Lecciones del vuelo AF-447 (publicado en Mach82)

Es mucho lo que no sabemos y es difícil decir, por tanto, qué lecciones se van a extraer del accidente de Air France. Sin embargo, es posible que sí sea interesante plantearse de qué calado se quiere que sean las lecciones que se extraigan.

En algo más de 100 años de historia de la aviación sólo se conservan dos piezas de investigación reconocidas como magistrales: El caso Air Ontario 1363 y el accidente del monte Erebus. Tales piezas tienen un punto común: No haberse conformado con las causas visibles y haber llevado su análisis mucho más allá del nivel con el que habrían cubierto el expediente.

La investigación de Los Rodeos fue, en su momento, muy buena también pero la diferencia existente entre la gran calidad de la reconstrucción de los hechos y la trivialidad de las conclusiones la aleja de la galería de piezas maestras. Lo mismo podría decirse, por el alcance estrictamente técnico que tuvo en su momento, del análisis de las explosiones de los Comet y el diseño experimental que permitió determinar cuál era el fallo.

Hay otros casos donde parece que no se profundizó lo suficiente. Por ejemplo ¿habría sucedido el accidente del Swissair 111 si el vuelo lo hubiera realizado un DC-10 en lugar de un MD-11? Un mero repaso del reparto de cargas de trabajo entre dos o tres tripulantes sugiere que no. Si puede considerarse razonable esta posibilidad ¿no tendríamos que extraer conclusiones sobre efectos secundarios de la evolución tecnológica? ¿Se habría producido el caso AeroPeru 603 con un avión más antiguo y que no hubiera provocado la visión de túnel de los pilotos con el rudder-ratio? ¿Y el American Airlines 965 con las ayudas a la navegación?

El análisis del accidente de Air France, si se confirman las hipótesis actualmente dominantes, podría realizarse de dos maneras distintas:

  • Un fallo menor de diseño en presencia de unas circunstancias externas excepcionales desencadena la secuencia de acontecimientos que conduce al accidente. Corríjase el fallo de diseño e indemnícese a los afectados.
  • Un fallo menor de diseño desencadena un conjunto de actuaciones automáticas por parte del avión que provocan un efecto de bola de nieve dificultando o impidiendo la acción de los pilotos. Hay un fallo sistémico que corregir y las conclusiones pueden llegar muy, muy lejos.

Los fallos sistémicos dan cierto vértigo porque implican el cuestionamiento de reglas y prácticas que ya han sido aceptadas por el mercado y por los reguladores y, ante ese vértigo, es muy usual la actitud de abstenerse y limitarse a las evidencias más inmediatas.

Por añadidura, son fallos que no tienen un responsable claro y fácil de identificar sino que cada uno, desde el fabricante a los operadores pasando por el regulador, tratan de “hacer las cosas lo mejor posible” pero ni siquiera tienen la posibilidad de, en lugar de “hacer las cosas lo mejor posible” hacer “las mejores cosas posibles” porque, quien lo haga, pierde la batalla del mercado.

Incluso si se confirma la hipótesis del fallo de diseño, no sería justo acusar a Airbus ni a ningún otro fabricante de aventurerismo ni, menos aún, de irresponsabilidad. Los fabricantes están empeñados en una partida contra la ineficiencia porque eficiencia significa reducción de costes de operación y ésta, reducción de precios por parte de unos operadores enzarzados en una feroz competencia y que, en sus políticas de composición y renovación de flotas, tienen en cuenta ese hecho. Como el pasajero está convencido de que la aviación es segura per se, quien no entre en la batalla de la eficiencia pierde y the winner takes it all.

La posibilidad de que un evento menor pueda inducir una espiral o un efecto bola de nieve no es algo que aparezca ahora como consecuencia de un accidente. Tampoco lo es la denuncia del riesgo asociado a un modelo de evolución tecnológica que, en la guerra por la eficiencia, va eliminando soluciones alternativas. Me encuentro hace tiempo entre los que han denunciado esa evolución pero no soy el primero ni mucho menos el más relevante.

Charles Perrow, en su libro Normal Accidents, previno contra lo que llamaba tightly-coupled organizations precisamente por el riesgo asociado a una búsqueda de la eficiencia en todos los terrenos. Jens Rasmussen estableció, como frontera para el mantenimiento de la seguridad, su regla de que el operador ha de ser capaz de correr cognitivamente el programa que está ejecutando la máquina y, muy recientemente, James Reason en The Human Contribution señalaba una serie de casos en que, habiéndose producido un fallo global, sólo las personas habían conseguido salvar la situación.

Por desgracia, a James Reason se le olvidó que, para que eso sea posible, es necesario que se cumpla la condición establecida por Rasmussen, es decir, que se conozca en profundidad el sistema o, en este caso, el avión que se está operando. El hecho es justamente el contrario y se conoce como paradoja de la automatización: Cuanto más complejo es un avión menor formación parece precisarse para volarlo y es precisamente la reducción de costes en ese capítulo el principal incentivo para la automatización.

Frente a la línea de pensamiento que viene avisando repetidamente del riesgo de la búsqueda sin límite de la eficiencia, tenemos la línea de las actuaciones por parte de fabricantes y operadores, explícitamente aceptada por los reguladores e implícitamente, por falta de pruebas, por los pasajeros:

Posiblemente, prescindir del radio tenga buenas razones económicas pero casos como el Avianca 052 o la necesidad percibida por la OACI con una urgencia suficiente como para exigir unos mínimos de inglés nos dicen que algo se ha perdido con esa figura.

Posiblemente, prescindir del mecánico de vuelo esté justificado económicamente pero en casos como el Swissair 111 se les ha echado de menos y en Los Rodeos una posición más asertiva del mecánico podria haber evitado el accidente.

Posiblemente, el cross-crew rating tenga plena justificación económica pero los numerosos hechos acreditados de transferencia negativa por la cual se han producido comportamientos ajustados a un avión que no era el que se estaba volando en ese momento no se habrían producido.

Posiblemente, los vuelos de largo alcance con dos motores estén justificados pero es difícil acumular información suficiente para conseguir validez estadística sobre cuál es la fiabilidad real de un solo motor cuando, en solitario y con empuje asimétrico, tiene que hacer volar a un avión.

Posiblemente, la reducción de los tiempos de formacion de pilotos tenga una justificación económica pero el aumento de la complejidad tecnológica y etiquetas como el need-to-know y nice-to-know nos hacen pensar si no nos encontraremos de cuando en cuando con el If-I-had-know.

No podemos ni debemos ignorar que, a pesar de todo esto, los indicadores de seguridad aérea han mejorado pero quedarnos sólo con esa parte significaría caer en la complacencia y, lo que es peor, extraer un mensaje incorrecto.

El hecho es que el número relativo de accidentes ha disminuido pero no podemos ni debemos ignorar que la tipología de los accidentes parece distinta y eso requiere un análisis específico.

La etiqueta conciencia situacional se aplicaba en el pasado casi sistemáticamente a fallos de navegación y “situación” era casi sinónimo de situación espacial. En la actualidad, la misma etiqueta denota una realidad mucho más amplia que llega, en ocasiones, a aplicarse a situaciones de confusión absoluta, no necesariamente referida a dónde se está sino a cómo se está, es decir, a cuál era el modo en que estaba funcionando el avión en el momento del siniestro. Se ha mejorado porque se hacen mejor cosas que ya se sabían hacer pero, al mismo tiempo, las nuevas situaciones anómalas pueden resultar más difíciles de manejar que antes y de ahí la emergencia de un nuevo tipo de accidentes.

Insisto en que no tendría sentido acusar a los fabricantes ya que éstos juegan su partida en un tablero en el que no controlan todas las piezas. Basta con observar a los dos grandes para comprobar cómo se han imitado en lo que se consideraba la solución más eficiente:

La solución del Airbus A-310 prescindiendo del mecánico fue seguida por los Boeing-757 y 767, que gozan de unas cabinas extraordinariamente amplias por haber sido pensadas para albergar a un mecánico del que se prescindió en el diseño final.

Cuando Boeing introdujo los bimotores en vuelos de largo alcance, la sinceridad de las tímidas protestas de Airbus quedó demostrada por la aparición del A-330 y del próximo 350.

Cuando Airbus introdujo la tecnología FBW en el 320, la idea de Boeing sobre un mayor conservadurismo tecnológico quedaría igualmente en evidencia con la aparición del 777 y con su próximo 787.

La línea seguida está clara: La eficiencia es la ganadora y, con ella, la automatización, la complejidad y la reducción de los requerimientos de formación llegando a extremos como el MPL.

Hace años, cuando empezaron a aparecer en el mercado aviones muy automatizados, un viejo piloto dijo algo que alcanzó bastante notoriedad: Estoy dispuesto a volar un avión tan automatizado como quieran. La única condición es que el avión tenga un botón rojo que, al apretarlo, lo convierta instantáneamente en un DC-9.

Parece un homenaje al sentido común y, sin embargo, tener esa posibilidad -que es, expresado en términos coloquiales, el cumplimiento de la regla de Rasmussen- exige el cumplimiento de dos condiciones:

  • El piloto tiene que ser capaz de volar a mano un DC-9.
  • El avión, una vez desactivado todo el software, tiene que tener un diseño que le permita ser volado a mano sin graves problemas de estabilidad o de carencias de información básica.

¿Se cumplen estas dos condiciones en los aviones más modernos y con las prácticas de entrenamiento actuales?

Sería deseable que un caso como el Air France 447 no se quedase en la mera sustitución de un componente que, en situaciones excepcionales, tiene un comportamiento inadecuado.

Sería deseable que se aprovechase para hacer un overhaul del sistema de transporte aéreo, incluyendo el papel de un pasajero al que se ha reducido a una especie de Matrix y a quien se le ha mostrado la aviación como una actividad sin riesgo en lugar de una actividad con un riesgo controlado en formas sobre las que debería tener algo que decir.

La línea actual de crecimiento de automatización y complejidad y disminución de la formación no es buena pero ningún actor individual, sea fabricante, operador o regulador, puede pararla porque quien decida oponerse perderá posiciones en el mercado.

Algunos habíamos avisado y habíamos escrito ya que los fallos en las organizaciones y en las máquinas eficientes son también eficientes porque aprovechan para producir sus efectos los mismos canales que el funcionamiento normal. Ahora aparece el caso Air France donde, si se confirman las hipótesis, no será la primera vez que se produce este fenómeno aunque posiblemente sí la más grave.

Todos los implicados -uno solo no puede- tienen en su mano una decisión grave: Cambiar una piececita defectuosa de un avión y esperar a que cualquier otra piececita, bajo las circunstancias adecuadas y no previstas, eche otro avión abajo o plantearse el conjunto del sistema.

La dinámica de la eficiencia puede ser tan diabólicamente perversa como lo fue la carrera nuclear o, a una escala menor, lo son situaciones españolas tan conocidas como el PER o el crecimiento descontrolado de funcionarios. Quien decida por su cuenta arreglar la situación, pierde. La pieza defectuosa puede ser hoy de Airbus y mañana puede serlo de Boeing pero el problema no es ni Airbus ni Boeing sino una carrera demencial que alguien -todos- tiene que parar.

La regla de Rasmussen sigue siendo válida. Aplicada a la aviación, significa que el piloto tiene que saber en todo momento qué está haciendo el avión, cómo lo está haciendo y por qué y, si llega el caso, tiene que estar capacitado y sin impedimentos para tomar un control completo del avión. Para que eso sea posible, no bastan “conocimientos de usuario”.

Tenemos que aprender a diferenciar entre la disminución de la complejidad auténtica y la falsa. Son muchos los enamorados de las pantallas por la cantidad de información que puede llegar a darse en ellas e incluso Boeing señalaba cómo en el 747-400 se habían reducido en dos tercios el número de controles e indicadores respecto a las versiones más antiguas. Ésta es la simplificación falsa y me gustaría concluir la idea con un ejemplo: ¿Qué es más difícil de manejar, una radio con treinta botones u otra que tenga uno sólo con multitud de modos disponibles para realizar las mismas o más funciones que la primera? Obviamente la segunda.

Se ha avanzado mucho por una senda con efectos secundarios importantes. Desandar lo andado es prácticamente imposible pero puede cambiarse el rumbo y ese cambio necesita de la colaboración de todos, incluido el pasajero.

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s