12 diciembre 2007

A vueltas con la seguridad

El Shuttle es un vehículo complejo. Mucho. El vehículo espacial más complejo de la historia (ese honor podría ser compartido con el Buran ruso, pero éste nunca llegó a volar más allá de la misión de pruebas no tripulada). Y, como tal, está sujeto a múltiples fallos potenciales. Es lo malo de la complejidad: que hay más cosas que pueden fallar, y que es más difícil predecirlas todas. Antes, para medir la posición usábamos sextantes, que no fallaban nunca; ahora el GPS es más cómodo y preciso, pero puede estropeársenos el aparato, o los satélites, o simplemente quedarnos sin pilas; la complejidad técnica tiene sus pegas.

Esta serie de aparentes perogrulladas ya las repitió el comité investigador del accidente del Columbia en su informe. Sus conclusiones al respecto fueron que el Shuttle era tan complejo que probablemente no podría garantizarse su seguridad nunca. En palabras más directas y algo sensacionalistas, se podría decir que el Shuttle es un vehículo inseguro por naturaleza... aunque ciertamente me parece exagerado plantearlo así. Pero creo que entendemos el mensaje.

El Shuttle ha tenido ya dos accidentes mortales, debidos a problemas completamente distintos (aunque ambos repetitivos a lo largo de su historia). El primero se solucionó, el segundo sólo se consiguió aliviar parcialmente; pero se sabe que pueden existir problemas potenciales, en una inmensa parte desconocidos. Y otros que son conocidos, pero de los que se desconoce en realidad su potencial peligro. Algo que también señaló Richard Feynman en su famoso Anexo F al informe del accidente del Challenger, cuando apuntó a los múltiples problemas de todo tipo abiertos en diferentes elementos del transbordador (ajenos a los aceleradores sólidos que habían provocado el accidente).

¿A qué viene toda esta larga introducción? Pues a que uno de esos problemas conocidos y repetitivos puede que esté poniendo en jaque el futuro inmediato del proyecto. Quizás sea algo alarmista presentarlo así, pero la verdad es que me ha creado mucha incertidumbre la última filtración que os voy a revelar a continuación (no os pongáis impacientes, que todavía queda rato de rollo, para poneros en antecedentes). Se trata de un problema que ya ha impedido el lanzamiento del módulo europeo Columbus en fecha, y que, si la cosa se pone fea, podría amenazar seriamente la finalización de la estación espacial. Todo depende de en qué quede la cosa. (Esto son opiniones mías; oficialmente, por el momento sólo hay un aplazamiento de los ya habituales en estos casos; pero la filtración que os comentaré luego da qué pensar)

El problema probablemente lo conoceréis varios, si habéis seguido las últimas intentonas de lanzamiento a lo largo de la semana pasada. El lanzamiento del Columbus a bordo del Atlantis en la misión STS-122, inicialmente previsto para el día 6, fue inicialmente pospuesto al día 8, después al 9, y finalmente al próximo 2 de enero, tras llegarse a la conclusión de que no sería posible resolver el problema antes del cierre de la ventana de lanzamiento (13 de diciembre). La razón de estos sucesivos retrasos fue un fallo detectado en los sensores ECO, durante el llenado del depósito central en la preparación para el lanzamiento.

Los sensores ECO (Engine Cut-Off) son unos minúsculos dispositivos, en teoría bastante sencillos, encargados de detectar el vaciado del depósito de hidrógeno. Su misión es importante, pues en caso de detectarse dicho vaciado, deben enviar una señal que ordene la parada inmediata de los motores del transbordador. La razón es que una combustión excesivamente rica en oxígeno (la que ocurriría en el caso de que se terminase el hidrógeno) podría provocar una explosión fatal en los motores. Y eso no es agradable…

Teóricamente, el hidrógeno no se debe terminar. Es decir, existe cierto margen en los depósitos para que el transbordador realice su misión sin vaciarlos. Pero dicho margen es necesariamente pequeño (propulsante sobrante es igual a lastre inútil), así que se instalan los sensores por si acaso. Hasta ahora, nunca se ha producido este caso (que se termine el hidrógeno antes de tiempo), pero nunca se sabe, y más vale prevenir. Además, parece que en alguna ocasión se ha estado cerca, así que tampoco es como para sentirse tranquilo.

El depósito tiene cuatro de estos sensores, pero su fiabilidad nunca ha sido una maravilla. Varias misiones han sufrido ya retrasos, como esta última, por haberse detectado fallos en los sensores durante el llenado del tanque (el fallo consiste en que algún sensor indica tanque lleno a pesar de estar vacío; esto se analiza tras llenar el tanque, y enviar a los sensores una señal que simula el vaciado del tanque). Pero habitualmente el problema se solucionaba solo, tras vaciar el tanque y volverlo a llenar (sí, suena como reiniciar Windows, qué le vamos a hacer…). Además, existía el criterio de que, si sólo fallaba uno de los cuatro, se podía proceder al lanzamiento de todas formas (y esto suena a “Minority Report”, ¿verdad?)

Pues bien, en este caso ha sido distinto: tras fallar dos de los cuatro sensores, se decidió retrasar el lanzamiento y proceder al vaciado del depósito y a realizar las pruebas oportunas. Pero en lugar de mejorar la situación, como solía suceder en otras ocasiones, en este caso fue a peor: con el tanque vacío, y por iniciativa propia, uno de los sensores que hasta entonces había funcionado bien se unió a sus compañeros, y empezó a marcar lleno cuando hasta entonces había marcado vacío (lo correcto). Un cachondeo, vamos…

Ante este orden de cosas, la fecha inicialmente propuesta para la nueva intentona de lanzamiento (día 8) se retrasó al 9, al verse que la cosa pintaba complicada. Entre tanto, y viendo cómo estaba el percal, los responsables de la misión decidieron cambiar el criterio habitual de permitir el lanzamiento con 3 de 4 sensores funcionando, exigiendo en esta ocasión el buen funcionamiento de los 4.

Y así llegó el día 9, tras un intenso trabajo por parte de los técnicos. De nuevo, todo el mundo pendiente del lanzamiento (desde el día 6 había 750 invitados de la ESA y la industria aeroespacial europea esperando para ver cómo finalmente subía el Columbus al espacio), y de nuevo el fallo de uno de los sensores. Esta vez fue sólo uno, lo que en condiciones normales hubiera sido suficiente para proceder con el lanzamiento, pero tras la restricción impuesta para este vuelo, suponía una nueva cancelación. En este orden de cosas, los técnicos decidieron que sus análisis iban a llevar bastante más tiempo, así que no iba a ser posible lanzar antes de que se cerrase la ventana, el día 13. El lanzamiento quedaba pospuesto al 2 de enero.

Hasta aquí, los hechos por todos conocidos (disculpad la larga introducción, para poner en contexto). Ahora, por fin, vienen las nuevas revelaciones.

Se han filtrado a la prensa especializada algunos mails internos de la NASA, firmados por Bill McArthur, Jefe de la Oficina de Seguridad del Space Shuttle, y por Wayne Hale, Jefe de Programa del transbordador. Por cierto, que como sabéis los que habéis leído el “Houston”, Hale fue uno de los que quedaron como “chicos buenos” en el informe del accidente del Columbia, uno de los que aparecen como preocupados por la seguridad, razón por la cual, probablemente, fue posteriormente ascendido en el seno de la agencia (sin querer desmerecer su valía técnica o de gestión; pero lamentablemente no siempre la valía es condición ni necesaria ni suficiente para ascender…)

Pues bien, en esos mails (cuya lectura es casi tan larga como este rollo que os estoy metiendo) queda claro que los responsables del Shuttle ya no se fían en absoluto de los sensores ECO. Hale reconoce que se lleva años trabajando en ello, años intentando mejorar su fiabilidad, y que no se ha conseguido nada. Hasta ahora, cada vez que fallaban, se actuaba creyendo que se podrían solucionar los problemas definitivamente. Ahora han llegado a la conclusión de que no, que esto no hay quien lo solucione, que probablemente la única acción efectiva sería partir de cero con un nuevo diseño de los sensores… y que para eso no hay tiempo antes de que llegue la fecha de retirada del Shuttle.

Hale concluye que, por duro que resulte reconocerlo, parece que esos sensores no han sido fiables nunca. Que, en el fondo, se ha estado volando a ciegas, confiando en un sistema de seguridad que probablemente nunca ha sido de fiar. Y que, afortunadamente, hasta ahora no ha sido necesario utilizar… pero que nunca se sabe si se necesitará en el futuro. McArthur, por su parte, comenta que tampoco ha habido que utilizar nunca el sistema de escape de la tripulación, y que sin embargo nadie se plantea desmantelarlo para ahorrar peso.

Esta respuesta de McArthur viene a colación porque el planteamiento que empieza a correr por la NASA es que quizás haya que prescindir de los sensores ECO. Parece una decisión dura, y lo es. Mucho. Pero hay que reconocer que en algo tienen razón: si no son fiables, si has llegado al extremo de no poder confiar en que lo que indican es correcto… ¿para qué sirven?

El debate es complicado, y es la principal razón del retraso. En la NASA, prácticamente se descarta que el problema con los sensores pueda solucionarse. Es decir, puede que en el próximo intento de lanzamiento todos “parezcan” funcionar bien, pero en la situación actual, ya casi da lo mismo lo que indiquen, bien o mal: nadie los cree. Y se ha trabajado tanto en ello, que se ha abandonado cualquier esperanza de solucionarlo. Pero ahora existe un serio dilema en torno a este problema: ¿qué hacer?

Una vez más, se demuestra que en estas cosas no hay blanco ni negro, que las decisiones no son fáciles, y que hagas lo que hagas, corres el riesgo de equivocarte. Los ECO nunca han llegado a hacer falta, y probablemente no hagan falta nunca… pero, parafraseando a Feynman de nuevo, cuando juegas a la ruleta rusa, que el primer tiro tenga éxito no es garantía para el próximo. Por otra parte, mantener en activo un sistema que igual puede funcionar que no, en el fondo es engañarse a uno mismo. Otra opción, que creo que nadie se plantea por el momento, sería un nuevo parón del programa… que dados los plazos en juego, realmente significaría el abandono definitivo del Shuttle. O, simplemente, aceptar que, como dijo el astronauta Grissom antes de morir en el accidente del Apollo 1, “éste es un negocio arriesgado… pero la conquista del espacio bien merece arriesgar la vida”.

Entre tanto, los europeos cruzamos los dedos para que, tras cinco años de retrasos ajenos a nosotros, el Columbus llegue finalmente a la estación en enero de 2008. Y para que la ISS finalmente pueda ser operativa, para que lleguen el resto de módulos y que sus tripulaciones puedan elevarse hasta 6 miembros, permitiendo por fin dedicarse a la experimentación y no sólo al mantenimiento del propio complejo. Pero, sinceramente, estos mails filtrados me crean ahora una gran incertidumbre sobre todo esto. Porque, si la cosa se pone seria, puede que el futuro de la ISS esté en juego.

10 comentarios:

omalaled dijo...

Hale concluye que, por duro que resulte reconocerlo, parece que esos sensores no han sido fiables nunca. Que, en el fondo, se ha estado volando a ciegas, confiando en un sistema de seguridad que probablemente nunca ha sido de fiar.

¡Ay!, Javier, qué mal rollo me da. Estas son aquellas cosas por las que me da miedo volar porque: ¿verdad que en la industria aeronáutica hay cosas por el estilo? :-)

Salud!

Anónimo dijo...

Hola, no crees que pueda ser ese filtrado un cebo lanzado desde la NASA para allanar el camino para la retirada del Shuttle sin necesidad de "gastarse" mucho más dinero en él y por ende en la ISS?
Un saludo.

JCasado dijo...

Para omalaled: lamentablemente, yo creo que esto pasa en todas partes, en todas las industrias. La seguridad perfecta no existe, lamentablemente. Lo importante es que se al menos se intente alcanzarla.

Para savedjuli: No, sinceramente no lo creo. Principalmente, porque no es un rumor o una filtración anónima, sino con nombres y apellidos, de dos personas diferentes y bien conocidas en el seno de la agencia. Involucrarlos en un engaño como el que comentas empezaría a oler a "conspiración" en toda regla, y esas cosas habitualmente no pasan en el mundo real.

Anónimo dijo...

Javier, tu entrada es estupenda! Estoy de acuerdo con que el problema con los sensores puede retrasar el lanzamiento del Atlantis, pero realmente no creo que el futuro de la ISS esté en peligro. Tú lo has dicho bien,los transbordadores son muy complejos, tiene un millón de sistemas, y han volado de esta manera siempre. Yo pienso que los vuelos planeados para completar la ISS se harán, incluso si requiere que los transbordadores sigan volando pasado el 2010.

JCasado dijo...

Gracias por el elogio, y más viniendo de un trabajador del JSC... (¿me equivoco? ;-) Por cierto, ¿podrías contarnos cómo se viven por allí estos problemas, o es mucho pedir? :-))

Yo también creo que el Shuttle seguirá volando, la verdad. Lo contrario sería un desastre. Pero no deja de ser una decisión difícil: si se mantienen, nos veremos con parones de estos cada dos por tres, a la vez que todo el mundo piensa que es absurdo el parón porque, total, los sensores son inútiles; y si se eliminan, habrá que asumir las críticas que lloverán desde todos los lados. Aunque críticas las habrá se tome la decisión que se tome, eso es seguro, porque ninguna solución es realmente "buena". Pero lo cierto es que, aunque sean malos ratos, estos problemas son los que dan vidilla a la ingeniería, si no sería demasiado monótona ;-)

Saludos

JCasado dijo...

(al releerlo veo que no ha quedado claro lo que escribía: lo de que si se mantienen o si se eliminan, hace referencia a los sensores ECO, que se me pasó mencionarlo)

JCasado dijo...

Acabo de ver que se ha vuelto a retrasar el lanzamiento: ahora al 10 de enero. Según Hale, que es quien lo ha comunicado, es para dar un descanso a su gente. Puede ser, ya que el problema de los ECO le va a fastidiar las navidades a más de uno, pero también podría ser para darse más tiempo en la resolución del problema o la decisión de qué hacer.
Por su parte, los técnicos dicen que creen haber encontrado la posible causa de los problemas, en un conector de los sensores. Pero aún es prematuro para decir que esto puede ser la solución en problema. En fin, ya veremos...

Anónimo dijo...

El mayor impacto de estos problemas y retrasos en el lanzamiento se nota en Cabo Cañaveral, donde los ingenieros y técnicos han de analizar y resolver el problema.

Aquí en JSC también se nota, claro, pero supongo que de forma un poco distinta. La larga e intensa preparación para cada uno de los vuelos, el contacto diario con los astronautas y la pasión que la mayoría tiene por su trabajo, hace que estos problemas se sientan de una manera distinta, muy personal. Quizás sea por eso que los problemas, ya sean pequeños o grandes, se toman muy en serio y todo el mundo da el máximo para solucionarnos.

A mi modo de ver, la decisión de lanzar el Atlantis el 10 de enero es acertada, por las dos razones que tu has mencionado. Es importante dar a los trabajadores la oportunidad de pasar las fiestas con sus familias (incluyendo a los astronautas!) y a la vez se gana más tiempo para resolver el problema encontrado y asegurarse de que el lanzamiento sea lo más seguro posible.

JCasado dijo...

Gracias por el feedback. Seguiremos atentos a ver cómo empieza el año para el transbordador.

luisaxt dijo...

Poner a los ingenieros de la NASA a solucionar un problema como el de los sensores ECO, es como ponerlos a arreglar la falla de u enchufe que a lo mejor puede arreglarse con WD-40!!!