En la tarde del 16 de agosto de 1987, el vuelo 255 de Northwest Airlines partió del aeropuerto de Detroit. Se estrelló un minuto después, y 156 personas murieron en el accidente. El error aparentemente obvio de los pilotos condujo a investigaciones que involucraron a la NASA, cambios en el diseño de la aeronave y los procedimientos de vuelo. Esta historia también se relaciona con la gestión de calidad, la gestión de proyectos y el tema de la culpa y el castigo no solo para los recolectores de la Soyuz MS-10 lesionada, sino también para las personas que cometieron errores en su trabajo.
Foto de la escena del accidente de la Oficina de Archivos de Incidentes de AviaciónCatástrofe
La tarde del 16 de agosto de 1987 en Detroit no complació el clima. Se acercaba una tormenta eléctrica, y la tripulación del vuelo 255 de Northwest Airlines tenía prisa por continuar el vuelo: Detroit era el tercero de los cinco aeropuertos en la ruta, y el retraso ya era de media hora. De acuerdo con la ley de la maldad, la dirección del viento cambió y los controladores redirigieron el avión a otro carril. Fue el más corto en todo el aeropuerto, por lo que el copiloto tuvo que contar la masa del avión y su kilometraje durante el despegue para asegurarse de que fuera posible despegar de él. El problema no viene solo: por la noche, bajo la lluvia, la tripulación se perdió en las calles de rodaje, y cuando el avión finalmente se dirigió a la pista, el retraso del horario ya era de 45 minutos.
El despegue tuvo lugar a las 20:44, e inmediatamente quedó claro que algo había salido completamente mal: una advertencia sobre el peligro de estancamiento sonó en la cabina, el avión no quería ganar altitud y volcó de lado a lado. Después de unos segundos, se estrelló contra un poste de iluminación en un estacionamiento, perdió parte del ala y, ya incontrolable, cayó sobre una carretera, se deslizó a lo largo del paso elevado, chocando contra el cual se derrumbó por completo. Ambos pilotos, cuatro asistentes de vuelo, 149 pasajeros y dos personas en un automóvil aplastado murieron en el accidente. Cinco personas más en el suelo resultaron heridas. La única sobreviviente fue Cecilia Chin, de cuatro años, quien perdió a su padre, madre y hermano mayor en un desastre.
Patrón de vuelo, fuenteInvestigación
La evidencia material y los datos de las "cajas negras" mostraron algo sorprendente: un equipo experimentado y profesional cometió un error completamente "infantil": ¡olvidó soltar las aletas!
Despegue familiar MD-80 similar a la foto estrellada de Wikimedia Commons
Foto ampliada, la mecanización del ala es claramente visibleUn pequeño programa educativo. Los listones y las aletas son superficies especiales que se desvían y / o se extienden en la parte delantera y trasera del ala para crear una elevación adicional a baja velocidad. Utilizado para despegar y aterrizar.
La investigación mostró que no solo se olvidaron las aletas, sino un mapa de vuelo completo (lista de verificación) de varios puntos que debían realizarse en el taxi. Durante el despegue, la tripulación incluso tuvo la indirecta de que se habían perdido algo: la computadora de a bordo no estaba en modo de vuelo y el control de tracción no se encendió. Pero una persona, especialmente en condiciones de estrés y apresuramiento, no puede notar ni olvidar nada: la tripulación ignoró el aviso y no interrumpió el despegue.
No hay menos preguntas, al contrario. En caso de que la tripulación olvidara preparar el avión para el despegue, se creó un sistema especial que supuestamente indicaba que las aletas y los listones no estaban en la posición de despegue. Pero por alguna razón ella guardó silencio. Además, la señal sobre el peligro de estancamiento tenía que venir de dos altavoces para confiabilidad, y vino de uno solo. Una investigación oficial encontró que, por alguna razón desconocida, se abrió el interruptor P-40, que se encuentra detrás del asiento izquierdo; este interruptor alimentó simultáneamente una advertencia sobre una configuración irrompible y uno de los altavoces del sistema de advertencia de bloqueo. El panel con este interruptor sufrió daños graves en el choque y no funcionó para establecer si el interruptor se rompió o se apagó manualmente. Pero una historia es una evidencia indirecta muy importante.
Panel de interruptores a la izquierda de la cabina MD-80, fuenteComo parte de la investigación, un investigador del Consejo Nacional de Seguridad del Transporte (NTSB) John Clark le pidió al piloto del mismo tipo con un MD-80 estrellado que mostrara varias advertencias. El piloto también reprodujo la advertencia correcta sobre el bloqueo de dos altavoces, y una indicación de las aletas que no se soltaron. Para demostrar la señal monofónica sonada durante un vuelo fatídico, uno de los canales tuvo que desconectarse. Y el piloto dijo:
"Por supuesto, nunca hice esto, pero algunos dicen que apagan específicamente la advertencia sobre las aletas inéditas, porque a menudo funciona falsamente en el taxi y es muy molesto", después de lo cual, sin mirar, alcancé el interruptor El P-40 detrás de él y con un movimiento claramente familiar lo apagó. Y en el panel de interruptores alrededor del P-40 había más suciedad, como si constantemente lo encendiera y apagara ...
Entonces, la conclusión aparentemente obvia "error piloto" en realidad enmascaró dos grandes problemas:
- Hay algo mal con las tarjetas de control, ya que se olvidan de ejecutarlas.
- Si eliminamos las falsas alarmas del sistema de advertencia de flaps inéditos, los pilotos se verán tentados a apagarlo.
Lo repetiré nuevamente especialmente: los profesionales experimentados también cometen errores. Los intentos de rectificar la situación con medidas represivas lucharían contra la investigación, no la causa: la tripulación del vuelo 255 no fue irresponsable y, por supuesto, no quería morir y llevar a personas inocentes a la tumba. El comandante del barco trabajó para esta aerolínea durante 31 años, el copiloto tuvo un vuelo de varios miles de horas, ambos, según sus colegas, eran buenos pilotos, pero esto no ayudó en absoluto.
Por desgracia, no pudieron encontrar soluciones rápidamente: al año siguiente, por la misma razón (se olvidaron de soltar las aletas), un avión de otro modelo se estrelló, un Boeing 727, en Dallas. De las 108 personas a bordo, murieron 14. Sin embargo, hubo más fallas en la tripulación: los pilotos violaron claramente la regla de la cabina "estéril" y hablaron con una azafata que había entrado antes de despegar. Pero en la grabación de la grabadora de voz, el copiloto dice que las aletas se liberan en el ángulo correcto, a pesar de que esto no es así.
El problema de las tarjetas de control fue tratado en la NASA. Como resultado, aparecieron recomendaciones de mejoras, comenzando por la longitud de las listas de verificación y terminando con la fuente en la que se imprimieron. Además, las computadoras se introdujeron activamente en la aviación a fines de los años 80, y las listas de verificación comenzaron a hacer electrónicas: la computadora no solo recuerda dónde se detuvo si estaba distraído, sino que también verifica si hizo lo que marcó como hecho. Pero, por desgracia, todavía hay algo que mejorar: el desastre del An-148 en febrero de este año se produjo porque los pilotos pospusieron uno de los puntos de la lista de verificación y olvidaron ejecutarlo más tarde (en aras de la equidad, debe tenerse en cuenta que los diseñadores de la aeronave también fallaron: este elemento no puede ser Se hizo de antemano en un ambiente relajado).
Los falsos positivos se eliminaron no solo en el MD-80, sino también en otras máquinas: cambiaron los requisitos del sistema en su conjunto, por lo que los vuelos se volvieron más seguros.
¿Y dónde está?
La historia del vuelo 255, en mi opinión, lleva a conclusiones que podemos aplicar en casa en TI.
- La organización debe estar abierta al cambio: si alguien ve que algo está mal, es mejor si tiene la oportunidad de hablar sobre ello y ser escuchado, no castigado.
- Al analizar lo que sucedió, el fakap debe esforzarse por encontrar las verdaderas razones y no involucrarse en la búsqueda del culpable. Corregir problemas es más importante que el castigo.
Una metodología para implementar estos principios se llama autopsia sin culpa. La opción utilizada en la empresa donde trabajo se llama solución sin culpa, SWOB. Permítanme citar brevemente sus principios:
Objetivos:- El incidente es investigado por los empleados relacionados con él, con el único propósito de establecer que es posible mejorar y / o aprender de sus errores (el que no hace nada no se equivoca).
- Registre conclusiones para otros equipos para que puedan aprender cosas nuevas y / u ofrecer ideas.
Importante:- Mejorar los procesos es asunto de todos.
- Todos serán escuchados.
- Las autoridades están abiertas a lo nuevo.
Promesas:- No tengas miedo de cavar profundo y expresar incluso las razones desagradables. Nadie será castigado por participar en un SWOB o cualquier cosa descubierta en un SWOB.
- Intolerable solo falta de respeto el uno al otro.
Aspectos destacados de la organización:- Elija un facilitador independiente que tome notas y modere la discusión. Los facilitadores eligen a una persona respetada, por lo que es un honor serlo. Pero el liderazgo no puede ser elegido como facilitador.
- Es mejor llevar a cabo un SWOB sin calmarse después del fakap para calmarse, pero tampoco demasiado tarde para que la gente no olvide lo que sucedió. Ideal para una semana después del problema.
- Formato de documentación: primero una descripción del evento, luego ideas para mejorar los procesos.
Conclusión
Si los pilotos pudieran transmitir a los diseñadores que las falsas alarmas del sistema de advertencia para flaps inéditos están en el camino, entonces no podría haber una catástrofe en el Vuelo 255. Todavía no se ha recibido ninguna noticia sobre la Unión MS-10 exactamente
cómo se
dobló el sensor , pero en el caso de la introducción de análogos SWOB, los siguientes escenarios son bastante posibles:
- Los recolectores doblaron accidentalmente el sensor, pero sabiendo que no serían castigados por rendirse, informaron que el sensor fue reemplazado, no hubo accidente.
- Los recolectores no entendieron alguna operación, sabiendo que no serían castigados, informaron esto, se les enseñó, no hubo accidente.
- Los coleccionistas descubrieron que era inconveniente trabajar, sabiendo que no serían castigados, hablaron sobre ello, los procesos cambiaron, no hubo accidente.
No hay una bala de plata, pero las ideas SWOB pueden ayudar a cualquiera de ustedes. ¡Buena suerte en mejorar los procesos!