Apenas unos días después de Navidad el año pasado AirAsia Vuelo 8051 viajando a Singapur trágicamente caída en el mar. Indonesia completó su investigación del accidente y acaba de publicar el informe final. La cobertura de los medios, especialmente en Asia es grande. Las historias están encabezadas por un error piloto, pero, como tecnólogos, hay lecciones que aprender más profundamente en el informe.
El Airbus A320 es un sistema de flujo por cable que implica que no hay enlaces mecánicos entre los pilotos y las superficies de control. Todo es electrónico y muchos de un vuelo están bajo control automático. Desafortunadamente, esto también implica que los pilotos no pasan mucho tiempo en realidad volar un avión, posiblemente menos de un minuto, según un informe.
Aquí está el escenario establecido por el informe indonesio: un sistema informático de límite de viaje de timón alarmado cuatro veces. Los pilotos aclararon las alarmas siguiendo procedimientos normales. Después de la quinta alarma, el avión rodó más allá de 45 grados, se subió rápidamente, se estancó y cayó.
Error piloto?
Los titulares de los medios se centran en los últimos pasos en la cadena de fallas, en parte porque los pilotos nunca fueron capacitados para lidiar con el tipo de molestia que ocurrió. No era solo AirAsia quien omitió esta capacitación en el A320. Todas las aerolíneas lo hicieron porque Airbus, el fabricante de la aeronave, no esperaba que la aeronave experimentara un malestar tan extremo. Tenga en cuenta que Francia, como país anfitrión de Airbus, participó en la investigación.
Como tecnólogos debemos mirar más lejos. La causa de la raíz técnica fue juntas de soldadura agrietadas en placas de circuito para el sistema de control de límite de timón. Este sistema limita la cantidad de movimiento del timón a altas velocidades. Un punto esencial es este mismo sistema fallido 23 veces en 2014. Esto se consideró un daño menor y nunca se fijó.
Al igual que en numerosas situaciones, la cadena de fallas es una cascada de fallas humanas para responder correctamente a una falla técnica. Poco discutido en muchos informes es cómo los pilotos intentaron arreglar la falla del control del quinto timón. Siguieron procedimientos normales para las primeras fallas, pero la última vez que abrieron y se reiniciaron un interruptor automático mientras estaban en vuelo. De alguna manera, que implicaba el autocrust y el piloto automático se desconectaron y nunca se restauraron. Esto pone los pilotos únicamente en control del plano a través del sistema de mosca.
Trágica secuencia de eventos.
Para resumir, aquí están las tres fallas esenciales:
Mala articulación de soldadura,
Ciclismo del disyuntor,
Capacitación inadecuada de recuperación.
No ignoraremos el error de no solucionar adecuadamente la Junta. Ese es un fracaso humano, pero también un mayor problema de política para AIRASIA y no técnico directamente.
Las malas articulaciones de soldadura ocurren a pesar de los mejores esfuerzos para evitarlos en la fabricación. Diagnóstico de una falla de la junta intermitente puede ser una pesadilla para que podamos simpatizar con los mantenedores de aeronaves. ¿Cómo deberíamos lidiar con fallas intermitentes en sistemas vitales o esenciales? Claramente, el sistema estaba revisando su integridad porque seguía emitiendo advertencias a lo largo de 2014. ¿Es posible que un sistema se niegue a funcionar si se produce un cierto número de fallas? Sugeriría que después de 6 fallas, podría tener una alerta elevada, como negarse a arrancar cuando se enciende en un entorno seguro (es decir, estacionado en el suelo). Esencialmente, el sistema dice: “Sé que soy malo, ahora me arreglo”.
Interruptor de circuito de aeronaves
¿Por qué los pilotos se arriesgaron con el disyuntor? Un informe dice que el piloto vio que un ciclo de trabajador de mantenimiento es un disyuntor para eliminar una falla. Eso está bien en el suelo, pero no en el aire. ¿Por qué un piloto intentaría esto, especialmente porque hay avisos a los pilotos para no reiniciar los interruptores automáticos a menos que el sistema sea crítico de vuelo? El sistema de control aquí es una característica de seguridad, pero no vital, ¿por qué no solo dejarlo?
Las personas en general se sienten demasiado cómodas con la tecnología porque abunda. Hay todo tipo de chistes sobre familiares no técnicos que hacen algo loco a una computadora porque la misma acción solucionó algo más.
Desafortunadamente, esto generalmente implica que las personas no saben lo que no saben. En este caso, los pilotos parecían no conocer el ciclismo que el interruptor interrumpiera otros sistemas. Sí, suena inusual que sucedería y no puedo discutirlo porque no sé por qué sucedería. Si es cierto, parece ser un problema sistémico que debe abordarse. En nuestro trabajo, debemos asegurarnos de que los fracasos en una parte de un sistema no molesten partes críticas en otros lugares.
Los pilotos no fueron capacitados para lidiar con el vuelo enojado porque incluso Airbus, el fabricante de la aeronave, no esperaba que la aeronave experimentara un malestar tan extremo. Supongo que ya que Murphy no es francés, no esperan que ocurran sus efectos allí. Este supuesto probablemente derivado de la aeronave es ser volante por cable. La expectativa siendo la aeronave no se dejaría enojar a este grado. Pero los sistemas de vuelo automáticos fueron interrumpidos por el ciclismo del disyuntor.
Envolver
Fallas en sistemas complejos tomanUn montón de esfuerzo para rastrear. En esta situación, vemos cómo tres acciones separadas causan la falla con un cuarto, el fracaso de mantenimiento, contribuyendo enormemente. Esto señala que el fallo total podría haberse evitado en varias veces: si las juntas de soldadura no habían fallado. Si los pilotos no hubieran ciclado el disyuntor. Si los pilotos habían restaurado las computadoras automáticas de vuelo. Si los pilotos hubieran reaccionado correctamente después del malestar.
Incluso como hackers, debemos tener en cuenta cuándo y cómo pueden ocurrir fallas. Hemos escrito artículos sobre cerraduras de puertas electrónicas creadas por hackers. ¿Cómo se entiende si la alimentación se apaga o la junta de mala soldadura falla después de unas cientos de aberturas y cierres de las puertas? Esperemos que un esencial anulará la electrónica. Afortunadamente, muchos de los hacks que vemos no son críticos. Afortunadamente, los fracasos no serían amenazadores de la vida. Mantengámoslo de esa manera.