Lo que dice la debacle del tapón de puerta de Boeing sobre el futuro de la seguridad de la aviación
Este artículo apareció originalmente en CON prensa.
El 6 de enero, cuando el vuelo 1282 de Alaska Airlines, un Boeing 737 MAX 9, despegaba de Portland, una gran sección de la estructura del avión, un tapón de la puerta del fuselaje, se soltó en vuelo. Sin el enchufe, la cabina se descomprimió violentamente con un estruendo clamoroso y un vendaval que arrancó los reposacabezas de sus amarras. La madre de un adolescente sentada justo delante de la ruptura. Se aferró a él mientras le arrancaban la camisa del cuerpo. y succionado al vacío.
Nadie murió en el desgarrador incidente, de manera algo milagrosa, pero estuvo muy cerca. Si los asientos inmediatamente al lado de la sección del fuselaje averiada no hubieran estado vacíos, o la luz del cinturón de seguridad no hubiera estado encendida, el suceso probablemente habría sido mortal.
Las fallas en los aviones modernos son eventos extremadamente poco comunes en general, pero incluso en este contexto, la falla parece inusual y preocupante. Las explicaciones definitivas de por qué ocurrió llevarán tiempo, pero informes preliminares indican claramente que su causa inmediata fue sorprendentemente mundana: parece que Boeing, o uno de sus contratistas, simplemente no logró asegurar el enchufe correctamente. Al tapón de la puerta errante parecían faltarle pernos cruciales cuando fue descubierto en un vecindario residencial, y las inspecciones posteriores supuestamente revelaron tapones mal atornillados en otros fuselajes. Si se confirma esta teoría, será lo absolutamente ordinario de este fracaso lo que la distinga. Esto se debe a que cuando los aviones fallan por razones mecánicas, esas razones tienden a ser mucho más complicadas e interesantes (al menos desde una perspectiva de ingeniería). Que un vuelo esté en peligro por un error de fabricación o mantenimiento prosaico y eminentemente evitable es una anomalía con implicaciones siniestras.
Para entender lo que quiero decir aquí, es útil poner el incidente en contexto y, para ello, es útil dar un paso atrás y pensar brevemente en las dificultades inherentes a hacer que los aviones de pasajeros sean tan confiables como esperábamos. La confiabilidad extrema es duro, especialmente en tecnologías complejas que operan en entornos implacables. Esto es bastante intuitivo. Pero la naturaleza de los desafíos que plantea y la manera en que la industria de la aviación los ha manejado son ampliamente mal interpretadas.
Los niveles extremos de confiabilidad que esperamos de los aviones plantean desafíos significativamente diferentes a la confiabilidad “normal” que esperamos de casi cualquier otro sistema. En esencia, esto se debe a que diseñar un sistema que no falle con mucha frecuencia requiere que los ingenieros entiendan cómo funcionará y, por lo tanto, fallar funcionar. ¡Los ingenieros no pueden simplemente esperar a que fallen para saber cuán confiables son! El esfuerzo necesario para lograr una confiabilidad extrema no aumenta proporcionalmente con el nivel de seguridad deseado. (De modo que, por ejemplo, duplicar la confiabilidad de un sistema complejo requiere más del doble de esfuerzo).
Ni siquiera las pruebas y modelos más exhaustivos podrían capturar cada sutileza del desempeño de un avión en el mundo real durante miles de millones de horas de operación.
Para apreciar esta última relación, consideremos el trabajo de construir un sistema que sea confiable el 99,99 por ciento de las veces (es decir, uno que falle no más de una vez cada 10.000 horas de funcionamiento). Para lograr esto, los ingenieros necesitan comprender cómo se comportará el sistema durante ese período de tiempo: las condiciones externas que podría enfrentar, cómo interactuarán sus numerosos elementos con esas condiciones y mucho más. Y para eso necesitan abstracciones (teorías, pruebas, modelos) que sean lo suficientemente representativas del mundo real como para capturar con precisión los tipos de eventualidades que podrían ocurrir sólo una vez cada 10.000 horas. Sin embargo, esa representatividad puede ser un desafío, porque el mundo real es “desordenado” de maneras que las abstracciones de ingeniería nunca reproducen perfectamente, y pueden suceder muchas cosas inesperadamente catastróficas en 10.000 horas. Una condición ambiental inusual podría interactuar con un material de manera inesperada, provocando su corrosión o fatiga. Una combinación oscura de entradas puede provocar que componentes de software esenciales fallen o se comporten de manera errática. Como dice el viejo tópico, no sabemos lo que no sabemos, por lo que este tipo de cosas son difíciles de anticipar.
Consideremos ahora lo que sucede cuando la confiabilidad requerida del sistema aumenta del 99,99 por ciento al 99,999 por ciento. Para lograr este nuevo punto de referencia, los ingenieros deben tener en cuenta eventualidades que pueden ocurrir no todos los días. 10.000 horas, pero cada 100.000 horas. Y así continúa; Cada nuevo decimal en esta “marcha de nueves” representa un aumento de orden de magnitud en la oscuridad de los factores que los ingenieros necesitan capturar en sus abstracciones y acomodar en sus diseños. Por lo tanto, con cada incremento, es cada vez más probable que los cálculos de confiabilidad de los expertos se deshagan por algo significativo escondido en su comprensión de cómo funciona el sistema: alguna propiedad o combinación de circunstancias que nadie pensó en probar. (En otro lugar he propuesto que llamemos a esos fracasos “accidentes racionales.” En parte porque surgen de creencias sostenidas racionalmente pero sin embargo erróneas, y en parte porque es racional, epistemológicamente, esperar que ocurran.)
Este es el contexto en el que debemos entender la fiabilidad de los aviones modernos. Visto a través del lente de la incertidumbre epistemológica y sus peligros ocultos, el historial de seguridad de la aviación civil en las últimas décadas es poco menos que asombroso. La tasa de accidentes de aviones atribuibles a fallos tecnológicos implica que sus sistemas críticos tienen tiempos medios hasta el fallo no de 10.000 horas, ni siquiera de 100.000 horas, sino más bien de un mil millones horas. Al considerar fallas en este tipo de escala de tiempo, incluso factores extraordinariamente raros pueden convertirse en consideraciones de ingeniería críticas: interacciones o fenómenos inesperados que podrían aparecer solo con una fase particular de la luna o una alineación de las estrellas. Como logro de la ingeniería del siglo XX, la pura cotidianidad y el tedio de los viajes aéreos modernos están a la par con la excepcionalidad y el dramatismo del aterrizaje de la NASA en la Luna. Y si los laureles de este logro deben recaer en una sola organización, entonces tiene que ser Boeing.
El proceso mediante el cual Boeing y sus pares lograron esta elevada confiabilidad está ampliamente tergiversado e incomprendido. Durante mucho tiempo hemos estado condicionados a pensar en la ingeniería como un proceso objetivo y regido por reglas, y la confiabilidad de la aviación está firmemente expresada en este lenguaje. Así es que la asombrosa mundanidad de los vuelos modernos se basa aparentemente en análisis de ingeniería cada vez más detallados y una supervisión regulatoria rigurosa: estándares, mediciones y cálculos. Sin embargo, al igual que las salchichas y las escrituras, estas prácticas formales parecen cada vez más espurias cuando se examinan de cerca las circunstancias de su producción. Ni siquiera las pruebas y modelos más exhaustivos podrían capturar cada sutileza del desempeño de un avión en el mundo real durante miles de millones de horas de operación. Si bien el análisis y la supervisión rigurosos son sin duda vitales, su utilidad disminuye mucho antes de que puedan ofrecer el tipo de confiabilidad que exigen los aviones de pasajeros. Podemos gestionar el rendimiento de la mayoría de los sistemas de esta manera, pero superar los límites y las incertidumbres de nuestras abstracciones para lograr el rendimiento que esperamos de los aviones requiere más. Aquí radica el verdadero desafío de ingeniería de la aeronáutica civil y la razón por la cual la industria es tan difícil para los nuevos participantes.
Examinado de cerca, la industria logró esta hazaña aprovechando una serie de prácticas pragmáticas pero, en última instancia, no cuantificables. Reducidos a su esencia, estos equivalen a un proceso de aprendizaje a partir de la experiencia. Los ingenieros calcularon y midieron todo lo que se podía calcular y medir de manera realista, luego gradualmente fueron eliminando las incertidumbres que quedaban interrogando los fallos en busca de ideas marginales que habían eludido sus pruebas y modelos. Poco a poco hicieron que los aviones fueran más fiables con el tiempo; en otras palabras, utilizaron sus fallos como andamio y guía.
Este proceso de aprendizaje parece sencillo, pero en realidad fue un proceso doloroso y costoso que duró décadas y cuyo éxito dependió de varios compromisos institucionales duraderos y a menudo desafiantes. Por ejemplo, requirió una costosa dedicación a la investigación de las fallas y los problemas de la industria, y una voluntad institucionalizada de aceptar hallazgos de fallas (algo a lo que las organizaciones naturalmente tienden a resistirse). Quizás lo más significativo es que dependió de una adhesión profundamente arraigada a un paradigma de diseño de aviones de pasajeros consistente y estable: una voluntad de retrasar en gran medida, o renunciar por completo, a implementar innovaciones tentadoras (nuevos materiales, arquitecturas, tecnologías) que, en el papel, prometían importantes ventajas competitivas. ventajas.
Asegurar los pernos adecuadamente es el fruto más fácil de la ingeniería de alta confiabilidad.
Estas prácticas y compromisos vitales nunca podrían ser legislados, auditados y aplicados en su totalidad por terceros debido a los juicios matizados y necesariamente subjetivos de los que dependían. Los reguladores podrían exigir que los diseños “nuevos” fueran sujetos a un escrutinio mucho mayor que las “modificaciones ligeras” de diseños anteriores, por ejemplo, pero nunca podrían definir perfectamente lo que constituía una “modificación ligera”. Y, si bien las reglas podrían exigir que se tomen precauciones especiales para los componentes “críticos para la seguridad”, la “criticidad” de componentes específicos siempre sería una cuestión de interpretación.
En estas prácticas e interpretaciones ingobernables había enormes riesgos financieros, por lo que las culturas en las que se desarrollaban eran extremadamente importantes. Las personas que tomaban decisiones estratégicas en empresas como Boeing (no es que haya muchas empresas como Boeing) necesitaban comprender la importancia de las decisiones que estaban tomando, y para hacerlo necesitaban poder ver más allá de la objetividad regida por reglas que enmarcan el discurso de seguridad en torno a la aviación moderna. Tenían que darse cuenta de que en este ámbito, aunque en pocos otros, simplemente marcar todas las casillas no era suficiente. También debían estar dispuestos y ser capaces de priorizar prácticas costosas y contraintuitivas sobre incentivos económicos a corto plazo, y justificar sus decisiones ante las partes interesadas sin apelar al rigor cuantitativo. Esto hizo que la confiabilidad a nivel de aviación fuera un enorme desafío de gestión, así como un desafío de ingeniería.
Entonces, ¿cómo nos ayuda esta comprensión de la confiabilidad de la aviación a dar sentido a los recientes errores de Boeing con su 737? Visto a través de esta lente, el drama del tapón de la puerta parece muy inusual en el sentido de que parece haber sido un error evitable. Esto es más extraño de lo que parece. En las raras ocasiones en que las fallas de los aviones son atribuibles al fabricante del avión, casi siempre son “accidentes racionales”, con causas fundamentales que se habían ocultado en las incertidumbres de las pruebas y modelos de los expertos. Si el enchufe inseguro se debía a que faltaban pernos, entonces esto era otra cosa. Asegurar los pernos adecuadamente es el fruto más fácil de la ingeniería de alta confiabilidad. Es el tipo de cosas que los fabricantes deberían detectar con sus elaboradas reglas y supervisión, incluso antes de comenzar su “marcha de nueves”.
Siempre deberíamos dudar en sacar grandes conclusiones a partir de muestras pequeñas, pero un fallo tan común da crédito a cuentas cada vez más generalizadas de Boeing como una empresa que poco a poco ha ido perdiendo el rumbo; su cultura y prioridades están cada vez más dominadas por los MBA en lugar de los ingenieros de antaño. Especialmente cuando ese fracaso se ve en conjunto con los desastres del 737-MAX de 2019que también se debían a deficiencias de diseño evitables, y la Los problemas actuales de la cápsula espacial “Starliner”.
Probablemente éste sea el verdadero significado del fracaso: el cambio subyacente en la cultura institucional que representa. Seguramente Boeing solucionará cualquier problema específico relacionado con pernos faltantes o no asegurados; Sería realmente increíble que ese error se volviera a cometer. Sin embargo, el hecho de que se haya cometido el error sugiere una organización cada vez menos dispuesta o capaz de tomar el tipo de decisiones costosas, contraintuitivas y difíciles de justificar sobre las que construyó su ejemplar historia de confiabilidad. Estas elecciones siempre pertenecen a preocupaciones marginales, casi insignificantes, simplemente porque la confiabilidad a grandes altitudes tiene que ver con los márgenes, por lo que sus consecuencias se manifiestan lentamente. Pero sus efectos son acumulativos e inexorables. Es poco probable que una empresa que no esté asegurándose correctamente tome el tipo de decisiones estratégicas que darán dividendos en las próximas décadas.
John Downer es profesor asociado de estudios de ciencia y tecnología en la Universidad de Bristol y autor de “Accidentes racionales.”