¿Qué significa «fallar a favor de la seguridad»?

Por Iván Rivera, el 29 septiembre, 2016. Categoría(s): Ciencia • Ingeniería • Tecnología
Señales verticales de placa móvil en uso en los ferrocarriles británicos, 2012. (Fuente: John Turner, Flickr)
Señales verticales de placa móvil en uso en los ferrocarriles británicos, 2012. (Fuente: John Turner, Flickr)

Nacemos y nos hacemos conscientes en un mundo tecnológico. La naturaleza está —inevitablemente— en todas partes y allá donde miramos; sin embargo, podríamos perdonar a cualquiera que pensara lo contrario. La mano humana ha modificado, a veces a conciencia, el entorno; la tecnología está por todas partes, haciéndonos fácil lo difícil y hasta posible lo imposible. Yendo al extremo, puede que nuestra omnipresente maquinaria publicitaria afirme que «lo natural es cuidarse», pero miente: lo natural es morirse. La tecnología puede permitirnos vivir cuando deberíamos, por naturaleza, estar muertos. La otra cara de la moneda es evidente: la tecnología, que tan lejos nos permite llegar, es a veces responsable de daños que no habrían ocurrido de otro modo. Errores, fallos, accidentes: sucesos que hacen que nos replanteemos la relación con nuestras máquinas. ¿Hacemos lo suficiente para evitarlos? ¿Qué hacemos, concretamente, para impedir estas consecuencias indeseables?

Al igual que el científico trabaja con la ciencia, el ingeniero trabaja con la tecnología. Ciencia y tecnología están ligadas inextricablemente, aunque no siempre su desarrollo haya sido paralelo ¡ni ordenado! Y desde que las energías en juego han sido capaces, aplicadas con poca fortuna, de dañar nuestros frágiles cuerpos, la tarea del ingeniero ha sido diseñar sistemas en los que la seguridad fuera un aspecto clave de la operación. Cuando un sistema no tiene como objetivo de diseño el daño o la muerte de seres humanos —lo normal fuera del ámbito militar en sociedades como la nuestra— es clave asegurar que cuando las cosas van mal, las consecuencias negativas estén controladas y el daño sea minimizado. Desde un punto de vista conceptual es sencillo entender que al igual que no hay tecnologías con rendimientos perfectos, tampoco existen los sistemas en los que la probabilidad de fallo catastrófico sea cero.

La ingeniería de la seguridad es, desde hace mucho, una disciplina independiente en el conjunto de las ingenierías. Las herramientas que maneja parten de una sistematización del concepto de «tecnología» que va mucho más allá de la simple máquina: la tecnología son engranajes, palancas y cables (hardware), pero también lógica y programas (software), procedimientos, manuales, operadores y usuarios. Aunque en un contexto tan complejo, la pregunta fundamental que se hacen los ingenieros de seguridad cuando estudian un sistema siempre se formula de un modo similar a este:

«¿Falla el sistema a favor de la seguridad?»

Los sistemas ferroviarios constituyen un buen ejemplo para divulgar conceptos de ingeniería de la seguridad. ¿Quién no tiene cierta comprensión intuitiva de que un tren no debería, por ejemplo, franquear un tramo de vía ya ocupado por otro? Vamos a abstraernos de la complejidad propia de la gran inercia de los convoyes, de los sistemas de detección de trenes en vía o del concepto moderno de operación ferroviaria automatizada: viajemos mentalmente al siglo XIX, cuando sesudos ingenieros con patillas y chistera se plantearon por primera vez la cuestión. ¿Cómo avisar a tiempo al maquinista de que, delante de él aunque probablemente no a la vista, había otro tren con el que podía colisionar? Así nacieron las señales.

El concepto es simple. En ciertos lugares críticos de un trayecto —por ejemplo, cerca de la entrada de una estación— se colocarían postes con un dispositivo de apariencia variable. Esta apariencia (el «aspecto de la señal», como aún se denomina en círculos ferroviarios) debía poder ser alterada en función de si el camino estaba libre más adelante o no. Las primeras soluciones a este problema fueron mecánicas:

Operación de una señal de placa móvil de dos aspectos. (Fuente: elaboración propia)
Operación de una señal de placa móvil de dos aspectos. (Fuente: elaboración propia)

Estas señales primitivas constaban de un poste, dos poleas, una placa basculante con un contrapeso en el brazo corto y un cable de control, que debía llegar por una canalización paralela a la vía hasta una garita de señales, donde el jefe de estación podría operar varias de forma centralizada. La placa, de un color vivo, indica al maquinista con su posición si tiene la vía libre (en vertical) o debe detenerse inmediatamente (en horizontal). El sistema fue pronto mejorado: primero unas luminarias —bujías de gas, después focos eléctricos— y dos filtros de colores fijos sobre la placa que permitían ver la señal de noche o con niebla (la ilustración del principio muestra un ejemplo, todavía en uso); después, una posición adicional para la señal para mostrar otras indicaciones. Sin embargo, esa mejora se escapa del ámbito de lo que estamos discutiendo. Porque la señal funciona, está claro, pero ¿cómo reaccionará ante un fallo?

Cualquier fallo en ingeniería implica una pérdida de control. ¿Cómo «perder el control» de una señal como esta? Un análisis simplificado de modos de fallo podría hacernos suponer que el poste ha sido, de alguna forma, derribado. Es posible también concebir que la articulación de la placa basculante o las poleas han sufrido alguna clase de deterioro y no reaccionan a la acción del cable de control. Sin embargo, estos dos problemas parecen, intuitivamente, poco probables y cualquier acción de mantenimiento, por poco cuidadosa que fuera, podría verificar que no han ocurrido. ¿Y el cable? Se trata de un elemento que debe soportar tensión mecánica a lo largo de cierta distancia. Las inspecciones de mantenimiento, además, podrían no detectar que el cable está próximo a romperse debido a la fatiga del material.

La situación resultante en un sistema afectado por uno de sus modos de fallo se denomina «situación degradada». En el caso de nuestra señal venerable, la rotura del cable producirá inmediatamente una falta de tensión mecánica. La placa móvil, gracias a su contrapeso, basculará hasta su posición horizontal: una indicación de parada. El ingenioso diseño con dos poleas y un contrapeso ha hecho imposible que se indique vía libre cuando, en realidad, la señal está estropeada: la ley de la gravedad funciona a nuestro favor.

Este es precisamente el significado de la expresión «fallar a favor de la seguridad». Un problema en la señal puede dar como resultado que un tren se detenga donde no debería, pero siempre es preferible un retraso a una colisión. Un buen diseño es aquél en el que las leyes físicas que actúan en caso de pérdida de control provocan siempre situaciones en las que se protege primero la vida de las personas y después el propio sistema. Pero ojalá fuera siempre tan sencillo como en el caso de la señal decimonónica. Los sistemas actuales tienen muchos más componentes; por tanto, muchos más modos de fallo. Cuanto más complejo es un sistema, más difícil y costoso es cubrirlos todos. Buenas noticias: hay profesionales extremadamente competentes en el análisis de situaciones degradadas en todos los campos de la ingeniería. Por eso no es habitual que los trenes choquen, que las instalaciones eléctricas ardan o que los aviones caigan sobre nuestras cabezas. Malas noticias: existen sistemas intrínsecamente problemáticos y situaciones improbables y mal comprendidas en sistemas más comunes. Los accidentes nos acompañarán siempre como la consecuencia indeseada de nuestro desarrollo tecnológico; el mismo desarrollo que nos proporciona las herramientas para estudiarlos e intentar evitarlos.



Por Iván Rivera, publicado el 29 septiembre, 2016
Categoría(s): Ciencia • Ingeniería • Tecnología