Lo Último en IP@P
- Stellar Data Recovery revoluciona la recuperación de archivos perdidos en discos duros externos
- Goblin Mine: La Estrategia Económica Detrás del Juego de Minería que está Fascinando a Todos
- Estos son los nuevos Cargadores UGREEN: potencia y portabilidad en dos versiones que no te puedes perder
- UGREEN Nexode Pro: El Cargador Ultradelgado que revoluciona la carga de dispositivos móviles
- La computación en la nube está transformando los juegos Online y estas son sus grandes ventajas
El 28 de enero de 1986, a las 11:38 a.m., hora del este, el transbordador espacial Challenger despega de Cabo Cañaveral, Florida, y Christa McAuliffe se convierte en la primera civil estadounidense que viaja al espacio. McAuliffe, una profesora de estudios sociales de 37 años de New Hampshire, ganó un concurso que le permitió formar parte de la tripulación de 7 miembros del Challenger.
Se sometió a meses de entrenamiento en el transbordador, pero luego, a partir del 23 de enero, se vio obligada a esperar 6 largos días mientras la cuenta atrás del lanzamiento del Challenger se retrasaba repetidamente debido a problemas meteorológicos y técnicos. Finalmente, el 28 de enero, el transbordador despegó.
73s segundos más tarde, cientos de personas en tierra, incluida la familia de Christa, contemplaron con incredulidad cómo el transbordador se desintegraba en un penacho de humo y fuego. Millones de personas más vieron cómo se desarrollaba la desgarradora tragedia en la televisión en directo. No hubo supervivientes.
Resumen de la tragedia espacial
En 1976, la Administración Nacional de Aeronáutica y del Espacio (NASA) presentó la primera nave espacial tripulada reutilizable del mundo, el Enterprise. Cinco años después, comenzaron los vuelos espaciales del transbordador cuando el Columbia viajó al espacio en una misión de 54 horas. Lanzado por dos cohetes impulsores sólidos y un tanque externo, sólo el transbordador, con aspecto de avión, entró en órbita alrededor de la Tierra.
Al finalizar la misión, el transbordador encendió los motores para reducir la velocidad y, tras descender por la atmósfera, aterrizó como un planeador. Los primeros transbordadores llevaron al espacio equipos de satélites y realizaron diversos experimentos científicos. El desastre del Challenger fue el primer gran accidente de un transbordador.
Tras la catástrofe, el presidente Ronald Reagan nombró una comisión especial para determinar qué fue lo que falló en el Challenger y para desarrollar futuras medidas correctivas. La comisión presidencial estaba encabezada por el ex secretario de Estado William Rogers, e incluía al ex astronauta Neil Armstrong y al ex piloto de pruebas Chuck Yeager.
La investigación determinó que el desastre fue causado por el fallo de una junta tórica en uno de los dos cohetes de combustible sólido. La junta tórica elástica no respondió como se esperaba debido a la fría temperatura en el momento del lanzamiento, lo que inició una cadena de acontecimientos que dio lugar a la pérdida masiva. Como resultado, la NASA no envió astronautas al espacio durante más de 2 años mientras rediseñaba una serie de características del transbordador espacial.
En septiembre de 1988, los vuelos del transbordador espacial se reanudaron con el exitoso lanzamiento del Discovery. Desde entonces, el transbordador espacial ha llevado a cabo numerosas misiones importantes, como la reparación y el mantenimiento del telescopio espacial Hubble y la construcción de la Estación Espacial Internacional.
El 1 de febrero de 2003, una segunda catástrofe del transbordador espacial sacudió a Estados Unidos cuando el Columbia se desintegró al reingresar en la atmósfera terrestre. Todos los que iban a bordo murieron. A pesar de los temores de que los problemas que provocaron la caída del Columbia no se habían resuelto satisfactoriamente, los vuelos del transbordador espacial se reanudaron el 26 de julio de 2005, cuando el Discovery se puso de nuevo en órbita.
Datos básicos del accidente del Challenger
- Sistema: Sistema Nacional de Transporte Espacial (NSTS): el transbordador espacial
- Evaluaciones de riesgo realizadas durante el diseño y la operación: análisis preliminar de peligros; análisis de modos de fallo y efectos con lista de elementos críticos; diversas evaluaciones de seguridad, todas ellas cualitativas a nivel de sistema, pero con análisis cuantitativos realizados para subsistemas específicos.
- El peor fallo: En el accidente del Challenger de enero de 1986, las juntas tóricas primarias y secundarias de la junta de campo del cohete impulsor de combustible sólido derecho se quemaron por los gases calientes.
- Consecuencias: pérdida de 3.000 millones de dólares del vehículo y de la tripulación.
- Previsibilidad: largo historial de erosión en las juntas tóricas, no previsto en el diseño original.
- Causas: diseño original inadecuado (la junta del propulsor giró más abierta de lo previsto); juicio erróneo (los directivos decidieron lanzar a pesar de las bajas temperaturas récord y el hielo en la plataforma de lanzamiento); posibles acontecimientos externos imprevistos (el fuerte cizallamiento del viento puede haber sido un factor contribuyente).
- Lecciones aprendidas: en el diseño, utilizar más la evaluación probabilística de riesgos para evaluar y asignar prioridades a los mismos; en la operación, establecer ciertos criterios de compromiso de lanzamiento a los que no pueda renunciar nadie.
- Otros resultados: rediseño de la junta del booster y otros subsistemas del transbordador que también tenían un alto nivel de riesgo o fallos imprevistos; reevaluación de los elementos críticos.
La inexistente evaluación de riesgos, la causa del desastre
La NASA comenzó a experimentar con este programa en respuesta al accidente del Challenger del 28 de enero de 1986, en el que murieron 7 astronautas. Los objetivos del programa son establecer una política de gestión de riesgos y realizar evaluaciones de riesgo independientes de los análisis normales de ingeniería.
Pero el éxito es lento debido a la anterior política oficial que favorecía el "juicio de ingeniería" en lugar de los "números de probabilidad", lo que ha provocado que la NASA no recopile el tipo de datos estadísticos de las pruebas y los vuelos útiles para la evaluación cuantitativa del riesgo.
Las fuerzas externas, como la política, también influyen en la respuesta de una organización. Mientras que el programa Apolo recibió un amplio apoyo del Presidente y del Congreso de Estados Unidos y contó con todo el dinero que necesitaba, el programa de transbordadores fue muy criticado y no contó con un presupuesto suficiente desde el principio.
Las presiones políticas, unidas a la falta de datos numéricos concretos, dieron lugar a diferencias de más de 3 órdenes de magnitud en las escasas estimaciones cuantitativas del fracaso del lanzamiento del transbordador que la NASA debía realizar por ley.
A algunos les sigue preocupando que, a pesar de la tardía adopción por parte de la NASA de la evaluación cuantitativa de riesgos, su cultura interna y su temor a la oposición política puedan estar empujándola a repetir los peligrosos errores del programa de transbordadores en nuevos programas espaciales.
La preferencia de la NASA por un enfoque de diseño de fiabilidad que excluya el análisis cuantitativo de riesgos se vio reforzada por un primer roce negativo con este campo. Según Haggai Cohen, que durante los días del Apolo fue ingeniero jefe adjunto de la NASA, ésta contrató a General Electric Co. en Daytona Beach, Florida, para que realizara un "Análisis de Riesgo Numérico Completo" para evaluar la probabilidad de éxito en el aterrizaje de un hombre en la Luna y su regreso seguro a la tierra.
El estudio de General Electric indicaba que la probabilidad de éxito era "inferior al 5%. Cuando se presentaron los resultados al administrador de la NASA, éste consideró que si se hacían públicos, los números podrían causar un daño irreparable, y disolvió el esfuerzo. Como resultado, se mantuvieron "alejados" de la evaluación numérica de riesgos.
"Fue entonces cuando tiramos toda esa basura y nos pusimos a trabajar"
Dijo Will Willoughby.
General Electric, dijo, que: "Se construye la confianza mediante programas de pruebas estadísticas".
Y la NASA dijo: "No, vayan a volar una cometa, nosotros construiremos la confianza mediante el diseño. Las pruebas sólo ofrecen una instantánea en determinadas condiciones. La realidad puede no ofrecerte el mismo conjunto de circunstancias, y puedes caer en una falsa sensación de seguridad o inseguridad"
En consecuencia, la NASA adoptó el análisis cualitativo de modos de fallo y efectos (FMEA) como medio principal para identificar las características del diseño cuyo fallo, en el peor de los casos, podría provocar una catástrofe.
- Los peores casos se clasificaron como de criticidad 1 si amenazaban la vida de los miembros de la tripulación o la existencia del vehículo;
- De criticidad 2 si amenazaban la misión;
- Y de criticidad 3 para cualquier cosa menor.
La política del riesgo
A finales de los años 60 y principios de los 70, el transbordador espacial se presentaba como un avión de pasajeros reutilizable capaz de transportar cargas útiles de 15 toneladas a la órbita terrestre y de 5 toneladas a la Tierra. Los astronautas del transbordador llevarían mangas de camisa durante el despegue y el aterrizaje, en lugar de los voluminosos trajes espaciales de los tiempos de los programas espaciales Gemini y el Apolo.
Con el tiempo, el transbordador llevaría a gente normal: científicos no astronautas, políticos, profesores de escuela y periodistas.
Los documentos de la NASA muestran que la visión de la aerolínea también se aplicaba al riesgo. Por ejemplo, en el Informe del grupo de trabajo del transbordador espacial de la NASA de 1969, los autores escribían:
"Es deseable que la configuración del vehículo proporcione seguridad a la tripulación y a los pasajeros de la misma manera y en el mismo grado en que lo hacen los aviones comerciales actuales"
Estadísticamente, un avión de pasajeros es la forma de transporte menos peligrosa, lo que implica una alta fiabilidad. Y a principios de los años 70, cuando el Presidente Richard M. Nixon, el Congreso y la Oficina de Gestión y Presupuesto (OMB) se mostraban escépticos con respecto al transbordador, demostrar una alta fiabilidad era crucial para que el programa siguiera financiándose.
La OMB (Oficina de Administración y Presupuesto) incluso ordenó a la NASA que contratara a un analista externo para que realizara un análisis económico de la rentabilidad del transbordador en comparación con otros sistemas de lanzamiento, observó John M. Logsdon, director del programa de posgrado en ciencia, tecnología y política pública de la Universidad George Washington en Washington, D.C.
"Ningún programa espacial anterior había sido sometido a una evaluación económica profesional independiente", escribió Logsdon en la revista Space Policy en mayo de 1986.
"Obligó a la NASA a creer que tenía que proponer un transbordador que pudiera lanzar todas las cargas útiles previsibles ... [y] sería menos costoso que los sistemas de lanzamiento alternativos"
Y que, de hecho, suplantaría a todos los cohetes prescindibles. También era políticamente necesario demostrar que el transbordador sería barato y rutinario, en lugar de grande y arriesgado, tanto en lo que respecta a la tecnología como al coste, señaló Logsdon.
En medio de esa impopularidad política que amenazaba la propia existencia del programa, "algunas personas de la NASA empezaron a confundir el deseo con la realidad", dijo Adelbert Tischler, director jubilado de vehículos de lanzamiento y propulsión de la NASA.
"Uno de los resultados fue evaluar el riesgo en términos de lo que se consideraba aceptable sin tener en cuenta la verificación de la evaluación"
Y añadió: "Hay que tener en cuenta que en tales circunstancias se excluye la verdadera gestión del riesgo"
Adelbert Tischler
Despreciando los datos y análisis externos
A principios de la década de 1980 se citaban muchas cifras sobre el riesgo global para el transbordador, con estimaciones de un fallo catastrófico que iban desde menos de 1 posibilidad entre 100 hasta 1 posibilidad entre 100 000.
"Las cifras más altas (1 entre 100) proceden de los ingenieros que trabajan, y las muy bajas [1 entre 100 000] de la dirección", escribió el físico Richard P. Feynman en su apéndice "Observaciones personales sobre la fiabilidad del transbordador" del Informe de la Comisión Presidencial sobre el Accidente del Transbordador Espacial Challenger de 1986.
Las probabilidades se originaron en una serie de evaluaciones cuantitativas de riesgo que el Panel de Revisión de Seguridad Nuclear Interinstitucional (INSRP) exigió a la NASA, en previsión del lanzamiento de la nave espacial Galileo en su viaje a Júpiter, originalmente previsto para principios de la década de 1980.
Galileo estaba propulsado por un generador termoeléctrico de radioisótopos alimentado con plutonio, y la Directiva Presidencial/NSC-25 dictaminó que el Presidente de Estados Unidos o el director de la oficina de política científica y tecnológica debían examinar la seguridad de cualquier lanzamiento de material nuclear antes de aprobarlo.
El INSRP (formado por representantes de la NASA, como agencia de lanzamiento, del Departamento de Energía, que gestiona los dispositivos nucleares, y del Departamento de Defensa, cuyas Fuerzas Aéreas gestionan la seguridad del polígono de tiro) se encargó de determinar los riesgos cuantitativos de un lanzamiento catastrófico que dispersara el veneno radiactivo en la atmósfera. Hubo varios estudios porque la etapa superior para impulsar Galileo al espacio interplanetario se reconfiguró varias veces.
Más en Hardware
- Pines de Raspberry Pi ¿Qué son los conectores de GPIO y para qué sirven en mi ordenador en miniatura?
- Apple TV ¿Qué es, cómo funciona y todo lo que debes saber de ella?
- ¿Cómo instalar un servidor web en una Raspberry Pi desde cero como un experto? Guía paso a paso
- ¿Cuáles son las mejores pantallas para usar con mi Raspberry Pi y cómo elegir la ideal? Lista 2024
- ¿Cuáles son las mayores diferencias entre iPhone 6 y iPhone 7 y cuál es mejor elegir?
SÍGUENOS EN 👉 YOUTUBE TV
El primer estudio lo realizó la empresa J. H. Wiggins Co. de Redondo Beach, California, y se publicó en 3 volúmenes entre 1979 y 1982. En él se cifraba el riesgo global de perder un transbordador con su carga útil durante el lanzamiento en una posibilidad entre 1000 y 1 entre 10.000.
El mayor riesgo lo presentaban los cohetes impulsores de combustible sólido (SRB). El autor de Wiggins señaló que el historial de otros cohetes de combustible sólido mostraba que sufrían lanzamientos catastróficos entre 1 vez de cada 59 y 1 vez de cada 34, pero que los supervisores del contrato del estudio, el Comité Ad Hoc de Seguridad del Alcance del Transbordador Espacial, hicieron un "juicio de ingeniería" y "decidieron que estaba justificada una reducción de la estimación de la probabilidad de fallo de los SRB del Transbordador Espacial" porque "los datos históricos incluyen motores desarrollados hace 10 o 20 años".
Por lo tanto, el Comité Ad Hoc "decidió asumir una probabilidad de fallo de 1 x 10-3 para cada SRB." Además, señaló, "el Comité Ad-Hoc decidió que debía considerarse una segunda probabilidad... que es un orden de magnitud menor" 1 en 10.000, "justificada debido a las mejoras únicas realizadas en el diseño y el proceso de fabricación utilizado para que estos motores alcancen la calificación requerida."
En 1983, Teledyne Energy Systems Inc. de Timonium, Maryland, llevó a cabo un segundo estudio para el Laboratorio de Armas de la Fuerza Aérea en la Base de la Fuerza Aérea de Kirtland, N.M. Describió el análisis de Wiggins como una "presentación interesante de los datos de lanzamiento de varios programas de misiles de la Armada, la Fuerza Aérea y la NASA, y la desestimación de esos datos y la asignación arbitraria de niveles de riesgo aparentemente por indicación del patrocinador" sin "ninguna justificación cuantitativa" Tras reanalizar los datos, los autores de Teledyne concluyeron que el historial de los propulsores "sugiere una tasa de fallos de alrededor de uno entre 100".
¿Cuáles fueron las razones del accidente?
La NASA realizó su propio análisis de seguridad interno para Galileo, que fue publicado en 1985 por el Centro Espacial Johnson. Los autores repasaron las hojas del trabajo de los modos de fallo asignando niveles de probabilidad.
Por ejemplo, a una fractura en la carcasa del motor del cohete sólido o en las juntas de la carcasa (similar al accidente que destruyó el Challenger) se le asignó un nivel de probabilidad de 2; que una tabla separada definió como correspondiente a una posibilidad de 1 entre 100.000 y describió como "remota", o "tan improbable, que puede asumirse que este peligro no se experimentará."
El valor de 1 entre 100.000 implicaba, como explicó Feynman, que:
"Se podría poner un transbordador cada día durante 300 años esperando perder sólo uno"
Sin embargo, incluso después del accidente del Challenger, el ingeniero jefe de la NASA, Milton Silveira, en una audiencia sobre el generador termonuclear Galileo celebrada el 4 de marzo de 1986 ante el Comité de Ciencia y Tecnología de la Cámara de Representantes de Estados Unidos, dijo:
"Creemos que utilizar una cifra como 10-3, como se sugiere, es probablemente un poco pesimista, el riesgo real sería de 10-5, y ese es nuestro objetivo de diseño"
Cuando se le preguntó cómo se dedujo la cifra, Silveira respondió:
"Llegamos a esas probabilidades basándonos en el juicio de ingeniería en la revisión del diseño, en lugar de tomar una base de datos estadísticos, porque no creíamos tenerla"
Tras el accidente del Challenger, la comisión presidencial de 1986 se enteró de que las juntas tóricas de las uniones de campo de los cohetes impulsores de combustible sólido del transbordador tenían un historial de daños correlacionados con la baja temperatura del aire en el lanzamiento. Por ello, la comisión preguntó repetidamente a los testigos a los que convocó a las audiencias por qué no se disponía de datos sistemáticos de correlación de temperatura antes del lanzamiento.
La "metodología de gestión" de la NASA para la recogida de datos y la determinación del riesgo se expuso en el análisis de seguridad de la NASA de 1985 para Galileo. Los autores del centro espacial Johnson explicaron:
"Al principio del programa se decidió no utilizar números de fiabilidad (o probabilidad) en el diseño del transbordador porque la magnitud de las pruebas necesarias para verificar estadísticamente las predicciones numéricas no se considera práctica"
Además, señalaron:
"La experiencia ha demostrado que, con los requisitos de seguridad, fiabilidad y garantía de calidad impuestos a los contratistas de vuelos espaciales tripulados, los datos estándar sobre la tasa de fallos son pesimistas."
En lugar de utilizar números de probabilidad, el NSTS (Sistema Nacional de Transporte Espacial) se basa en el juicio de la ingeniería utilizando controles rígidos y bien documentados de diseño, configuración, seguridad, fiabilidad y garantía de calidad, dijeron los autores de Johnson.
Esta perspectiva determinó los datos que los directivos de la NASA exigían a los ingenieros. Por ejemplo, no se mantenían "indicadores de tiempo transcurrido" en los componentes, subsistemas y sistemas del transbordador, aunque "se podía derivar una estimación bastante precisa del tiempo y/o los ciclos", añadieron los autores del centro espacial Johnson.
Una de las razones era económica. Según George Rodney, administrador asociado de seguridad, fiabilidad, mantenibilidad y garantía de calidad de la NASA, no es difícil obtener datos sobre el tiempo y los ciclos, "pero es caro y un gran problema de contabilidad"
Otra razón fue el "desarrollo normal" de programas de la NASA: "No se siguen tomando datos; se certifican los componentes y se sigue adelante", dijo el adjunto de Rodney, James Ehl.
"La gente piensa que como hemos volado 28 veces, tenemos 28 veces más datos, pero no es así. Tenemos quizá tres o cuatro pruebas de los primeros vuelos de desarrollo"
Además, Rodney señaló: "Por cada persona en la NASA que es un gran defensor de PRA (Evaluación Probabilística de Riesgos), puedo encontrarte 10 que están igualmente convencidos de que PRA está sobrevalorado... ellos son tan dudosos de su importancia que no se convencerán de que el producto final vale la pena."
El riesgo y la cultura organizativa
Una de las razones por las que la NASA se ha resistido tanto al análisis probabilístico de riesgos puede ser el hecho de que "El PRA va en contra de todas las tradiciones de la ingeniería, en las que se maneja la fiabilidad mediante factores de seguridad", dijo Elisabeth Paté-Cornell, profesora asociada del departamento de ingeniería industrial y gestión de la ingeniería de la Universidad de Stanford, en California, que ahora estudia los factores organizativos y la evaluación de riesgos en la NASA.
Además, dado que la NASA está muy orgullosa de su diseño, el PRA puede "percibirse como un insulto a sus capacidades, que el sistema que han diseñado no es 100% perfecto y absolutamente seguro", añadió. Así pues, el carácter de una organización influye en la fiabilidad y el fracaso de los sistemas que construye, ya que su estructura, política y cultura determinan las prioridades, los incentivos y las vías de comunicación de los ingenieros y directivos que realizan el trabajo, dijo.
"Parte del problema es conseguir que los ingenieros comprendan que están utilizando métodos subjetivos para determinar el riesgo, porque no les gusta admitirlo"
"Sin embargo, hablan en términos de parecer objetivos y se engañan a sí mismos pensando que están siendo objetivos"
Dijo Ray A. Williamson, asociado principal de la Oficina de Evaluación Tecnológica del Congreso de EE.UU. en Washington, D.C.
"No es tan sencillo", dijo Buchbinder. "Un modo de pensar probabilístico no es algo con lo que la mayoría de la gente esté en sintonía. No sabemos lo que va a pasar exactamente cada vez. Sólo podemos decir lo que es probable que ocurra un cierto porcentaje de las veces".
A menos que los ingenieros y directivos se familiaricen con la teoría de la probabilidad, no saben qué hacer con las "grandes incertidumbres que representan el estado del conocimiento actual", dijo. "Y eso no es un consuelo para el pobre tomador de decisiones que quiere una respuesta sencilla a la pregunta: ¿Es este sistema lo suficientemente seguro?"
Como ejemplo de cómo la "mentalidad" en la agencia NASA está cambiando ahora a favor de "una voluntad de explorar otras cosas", Buchbinder citó el nuevo programa de gestión de riesgos, los talleres que ha estado celebrando para formar a los ingenieros y a otras personas en técnicas cuantitativas de evaluación de riesgos, y una nueva política de instrucciones de gestión que exige a la NASA "una gestión disciplinada y documentada de los riesgos a lo largo de los ciclos de vida de los programas."
"Admitámoslo, el espacio es un negocio arriesgado"
"Siempre consideré cada lanzamiento como una explosión apenas controlada"
Comentó Cohen, antiguo responsable de seguridad del Apolo