¿Qué significa «fallar a favor de la seguridad»?

Señales verticales de placa móvil en uso en los ferrocarriles británicos, 2012. (Fuente: John Turner, Flickr)
Señales verticales de placa móvil en uso en los ferrocarriles británicos, 2012. (Fuente: John Turner, Flickr)

Nacemos y nos hacemos conscientes en un mundo tecnológico. La naturaleza está —inevitablemente— en todas partes y allá donde miramos; sin embargo, podríamos perdonar a cualquiera que pensara lo contrario. La mano humana ha modificado, a veces a conciencia, el entorno; la tecnología está por todas partes, haciéndonos fácil lo difícil y hasta posible lo imposible. Yendo al extremo, puede que nuestra omnipresente maquinaria publicitaria afirme que «lo natural es cuidarse», pero miente: lo natural es morirse. La tecnología puede permitirnos vivir cuando deberíamos, por naturaleza, estar muertos. La otra cara de la moneda es evidente: la tecnología, que tan lejos nos permite llegar, es a veces responsable de daños que no habrían ocurrido de otro modo. Errores, fallos, accidentes: sucesos que hacen que nos replanteemos la relación con nuestras máquinas. ¿Hacemos lo suficiente para evitarlos? ¿Qué hacemos, concretamente, para impedir estas consecuencias indeseables?

Al igual que el científico trabaja con la ciencia, el ingeniero trabaja con la tecnología. Ciencia y tecnología están ligadas inextricablemente, aunque no siempre su desarrollo haya sido paralelo ¡ni ordenado! Y desde que las energías en juego han sido capaces, aplicadas con poca fortuna, de dañar nuestros frágiles cuerpos, la tarea del ingeniero ha sido diseñar sistemas en los que la seguridad fuera un aspecto clave de la operación. Cuando un sistema no tiene como objetivo de diseño el daño o la muerte de seres humanos —lo normal fuera del ámbito militar en sociedades como la nuestra— es clave asegurar que cuando las cosas van mal, las consecuencias negativas estén controladas y el daño sea minimizado. Desde un punto de vista conceptual es sencillo entender que al igual que no hay tecnologías con rendimientos perfectos, tampoco existen los sistemas en los que la probabilidad de fallo catastrófico sea cero.

La ingeniería de la seguridad es, desde hace mucho, una disciplina independiente en el conjunto de las ingenierías. Las herramientas que maneja parten de una sistematización del concepto de «tecnología» que va mucho más allá de la simple máquina: la tecnología son engranajes, palancas y cables (hardware), pero también lógica y programas (software), procedimientos, manuales, operadores y usuarios. Aunque en un contexto tan complejo, la pregunta fundamental que se hacen los ingenieros de seguridad cuando estudian un sistema siempre se formula de un modo similar a este:

«¿Falla el sistema a favor de la seguridad?»

Los sistemas ferroviarios constituyen un buen ejemplo para divulgar conceptos de ingeniería de la seguridad. ¿Quién no tiene cierta comprensión intuitiva de que un tren no debería, por ejemplo, franquear un tramo de vía ya ocupado por otro? Vamos a abstraernos de la complejidad propia de la gran inercia de los convoyes, de los sistemas de detección de trenes en vía o del concepto moderno de operación ferroviaria automatizada: viajemos mentalmente al siglo XIX, cuando sesudos ingenieros con patillas y chistera se plantearon por primera vez la cuestión. ¿Cómo avisar a tiempo al maquinista de que, delante de él aunque probablemente no a la vista, había otro tren con el que podía colisionar? Así nacieron las señales.

El concepto es simple. En ciertos lugares críticos de un trayecto —por ejemplo, cerca de la entrada de una estación— se colocarían postes con un dispositivo de apariencia variable. Esta apariencia (el «aspecto de la señal», como aún se denomina en círculos ferroviarios) debía poder ser alterada en función de si el camino estaba libre más adelante o no. Las primeras soluciones a este problema fueron mecánicas:

Operación de una señal de placa móvil de dos aspectos. (Fuente: elaboración propia)
Operación de una señal de placa móvil de dos aspectos. (Fuente: elaboración propia)

Estas señales primitivas constaban de un poste, dos poleas, una placa basculante con un contrapeso en el brazo corto y un cable de control, que debía llegar por una canalización paralela a la vía hasta una garita de señales, donde el jefe de estación podría operar varias de forma centralizada. La placa, de un color vivo, indica al maquinista con su posición si tiene la vía libre (en vertical) o debe detenerse inmediatamente (en horizontal). El sistema fue pronto mejorado: primero unas luminarias —bujías de gas, después focos eléctricos— y dos filtros de colores fijos sobre la placa que permitían ver la señal de noche o con niebla (la ilustración del principio muestra un ejemplo, todavía en uso); después, una posición adicional para la señal para mostrar otras indicaciones. Sin embargo, esa mejora se escapa del ámbito de lo que estamos discutiendo. Porque la señal funciona, está claro, pero ¿cómo reaccionará ante un fallo?

Cualquier fallo en ingeniería implica una pérdida de control. ¿Cómo «perder el control» de una señal como esta? Un análisis simplificado de modos de fallo podría hacernos suponer que el poste ha sido, de alguna forma, derribado. Es posible también concebir que la articulación de la placa basculante o las poleas han sufrido alguna clase de deterioro y no reaccionan a la acción del cable de control. Sin embargo, estos dos problemas parecen, intuitivamente, poco probables y cualquier acción de mantenimiento, por poco cuidadosa que fuera, podría verificar que no han ocurrido. ¿Y el cable? Se trata de un elemento que debe soportar tensión mecánica a lo largo de cierta distancia. Las inspecciones de mantenimiento, además, podrían no detectar que el cable está próximo a romperse debido a la fatiga del material.

La situación resultante en un sistema afectado por uno de sus modos de fallo se denomina «situación degradada». En el caso de nuestra señal venerable, la rotura del cable producirá inmediatamente una falta de tensión mecánica. La placa móvil, gracias a su contrapeso, basculará hasta su posición horizontal: una indicación de parada. El ingenioso diseño con dos poleas y un contrapeso ha hecho imposible que se indique vía libre cuando, en realidad, la señal está estropeada: la ley de la gravedad funciona a nuestro favor.

Este es precisamente el significado de la expresión «fallar a favor de la seguridad». Un problema en la señal puede dar como resultado que un tren se detenga donde no debería, pero siempre es preferible un retraso a una colisión. Un buen diseño es aquél en el que las leyes físicas que actúan en caso de pérdida de control provocan siempre situaciones en las que se protege primero la vida de las personas y después el propio sistema. Pero ojalá fuera siempre tan sencillo como en el caso de la señal decimonónica. Los sistemas actuales tienen muchos más componentes; por tanto, muchos más modos de fallo. Cuanto más complejo es un sistema, más difícil y costoso es cubrirlos todos. Buenas noticias: hay profesionales extremadamente competentes en el análisis de situaciones degradadas en todos los campos de la ingeniería. Por eso no es habitual que los trenes choquen, que las instalaciones eléctricas ardan o que los aviones caigan sobre nuestras cabezas. Malas noticias: existen sistemas intrínsecamente problemáticos y situaciones improbables y mal comprendidas en sistemas más comunes. Los accidentes nos acompañarán siempre como la consecuencia indeseada de nuestro desarrollo tecnológico; el mismo desarrollo que nos proporciona las herramientas para estudiarlos e intentar evitarlos.

3 Comentarios

Participa Suscríbete

Offler

Lo que supongo que no siempre es tan sencillo, o siquiera posible.

Hablas de los aviones que no caen sobre nuestras cabezas,

Imaginemos que un avión dispone de 4 flaps y decidimos que en caso de que se rompa el sistema hidraúlico que los sube o baja se quedará en la posición de planear.

El primer problema es que necesitaremos que no sólo el sistema del flap que ha fallado se ponga en posición de planear, sino que fallando uno los demás vayan a la misma posición para no crear un desequilibrio,

y luego está que quizás planear sea una buena opción cuando nos encontramos en pleno vuelo para evitar un desastre inminente, pero el avión ha de aterrizar … o quizás no es buena idea que todos los flaps se pongan en modo planear ante un fallo en pleno despegue.

El caso del vuelo 477 (creo) de Air France, por ejemplo, el que se estrelló en el Atlántico viniendo de Brasil. Al parecer fue un problema de sensores, y que los pilotos actuaron conforme a lo que indicaban los sensores (que era erróneo). Un fallo a favor de la seguridad haría que dieran un error en lugar de dar una lectura errónea.

Por supuesto, no siempre se puede fallar a favor de la seguridad.

Iván Rivera

El fallo a favor de la seguridad no es una ley física, sino una filosofía de diseño. En tu ejemplo, solo por la cuestión de los grados de libertad que tiene un avión en pleno vuelo, fallar a favor de la seguridad puede, en efecto, ser imposible. Pero no serviría de mucho ilustrar una filosofía de diseño allí donde no puede aplicarse. Un ejemplo aceptable en aviación sería el funcionamiento del tren de aterrizaje: el repliegue es un sistema activo, pero el despliegue y enclavamiento es pasivo (se «deja caer»). Es preferible asumir un fallo al recogerlo y tener que realizar un aterrizaje de emergencia (con el tren desplegado) que gestionar un problema en el despliegue.

Algo que no he citado, por no complicar el tema, es que los procedimientos operativos también forman parte del sistema y pueden implementar esta filosofía de diseño. Un ejemplo ferroviario: si un maquinista ve una señal sin foco encendido, su obligación es tratarla como un rojo y detener el tren hasta recibir indicaciones externas (eso supondrá, en la mayoría de los casos, una frenada de emergencia).

marianomariano

Otro fallo en favor de la seguridad que se me ocurre de inmediato, es el del freno de aire de los vehículos de carga modernos: cuando por algún problema el sistema neumático deja de funcionar o funciona defectuoso, los frenos dejan de funcionar pero frenando la rueda

Deja un comentario

Tu email nunca será mostrado o compartido. No olvides rellenar los campos obligatorios.

Obligatorio
Obligatorio

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>