viernes

Accidentes, documentación técnica y procedimientos

Son ya innumerables los datos disponibles sobre las posibles causas del accidente del que hablaba en el anterior post y del que incluso han aparecido unas escalofriantes imágenes.


Nuestra experiencia profesional nos ha dado la oportunidad de comprobar las terribles dificultades a las que tiene que hacer frente una comisión técnica de análisis de una catástrofe: el procedimiento judicial, los importantísimos intereses económicos que están en juego -de empresas, aseguradoras-, la avidez mediática, etc... En este contexto es muy difícil establecer un protocolo de análisis como el que presenta Sidney Dekker en The Field Guide to Understanding Human Error, excelente libro que publicará en latemporada 2009-2010 la editorial Modus Laborandi.
Más allá de estas consideraciones, las informaciones comienzan a ser reveladoras. Al parecer -y si ahorramos ciertos acrónimos y tecnicismos a quien lea este comentario-, el sistema de advertencia que indicaría una inadecuada configuración del avión para el despegue no funcionó. Lo que resulta más interesante desde el punto de vista de la ergonomía y de la accidentología no es el hecho de que falle una alarma crítica, sino:
  1. La falta de concordancia entre el estado de accionamiento de estos dispositivos en el cockpit (en este caso Flaps y Slats) y el estado real de los mismos. La falta de concordancia (paneles/pantallas/cockpit - "realidad") en la configuración de elementos críticos del sistema es una de las mayores fuentes de error conocidas: en la industria se sabe mucho sobre indicadores de apertura o cierre de válvulas que pueden no corresponderse con la realidad, particularmente desde Three Miles Island.
  2. La aparente falta de redundancia de un elemento de alarma tan determinante; puede que no sea eficiente duplicar el sistema de advertencia, pero sí las barreras para que un dispositivo inicie su puesta en marcha en una configuración inadecuada si ello puede conllevar consecuencias fatales.
  3. Por último, el sistema documental de chequeo y comprobación del sistema al inicio de la operación crítica de despegue. Resulta llamativo que, sabido este posible fallo del sistema de advertencia, no fuera documentado.
En un mundo hiperprocedimentado y regulado como el del transporte aeronaútico nos resulta sorprendente que -conocida la posibilidad de este fallo por otros accidentes-, sólo se prescribiera una comprobación del sistema de advertencia al inicio de la jornada y no cada vez que se inicia el procedimiento de preparación para el despegue. Un fallo de este nivel de gravedad obliga, necesariamente, a una reflexión en profundidad: los procedimientos en fases críticas de puesta y marcha y parada (o de despegue y aterrizaje) son una de las barreras en profundidad fundamentales y si esta barrera cae, los operadores humanos -pilotos y técnicos de mantenimiento que han puesto toda su confianza en el procedimiento del fabricante y en sus sistemas técnicos de alarma-, por muy cualificados que estén, necesariamente son víctimas del propio sistema de seguridad que supuestamente se diseñó para protegerles y proteger a los pasajeros.
En Ergotec conocemos muy bien la problemática de la preparación, puesta a punto y actualización de la documentación procedimental, tan bien descrita por Jacques Leplat en "Les documents prescripteurs", artículo presentado en la revista electrónica Activités. Desgraciadamente, las catástrofes que tienen una causa raíz en la documentación técnica con cada vez más frecuentes.

lunes

La catástrofe normal

El día 20 de agosto de 2008, día en el que se produjo el accidente del vuelo de Spanair cuando despegaba de la pista 36L del Aeropuerto de Barajas, me encontraba cruzando el Atlántico en un Airbus 340 de Iberia.
Como pasajero, tuve que atravesar varios controles, observar el proceso de carga de equipaje, de material y combustible del avión, ser espectador de la coreografía coordinada de la tripulación que prepara una larga travesía nocturna. En el cockpit, los pilotos altamente cualificados y experimentados realizaban, como alguna vez he presenciado, decenas de chequeos y comprobaciones.
Mientras tanto, un equipo de técnicos de mantenimiento, especialmente habilitado para intervenir sobre este tipo de avión, se encontraba preparado para solventar cualquier incidencia que pudiera presentar el aparato, sobre el que se realizan exhaustivos programas de mantenimiento hasta la gran parada en la que prácticamente se desmenuza el avión. En la Torre de Control, los controladores dan el clearance sólo cuando todos los datos del plan de vuelo han sido coordinados con el comandante, quien inicia el push-back y el lento taxi por las rodaduras, guiado en ciertos casos por un vehículo Follow-Me, que deja a sus lados una sofisticada señalética y la tenue luz del balizamiento. Despega con lentitud y una cierta solemnidad. Se percibe la robustez y al mismo tiempo la fragilidad.
El vuelo en un avión de estas características es una experiencia confortable, en un espacio que ha sido aprovechado de manera prodigiosa; de vez en cuando el comandante informa y tranquiliza a los pasajeros, que escuchan el tenue fondo del diálogo con los controladores de Ruta.
Este sentimiento se ve bruscamente roto cuando se aterriza en un aeropuerto en el que todavía humean los restos calcinados de un aparato siniestrado...
En una gran instalación aeroportuaria se realizan cientos de operaciones de estas características, miles de acciones coordinadas que permiten la circulación del trafico. Al igual que una central nuclear o una instalación petroquímica, la complejidad dinámica de estas instalaciones es permanentemente objeto de mejoras en la seguridad, en los sistemas precoces de detección de anomalías o fallos, los operadores (pilotos, controladores, operadores de salas de control...) deben someterse a una estricta formación permanente, que incluye procesos muy realistas de simulación. Hay poquísimas oportunidades de aterrizar en un aeropuerto en el que se pueden ver los restos de una catástrofe...
Pero, desgraciadamente, los aviones se caen, y este hecho está ligado a la complejidad intrínseca que caracteriza al sistema de transporte aéreo, con múltiples componentes que están acoplados. Cuando un elemento falla, la interacción entre el resto de componentes puede ser catastrófica porque es imprevisible (en estos sistemas imbricados es ilusorio preverlo todo). Así mismo el sistema se desenvuelve en una paradoja organizativa: se necesita una fuerte coordinación y centralización organizativa para planificar y supervisar las distintas operaciones pero, al mismo tiempo, es necesaria la descentralización para resolver las disfunciones y los fallos que presentan los componentes del sistema. En esta paradoja está el centro del problema, ya que genera nueva complejidad que puede a su ver ser generadora de riesgo. Esta es la tesis central del pensamiento de Charles Perrow, tal como la describe Mauro Guillén en un excelente prólogo para la edición en español de Accidentes Normales [Editorial Modus Laborandi, próxima primavera 2009]:

"Perrow nos lanza un reto. Resulta imposible prever todas las posibles eventualidades que se pueden producir en el funcionamiento de un sistema tecnológico complejo; no hay manera técnicamente racional y económicamente razonable de protegerse de todos los riesgos que nos acechan. Por tanto, la opción más lógica consiste en estudiar detenidamente los distintos sistemas y mejorar sus condiciones de seguridad. En caso de que esto no resulte posible, es decir, en el caso de aquellas tecnologías proclives a los accidentes normales, la única opción razonable consiste en reducir nuestra exposición al riesgo, es decir, desarrollar y emplear tecnologías alternativas que resulten menos amenazadoras. Los marcos conceptuales y los análisis contenidos en Accidentes Normales servirán sin duda para establecer prioridades y mejorar las estructuras organizativas."