Omalaled, autor del estupendo blog
Historias de la Ciencia, nos hace un interesante comentario en el
artículo anterior, sobre la seguridad de las misiones y las relaciones entre técnicos y gestores en la industria. Comenta Omalaled que "
no me fío un pelo. Y no es que no confíe en los técnicos, sino que no me fío de la burocracia empresarial. Me imagino al técnico diciendo: había un coeficiente de seguridad que antes era 1,3 y a hora es 1,1 y sale el representante ante la prensa diciendo que no hay problema y que todo es seguro... Y sólo falta añadir el "nunca pasa nada". Es una lástima que quienes hablan a la prensa sean siempre los que menos cálculos hacen."
El comentario me ha gustado, porque toca un tema muy espinoso y que me parece de un enorme interés. Estoy de acuerdo sólo a medias con el comentario, pero coincido plenamente con el espíritu del mismo, al destacar lo desconectados que están a veces estos dos campos de la industria: el de los técnicos que realizan los cálculos, y el de los gestores que toman las decisiones. Un tema que ha dado para libros enteros, en especial a raíz del accidente del Columbia, que sacó a la luz de la forma más brutal posible estos problemas. Y es un tema apasionante, principalmente por su complejidad. Porque es fácil criticarlo, pero también es muy fácil caer en esos mismos errores sin darnos cuenta cuando nos toca a nosotros. En el fondo, es un problema que tiene mucho que ver con la psicología y la sociología, de nuestra respuesta ante la presión, ya sea de nuestros superiores o del entorno; y de mecanismos en cierto modo naturales en nuestra mente, que tienden a que sin querer nos relajemos tras una larga temporada de éxitos sin problemas. En fin, el tema no es mi especialidad, en absoluto, pero leí mucho sobre ello cuando me documentaba para escribir “
Houston, tenemos un problema” (en relación con los accidentes del Challenger y del Columbia, sobre todo), y me pareció apasionante. Tanto, que le dediqué 35 páginas al capítulo del Columbia, de las cuales casi la mitad tratan este aspecto.
Como digo, se han dedicado libros enteros a analizar este problema, que no es en absoluto exclusivo de la industria aeroespacial: de hecho, es aplicable a cualquier actividad de riesgo, a todos los niveles, desde el diseño hasta la operación del sistema. Y es algo que casi todos los que trabajamos en actividades relacionadas hemos vivido alguna vez, de una forma o de otra. Y no es un problema fácil de solucionar.
El tema me interesó tanto que llegué a escribir un apéndice para el “Houston” titulado “Seguridad y fiabilidad en la actividad aeroespacial”, aunque no llegó a publicarse porque en la editorial consideraron que no tenía mucha conexión con el texto; y era cierto, se trataba de algo diferente, con otro estilo, menos ameno y quizás sólo de interés para quienes hemos vivido estos problemas y por ello nos tocan más de cerca; pero lo comento para que veáis cómo me interesó. De hecho, llegué a dar unos seminarios en mi empresa con este mismo título, y creo que resultaron de gran interés; y es que, como digo, muchos nos sentimos identificados con estos problemas en nuestro día a día profesional. Afortunadamente, el sistema creado a lo largo de los años (la normativa, las regulaciones, etc) a menudo nos protege de nuestros propios errores, al menos en actividades tan reguladas como la aeronáutica. Pero no pensemos que estos problemas son exclusivos de la industria, o de actividades tecnológicas: tras publicar “Houston”, me contactó el Director Médico de la Clínica Universitaria de Navarra porque precisamente allí estaban poniendo en marcha un plan para aplicar a las prácticas de quirófano las lecciones aprendidas de accidentes como el del Columbia, con vistas a reducir las muertes por error humano. Un error que suele ser mucho más complejo que la simple negligencia de una persona: a menudo se trata de un cúmulo de malas prácticas que, sumadas, dan lugar a errores fatales que muchas veces incluso pasan desapercibidos para todos los involucrados. Como digo, es un tema complejo.
Pero bueno, ya estoy enrollándome como siempre sin ir al grano. Así que volvamos al comentario de Omalaled relacionado con la misión STS-118 del Endeavour, para analizarlo con detalle, pues desde mi punto de vista tampoco es tan sencillo como parece.
Cojamos el ejemplo que comenta del margen de seguridad. Es de suponer que, efectivamente, el margen de seguridad en la zona ha descendido (no lo sé exactamente; por lo que he leído, en un primer cálculo el daño a las losetas ni siquiera alteraba los márgenes de seguridad de la estructura subyacente, pero se reconocía que era un cálculo rápido que había que refinar; no he seguido en detalle el resultado final, si es que se ha publicado, pero supondremos que ha descendido algo dicho margen). La cuestión es si el margen ahora ha caído por debajo del mínimo aceptable o no. ¿Cuál es ese mínimo? En aeronáutica, el que marcan las normas: 1,5 (hablo en términos de factor de seguridad; el margen de seguridad es lo mismo menos 1, es decir, 0,5, o un 50%). En astronáutica no aplican estas normas, no son de obligado cumplimiento, pero suelen seguirse. Así pues, si el factor antes era de un 1,7 y ahora está en 1,5, por ejemplo, estaría plenamente justificada la decisión de no reparar. Otra cosa es que hubiera pasado de 1,7 a 1,3, por ejemplo… Aún así, creo que son dos opciones a analizar más en detalle:
1. El factor de seguridad pasa de 1,7 a 1,5. Cumplimos la norma, luego es válido. Ahora bien, alguien puede decir que por qué nos conformamos con esto, si antes teníamos más seguridad. Es cierto, pero ¿necesitábamos 1,7? Entendemos que no: el factor de 1,5 regulado por norma ya es suficiente para cubrir cualquier incertidumbre o inexactitud asociada con los modelos de cálculo utilizados. Es decir, si hemos hecho bien nuestro trabajo (y ése es otro tema), con 1,5 estamos cubiertos. Así que utilizar 1,7 no da más seguridad, sino simplemente más peso. Evidentemente, todos nos quedaríamos más a gusto con un factor de 3, y no de 1,5… pero entonces los aviones no despegarían del suelo. Afortunadamente, hemos conseguido refinar tanto nuestros métodos de cálculo hasta reproducir con tanta fidelidad la realidad física, que se ha demostrado que 1,5 es un valor aceptable. Así que, mientras estemos por encima de ello, no hay problema, aunque a nadie le guste bajar un factor de seguridad, sea cual sea su valor inicial.
Alguien se puede preguntar: ¿y entonces por qué no era antes ya 1,5? Bueno, puede haber múltiples razones. Una, por ejemplo, que puede que el dimensionado de la pieza esté dictado por otro criterio más restrictivo. Por ejemplo, a lo mejor la pieza tiene un factor de seguridad de 2,7 frente a resistencia, pero de 1,5 frente a rigidez; es decir, si tenemos un límite de deformación, tendremos que poner una pieza “gorda” que lo cubra, aunque de cara a su resistencia estemos sobredimensionándola. Lo ideal es que el factor de seguridad esté en torno a 1,5 con todos los criterios, lo cual a veces se puede conseguir con un adecuado diseño (sería lo óptimo), pero no siempre es así. Pero bueno, también puede haber razones más prosaicas: a lo mejor el factor era de 1,7 porque la tecnología no permitía hacer una pieza con factor 1,5 (a lo mejor los espesores ya estaban en el mínimo fabricable, por ejemplo), o simplemente porque tras el diseño se comprobó el cálculo, salió 1,7, y se vio que el sobrepeso era tan pequeño que no merecía la pena rediseñar más para acercarlo a 1,5. En fin, que razones hay muchas, pero ello no significa que no podamos bajar el margen si es necesario.
2. Supongamos ahora que el factor era el que fuera (1,7, 1,5…) y tras el daño nos quedamos por debajo del mínimo (1,5). ¿Qué pasa ahora?
Pues ahora sí que estamos ante un problema de verdad. Porque no es lo mismo encontrarnos esto en tierra que con el aparato ya en órbita.
Evidentemente, si nos encontramos este problema en tierra, pues se repara, se restablece el factor de seguridad a su valor original, y todo arreglado. Aquí habría pocas discusiones; de hecho, ninguna: es lo que hay que hacer, y punto, nadie lo discutiría. Ahora bien, ¿qué pasa si esto sucede, como ahora, cuando la nave ya está en órbita, y no puede repararse “como es debido” en un taller con todos los medios?
Supongamos que, como en este caso, cabe la posibilidad de realizar una reparación de emergencia en el espacio. Si con el daño el factor de seguridad ha bajado por debajo del mínimo (1,5), parece que la decisión sería fácil, ¿no? Reparar, y no hay más que hablar.
Pues tampoco es tan fácil. Primero, tendríamos que ver cómo afecta realmente el factor de seguridad de esa pieza. Es decir, puede ser que para esa pieza el factor de seguridad haya bajado por debajo de 1,5, pero que para el conjunto siga estando por encima (porque los sobreesfuerzos los soporten las piezas de su entorno). O puede ser que se asuma el posible fallo de esa pieza porque dicho fallo no suponga el fallo global del vehículo, sino sólo “molestias” como daños locales a reparar posteriormente en tierra.
En ese caso, caben las dos opciones: reparar, para ganar margen de seguridad, o para evitar daños mayores que supongan más problemas posteriores (aunque no sean un riesgo para esa misión), o no reparar. De nuevo, parece que lo lógico sería reparar… ¿pero y si la reparación añade riesgos por sí misma? Es el caso del daño sufrido en esta ocasión por el Endeavour: enviar un astronauta a reparar las losetas supone el riesgo de que durante su actividad golpee involuntariamente otra parte del escudo térmico, y provoque un daño quizás mayor del que intenta solucionar; puede que no sea un riesgo alto, pero existe, y en ese caso hay que decidir entre dos opciones que ya no son tan claras. La decisión se complica, y en ocasiones no hay forma de poder saber cuál es la mejor. En el caso del Endeavour, que es exactamente éste, se ha optado por la más segura: frente a una posibilidad, aunque sea remota, de que el astronauta “reparador” cause más daños de los que pretende arreglar, se ha optado por asumir que el vehículo pueda tener que someterse a una reparación mayor al llegar a la Tierra, porque los cálculos demuestran que podrá volver sin peligro para sus ocupantes.
Pero, ¿y si el daño ha hecho bajar el factor de seguridad por debajo de 1,5 para la globalidad del vehículo?
De nuevo la solución parece fácil: no es aceptable. Claro, ésa es la respuesta cómoda, y la que daríamos en tierra, donde no hay nada que perder. Pero, ¿y si estamos ya en órbita, y de nuevo la reparación representa riesgos? Pues bien, si el factor de seguridad ha caído, por ejemplo, a 0,8, entonces no cabe duda: el sistema va a fallar, seguro, así que cualquier alternativa es mejor. Pero si estamos, por ejemplo, en 1,3, teóricamente aún poseemos un 30% de margen. ¿Qué hacemos?
Lo que acabo de decir es una falacia: no podemos decir que tengamos un 30% de margen. De hecho, no sabemos qué margen tenemos. Ese 30% es teórico, porque nuestros cálculos no son exactos. Son muy precisos, sí, pero no representan la realidad al 100,00%. Todos nuestros cálculos y aproximaciones tienen una cierta incertidumbre que a menudo no conocemos, que sabemos que queda cubierta con creces por el factor de 1,5, pero no sabemos con certeza con cuánto margen. Generalmente esas incertidumbres son conservativas, es decir, generalmente nuestros cálculos y modelos matemáticos son conservadores frente a la realidad, pero no podemos asegurar que sea siempre así. Y no se trata sólo de cubrir nuestras incertidumbres, sino las de la naturaleza: en ese 1,5 también se cuenta con que pueda haber imprevistos en el entorno, situaciones más allá de las previstas en el diseño (aunque se diseña para “el peor caso”, nunca sabemos si realmente habrá otro peor aún, aunque sea poco probable). De modo que un 1,3 no supone que tengamos un margen real de un 30%. Realmente, sólo podemos decir que estamos por debajo de lo que pide la norma, y por encima de lo que piden nuestros cálculos. Probablemente aguante… pero nadie puede afirmarlo.
Aquí sí que estaríamos ante una decisión realmente difícil, y crítica. ¿Qué hacer? Si es posible, buscar una alternativa: una misión de rescate, por ejemplo. Pero si no lo es, habrá que mojarse. En el caso del Endeavour, probablemente se repararía, porque seguramente se considerarían menores esos riesgos que el de un retorno en esas condiciones, pero en otros casos la decisión puede ser más difícil. Por otra parte, seguramente tampoco podríamos saber si una reparación de emergencia nos iba a restablecer el factor de seguridad original, o sólo a subir el actual en una cantidad indeterminada… En fin, la cosa es complicada.
Enlazando de nuevo con el comentario de Omalaled, nos dice que “quienes hablan a la prensa sean siempre los que menos cálculos hacen”, aunque quiero entender que también se refiere a que quienes toman las decisiones no son precisamente los técnicos que han hecho los cálculos.
Esto es una puntualización importante, y es claro que en muchas ocasiones ha sido fuente de graves problemas y de accidentes. El del Columbia es un ejemplo clarísimo. Pero no porque los gestores sean inhumanos, que no lo son, y quieren la feliz terminación del problema como el que más, sino por fallos de comunicación: porque a menudo los técnicos no son (somos) capaces de transmitir la situación con la necesaria claridad para poder tomar una decisión óptima. De nuevo, se ha escrito mucho sobre esto, y a lo mejor a alguno le suena lo de “los peligros del Power Point”, a veces señalado como si el programa fuera el culpable de esta pérdida de información en la transmisión de la misma, y como si esto no pasara antes de que existiera Microsoft… En realidad es más complejo, pero es un problema que forma parte del día a día de nuestro trabajo, aunque no seamos conscientes de ello; y un tema de gran interés en el que, como digo, ya se han fijado incluso en el campo de la medicina, pues se da en todos los sectores.
¿Y por qué no deciden los técnicos, y nos evitamos el problema de la transmisión eficaz de la información? Pues porque a menudo tampoco tienen toda la información. Porque a menudo un técnico tiende a focalizarse en el problema concreto que está estudiando, magnificándolo muy por encima de otros problemas en otras áreas. Porque el técnico no suele tener la visión global del problema. Nos guste o no, al final son otros, con una visión más global, a los que les toca decidir, tras sopesar los pros y los contras de cada alternativa. No los gestores propiamente dichos, sino técnicos también pero con un alto nivel de gestión en sus competencias: directores técnicos, por ejemplo. Que no son los que calculan, eso es evidente. Sin embargo, que tomen la decisión ellos es la menos mala de las opciones.
Como decía al principio, se trata de un problema complejo, pero muy interesante.
BIBLIOGRAFÍA:
Para quien le pueda interesar profundizar más en estos temas, aquí hay algunas fuentes interesantes, las dos últimas disponibles por Internet (además de “Houston, tenemos un problema”, claro…:-)
· The Limits of Safety. Scott Sagan. Princeton University Press, 1995.
· Columbia Accident Investigation Board Report, Vol. 1, Chapters 5, 6, 7, 8. CAIB, Washington D.C., agosto 2003.
· Report of the Presidential Commission on the Space Shuttle Challenger Accident, Appendix F. Richard P. Feynman, 1986.