El peor accidente de la historia de la aviación comercial sucedió en el aeropuerto de los Rodeos en Tenerife, el 27 de marzo de 1977. En un día de niebla, un Boeing 747-200 de KLM con 234 pasajeros chocaba en la pista de despegue contra un 747-100 de Pan-Am con 396 personas a bordo carreteando hacia cabecera de pista. En la colisión murieron 583 personas.
En el accidente de los Rodeos la «culpabilidad» parece clara. El avión de KLM inició la maniobra de despegue sin haber recibido autorización explícita de la torre de control, provocando la colisión, o al menos eso sería la versión periodística del asunto. Para las autoridades de aviación civil en todo el mundo, sin embargo, la tragedia fue vista de forma muy distinta. Tan distinta, de hecho, como para provocar un cambio significativo en los protocolos seguidos por las tripulaciones de cabina en despegues y aterrizajes, y un cambio de arriba a abajo de las normas de comunicación entre controladores y pilotos.
Primero, las aerolíneas empezaron a apartarse del que hasta entonces había sido el modelo tradicional de jerarquía en cabina del capitán como autoridad última de la nave, siguiendo la tradición naval. En las transcripciones de cabina del accidente se escucha claramente que el primer oficial del avión de KLM se había dado cuenta que algo no cuadraba, pero no se atrevió o no pudo contradecir al capitán. Después de los Rodeos las compañías aéreas empezaron a moverse hacia un modelo de Crew Resource Management, en el que la tripulación en pleno (estos días, habitualmente dos personas) debe confirmar la seguridad de una maniobra por defecto antes de emprenderla, minimizando la probabilidad de error.
Segundo, las autoridades se dieron cuenta que muchos de los mensajes entre controlador y cabina habían sido ambiguos o incompletos. Las órdenes de la torre de control, por ejemplo, eran recibidas con un «OK» o «Roger», no confirmadas como entendidas por la tripulación repitiéndolas de nuevo como se hace actualmente. Esto llevo a que el avión de Pan Am saliera de pista por una calle distinta a la pedida por el controlador y manteniendo el avión en pista durante unos segundos adicionales que resultaron fatales. Términos como «take off» (despegue) se utilizaban sin pensar demasiado, creando la oportunidad para el piloto de KLM de malinterpretarlas. Gran parte del lenguaje y comunicación para todo el proceso de salidas fue estandarizado y simplificado, creando una serie de términos muy concretos y definidos para minimizar la probabilidad de error.
¿Por qué es esto relevante? Los procedimientos de seguridad de la aviación comercial son extraordinariamente efectivos por muy buenos motivos. En parte debido a un diseño deliberado, en parte fruto de aprender dolorosas lecciones cuando las cosas salen espantosamente mal, todo el sistema está orientado a minimizar la probabilidad de error humano o mecánico. Las tripulaciones y controladores son seres humanos, y pueden cometer errores; los procedimientos y reglas establecidos están orientados siempre a que todas decisión que tome sea corroborada y/o confirmada, y que en caso de duda, indecisión u opiniones divergentes la opción por defecto sea lo más segura posible. Todos los sistemas electrónicos y mecánicos son tan redundantes como sea humanamente posible; si uno da error o no registra algo que debería, la opción por defecto es ordenar la conducta o maniobra más segura.
A falta de saber más detalles del accidente en Santiago, creo que todos haríamos bien de recordar qué es y cómo se diseña un sistema seguro, y por qué no podemos limitarnos a explicaciones burdas como exceso de velocidad o error humano. Un sistema de transportes seguro no busca culpables o causas de accidente, busca factores de riesgo inaceptables que deben ser reducidos. Esto puede ser cosa de señales, averías mecánicas, maquinistas despistados o Dios sabe qué, pero nunca se reducirá a «alguien ha cometido un error». Si la probabilidad de cometer errores sin que nada de corrija es demasiado alta, algo estamos haciendo mal. Esa fue la conclusión en los Rodeos, y puede que sea la conclusión (compleja, difícil de explicar y muy poco periodística) que acabemos sacando de la tragedia del miércoles.
Muchas gracias por el post. Llevo en un limbo informativo autoimpuesto desde el día del accidente. Da asco ver, leer o escuchar según qué cosas estos días.
Un aplauso por el post, y un pequeño tirón de orejas, Roger. Siempre que escribes tú parece una traducción del inglés. 🙂 O seré yo, que odio los adverbios en -mente antes de otro adverbio o adjetivo.
Muy buena reflexión
Escribí este artículo en un digital de León sobre las responsabilidades tras un s vidente así que quiza aporte más puntos de vista.
http://bit.ly/12nvgxe
Muy acertado.
Buena reflexión Roger. Corrígeme si me equivoco, pero creo que la comisión investigadora tardó unos 10 años en publicar sus conclusiones acerca del accidente de Los Rodeos. Los análisis de causas, cuando son efectuados como Dios manda, o sea, en profundidad, son complejos y lentos. Pero es de esperar que la comisión del Alvia sea un poco más ágil en sus conclusiones.
Por mi parte también me he autoimpuesto el limbo informativo en este accidente. Lo retomaré dentro de unas semanas, cuando empiecen a publicarse las informaciones más serias.
[…] De accidentes y errores humanos […]
El principio básico en seguridad de procesos industriales es que todos los procedimientos deben tender a compensar el error humano y evitar sus consecuencias, dando por supuesto que el error humano acabará sucediendo un día u otro, y que sus malas consecuencias son debidas a un fallo en la seguridad que no ha previsto adecuadamente ese error humano (aunque no existe la seguridad absoluta e infalible, el principio es ese).
Decir «error humano» en seguridad es como «el perro se comió mis deberes». Una excusa inaceptable. La seguridad existe precisamente porque hay fallos humanos.
Yo no sería tan tajante. SI hay personas por el medio, la posibilidad de error humano existe. Hay seguridades, si, pero a veces fallan, a veces se saltan conscientemente y a veces el «humano» no tiene el día fino.
Por lo menos hasta que se cumpla la utopía del automatismo, fallos humanos habrá siempre y la seguridad absoluta es carisima.
A todo esto, cuando hay muchas vidas en juego, las medidas de seguridad deberían estar muy meditadas.
Yo no he sido tan tajante. He dicho que el principio rector de la seguridad industrial es precisamente contar con que el fallo humano se producirá, y la finalidad de los procedimientos, dispositivos, redundancias, mantenimiento preventivo y cualquier otro medio con vistas a la seguridad, es precisamente conseguir que el inevitable fallo humano no cause una catástrofe.
Por eso decir «fallo humano» es decir exactamente lo mismo que no decir nada.
En todo caso se está diciendo: «fallo humano para el que no teníamos previsto nada», es decir, falta de mecanismos de seguridad suficientes.
Que esa falta concreta esté justificada o no es otra cosa (por ejemplo, puede producirse un cúmulo muy improbable de fallos humanos al mismo tiempo en distintos sistemas, cada uno de ellos con respaldo de los otros, pero no todos a la vez, y seguramente eso no es por completo evitable).
Que la seguridad absoluta no existe, y solo es un desideratum, también lo he dicho.
Estamos hablando de calidad, gestión de riesgos…
Me temo que para entender bien, a la primera, lo que dices, hay que ser alguien acostumbrado a manejar o diseñar sistemas tecnológicos complejos.
Una forma irónica de decir lo mismo es la «Ley de Murphy»: si algo puede salir mal, saldrá peor. Por eso un buen ingeniero diseña para el caso peor. Eso es la ingeniería: dar soluciones y tratar de evitar problemas y errores.
La obsesión del ingeniero es el posible fallo. Por eso los sistemas buenos y robustos son caros: requieren más trabajo y son más complejos.
El usuario normal tiende a pensar en la funcionalidad. El experto ha sufrido el fallo y busca la calidad.
Pues tampoco. Yo estudié estas cosas (hasta el punto en que se dan en una ET, tampoco de forma especializada) pero nunca he trabajado especificamente en seguridad.
No hay que ser un experto para comprender el principio general. Basta que te lo expliquen para darte cuenta de que no puede ser de otra manera.
Y no es otro el principio que se usa universalmente en otros ámbitos, con las matizaciones de que donde no se juegan vidas humanas no vale la pena dedicar tantos recursos (porque siempre hay un trade-off entre seguridad y recursos).
¿No es el principio que se usa universalmente en diseño de aplicaciones software y de SO? Para que funcionen (y tengan éxito comercial) deben ser «a prueba de usuarios», es decir, diseñadas para que los errores de estos no machaquen el sistema ni tengan más consecuencias que quizá un reinicio…
… Siempre que no se trate de un sistema crítico, donde el nivel de seguridad debe ser mucho mayor.
Un sistema informático usado para el tráfico aéreo, operaciones quirúrgicas, etc., se espera que no se vaya al garete porque un usuario le dio a un botón del menú cuando no tenía que darle: de hecho el principio es que no haya botones en ningún menú que puedan colapsar nada ni colgar el sistema.
El principio lo entendemos todos. Otra cosa es que los responsables hayan salido en tromba a quitarse responsabilidades poniendo la venda antes que la herida, y que los ciudadanos estemos acostumbrados a pensar en el ferrocarril como una tecnología que ya existía en el siglo XIX, y por eso no pensemos de primeras que la seguridad no tiene que parecerse en nada a la del siglo XIX y que este principio se debe aplicar igual que en el suministro eléctrico, los quirófanos, la navegación aérea o el manejo de un ordenador.
No estoy de acuerdo con lo expuesto en el texto. Y no lo estoy porque mezcla dos aspectos distintos de una misma cuestión. La lección que debe aprenderse del accidente y la lectura de lo ocurrido en él. Y aunque para llevar a cabo la primera ha de verse precedida ésta por la segunda, no deben mezclarse tan deliberadamente. Pues no son lo mismo.
Lo primero que habría que hacer es esperar a la investigación por parte del ente que corresponda. Que éste, obviamente, la lleve a cabo con todo el rigor y la profesionalidad posibles. Huelga decir que la Justicia desarrolle los procedimientos correspondientes y dirima las responsabilidades que de ellos se deriven. Una vez concluida la investigación que los medios de comunicación nos la trasladaran a los ciudadanos. Que nos contaran los hechos, su contexto y todos los pormenores con objetividad. Y que el público tuviese entonces el relato completo de lo sucedido. Saber, con exactitud, la causa o causas del fatídico accidente.
Y una vez finiquitado «a corto plazo» este trágico suceso, entonces, que todos los actores o elementos que componen y desarrollan el transporte ferroviario en este país se sienten en una mesa durante x tiempo para aprender de lo ocurrido. Y así diseñar —si en ese sentido lo sugiriera la primera investigación— un nuevo sistema de transportes seguro.
El texto, a mi juicio, si bien es interesante por los datos que aporta en lo que a la aviación se refiere, mezcla y diluye dos vertientes muy diferentes de una misma cosa.
Los médicos, creo yo, solucionan este tipo de ‘mezclas’ de una forma muy satisfactoria. Determinan qué pasa, diagnostican. Una vez que saben qué pasa, proporcionan, con los medios de los que disponen, una solución al problema; la terapia o tratamiento. Orientan al paciente con lo que se sabe que ocurre con esa dolencia y le indican qué pasará probablemente con su situación en el futuro. Y luego, en la trastienda, estudian ese y otros muchos casos iguales o similares para diseñar protocolos de actuación, manuales de prevención e intentan profundizar más si cabe sobre la temática para disponer de un mejor conocimiento al respecto.
Lamentablemente, no observo —quizá esté yo equivocado— nada de lo que he escrito más arriba en el trágico suceso que nos lleva conmoviendo a todos estos días.
Pues yo entiendo que has dicho más o menos lo mismo que la excelente reflexión de Roger… Aprender del error y cambiar protocolos en base a la información y datos objetivos que se saquen de la información del accidente.
Gloriosa analítica.
[…] » noticia original […]
100% de acuerdo
La mejor reflexión que he leido sobre el accidente de Santiago. Me da lo mismo de quien fue la responsabilidad, lo que hay que evitar es que vuelva a ocurrir.
Pero eso no es costumbre del PP. La suya es culpar siempre a alguien, y no a ellos precisamente. desde culpar a Zapatero cuando ya no gobierna a culpar a la realidad cuando no hay nadie a quien culpar. Pero el PP jamás asumirá responsabilidades.
Yak42. Hubo un máxuimo responsable por todas las medidas de seguridad que no se tomaron. Y por todos los ahorros que se tomaron para embolssarse un dinerito. ¿Y uiqen era el máximo responsable? Pues el mismo que cobraba por esa responsabilidad pero no se dignó asumirla: Federico Trillo el Cobarde. Del PP claro.
Parece ser que los aviones actuales están totalmente automatizados y, en teoria, podrían despegar, volar y aterrizar solos; y sin embargo, cuentan con piloto, co-piloto y, a veces -creo-, un ingeniero de vuelo (tal vez para las cuestiones más técnicas y el mantenimiento).
Antes existia la figura de «Ayudante de Maquinista»que acompañaba al Maquinista en cabina y le auxiliaba en todas sus tareas: debe ser que eso ahora no es rentable.
Es completamente innecesario, al igual que el ingeniero de vuelo. Los procesos que llevaban a cabo y las informaciones que daban a los pilotos están disponibles instantáneamente.
Es obvio que supone un enorme ahorro del coste operacional, pero también es innegable que el sistema informatizado es más seguro.
Por otra parte, el sistema del que hablas lo tienen que implementar también los aeropuertos, y en la actualidad pocos lo tienen, y aunque lo tuvieran, jamás se podría eliminar al comandante, tal vez sí al copiloto, pero eliminar completamente la supervisión humana de una aeronave es una temeridad.
Estoy de acuerdo contigo. No hacen falta ingenieros de vuelo ni ayudantes de maquinista porque ya existen sistemas electrónicos que realizan esas mismas funciones mucho mejor que una persona. Pero claro, lo que no podemos hacer es apagarlos cuando no nos gusta como funcionan o cuando dan problemas, como se hizo con el avión de Spanair o con el Alvia de Renfe.
En el manejo de equipamiento el factor humano es el eslabón mas débil.
En la práctica se conserva por un atavismo que impide que se acepten soluciones totalmente automatizadas. En la realidad se convierte al humano en un eslabón mas, que actua meramente como un robot que acciona los mandos de una máquina según las órdenes que recibe de otra máquina.
En aviación ya está ocurriendo, los controladores de aeropuertos son máquinas que instruyen al piloto del avión para que a su vez mueva los mandos. Es perfectamente posible eliminar al piloto de la ecuación y que la máquina-controlador dirija a la máquina-avion, sin intervención humana lograndose elevar la seguridad de las maniobras en varios ordenes de magnitud.
La lección del accidente del Alvia es sencilla, no habría ocurrido en un tren sin maquinista.
Error. No hubiera ocurrido de haber existido un ayudante en un tramo fuera de control técnico.
Me parece que tu punto de vista de la gestión del tráfico aéreo es un poco peculiar !
Lo que se tiende a «automatizar» en el futuro es la gestión de los vuelos en ruta, eliminando la voz y utilizando enlaces de datos. De esta manera, el controlador de ruta y el piloto supervisarán que los cambios en velocidades, rutas y niveles de vuelo sean interpretados correctamente por el sistema de gestión de vuelo del avión. Pero para casos como el despegue y aterrizaje no hay atavismos que valgan, la intervención humana es esencial. Tampoco confundas el hecho de que un piloto automático en «autoland» sea mas «suave» que un piloto humano, con el hecho de que sea mejor uno que otro. Los profanos piensan que un piloto automático es un sistema diseñado para relevar al piloto, cuando en realidad es un sistema que se hace necesario ante la necesidad de poder volar un avión a 900 Km/h con suavidad y sin marear al pasajero.
La lección ?? El sistema es fiable 100% ?? Y si falla el sistema de guiado del tren … rezamos ? Mejor con maquinista y un protocolo adecuado. Los sistemas ayudan, pero no suplen. Falta por saber si en este caso estaban correctamente implementados.
No me digan que ya hay controladores autómatas y yo sin enterarme?
Cuanto marisabidillo hay suelto, madre mia…!
«La lección del accidente del Alvia es sencilla, no habría ocurrido en un tren sin maquinista».
Realmente, por lo que he leído en otras entradas de este mismo blog, de acuerdo a los protocolos actuales, la función del maquinista no deja de ser la de una simple máquina encargada de ejecutar los protocolos indicados en su hoja de ruta, algo que efectivamente podría hacer mucho mejor una máquina de verdad. Basta con meter la hoja de ruta en un ordenador y programarle que ejecute las mismas órdenes que le habíamos encargado al maquinista.
Todo eso es muy bonito, si, pero luego te enteras de que el ERTMS estaba desconectado por la propia Renfe, te enteras de que esos mismos protocolos impiden que el ASFA sirva para nada, y piensas que es mejor que exista un ser racional dentro de la cabina ya que no existen otros seres racionales fuera de la misma.
Además las máquinas no funcionan solas, hay que programarlas, y los mismos incompetentes que diseñan protocolos esperpénticos para maquinistas-máquina van a ser los que diseñen los correspondientes protocolos para máquinas sin maquinista. Y que quieres que te diga, me fío casi mas del maquinista, siempre podrá tomar en el último momento una decisión racional que no ha sido programada en la máquina.
Por cierto, en cualquier otro país los máximos responsables de los organismos implicados ya hubiesen dimitido. Porque los máximos responsables son los que imponen los criterios en los que se basa el funcionamiento de los entes que llevan a cabo la gestión del servicio público. Es evidente que ha habido un fallo fatal. Para esclarecer como se ha llegado a producir ese fallo ¿sirven los mísmos criterios?, ¿o debería enfocarse el asunto desde otra pespectiva y con otros criterios? Parece acertado pensar que lo más digno y responsable es dimitir.
Sólo tengo que puntualizarte dos cosas.
Primero, el chivo expiatorio es muy útil cuando contratos de miles de millones de euros andan por el medio. Si todo se reduce a un tipo que cometió un error fatal, mi producto sigue siendo cojonudo y competitivo. Si en realidad, es sólo un eslabón más de una cadena de errores, incluyendo los de diseño y deliberada carencia de mecanismos de seguridad adicionales, entonces el producto que vendo no es tan cojonudo ni desde luego competitivo, porque digan lo que quieran, 80 muertos sólo es muchísimo más caro que 4 km de ERTMS, y estoy hablando en el plano puramente económico, ni entrar ya en otras consideraciones.
Lo que nos lleva al punto dos. No se minimizan los errores al punto de lo humanamente posible. Ni de coña. Se optimizan al cruce de dos curvas, una de lo técnicamente factible y otra de lo económicamente tolerable. Y ese punto de corte responde, casi siempre, a criterios políticos, ni siquiera a criterios estrictamente matemáticos (que aún así, serían subjetivos dado que los parámetros hay que fijarlos políticamente).
Muy buen artículo.
En el centro de control aéreo donde trabajo hemos hecho esta misma reflexión y estamos alarmados del tratamiento que se le está dando al tema.
Aparte, todos aquí recordamos cómo tras el accidente del lago Constanza se hizo público el nombre del controlador (aquí casi todos los periódicos han puesto nombre Y FOTO del conductor) y el padre de una de las víctimas fue a su casa y lo acuchilló…
Y una historia que poca gente recuerda sobre el accidente de los Rodeos:
El avión de la Pan-Am estaba recorriendo la pista en sentido inverso…
-porque estaban llenas las calles de salida de aviones aparcados allí…
-porque las plazas de «parking» de los aviones ya estaban completas…
-porque habían desviado a los Rodeos el tráfico de Gran Canaria…
-porque había habido un atentado por parte del «Movimiento por la Autodeterminación e Independencia del Archipiélago Canario».en el aeropuerto de Gando…
-pero no contra aviones o instalaciones aeronáuticas sino contra la floristería del aeropuerto…
-porque la dueña de la floristería era la mujer del ¿delegado de gobierno?…
-que decidió que se cerrara al tráfico el aeropuerto…
(la lista de por qués de un accidente es interminable…)
–
Te dejas una muy significativa: se le ordenó tomar la salida 3, un giro imposible de realizar con un jumbo al ir en el sentido contrario.
Totalmente de acuerdo. Hay que revisar los protocolos y las infraestructuras porque además cuando se produce eso que se llama error mecánico siempre hay un error humano detrás, bien sea en el diseño, programación o mantenimiento de la máquina, así como una decisión errónea empresarial para ahorrar en costes.
Yo también hablo sobre este tema y la interacción de la tecnología y los seres humanos en este post de mi blog
http://wp.me/p2fW1E-kX
Un sistema de transporte seguro exige dinero. Mucho dinero.
Ahora, que el señor Senserrich compagine esta gran verdad con lo que él ha afirmado otras veces: que no hay que seguir metiendo dinero en el AVE gallego porque es un despilfarro, ya que sólo lo van a usar cuatro gatos.
Ya está bien de hipócritas que no quieren inferior dinero en lo que no les interesa, y a la vez piden más dinero para seguridad. Seguridad en el AVE catalá
[…] De accidentes y errores humanos, en Politikon. […]
[…] De accidentes y errores humanos | Politikon Excelente argumento acerca de la seguridad en sistemas tecnológicos al hilo del accidente de tren de Santiago de Compostela. […]
Tal y como nos ocurre al admirar una flor:
Si se muestra impoluta, de una perfección sublime, decimos que «parece artificial»
Si aparenta frescura y la fragilidad, la alabamos diciendo que «parece natural»
A menudo nos cuesta distinguir a simple vista, sin ayudarnos del tacto y el olfato si la flor es definitivamente natural o artificial. A mi entender ocurre la misma simbiosis hombre-máquina en cuanto a la seguridad.
El Ingeniero aeronáutico español, que dirige Boeing International me comentaba a propósito del desarrollo de los drones-UAV- o aviones no tripulados, que se había estudiado y se tenía mucha información sobre en cuantos accidentes el error humano había sido contribuyente, que de lo que no se tenía toda la información era de en cuantos accidentes la presencia y el control humano habían impedido un desenlace fatal, por razones obvias…
Ni existe el robot con los sentimientos e intuición de un humano, ni el humano que pueda actuar sin que los sentimientos le afecten… hombre y máquina han de continuar buscando la perfección y la excelencia en su simbiosis, que no se sepa si detrás de los mandos hay uno u otro, hasta que se le toque o huela!
Controladora, eso mismo pienso yo, que debe existir una SIMBIOSIS entre hombre y máquina. Un hombre siempre puede tomar decisiones racionales por si mismo que eviten una catástrofe que no puede evitar una máquina si previamente no ha sido programada para esa eventualidad. Del mismo modo, una máquina puede hacer mucho mejor que un hombre rápidos cálculos matemáticos, tareas rutinarias, interpretación extremadamente rápida de órdenes sencillas… Cada cual, su función…
Por eso del mismo modo que no me parece bien que se confié la circulación de un tren a una máquina, tampoco me parece bien que se diseñen protocolos de circulación que tratan al maquinista como si fuera una simple máquina, limitando su función a ejecutar la secuencia de órdenes del protocolo, algo que podría hacer mucho mejor una máquina. Además su trabajo se vuelve así extremadamente rutinario, la rutina conduce al despiste y el despiste a la tragedia. Es una sucesión de hechos mas que comprobada.
Del mismo modo que las máquinas no deben suplir a los humanos, los humanos tampoco deben suplir a las máquinas, y mucho me temo que eso es lo que estaban haciendo precisamente ADIF y RENFE con los protocolos en vigor.
Hola; soy enfermer@ de quirófano interesado desde hace 10 años en lo que se ha venido en llamar «seguridad del paciente».
La entrada me parece interesante desde el punto de vista de los sistemas de seguridad y de la evolución de estos en la industria del transporte aereo.
La sanidad ha puesto su mirada en este tiempo en tratar de aprender de las industrias ‘seguras’ como la aviación o la nuclear poniendo en relevancia algunas herramientas como los listados de verificación (checklist) pero olvidando o menospreciando otras como los briefings de equipo y el CRM tal vez porque, a diferencia de la aviación, nuestros «pilotos» creen que sólo ellos pueden resolver las situaciones que surgen…
Respecto al error de implementar las listas de verificación en sanidad sin hacer un completo CRM (entendido como tal el entrenamiento EN CONJUNTO de situaciones de emergencia) recomiendo «Beyond the checklist» escrito por Suzanne Gordon en el que colabora, entre otros, Chesley Sullenberger (el piloto del «milagro del Hudson»)