Archivos de etiqueta: Técnica

Vigilando el cielo

20 jueves Mar 2014

Posted by in Aviación, Técnica

5 comentarios

Etiquetas

, , , , , ,

Llevo varios días dudando acerca de si escribir algo sobre la misteriosa desaparición del avión de Malaysia Airlines cuyo destino se desconoce todavía tras más de 12 días después de que se tuviera contacto con él por última vez. No tengo datos sobre qué sistemas de vigilancia hay en la zona y por tanto no voy a aventurar ninguna hipótesis. Pero he visto algunos comentarios de personas que expresan su perplejidad. ¿No se supone que un avión está siempre bajo la vigilancia de un radar? Y la respuesta, como en tantas ocasiones es… depende. Por un lado habría que saber qué equipos hay en la zona en cuestión, pero también cómo va equipado el propio avión.

Una de las razones por las que he dudado antes de escribir este artículo es porque precisamente mi especialidad como ingeniero aeronáutico son los sistemas de navegación y vigilancia y por lo tanto tiendo a entusiasmarme y a soltar un chorro de información técnica totalmente irrelevante cuando se pretende simplemente tener una idea de qué sistemas existen. Intentaré pasar muy por encima de los detalles y centrarme en la esencia.

El radar primario (PSR)

Todos hemos oído hablar de él alguna vez y a todos nos han explicado cómo funciona. Se emite un pulso de radiación electromagnética (de luz, en otras palabras, aunque sea luz no visible) en una dirección, y un instante después se recibe el reflejo de esa emisión. Como conocemos la velocidad de propagación, que es la de la luz, podemos determinar la distancia a la que se encuentra el objeto que reflejó nuestra emisión midiendo el tiempo que transcurre entre la partida del pulso y la llegada del reflejo. Por ejemplo, si recibimos el reflejo cuatro diezmilésimas de segundo después de emitir el pulso, la luz ha tardado dos diezmilésimas en ir y dos en volver, luego el objeto que lo refleja está a 60 Km de la antena.

El sistema tiene origen militar y sigue siendo empleado por los militares, pero tiene algunos inconvenientes: sabemos que hay algo cuando recibimos la señal reflejada, pero no sabemos qué. Otro problema es que hay que emitir con mucha potencia para que la señal llegue hasta el blanco y regrese y además, no todos los blancos reflejan por igual: un avión grande tiene mucha superficie y se detecta con facilidad, pero una avioneta refleja mucho menos y puede darse el caso de que un A380 situado lejos de una antena de radar primario se vea perfectamente en la pantalla mientras que una pequeña C172 a la misma distancia sea indetectable.

El radar secundario (SSR)

Para solucionar estos y otros problemas se inventó el radar secundario. Ahora la señal ya no es un pulso que se refleja, sino que es un código muy simple al que responde el equipo del avión. La primera ventaja es que la respuesta depende del equipo embarcado, no del tamaño del avión y de lo bien que refleje la señal, por lo que se detecta a todos por igual siempre que vayan equipados. Además hace falta menos potencia, porque la señal ya sólo tiene que ir y no hace falta que regrese. Y como se responde con una señal codificada, se puede obtener información adicional, no disponible para el radar primario. En concreto se envía un código con una identificación del avión (modo A) y la altitud a la que vuela (modo C).

Hasta hace unos años los equipos funcionaban sólo con modo A o bien con modo A/C, pero en la actualidad existe un modo más avanzado, el modo S, que tiene varias mejoras al dar más posibilidades en el código de identificación e incluir un enlace de datos que permite enviar información como velocidad del avión, nivel de vuelo seleccionado por el piloto, rumbo magnético, etc. En España se están instalando en la actualidad radares modo S, aunque de momento no está previsto que estén disponibles todas sus posibilidades.

ADS-B y ADS-C

Hasta no hace muchos años el sistema de radioayudas situadas en tierra permitía al avión calcular su posición con respecto a la radioayuda de que se tratara; el navegador inercial permite además calcular la posición del avión a partir de su punto de partida y la velocidad que lleva (en realidad de la aceleración, pero no quiero entrar en demasiados detalles). Desde hace algunos años contamos también con el GNSS, que es la navegación por satélite (el sistema GPS, que todos conocemos, aunque también el GLONASS ruso y el Galileo europeo, si es que alguna vez llega a entrar en servicio de verdad). Con toda esa información, radioayudas, inercial y GNSS, un avión actual es capaz de calcular su propia posición. ¿Y si nos la enviara a tierra y así tendríamos una forma de saber dónde está el avión sin necesidad de radar? Eso es lo que se llama ADS.

Hay dos modalidades. En el ADS-B, el sistema envía su señal cada medio segundo (en comparación una antena de radar tarda unos cinco segundos en dar la vuelta). Este sistema es el que se emplea por ejemplo en la página web flightradar24 para dar información de la posición de aeronaves por internet. Para transmitir la información se usa el respondedor del radar modo S, que cumple así dos funciones. En el ADS-C, por su parte, se acuerda la forma en que se intercambiará la información entre el avión y los servicios de tierra, por ejemplo cada 12 minutos. Este último sistema se suele emplear sobre el océano y aunque es toda una ayuda no se puede utilizar su información para proveer separación entre aeronaves.

ACARS

Otra forma de conocer dónde está el avión es usar otro sistema de enlace de datos, muy antiguo (data de los años 70), que no está ideado para la comunicación con el control aéreo sino para intercambiar información entre el avión y su aerolínea, y entre los datos enviados puede estar la posición. El ACARS solía funcionar utilizando la banda de HF (High Frecuency, es la banda que entre los aficionados a escuchar emisoras extranjeras se conoce como «onda corta»), pero en la actualidad se pueden emplear satélites, aunque entonces el coste es mucho mayor, porque la empresa de comunicaciones cobra por cada mensaje.

ENMIENDA: Después de estar publicado el artículo me comentaron en privado que el ACARS también puede funcionar en la banda de VHF. En este caso el alcance es menor, pero se puede reenviar la señal mediante una red de estaciones terrestres.

Multilateración

Quizás triangulación sería una traducción más correcta. Se trata de usar cualquier señal de radio del avión que se reciba en tierra por varias antenas simultáneamente para calcular a partir de ellas la situación de la aeronave. Se podría usar por ejemplo la señal del ADS-B y así tendríamos dos informaciones complementarias: la del ADS enviada por el avión y el cálculo de posición por multilateración a partir de la señal. Los sistemas de multilateración son muy recientes.

Como vemos hay muchas formas de calcular la posición del avión, pero también de ocultarlo si se está dentro de él. Si se desconecta el respondedor de la aeronave ya no se puede saber dónde está con los radares secundarios, y tampoco se recibirá la señal del ADS-B. El avión malasio no utilizaba seguramente ADS-C (que se puede desconectar también) porque no iba a volar en zonas oceánicas. El ACARS se puede anular, y si no se hace ninguna transmisión en absoluto la multilateración no sirve de nada. Sólo queda el viejo sistema del radar primario, que emplean los militares, precisamente para detectar a quien no quiere ser detectado.

Y aquí sólo podemos especular. ¿Oculta alguien información? ¿O simplemente no se sabe? Si el ejército de un país tiene sus radares en mal estado y no hay cobertura sobre una zona ¿alguien espera que se reconozca en público? Supongamos que todo funcionó correctamente y en la zona hay cobertura de radar primario, supongamos ahora que se quiere revisar la grabación de datos para saber qué ocurrió, pero no se ha previsto un sistema para grabarlos. ¿Reconocería un ministerio de defensa semejante agujero? La información referente a los sistemas de alerta radar de un país es materia delicada y si existe cualquier deficiencia no podemos esperar que se haga pública.

En resumen, hay demasiadas preguntas sin respuesta. Mientras escribo esto las noticias dicen que Australia ha detectado lo que podrían ser restos de la aeronave. Como siempre, en estos casos es mejor no aventurar ninguna hipótesis hasta que se tengan los datos completos.

El factor humano

11 domingo Ago 2013

Posted by in Aviación, Cultura de seguridad, Técnica

5 comentarios

Etiquetas

, , , , , , ,

Al final de mi anterior artículo prometí escribir algo sobre modelos de seguridad y el concepto de Cultura Justa. Como lo prometido es deuda, en esta ocasión repasaremos la evolución de la idea de seguridad ante los accidentes en el mundo de la aviación. Gran parte de lo tratado en este nuevo artículo será fácilmente extrapolable a otros ámbitos en los que tengamos un sistema que haya que proteger contra accidentes potencialmente catastróficos.

Consideremos en primer lugar los inicios de la aviación. Era un campo totalmente nuevo y, por tanto, experimental. Los accidentes eran frecuentes por cualquier causa: motores poco fiables, escasa resistencia de los materiales, desconocimiento de fenómenos que hoy consideramos elementales, etc. Volar era tan arriesgado que los primeros aviadores eran considerados héroes. La única forma de prevenir accidentes era investigar los que ya habían ocurrido e intentar corregir los errores. Gradualmente se fueron consiguiendo mejores materiales, motores más fiables, aparecieron nuevos y mejores equipos, mejoró el conocimiento de la meteorología… y volar se fue convirtiendo en una actividad menos arriesgada.

Al terminar la Segunda Guerra Mundial el progreso técnico era tal que podemos considerar que la aviación estaba alcanzando su madurez. Hacia 1950 se puede hablar de una industria segura y enormemente regulada en todos sus aspectos. Se desarrolla la idea de que el cumplimiento de la infinidad de normas existentes garantiza la seguridad, mientras que desviarse de ellas lleva al desastre. Ya no es fácil encontrar fallos técnicos evidentes y los accidentes se achacan al fallo humano asociado al incumplimiento de la normativa. Se desarrolla así una cultura centrada en las ideas de culpa y castigo mientras se pasa de la era del fallo técnico a la del fallo humano.

Es una cultura tranquilizadora puesto que el error humano es una explicación simple y basta con recomendar mayores precauciones para recuperar la sensación de seguridad. Pero la aviación es cada vez más complicada, y conforme pasa el tiempo más aún: ya no hay sólo unos pocos aviones, sino que hay todo un entramado de aeronaves, sistemas de comunicaciones, de navegación, de vigilancia, control aéreo, control de afluencia… es un sistema complejo en el que hay una parte, el ser humano, de la que se espera que supla las carencias de todos los demás componentes mientras se le achacan todos los errores. Es a partir de los años 70 cuando se desarrolla un modelo en el que se trata de sistematizar todos los componentes. Se trata del modelo SHEL, a veces conocido como SHELL. Tiene 4 componentes:

  • S: Software. Es la parte inmaterial formada por procedimientos, documentación, reglas, etc. Digamos que es el conocimiento.
  • H: Hardware. Es la parte material pura y dura. La máquina.
  • E: Environment. Es el ambiente entendido como condiciones de luz, ruido, condiciones sociales, económicas, etc.
  • L: Liveware. Es el ser humano responsable de operar el sistema.

Lo novedoso es que más que diseccionar los componentes del sistema en su conjunto se presta atención a las relaciones entre componentes poniendo al ser humano (L) en el centro y analizando su interacción con el resto de las partes (S, H, E). Como además los seres humanos interaccionan entre sí se añade una segunda L al modelo. Gráficamente:

Fundam10Imagen tomada de Atlasaviation.com. Click para visitar la página original.

En los años 90 se empieza a abandonar el modelo del fallo humano y se empieza a considerar el fallo organizacional. El principal responsable es James Reason y su célebre modelo de múltiples capas de seguridad. Lo novedoso es que no busca fallos puntuales, que por sí solos no explican el accidente, sino que afirma que cada capa tiene sus propios fallos latentes, consecuencia de decisiones tomadas en los niveles más altos de la organización. Los fallos activos son consecuencia de errores o de desviaciones de las normas y se producen habitualmente sin que den lugar a mayores problemas. Sin embargo si estos fallos activos se alinean con otros fallos latentes puede ocurrir que el accidente consiga abrirse paso por todas las capas de seguridad que protegen el sistema. El operador del sistema (la L del modelo SHEL) hereda esas condiciones en forma de diseños erróneos, averías en los equipos, objetivos de productividad y seguridad contrapuestos, etc.

x9656s01Imagen tomada del blog An Eye in the Sky. Click para visitarlo.

La consecuencia es que el error es algo natural en el sistema y no puede ser eliminado por completo. Se trata de intentar crear las condiciones para neutralizarlo. Dado que los errores normalmente se producen sin dar lugar al accidente es posible detectarlos con antelación, puesto que lo normal es que el error que resultó ser catastrófico haya tenido lugar en cientos de ocasiones sin que se le pusiera remedio y sólo a posteriori se reconoce su importancia con la manida frase «se veía venir». Para detectar los fallos a tiempo se desarrollan sistemas de notificación de incidentes, pero para que sean eficaces es preciso que quienes hacen funcionar el sistema reconozcan sus propios errores y eso, en una cultura de culpa y castigo, es imposible puesto que quien comete una equivocación prefiere ocultarla a incriminarse.

Por eso se está intentado implantar el concepto de Just Culture, que se traduce como Cultura Justa o Cultura de Equidad y que consiste en que el operador del sistema no pueda ser sancionado por acciones, omisiones o decisiones tomadas conforme a su experiencia y formación, sin que sean tolerables los actos negligentes o intencionadamente destructivos. En otras palabras: se reconoce el derecho al error honesto.

Pongamos un ejemplo imaginario, pero que podría ser perfectamente real. Tenemos dos vuelos de una misma aerolínea, a los que llamaremos Gelves7665 y Gelves7265. El primero está sobrevolando Zaragoza con destino Madrid y el segundo tiene destino Bilbao y está a la altura de Huesca. Ambos vuelan a 35.000 pies de altitud, no son conflicto entre ellos y están en contacto con el mismo controlador. Éste observa que el descenso del Gelves7665 es problemático porque hay varios aviones en ruta hacia Barcelona que se interponen a distintos niveles: 34.000, 32.000 y 30.000 pies. Por su parte el Gelves7265 sólo tiene un obstáculo, que es un avión en rumbo opuesto a 32.000 pies.

Nuestro controlador decide que el Gelves7265 aún no necesita iniciar el descenso. Está bastante lejos de Bilbao y tiene tiempo de esperar hasta haberse cruzado con el avión que le pasará por debajo. Sin embargo el Gelves7665 debería empezar a bajar cuanto antes para que tenga tiempo de descender lo suficiente como para pasar por debajo de los otros tres aviones, ya que de no hacerlo así el avión llegará muy alto a las cercanías de Madrid. Es un problema sencillo y sólo falta dar las órdenes correspondientes. El procedimiento es que el controlador da la orden y el piloto responde repitiéndola, para que así el controlador compruebe que se ha recibido correctamente. En principio se ordenará el descenso a 25.000 pies. El diálogo sería:

-Controlador: Gelves siete seis seis cinco, descienda a nivel de vuelo 2-5-0.

-Piloto: Descendemos a nivel de vuelo 2-5-0, Gelves siete dos seis cinco.

Y ya tenemos el error: ha respondido el piloto equivocado. Si el controlador no se da cuenta y no lo corrige inmediatamente tendremos al avión que va a Bilbao descendiendo directamente hacia el avión que viene de frente, mientras que el avión que va a Madrid seguirá volando a la misma altitud que llevaba. Nuestro controlador, que quiere estar seguro de que el Gelves7665 desciende cuanto antes, observa el radar concentrándose en el avión que le interesa y por eso, mientras se pregunta por qué el piloto no empieza a bajar ya y empieza a pensar en repetir la orden, no se da cuenta de que en otro punto de la pantalla se está gestando un incidente grave o algo peor.

Veamos posibles puntos de conflicto según el modelo SHELL, analizando unas interacciones imaginarias, pero verosímiles:

  • L-H: Los altavoces de la posición de control no funcionan demasiado bien y eso contribuye a la confusión de indicativos similares.
  • L-S: Hay un equipo de reserva que se oye mejor, pero al controlador no le ha llegado la información de que ya está disponible.
  • L-E: En la sala de control hay ruido porque han entrado de visita los alumnos de un colegio. Además el controlador está preocupado porque su hijo pequeño está enfermo y como además el niño no ha dejado de llorar en toda la noche, tenemos el efecto de fatiga por no haber dormido bien.
  • L-L: El controlador que debe hacer el papel de ayudante tuvo hace unos días un altercado con nuestro protagonista y por eso le molesta formar equipo con él y está más ocupado rumiando su disgusto que prestando atención a la situación, que por otra parte, no parecía difícil de resolver.

Desde el punto de vista de Reason tenemos varios fallos latentes (indicativos de llamada similares, un equipo que no funciona correctamente, error en la transmisión de información referente al equipo de reserva) unidos a fallos activos (error del piloto que creyó que la transmisión de la orden era para él, error del controlador que no detectó el fallo anterior). Los fallos activos son difíciles de evitar, pero los fallos latentes pueden corregirse: se podría haber corregido el problema del altavoz, se puede mejorar la distribución de información interna de la empresa y se puede informar a la compañía aérea de que mantienen dos indicativos de llamada parecidos en rutas cercanas y pueden dar lugar a confusión. En referencia al último punto existe un programa de Eurocontrol para detectar y corregir este tipo de situaciones; si alguien quiere información sobre él puede visitar esta página.

¿Dónde entra aquí la Cultura Justa de la que hablábamos antes? En un entorno en el que esté implantada todos los implicados harán un informe del incidente para intentar que se tomen las medidas adecuadas, pero en un entorno punitivo posiblemente ocultarán el incidente: el controlador para que no le sancionen por no detectar la respuesta incorrecta, el piloto que se confundió para que no le amonesten por creer que le llamaban a él y el piloto al que estaba destinada la orden para que nadie le eche en cara el no haberse dado cuenta de que le llamaban a él y respondía otro. En un ambiente así, si el incidente llega a conocerse los protagonistas se intentarán echar la culpa unos a otros. Si no llega a conocerse, los aviones de indicativos similares seguirán volando y los fallos latentes seguirán agazapados, al acecho, esperando el momento en que aparezca un fallo activo que se una a ellos y les permita abrir paso al accidente, que atravesará con limpieza todas las capas de seguridad del sistema.

Nota: Para no alargar el artículo he renunciado a poner un ejemplo real, pero creo que puede ser muy instructivo releer mi artículo sobre el terrible accidente de Überlingen considerando los fallos desde el punto de vista del modelo SHEL y del modelo de Reason.

El problema del fallo único

28 domingo Jul 2013

Posted by in Aviación, Cultura de seguridad, Técnica

5 comentarios

Etiquetas

, , , , , ,

No me gusta demasiado entrar en polémicas y por eso este blog no trata directamente de mi trabajo ni de temas de actualidad sino que suele buscar paralelismos entre acontecimientos presentes y otros del pasado. Eso cuando no busco algún incidente de aviación que creo que es interesante o decido simplemente escribir algo entretenido y me decido por narrar una historia de piratas. Pero hoy voy a hacer una excepción. La causa es el desgraciado accidente ferroviario en el que han muerto cerca de 80 personas.

Es lamentable que en estos casos se tienda a buscar una explicación rápida y sencilla sin aguardar a que se realice un informe de seguridad detallado e independiente. El resultado es que se busca un culpable, se le adjudica toda la responsabilidad y se finge que el sistema está bien diseñado y gestionado sin tener en cuenta que en un sistema complejo un fallo único no explica un accidente. Hace algún tiempo escribí un artículo sobre la colisión entre dos aviones sobre Überlingen en el que explicaba todos los fallos que se presentaron aquel día y cómo la prensa y el público se habían limitado a acogerse al mucho más sencillo y tranquilizador fallo humano. Mucho me temo que las cosas siguen igual.

Como no soy experto en ferrocarriles no voy a intentar un análisis, que en cualquier caso sería prematuro puesto que aún no tenemos todos los datos. Pero sí os contaré algo que puede dar un poco de luz. Hace ahora dos años yo estaba trabajando en un documento que debía presentar en una conferencia internacional y que trataba sobre la implementación de nuevos sistemas en la Gestión de Tráfico Aéreo. Una de las fuentes que empleé la obtuve de la FAA, la agencia gubernamental estadounidense que se encarga de la aviación. El documento en cuestión está disponible aquí y es una guía sobre la gestión de riesgos aplicada a la adquisición de sistemas. En la página 15 hay una tabla de la que yo hice mi propia versión para mi documento. Básicamente es lo que vemos a continuación.

TablaLa tabla es una matriz de gestión de riesgos. Por un lado tenemos la probabilidad de que ocurra un suceso y por el otro la gravedad de las consecuencias que se pueden derivar de dicho suceso. Aunque los términos estén escritos en inglés, creo que se entiende bastante bien. Aun así la explicaré con un poco más de detalle.

La probabilidad del suceso se puede dar de distintas formas, pero la más intuitiva es la frecuencia con la que se espera que se pueda repetir el evento. En nuestro caso la FAA, aplicando el concepto al control aéreo, nos da esa frecuencia tanto en una posición individual de control, como en un centro de control compuesto de muchas posiciones y también en el conjunto de todos los centros de control de Estados Unidos. Así, un suceso puede ser:

  • Frecuente: puede ocurrir una vez cada 3 meses aproximadamente en una posición individual, que es como decir que ocurrirá una vez al día o una vez cada dos días en el conjunto de todos los centros que forman el sistema.
  • Probable: Se calcula que ocurrirá varias veces al mes en el conjunto del sistema.
  • Remoto: Se espera que ocurrirá una vez cada pocos meses en el conjunto del sistema.
  • Extremadamente remoto: Se calcula que ocurrirá aproximadamente una vez cada 3 años en el conjunto del sistema.
  • Extremadamente improbable: Se calcula que ocurrirá como mucho una vez cada 30 años en el conjunto del sistema.

En el caso de la gravedad del suceso tenemos una escala que va desde catastrófico (el accidente) hasta la falta de efectos en la seguridad pasando por varios estados (cuasicolisión, necesidad de maniobra evasiva basada en el sistema anticolisión TCAS, etc.)

Los colores indican si el riesgo es o no aceptable y sirven de guía para introducir novedades en el sistema. El verde es aceptable, el rojo totalmente inaceptable y el amarillo implica que se puede realizar el cambio, pero debe estar sometido a seguimiento y evaluación. Por ejemplo, introducimos un nuevo componente cuya probabilidad de fallo es muy escasa, por lo que calculamos que en un único centro de control se produciría el fallo una vez cada 10 años o más y eso quiere decir más o menos una vez cada 3 años en el conjunto de todos los centros. Eso es un suceso extremadamente remoto. Si ese fallo implicara que podríamos tener un incidente severo, el color amarillo indica que sí que podemos introducir el cambio gracias a lo improbable de la situación, aunque siempre sometiéndolo a seguimiento; pero si consideráramos como muy posible que un fallo en ese componente diera lugar a un accidente el color rojo avisa de que no podemos introducirlo.

Veamos un ejemplo en el que aplicaremos la tabla a un motor de aviación. El fabricante nos dará todos sus parámetros, por lo que sabremos la probabilidad de que haya una pérdida de potencia. Lo peor que puede ocurrir es que ese caso se dé justo en el momento en el que el avión está en carrera de despegue y rotando, es decir, empezando a levantar el morro. Como las normas obligan a que el avión sea capaz de despegar aunque tenga un motor parado el caso no sería catastrófico, aunque sí muy grave. Si la fiabilidad es tal que el caso es extremadamente improbable la casilla es verde y podemos usar ese motor, pero si nuestro motor no es tan fiable y el caso entra en lo extremadamente remoto la casilla amarilla implica que tendremos que someterlo a vigilancia: por ejemplo obligando a guardar en cada vuelo un registro de determinados parámetros, para su análisis posterior. Si el motor es tan poco fiable que el fallo entra en lo remoto, probable o frecuente el color rojo deja claro que su instalación es inaceptable por motivos de seguridad.

En la tabla hay una casilla peculiar, porque no es roja ni amarilla, sino una mezcla: se trata de un suceso extremadamente improbable cuya presencia implicaría un posible accidente. Esa casilla se debe tratar como amarilla, pero debe ser considerada como roja en el caso de fallos de punto único. Es decir, un sistema así es admisible con supervisión, pero no si el fallo en ese punto único provoca el accidente. Volvamos al ejemplo del motor para entenderlo mejor.

Supongamos el motor más fiable del mercado. Tal y como hemos visto su fallo daría lugar a una situación muy peligrosa, pero no necesariamente a un accidente, así que se puede utilizar sin problemas. ¿Y si el avión fuera monomotor? En ese caso tenemos que su fallo, por muy improbable que fuera, sí echaría abajo nuestro sistema (el avión). Por lo tanto consideraríamos esa casilla como roja.

Sin embargo si en lugar de un motor estuviéramos considerando instalar un TCAS (sistema anticolisión) sería cierto que su fallo puede dar lugar a un accidente, pero para ello tendrían que darse previamente otros muchos errores, puesto que el sistema sólo funciona como último recurso. La casilla en este caso sería amarilla. (Para más detalles sobre cómo funciona el TCAS recomiendo una ojeada al artículo que mencioné al principio sobre el accidente de Überlingen).

La consecuencia de esa casilla está clara: no es admisible un sistema en el que el fallo de un único componente lleve a un resultado fatal. Y eso incluye cualquier componente del sistema, también el ser humano. Porque las probabilidades de fallo del ser humano son bastante indeterminadas, pero existen: una persona puede distraerse, cometer un error, sufrir un infarto, tener una perforación de estómago, ingerir un alimento en mal estado… cualquiera de estos incidentes puede incapacitar al componente humano del sistema y por eso hay que prever su fallo y buscar la forma de compensarlo.

Volvamos ahora al origen de este artículo. Ahora sabemos que un sistema bien diseñado y gestionado no puede depender en ningún momento de uno solo de sus componentes. Por eso es tan necesaria una investigación, exhaustiva e independiente, antes de juzgar, ya que la socorrida explicación del error humano significaría a lo sumo que un componente del sistema, el humano, ha fallado ¿pero qué pasó con el resto de componentes? ¿O es que quien diseñó el sistema confiaba en que había un componente de fiabilidad infinita que jamás iba a fallar? ¿O lo diseñó correctamente, pero el sistema se había degradado previamente al fallo humano? Y en ese caso ¿por qué se dejó que el sistema siguiera funcionando como si no hubiera pasado nada?

Como vemos hay muchas preguntas que pueden implicar no sólo a la parte operativa del sistema sino también a su diseño y gestión. Demasiadas cuestiones para responder en unas pocas horas y sin un análisis detallado. En cualquier caso se echa de menos el concepto de Cultura Justa (o Cultura de Equidad), según el cual el error no debe criminalizarse, sin que esto signifique que la negligencia quede impune. Pero los modelos de seguridad y el concepto de Cultura Justa merecen un artículo aparte que prometo escribir en breve.