en toda la sala de control. Esta medida se había implantado en 2001 pese a las protestas del sindicato de controladores y fue retirada como consecuencia del accidente. Además no se cumplían todos los requisitos previos para operar con un solo controlador porque el hecho de que el sistema informático estuviera degradado invalidaba este modo de trabajo, según la propia empresa. En resumen, existía un fallo en la cultura de seguridad de la empresa de control.

En el momento de los hechos, además de los dos aviones implicados había un tercero que estaba en aproximación al aeropuerto de Friedrichshafen, aunque era muy raro que llegaran aviones de noche a este aeropuerto. Como el control de ruta requiere observar un espacio muy grande mientras que la aproximación a un aeropuerto necesita vigilar solamente los alrededores del mismo, Nielsen tuvo que emplear dos pantallas simultáneamente, una para cada cosa, y eso provocó que su atención estuviera dividida.

El avión que se aproximaba a Friedrichshafen solicitó aterrizar en sentido contrario al avión que había aterrizado previamente. Nielsen intentó transmitir su petición al controlador de la torre del aeropuerto, pero la línea telefónica dedicada no funcionaba porque el sistema principal de comunicaciones estaba afectado por las tareas de mantenimiento.

La baja del sistema telefónico principal no debería haber sido un problema demasiado grande puesto que había un equipo de reserva que Nielsen intentó usar hasta siete veces para comunicar con el aeropuerto. Lo que nadie había detectado, pese a que tan sólo tres meses antes se habían comprobado los equipos, era la existencia de un fallo de software que inutilizaba también el sistema de reserva. Los fallos de los equipos seguían manteniendo ocupado a Peter Nielsen y desviando su atención del problema principal.

El sistema de control disponía de una alarma que se activaba con dos minutos de antelación si el radar detectaba riesgo de colisión; pero había un detalle que Peter Nielsen no conocía: al estar el sistema en modo degradado por mantenimiento la alarma no funcionaba.

Sí hubo alguien que detectó lo que estaba ocurriendo. Dos minutos antes de la colisión la alarma saltó en el centro de control alemán de Karlsruhe pero, aunque intentaron avisar a su compañero de Suiza, el fallo de comunicaciones impidió que los controladores alemanes pudieran comunicar telefónicamente con el centro de control de Zurich para dar la alerta.

Cuando todos los sistemas fallan aún existe una última línea de defensa, el sistema anticolisión conocido como TCAS. Los aviones se detectan mutuamente y sus TCAS respectivos, al percibir el riesgo de colisión, ordenan una maniobra coordinada: uno de los pilotos recibe un aviso para subir y el otro para bajar. Para los pilotos significa llevarse un buen susto, hacer una maniobra brusca y, normalmente, salvar la situación en el último segundo. Si Pieter Nielsen hubiese seguido atento a la segunda pantalla durante un minuto más probablemente los pilotos habrían resuelto la situación gracias al TCAS, pero la fatalidad quiso que se diera cuenta en el peor momento de lo que estaba ocurriendo. Exactamente 43 segundos antes de la colisión, Pieter Nielsen ordenó al piloto del Tu154 que descendiera mil pies, a nivel de vuelo 350.

Ahora que Nielsen había intervenido, es muy probable que el descenso del Tupolev hubiese resuelto el problema… de no existir el TCAS porque en el mismo instante en el que la comunicación de Nielsen terminó y el piloto iniciaba el descenso, el TCAS entró en acción. De haberlo hecho ordenando al Tupolev descender y al B757 ascender sus instrucciones habrían coincidido con las de Nielsen. Había un 50% de posibilidades de que así fuera… pero el TCAS dio instrucciones opuestas a las del controlador y ordenó al piloto del Tu154 ascender y al del B757 descender.

En la cabina del Tupolev hubo confusión ante las órdenes contradictorias, pero aunque el manual de operaciones de la compañía estipulaba que no se debía actuar contra las indicaciones del TCAS, también decía que el sistema a seguir para evitar colisiones es el servicio de control y que el TCAS ayudaba a evitar la colisión si no había contacto con los controladores. El manual del operador del B757 era más claro y ordenaba seguir las indicaciones del TCAS sin salvedades de ese tipo. Nuevamente, si Peter Nielsen, en vez de dar su orden al Tupolev, hubiese dado las instrucciones al piloto del B757, éste probablemente habría sorteado la contradicción obedeciendo al TCAS y ejecutando así la maniobra coordinada con el otro avión. Sin embargo la tripulación del Tupolev, cuando tuvo que decidir entre seguir las indicaciones del controlador y las del TCAS, eligió las del controlador mientras que el B757 seguía las instrucciones del TCAS. Como consecuencia los dos aviones iniciaron el descenso a la vez.

La diferencia entre los manuales de las dos compañías se explica por la diferencia de nacionalidad de los operadores, que provoca una respuesta diferente a la misma situación dependiendo del país de origen del avión. Es decir, existe una falta de estandarización de procedimientos que no debería darse en una actividad eminentemente internacional, pero las recomendaciones de la Organización Internacional de Aviación Civil (OACI) en la fecha del accidente no especificaban con claridad cuál era la norma a seguir en caso de discrepancia entre una orden de control y una del TCAS. A raíz del accidente se recomendó que en tal situación se debía seguir lo indicado por el TCAS, basándose en que este dispositivo da órdenes para los dos aviones implicados simultáneamente, mientras que un controlador sólo puede dar instrucciones a uno de los aviones cada vez.

El desenlace ya es conocido. La prensa habló de error humano y creyó que con eso quedaba todo explicado, pero si contamos los párrafos que he escrito en negrita y los analizamos nos salen hasta once fallos de seguridad. Estoy seguro de que se me escapa alguno, porque en cierta ocasión un experto me dijo que habían sido trece los agujeros en el sistema que habían permitido el accidente. La conclusión es clara: por muchas capas de protección que pongamos la seguridad completa no existe. En realidad es una mera cuestión de estadística. La probabilidad de que haya un problema justo cuando un equipo está de baja por mantenimiento es pequeña, pero es menor aún la probabilidad de que además falle el equipo de reserva, y todavía es menor la probabilidad de que en ese momento coincidan dos compañías con procedimientos diferentes. Podemos reducir la probabilidad de que todo falle a la vez añadiendo más capas de protección, pero nunca lograremos que sea cero.

Como corolario encontramos que cada vez que quitamos una capa de seguridad estamos degradando el sistema, porque puede que la barrera eliminada sea precisamente la que impida la catástrofe cuando todas las demás fallen: la probabilidad de que habiendo apenas tres aviones en todo el cielo coincidan dos de ellos en el mismo punto precisamente en el momento en que el equipo está en mantenimiento y cuando además falla el de reserva, etc, etc, es tan pequeña que en su momento no pareció peligroso, y sí una medida de ahorro inofensiva, reducir el personal y dejar que fuera un único controlador, y no dos, el que atendiera durante la noche todo el espacio aéreo.

En un sistema complejo es la concatenación de varios fallos lo que explica un accidente porque un único agujero en el sistema no basta para destruir toda la cadena de seguridad, sino únicamente para debilitarla. Podemos reducir enormemente la probabilidad de varios fallos simultáneos, pero no podemos conseguir que sea cero. Por eso habrá otros accidentes, porque la seguridad perfecta no existe. Y cuando los haya volveremos a oir hablar del consabido “error humano”.

Anuncios