Archivos de etiqueta: Uberlingen

El problema del fallo único

28 domingo Jul 2013

Posted by in Aviación, Cultura de seguridad, Técnica

5 comentarios

Etiquetas

, , , , , ,

No me gusta demasiado entrar en polémicas y por eso este blog no trata directamente de mi trabajo ni de temas de actualidad sino que suele buscar paralelismos entre acontecimientos presentes y otros del pasado. Eso cuando no busco algún incidente de aviación que creo que es interesante o decido simplemente escribir algo entretenido y me decido por narrar una historia de piratas. Pero hoy voy a hacer una excepción. La causa es el desgraciado accidente ferroviario en el que han muerto cerca de 80 personas.

Es lamentable que en estos casos se tienda a buscar una explicación rápida y sencilla sin aguardar a que se realice un informe de seguridad detallado e independiente. El resultado es que se busca un culpable, se le adjudica toda la responsabilidad y se finge que el sistema está bien diseñado y gestionado sin tener en cuenta que en un sistema complejo un fallo único no explica un accidente. Hace algún tiempo escribí un artículo sobre la colisión entre dos aviones sobre Überlingen en el que explicaba todos los fallos que se presentaron aquel día y cómo la prensa y el público se habían limitado a acogerse al mucho más sencillo y tranquilizador fallo humano. Mucho me temo que las cosas siguen igual.

Como no soy experto en ferrocarriles no voy a intentar un análisis, que en cualquier caso sería prematuro puesto que aún no tenemos todos los datos. Pero sí os contaré algo que puede dar un poco de luz. Hace ahora dos años yo estaba trabajando en un documento que debía presentar en una conferencia internacional y que trataba sobre la implementación de nuevos sistemas en la Gestión de Tráfico Aéreo. Una de las fuentes que empleé la obtuve de la FAA, la agencia gubernamental estadounidense que se encarga de la aviación. El documento en cuestión está disponible aquí y es una guía sobre la gestión de riesgos aplicada a la adquisición de sistemas. En la página 15 hay una tabla de la que yo hice mi propia versión para mi documento. Básicamente es lo que vemos a continuación.

TablaLa tabla es una matriz de gestión de riesgos. Por un lado tenemos la probabilidad de que ocurra un suceso y por el otro la gravedad de las consecuencias que se pueden derivar de dicho suceso. Aunque los términos estén escritos en inglés, creo que se entiende bastante bien. Aun así la explicaré con un poco más de detalle.

La probabilidad del suceso se puede dar de distintas formas, pero la más intuitiva es la frecuencia con la que se espera que se pueda repetir el evento. En nuestro caso la FAA, aplicando el concepto al control aéreo, nos da esa frecuencia tanto en una posición individual de control, como en un centro de control compuesto de muchas posiciones y también en el conjunto de todos los centros de control de Estados Unidos. Así, un suceso puede ser:

  • Frecuente: puede ocurrir una vez cada 3 meses aproximadamente en una posición individual, que es como decir que ocurrirá una vez al día o una vez cada dos días en el conjunto de todos los centros que forman el sistema.
  • Probable: Se calcula que ocurrirá varias veces al mes en el conjunto del sistema.
  • Remoto: Se espera que ocurrirá una vez cada pocos meses en el conjunto del sistema.
  • Extremadamente remoto: Se calcula que ocurrirá aproximadamente una vez cada 3 años en el conjunto del sistema.
  • Extremadamente improbable: Se calcula que ocurrirá como mucho una vez cada 30 años en el conjunto del sistema.

En el caso de la gravedad del suceso tenemos una escala que va desde catastrófico (el accidente) hasta la falta de efectos en la seguridad pasando por varios estados (cuasicolisión, necesidad de maniobra evasiva basada en el sistema anticolisión TCAS, etc.)

Los colores indican si el riesgo es o no aceptable y sirven de guía para introducir novedades en el sistema. El verde es aceptable, el rojo totalmente inaceptable y el amarillo implica que se puede realizar el cambio, pero debe estar sometido a seguimiento y evaluación. Por ejemplo, introducimos un nuevo componente cuya probabilidad de fallo es muy escasa, por lo que calculamos que en un único centro de control se produciría el fallo una vez cada 10 años o más y eso quiere decir más o menos una vez cada 3 años en el conjunto de todos los centros. Eso es un suceso extremadamente remoto. Si ese fallo implicara que podríamos tener un incidente severo, el color amarillo indica que sí que podemos introducir el cambio gracias a lo improbable de la situación, aunque siempre sometiéndolo a seguimiento; pero si consideráramos como muy posible que un fallo en ese componente diera lugar a un accidente el color rojo avisa de que no podemos introducirlo.

Veamos un ejemplo en el que aplicaremos la tabla a un motor de aviación. El fabricante nos dará todos sus parámetros, por lo que sabremos la probabilidad de que haya una pérdida de potencia. Lo peor que puede ocurrir es que ese caso se dé justo en el momento en el que el avión está en carrera de despegue y rotando, es decir, empezando a levantar el morro. Como las normas obligan a que el avión sea capaz de despegar aunque tenga un motor parado el caso no sería catastrófico, aunque sí muy grave. Si la fiabilidad es tal que el caso es extremadamente improbable la casilla es verde y podemos usar ese motor, pero si nuestro motor no es tan fiable y el caso entra en lo extremadamente remoto la casilla amarilla implica que tendremos que someterlo a vigilancia: por ejemplo obligando a guardar en cada vuelo un registro de determinados parámetros, para su análisis posterior. Si el motor es tan poco fiable que el fallo entra en lo remoto, probable o frecuente el color rojo deja claro que su instalación es inaceptable por motivos de seguridad.

En la tabla hay una casilla peculiar, porque no es roja ni amarilla, sino una mezcla: se trata de un suceso extremadamente improbable cuya presencia implicaría un posible accidente. Esa casilla se debe tratar como amarilla, pero debe ser considerada como roja en el caso de fallos de punto único. Es decir, un sistema así es admisible con supervisión, pero no si el fallo en ese punto único provoca el accidente. Volvamos al ejemplo del motor para entenderlo mejor.

Supongamos el motor más fiable del mercado. Tal y como hemos visto su fallo daría lugar a una situación muy peligrosa, pero no necesariamente a un accidente, así que se puede utilizar sin problemas. ¿Y si el avión fuera monomotor? En ese caso tenemos que su fallo, por muy improbable que fuera, sí echaría abajo nuestro sistema (el avión). Por lo tanto consideraríamos esa casilla como roja.

Sin embargo si en lugar de un motor estuviéramos considerando instalar un TCAS (sistema anticolisión) sería cierto que su fallo puede dar lugar a un accidente, pero para ello tendrían que darse previamente otros muchos errores, puesto que el sistema sólo funciona como último recurso. La casilla en este caso sería amarilla. (Para más detalles sobre cómo funciona el TCAS recomiendo una ojeada al artículo que mencioné al principio sobre el accidente de Überlingen).

La consecuencia de esa casilla está clara: no es admisible un sistema en el que el fallo de un único componente lleve a un resultado fatal. Y eso incluye cualquier componente del sistema, también el ser humano. Porque las probabilidades de fallo del ser humano son bastante indeterminadas, pero existen: una persona puede distraerse, cometer un error, sufrir un infarto, tener una perforación de estómago, ingerir un alimento en mal estado… cualquiera de estos incidentes puede incapacitar al componente humano del sistema y por eso hay que prever su fallo y buscar la forma de compensarlo.

Volvamos ahora al origen de este artículo. Ahora sabemos que un sistema bien diseñado y gestionado no puede depender en ningún momento de uno solo de sus componentes. Por eso es tan necesaria una investigación, exhaustiva e independiente, antes de juzgar, ya que la socorrida explicación del error humano significaría a lo sumo que un componente del sistema, el humano, ha fallado ¿pero qué pasó con el resto de componentes? ¿O es que quien diseñó el sistema confiaba en que había un componente de fiabilidad infinita que jamás iba a fallar? ¿O lo diseñó correctamente, pero el sistema se había degradado previamente al fallo humano? Y en ese caso ¿por qué se dejó que el sistema siguiera funcionando como si no hubiera pasado nada?

Como vemos hay muchas preguntas que pueden implicar no sólo a la parte operativa del sistema sino también a su diseño y gestión. Demasiadas cuestiones para responder en unas pocas horas y sin un análisis detallado. En cualquier caso se echa de menos el concepto de Cultura Justa (o Cultura de Equidad), según el cual el error no debe criminalizarse, sin que esto signifique que la negligencia quede impune. Pero los modelos de seguridad y el concepto de Cultura Justa merecen un artículo aparte que prometo escribir en breve.

El piloto que no se durmió a los mandos.

25 miércoles Abr 2012

Posted by in Aviación, Prensa

24 comentarios

Etiquetas

, , , , ,

Es poco habitual que este blog incluya artículos que no sean de Historia, pero en este caso la ocasión lo merece. Ya hubo una excepción cuando publiqué un artículo explicando los motivos de la colisión sobre Überlingen. Esta vez volveremos sobre el asunto de la seguridad aérea y el tratamiento que recibe este tema en los medios de comunicación.

Hace apenas unos días pudimos leer una noticia de la que se desprende que una imprudencia de un piloto estuvo cerca de provocar una tragedia. Veamos los titulares: en La Vanguardia Un piloto de un avión se queda dormido en pleno vuelo y causa 14 heridos; según ABC El piloto de un B767 de Air Canada se durmió en pleno vuelo. En general ambos artículos coinciden en lo básico: aseguran que el piloto se durmió en pleno vuelo, con lo que dan a entender que cometió una irregularidad, y que al despertar, todavía adormilado, confundió el planeta Venus con otro avión, lo que le llevó a hacer una maniobra brusca. El redactor del ABC, muy colorista, se deja llevar por la imaginación con algo más de alegría, como demuestra esta frase: Dormirse encima de los mandos de la cabina bien valdría como argumento para la disparatada comedia ‘Aterriza como puedas’ (…)

Qué imperdonable negligencia la del piloto, según estos medios. Dormirse cuando debería estar vigilante y despertar confundiendo Venus… un momento, un momento. Aquí hay algo que no cuadra. ¿En los aviones no van dos pilotos? ¿Dónde estaba el otro? ¿No están los pilotos acostumbrados a ver otro avión de cerca y a contemplar cualquier planeta visible a simple vista, sea Venus, Marte o Júpiter? Afortunadamente tenemos otra fuente de información: la página web del Transportation Safety Board of Canada, que aclara un poco más las cosas.

Según esta página web el FO (First Officer, es decir el copiloto) estaba cansado y, con el permiso del comandante, se retiró a descansar. El descanso duró unos 75 minutos aunque el copiloto declaró no sentirse totalmente bien al regresar a su puesto. En ese momento el sistema de prevención de colisiones, TCAS, del que ya hablamos en el artículo de Uberlingen citado antes, avisó de la existencia de un avión que se acercaba de frente y apenas a mil pies (300 metros) por debajo. El comandante mencionó al copiloto la presencia de este otro avión. Copio ahora el informe y a continuación traduciré, un poco libremente para intentar evitar los tecnicismos.

Over the next minute or so, the captain adjusted the map scale on the ND in order to view the TCAS target and occasionally looked out the forward windscreen to acquire the aircraft visually. The FO initially mistook the planet Venus for an aircraft but the captain advised again that the target was at the 12 o’clock position and 1000 feet below. The captain of ACA878 and the oncoming aircraft crew flashed their landing lights. The FO continued to scan visually for the aircraft. When the FO saw the oncoming aircraft, the FO interpreted its position as being above and descending towards them. The FO reacted to the perceived imminent collision by pushing forward on the control column. The captain, who was monitoring TCAS target on the ND, observed the control column moving forward and the altimeter beginning to show a decrease in altitude. The captain immediately disconnected the autopilot and pulled back on the control column to regain altitude. It was at this time the oncoming aircraft passed beneath ACA878. The TCAS did not produce a traffic or resolution advisory.

Durante el siguiente minuto, aproximadamente, el comandante ajustó la escala del visor de navegación para ver en él al otro avión mientras ocasionalmente miraba al exterior para localizarlo visualmente. El copiloto confundió al principio el planeta Venus con un avión, pero el comandante le recordó que el tráfico estaba enfrente de ellos y a mil pies por debajo. Ambos aviones encendieron las luces de aterrizaje. El copiloto continuó buscando al otro avión y cuando lo vio interpretó su posición como por encima y descendiendo hacia ellos. El copiloto reaccionó a lo que percibió como colisión inminente empujando la palanca de control. El comandante, que seguía al otro avión en la pantalla, observó el movimiento de palanca y la pérdida de altitud en el altímetro e inmediatamente desconectó el piloto automático y tiró de la palanca para recuperar altitud. En ese momento se cruzaron ambas aeronaves sin que el TCAS diera aviso de precaución ni ordenara maniobra de evasión.

El informe prosigue con detalles sobre la maniobra exacta, posición de los pasajeros lesionados y varias consideraciones sobre fatiga de las tripulaciones; asuntos que ya no vienen al caso porque creo que quien haya leído los artículos de prensa y los compare con el informe se habrá dado cuenta de que hay diferencias enormes:

– Según la prensa el piloto se durmió a los mandos. Falso: se retiró a descansar con el consentimiento del comandante.

– Según la prensa, al despertar, adormilado, confundió el planeta Venus con otro avión. Falso: estaba ya despierto, había vuelto a su posición y estaba buscando un avión que él sabía que existía. En un primer momento sí creyó que el planeta Venus podía ser ese avión, pero el comandante le sacó del error inmediatamente al señalarle la posición exacta en la que debía de encontrarse la otra aeronave.

– Según la prensa a consecuencia de la confusión con Venus se hace una maniobra de descenso. Falso: el planeta Venus ya había sido descartado. Hubo un error de apreciación en la posición del otro avión, que de noche era sólo un punto de luz en la oscuridad. Si lee esto algún piloto que nos pueda hablar sobre la dificultad de saber la posición exacta de otro aparato desde un avión en vuelo cuando no hay referencias que puedan indicar la altura relativa del otro objeto, por favor que no dude en usar los comentarios. El comandante, que usaba los instrumentos y no sólo la visión como el copiloto, sí sabía exactamente la altitud del otro avión y por eso corrigió inmediatamente el error.

– La prensa no menciona en ningún momento la existencia del segundo avión ni el hecho de que el piloto estaba alerta ante su proximidad, aunque ABC menciona otra aeronave que se había aproximado horas antes (sic).

La conclusión es que llegó a las redacciones un relato parcial o muy mal traducido de los hechos y que se publicó sin cotejarlo previamente. Al fin y al cabo entre narrar con rigor los detalles de un incidente aéreo en el que aparecen tecnicismos como TCAS, fatiga, luces de aterrizaje, etc. y contar una historia en la que un negligente piloto está a punto de estrellar su avión, la elección no es dudosa. ¿Qué prefiere el lector medio, un aburrido artículo riguroso y contrastado o echarse las manos a la cabeza leyendo una historia de miedo?

No sé a vosotros, pero a mí este tipo de casos me resulta muy instructivo. Al menos ya sé qué tipo de lector creen los medios que tienen y también comprendo los motivos de esa crisis de la prensa de la que se habla de vez en cuando.

NOTA (del 27/04/2012): Esta entrada, publicada hace dos días, ha tenido una repercusión fuera de lo común. Baste decir que en apenas un día el número de visitantes fue más del cuádruple del total recibido desde la apertura del blog. Una consecuencia es que el texto aparece citado en ABC. Dado que en el texto enlazo a un artículo de dicho periódico, creo que es oportuno enlazar también al nuevo puesto que si de mi entrada se desprende una crítica hacia una noticia que juzgo poco rigurosa, es justo reconocer el hecho de que el mismo periódico haya hecho el esfuerzo de explicar de nuevo los hechos.

Aquella maldita noche en Überlingen

31 martes Ene 2012

Posted by in Aviación

5 comentarios

Etiquetas

, , , , , , ,

Hace poco asistimos a un naufragio. El crucero Costa Concordia embarrancaba y pronto empezó la sarta de declaraciones de periodistas de tierra adentro que, aunque jamás se hayan acercado a un barco, opinaban como auténticos lobos de mar y encontraban al responsable antes aún de que se iniciara la investigación. Como siempre pasa, se habló de «error humano», se linchó mediáticamente al capitán y todos contentos: ya hay un responsable, ya podemos embarcarnos en un crucero con total tranquilidad porque si en nuestro barco no está al mando el funesto capitán Schettino todo saldrá bien.

No sé si la actuación del capitán fue correcta o no y tampoco soy quién para determinarlo. Para eso está la investigación de los expertos, los de verdad. Lo que sí sé es que en un sistema complejo un único fallo no basta para provocar un accidente. Es necesario algo más, porque las barreras de seguridad son múltiples y un capitán inepto sólo es una grieta en una de ellas. La fatalidad tiene que traspasarlas todas para provocar una desgracia. Como lo logró la noche del 1 de julio de 2002.

Aquella noche, a 36.000 pies de altitud (casi 12.000 metros) sobre Überlingen, a orillas del lago Constanza, colisionaron en pleno vuelo dos aviones: un Tupolev 154 con 60 pasajeros y 9 tripulantes a bordo, y un carguero Boeing 757 con 2 tripulantes. Rápidamente se habló del consabido error humano y se linchó mediáticamente al controlador aéreo de servicio, que posteriormente sería asesinado por un hombre que perdió a su familia en el accidente. Un ejemplo de lo que se pudo llegar a leer está en este enlace de El País, según el cual la fiscalía suiza investigaba la presencia de una mujer, a la que el periodista califica de «joven ayudante», en la «torre de control» de Zurich. El que la mujer trabajara allí es un detalle que parece tener poca importancia para el periodista, que demuestra su falta de rigor al hablar de torre de control y no de centro de control. Y es que no todos los controladores aéreos trabajan en una torre y ese detalle es el primero que se aprende cuando se investiga mínimamente el tema.

Todo el mundo oyó hablar de aquel accidente y casi todo el mundo leyó acerca del error del controlador, pero casi nadie sabe que en el juicio posterior los dos controladores de servicio fueron absueltos mientras que tres gestores de la compañía suiza de control y un técnico de mantenimiento fueron condenados. Para Peter Nielsen, el controlador asesinado, la absolución llegaba tarde porque ya había sido juzgado sumarísimamente por los medios y su sentencia ya había sido ejecutada. ¿De verdad la pena de muerte está abolida en toda Europa?

El análisis de los hechos, a partir del informe del accidente (descargable aquí en inglés y aquí en alemán) realizado por la oficina alemana correspondiente nos aclara todas las circunstancias que hubieron de darse para que se produjera la tragedia. Como era de esperar no hay una única causa sino toda una cadena de circunstancias que conducen fatalmente al desenlace.

Para que el accidente se produjera fue fundamental, además de que aparecieran dos aviones dirigiéndose al mismo punto y a la misma altitud, que aquella desgraciada noche se hubiese programado una reorganización del espacio aéreo. Como consecuencia había que actualizar el sistema informático de control por lo que los ordenadores que procesan la información radar y de comunicaciones no funcionaban con todas sus prestaciones. En estos casos, al haber poco tráfico se confía en que sea posible manejarlo incluso sin radar. Esto es posible porque los controladores siguen utilizando las fichas de progresión de vuelo en las que hay información de la altitud y puntos de paso de los aviones. La tarea del controlador es evitar que dos aviones coincidan a la vez en el mismo punto y a la misma altitud y para eso puede utilizar la información de las fichas, pero como en la actualidad éstas apenas se usan como apoyo a la información radar, ya no aparecen en ellas todos y cada uno de los puntos de paso. En el informe del accidente se pueden consultar las fichas de los dos aviones.

La peculiaridad es que a la derecha vemos los puntos de paso de ambas aeronaves, pero no aparece un punto común. Por eso el informe especifica que no era posible prever ningún conflicto a partir únicamente de la información de las fichas de progresión de vuelo.

Aquella noche Peter Nielsen era el único controlador de servicio en toda la sala de control. Esta medida se había implantado en 2001 pese a las protestas del sindicato de controladores y fue retirada como consecuencia del accidente. Además no se cumplían todos los requisitos previos para operar con un solo controlador porque el hecho de que el sistema informático estuviera degradado invalidaba este modo de trabajo, según la propia empresa. En resumen, existía un fallo en la cultura de seguridad de la empresa de control.

En el momento de los hechos, además de los dos aviones implicados había un tercero que estaba en aproximación al aeropuerto de Friedrichshafen, aunque era muy raro que llegaran aviones de noche a este aeropuerto. Como el control de ruta requiere observar un espacio muy grande mientras que la aproximación a un aeropuerto necesita vigilar solamente los alrededores del mismo, Nielsen tuvo que emplear dos pantallas simultáneamente, una para cada cosa, y eso provocó que su atención estuviera dividida.

El avión que se aproximaba a Friedrichshafen solicitó aterrizar en sentido contrario al avión que había aterrizado previamente. Nielsen intentó transmitir su petición al controlador de la torre del aeropuerto, pero la línea telefónica dedicada no funcionaba porque el sistema principal de comunicaciones estaba afectado por las tareas de mantenimiento.

La baja del sistema telefónico principal no debería haber sido un problema demasiado grande puesto que había un equipo de reserva que Nielsen intentó usar hasta siete veces para comunicar con el aeropuerto. Lo que nadie había detectado, pese a que tan sólo tres meses antes se habían comprobado los equipos, era la existencia de un fallo de software que inutilizaba también el sistema de reserva. Los fallos de los equipos seguían manteniendo ocupado a Peter Nielsen y desviando su atención del problema principal.

El sistema de control disponía de una alarma que se activaba con dos minutos de antelación si el radar detectaba riesgo de colisión; pero había un detalle que Peter Nielsen no conocía: al estar el sistema en modo degradado por mantenimiento la alarma no funcionaba.

Sí hubo alguien que detectó lo que estaba ocurriendo. Dos minutos antes de la colisión la alarma saltó en el centro de control alemán de Karlsruhe pero, aunque intentaron avisar a su compañero de Suiza, el fallo de comunicaciones impidió que los controladores alemanes pudieran comunicar telefónicamente con el centro de control de Zurich para dar la alerta.

Cuando todos los sistemas fallan aún existe una última línea de defensa, el sistema anticolisión conocido como TCAS. Los aviones se detectan mutuamente y sus TCAS respectivos, al percibir el riesgo de colisión, ordenan una maniobra coordinada: uno de los pilotos recibe un aviso para subir y el otro para bajar. Para los pilotos significa llevarse un buen susto, hacer una maniobra brusca y, normalmente, salvar la situación en el último segundo. Si Pieter Nielsen hubiese seguido atento a la segunda pantalla durante un minuto más probablemente los pilotos habrían resuelto la situación gracias al TCAS, pero la fatalidad quiso que se diera cuenta en el peor momento de lo que estaba ocurriendo. Exactamente 43 segundos antes de la colisión, Pieter Nielsen ordenó al piloto del Tu154 que descendiera mil pies, a nivel de vuelo 350.

Ahora que Nielsen había intervenido, es muy probable que el descenso del Tupolev hubiese resuelto el problema… de no existir el TCAS porque en el mismo instante en el que la comunicación de Nielsen terminó y el piloto iniciaba el descenso, el TCAS entró en acción. De haberlo hecho ordenando al Tupolev descender y al B757 ascender sus instrucciones habrían coincidido con las de Nielsen. Había un 50% de posibilidades de que así fuera… pero el TCAS dio instrucciones opuestas a las del controlador y ordenó al piloto del Tu154 ascender y al del B757 descender.

En la cabina del Tupolev hubo confusión ante las órdenes contradictorias, pero aunque el manual de operaciones de la compañía estipulaba que no se debía actuar contra las indicaciones del TCAS, también decía que el sistema a seguir para evitar colisiones es el servicio de control y que el TCAS ayudaba a evitar la colisión si no había contacto con los controladores. El manual del operador del B757 era más claro y ordenaba seguir las indicaciones del TCAS sin salvedades de ese tipo. Nuevamente, si Peter Nielsen, en vez de dar su orden al Tupolev, hubiese dado las instrucciones al piloto del B757, éste probablemente habría sorteado la contradicción obedeciendo al TCAS y ejecutando así la maniobra coordinada con el otro avión. Sin embargo la tripulación del Tupolev, cuando tuvo que decidir entre seguir las indicaciones del controlador y las del TCAS, eligió las del controlador mientras que el B757 seguía las instrucciones del TCAS. Como consecuencia los dos aviones iniciaron el descenso a la vez.

La diferencia entre los manuales de las dos compañías se explica por la diferencia de nacionalidad de los operadores, que provoca una respuesta diferente a la misma situación dependiendo del país de origen del avión. Es decir, existe una falta de estandarización de procedimientos que no debería darse en una actividad eminentemente internacional, pero las recomendaciones de la Organización Internacional de Aviación Civil (OACI) en la fecha del accidente no especificaban con claridad cuál era la norma a seguir en caso de discrepancia entre una orden de control y una del TCAS. A raíz del accidente se recomendó que en tal situación se debía seguir lo indicado por el TCAS, basándose en que este dispositivo da órdenes para los dos aviones implicados simultáneamente, mientras que un controlador sólo puede dar instrucciones a uno de los aviones cada vez.

El desenlace ya es conocido. La prensa habló de error humano y creyó que con eso quedaba todo explicado, pero si contamos los párrafos que he escrito en negrita y los analizamos nos salen hasta once fallos de seguridad. Estoy seguro de que se me escapa alguno, porque en cierta ocasión un experto me dijo que habían sido trece los agujeros en el sistema que habían permitido el accidente. La conclusión es clara: por muchas capas de protección que pongamos la seguridad completa no existe. En realidad es una mera cuestión de estadística. La probabilidad de que haya un problema justo cuando un equipo está de baja por mantenimiento es pequeña, pero es menor aún la probabilidad de que además falle el equipo de reserva, y todavía es menor la probabilidad de que en ese momento coincidan dos compañías con procedimientos diferentes. Podemos reducir la probabilidad de que todo falle a la vez añadiendo más capas de protección, pero nunca lograremos que sea cero.

Como corolario encontramos que cada vez que quitamos una capa de seguridad estamos degradando el sistema, porque puede que la barrera eliminada sea precisamente la que impida la catástrofe cuando todas las demás fallen: la probabilidad de que habiendo apenas tres aviones en todo el cielo coincidan dos de ellos en el mismo punto precisamente en el momento en que el equipo está en mantenimiento y cuando además falla el de reserva, etc, etc, es tan pequeña que en su momento no pareció peligroso, y sí una medida de ahorro inofensiva, reducir el personal y dejar que fuera un único controlador, y no dos, el que atendiera durante la noche todo el espacio aéreo.

En un sistema complejo es la concatenación de varios fallos lo que explica un accidente porque un único agujero en el sistema no basta para destruir toda la cadena de seguridad, sino únicamente para debilitarla. Podemos reducir enormemente la probabilidad de varios fallos simultáneos, pero no podemos conseguir que sea cero. Por eso habrá otros accidentes, porque la seguridad perfecta no existe. Y cuando los haya volveremos a oir hablar del consabido «error humano».