¿Hay más muertes en accidentes de aviones comerciales causadas por errores del piloto que por funciones automatizadas?

Esta afirmación me llamó la atención:

En general, estas funciones automatizadas son un beneficio general para todos. Están evitando algunos de los desastres de aviación más clásicos que los pilotos pueden inducir en estos aviones.

Pregunta

¿Es correcto que el error del piloto cause más muertes en accidentes de aerolíneas comerciales que las causadas por características automatizadas, como MCAS ?

Las razones por las que me llamó la atención son dos:

  1. Ha habido accidentes muy destacados relacionados con funciones automatizadas en los últimos años.
  2. No conozco muchos casos de errores del piloto que causen accidentes de aerolíneas comerciales (aunque no los sigo de cerca).

Lo que sé hasta ahora

Ordené una Lista de accidentes e incidentes de aeronaves que resultaron en al menos 50 muertes por fecha descendente y examiné los accidentes de los últimos 6 años . Es fácil detectar dos causados ​​por funciones automatizadas: el vuelo 302 de Ethiopian Airlines y el vuelo 610 de Lion Air , pero no tengo el conocimiento para saber cuáles otros fueron causados ​​por funciones automatizadas, ni cuáles fueron por error del piloto. Nota: solo elegí 6 años porque eso es lo que cabe en la pantalla, una muestra más grande (quizás 25 años) sería mucho más rigurosa.

Hola Steve, bienvenido a ASE. Su pregunta es difícil de responder, ya que una sola razón rara vez conduce a un accidente. Coincidentemente, un modelo que se usa a menudo para investigar las razones que conducen a los accidentes es algunas veces llamado "modelo de la razón" por su proponente formal James T. Reason (imagínense...), el nombre más descriptivo es el "modelo de queso suizo". Los accidentes generalmente son casos en los que un peligro se desliza a través de varias capas de defensa, que por una u otra razón no funcionan correctamente. Los segmentos típicos en la aviación son el piloto, la redundancia de los propios sistemas, los sistemas de respaldo, etc.
Esto puede ser algo incontestable debido a la paradoja de la prevención: si la automatización fuera capaz de mitigar todos los errores del piloto, esto significaría que todos los accidentes restantes se deben a fallas en la automatización.
Un problema con esta pregunta es que los accidentes (no solo en la aviación) suelen tener múltiples causas. Tomemos, por ejemplo, el problema de automatización aparentemente claro con MCAS. Sí, el diseño de MCAS y la documentación faltante tenían fallas; pero también hubo (1) mal mantenimiento (piezas de repuesto por debajo de la media); (2) Capacitación insuficiente del piloto (3) Confusión del piloto y falta de reacción oportuna y correcta. Es probable que este sea el caso con la mayoría de las fallas a excepción de las bombas y los misiles.
¿Cómo podría alguien saber eso, sino pidiendo a las autoridades aeronáuticas jurisdiccionales los registros de accidentes? Por favor, asegúrese de que esos tipos llevan registros, con tanto detalle que Jo Average no creería...
Tenga en cuenta que la mayoría de las "fallas automatizadas" son en realidad errores humanos porque los humanos diseñaron y fabricaron los sistemas automatizados. Por supuesto, a diferencia de los pilotos, esos humanos no suelen estar en el avión cuando se estrellan.
Si está interesado en este tema, le recomiendo que se tome el tiempo de ver la conferencia clásica sobre la dependencia de la automatización Children of the Magenta Line (más sobre pilotos automáticos que sobre sistemas más nuevos como MCAS) del Capitán Warren Vanderburgh de American Airlines en 1997. Es no es realmente a favor ni en contra de la automatización, sino más bien una discusión realmente significativa sobre la importancia de poder seleccionar y usar el modo y el nivel de automatización correctos para una situación y tener la competencia para descender a niveles más bajos de automatización cuando sea necesario .

Respuestas (4)

La "falla de automatización" tiende a agruparse con todas las demás "fallas mecánicas" en cualquier estadística. Esas estadísticas son bastante fáciles de encontrar , pero respaldan absolutamente la afirmación de que el error del piloto causa muchos más accidentes que las fallas mecánicas.

Si echamos un vistazo a los datos de la década de 2010 (que es el más reciente en ese enlace anterior, pero se ha mantenido bastante constante a lo largo de las décadas)

Error del piloto Mecánico Clima Sabotaje Otro
57% 21% 10% 8% 4%

Por lo tanto, los accidentes por errores del piloto que causaron muertes representaron más que el resto juntos en la década de 2010.

¡Esto plantea la pregunta de por qué tener humanos a cargo si todo lo que hacen es cometer errores! Lo cual es una falacia lógica, lo que no se puede ver en las estadísticas es todas las veces que el humano tomó una decisión que evitó que ocurriera un accidente. Todavía es muy difícil (si no imposible) programar una computadora para tomar decisiones en un entorno dinámico/que cambia rápidamente.

Esas estadísticas son interesantes pero difíciles de confiar, ya que la base de datos no muestra la causa de cada accidente. Además, a menudo hay múltiples causas en un accidente. Tome AF477 por ejemplo. ¿Es eso una falla del equipo (los tubos de Pitot se congelaron y comenzaron a dar información incorrecta) o un error del piloto (desorientación espacial y reacción incorrecta)? También cuento solo los accidentes, no las muertes.
Algo para agregar al último párrafo es que muchos accidentes en los que el error humano fue la causa, también pueden atribuirse a un mal funcionamiento de un sistema automatizado en particular, lo que obliga a los humanos a realizar acciones manualmente, pero ya no están acostumbrados. Es una paradoja: más automatización significa que se requiere menos participación humana, por lo tanto, menos pilotos adquieren experiencia volando manualmente el avión, por lo tanto, cuando algo sale mal, están menos preparados para hacerse cargo de la tarea. IIRC Fuerza Aérea Uruguaya 571 es un ejemplo de tal accidente.
@jcaron: AF447 fue definitivamente un error del piloto. La razón por la que los pilotos están allí es precisamente para hacer frente a las situaciones en las que la computadora no está segura de qué hacer, incluidos los casos en que falla un instrumento. Tenían un avión en perfecto funcionamiento con un único sensor multifunción; el piloto que volaba nunca entendió lo que estaba sucediendo, y los otros dos nunca lo anularon por completo, los tres ignoraron la mayoría de sus instrumentos.
Por eso, @Opifex, los autos sin conductor dan tanto miedo. Cuando (no si) la automatización falla, el ya pobre (estadounidense, al menos) conductor estará tan fuera de práctica que no tendrá ni idea de qué hacer.

Sí, la tripulación de vuelo es el factor clave en la mayoría de los accidentes . Es por esta razón que dos grandes innovaciones son en gran parte responsables de la caída masiva en las tasas de accidentes fatales desde los años 90 (no ha habido un choque de un pesado, cargado de pasajeros al menos, en los EE. UU. en más de 20 años, piense en eso... 20 años, y eso fue una falla en la aleta del timón inducida por el piloto ).

La primera y más grande es la teoría de la gestión de recursos de tripulación , que comenzó a implementarse en Occidente en los años 80. CRM tuvo tanto éxito que sus conceptos se han extendido por todas partes fuera de la aviación, desde la vigilancia hasta la cirugía. El otro es Flight Management Systems y la pantalla de navegación de mapa bidimensional que fue posible gracias a la "cabina de cristal" (también en los años 80). Es difícil exagerar en qué medida los mapas en movimiento 2D redujeron las cargas de trabajo de la tripulación en las áreas terminales y en las aproximaciones, al reducir la dependencia de las habilidades mentales internas de "creación de mapas" del piloto para mantener el conocimiento de la situación.

Los accidentes fatales causados ​​por fallas del sistema son extremadamente raros, porque en el nivel de certificación, el diseño del sistema requiere una probabilidad matemática de más de uno en mil millones de fallas en los componentes que conducen a la pérdida de la estructura del avión. El MCAS se puede descartar como un evento Cisne Negro, la culminación de un conjunto de circunstancias y decisiones muy singulares a nivel de certificación y desarrollo (es decir, tan singular que el piloto de pruebas jefe del proyecto fue acusado penalmente por ocultar información a la FAA). Se puede pensar en MCAS como un "error del piloto" inducido por una mala configuración que se deslizó por las grietas, se podría decir, pero que algunas tripulaciones podrían haber enfrentado.

Se requiere redundancia de sistemas doble y triple para mantener esta probabilidad de desastre de menos de uno en mil millones. No es perfecto, pero es la razón principal por la que los aviones no caen del cielo con regularidad cuando fallan los componentes (y las cosas se descomponen en aviones complejos todo el tiempo, como puede ver en la tasa de retrasos en el despacho de una aerolínea: esos retrasos regulares que dejan el suelen ser porque el avión llegó con algo roto que hay que arreglar en el acto).

¿"Automatización" en sí misma? Sí, probablemente se podría decir que la automatización evitó algunos desastres, pero en el esquema más amplio de las cosas, no tanto como algo como CRM. FADEC hace que la operación del motor sea un poco más fácil y conveniente para la tripulación, pero principalmente reduce los costos. ¿Fly-By-Wire y otros controles de automatización del sistema? Ayudan a reducir la carga de trabajo de la tripulación en general, y tal vez cubran los vuelos descuidados de vez en cuando, pero también son en su mayoría controladores de reducción de costos (FBW elimina una gran cantidad de hardware). En la Serie C/A220, el nivel de automatización de los sistemas está casi en el pináculo del desarrollo actual, y el principal beneficio (y punto de venta) es una enorme reducción en las horas de trabajo de mantenimiento, más que en la seguridad.

¿No era el objetivo de FADEC eliminar el ingeniero de vuelo, lo que reducía tanto los gastos operativos como los errores humanos?
there hasn't been a crash of a heavy in the US in over 20 years. Bueno, está el GTI 3591. Era un 767. Pero, una vez más, error del piloto.
FADEC surgió mucho después de que los FE ya estuvieran siendo eliminados por la nueva generación de 2 tripulantes pesados ​​como el 767. Pero a su punto, sí, antes de FADEC tenía control electrónico del motor, básicamente ajuste por computadora de los horarios de combustible y monitoreo y detección controlados por computadora. con sinópticos EICAS presentados directamente a los ocupantes de los asientos delanteros, y que permitieron eliminar los FE. FADEC tiene que ver principalmente con el ahorro de peso, eliminando los tendidos de cables como con FBW, y la capacidad de hacer funcionar los motores mucho más cerca de sus márgenes con un control mucho más estricto sobre las temperaturas, pérdida/sobretensión, mejora de la eficiencia, etc.
@TomMcW no había oído hablar de eso. Gracias. También hubo un accidente de un pesado en el Ártico, volado por First Air a mediados de la década de 2000, donde chocó contra una colina porque el capitán se obsesionó con recuperar LOC y el FO era demasiado tímido para detener lo que estaba sucediendo, pero eso fue en Canadá. ¿Hay otros accidentes pesados ​​en EE. UU. en ese período de tiempo?
Asiana 214 sucedió en los EE. UU., y eso fue hace menos de 10 años. Primera pérdida de un 777, múltiples muertes.
Oh, sí, ese fue en el que la tripulación no pudo manejar los enfoques del globo ocular. Mi memoria apesta.
Una cosa que esta respuesta señala implícitamente es que hay formas de automatización, en gran medida fuera del control de la tripulación, que en realidad tienen más que ver con el diseño de los sistemas de control de vuelo, como FADEC, modos FBW y MCAS, y otras formas de automatización. que tienen más la forma de herramientas controlables de gestión de la carga de trabajo para la tripulación, como pilotos automáticos y guía FMS. Es como la diferencia en un automóvil entre sistemas como los frenos antibloqueo y el control de tracción frente al control de crucero. Agrupar ambos como "automatización" es potencialmente confuso ya que el equipo interactúa con ellos de manera diferente.
Definitivamente. Gran parte de la automatización de los sistemas es simplemente el reemplazo del hardware mecánico por hardware electrónico, seguido por el reemplazo del hardware electrónico por software, aunque hay reducciones en la carga de trabajo algo, como con FADEC, control de purga/presurización, etc. Yo diría que ninguno de esas cosas han tenido algo parecido al impacto de CRM en el panorama general. En mapas en movimiento, hice el curso de tipo CRJ con una nueva calificación de instrumentos en indicadores de vapor, y aunque son muy fáciles de volar, si no fuera por la pantalla de navegación y el FMS, habría estado irremediablemente por encima de mi cabeza.

Me gustaría señalar una dificultad para proporcionarle una respuesta:

Conocemos bien los accidentes causados ​​por error del piloto y funciones automatizadas. Sin embargo, no podemos estar seguros de cuántos casos habrían ido cuesta abajo si las funciones automatizadas no hubieran estado allí para ayudar a los pilotos. A veces, los pilotos pueden haberlo entendido, pero los casos no se registraron, y en otros casos, las funciones podrían haber brindado soporte en segundo plano y "salvar el día" sigilosamente. (Intentaré obtener algunos ejemplos en el futuro).

Ahora, no estoy en condiciones de responder a esto, ya que mi única experiencia es mirar YouTube y un simulador de vuelo de un par de horas. Pero la madurez de la industria de la aviación en su conjunto me asombra (nada es perfecto, pero realmente no he visto nada mejor). Cada función automatizada nació para ayudar, y muchas veces la razón de ello fue evitar que las condiciones de algún accidente vuelvan a ocurrir. Entonces, en general, diría que las características ayudan.

Para intercalar alguna opinión personal: MCAS fue una de las raras ovejas negras, con múltiples entidades trabajando de mala manera. Pero es raro. Supongo que es un pequeño reflejo de la paradoja de la aviación: es el medio de transporte más seguro, pero si ocurre un accidente en el otro extremo del mundo, te enterarás y creará miedo, mientras las (¿miles?) de personas mueren. a través de, por ejemplo, el automóvil no es nada interesante, por lo que no está en las noticias.

Además, después stevecde la observación de en los comentarios, lo contrario también es cierto: tampoco podemos estar seguros de cuántos casos los pilotos salvaron el día al deshabilitar las funciones automatizadas . Para seguir respaldando mi punto de vista profesional, argumentaré que las funciones que constantemente crean problemas serán notadas como tales por los pilotos y revisadas... con suerte.

¿Oveja negra = cisne negro?

Al comparar la letalidad de los accidentes inducidos por la automatización con los inducidos por el piloto, está prestando mucha atención a un aspecto muy pequeño de una historia muy grande. Como resultado, la respuesta directa a su pregunta (un simple 'Sí') seguramente no lo hará mucho más sabio.

Además, los accidentes inducidos por la automatización no siempre se deben a un mal funcionamiento de la automatización. Muy a menudo ocurren como resultado de la aplicación incorrecta de dispositivos de automatización que en sí mismos no funcionan mal, como en el caso de MCAS. De la misma manera, el error del piloto es a menudo la manera fácil y económica de no tener que explicar qué causó un accidente. ¿Recuerdas cómo incluso el famoso 'Milagro en el Hudson' se afirmó inicialmente que era el resultado de un error del piloto?

En general, la gran diferencia entre la toma de decisiones automatizada y el pilotaje se debe al hecho de que los pilotos son únicos. A veces puede ser difícil actualizar categóricamente todos los dispositivos automatizados de cierto tipo después de un mal funcionamiento de solo uno de ellos, pero aún se puede hacer. Hacer lo mismo con los pilotos es virtualmente imposible. Esto habla fuertemente a favor de la automatización, incluso en un mundo con pilotos generalmente altamente calificados, bien entrenados, actuales y competentes.

La afirmación, tal como se establece, es una generalización y, como tal, es verdadera. Habrá excepciones, pero cualquier argumento en contra de la automatización está condenado a morir pronto de todos modos, ya que las soluciones de aviación dependen cada vez más por completo de la automatización. Un número cada vez mayor de decisiones en vuelo se toman automáticamente, simplemente porque ningún ser humano puede ser capaz de tomarlas. Esto da paso a formas de volar que hasta ahora estaban estrictamente restringidas a la ciencia ficción. Si algo alguna vez podrá hacerte volar como Tinkerbell, es la automatización.

Por cierto, el accidente más mortal en la historia de la aviación, cuando un KLM Jumbo se estrelló contra un PANAM al despegar de Tenerife, fue causado por un error del piloto. Debes haber estado siguiendo desde bastante distancia para perderte ese.

Nunca se afirmó que el "Milagro en el Hudson" fuera un error del piloto; solo pensarías eso si tu único conocimiento fuera la película. Chesney Sullenberger obligó al estudio a inventar nombres alternativos para todos los investigadores de la película porque odiaba tanto que los calumniaran de esa manera. Ciertamente ha habido accidentes militares causados ​​por controles defectuosos que (falsamente) se atribuyeron a un error del piloto, sobre todo con los Chinooks de la RAF en la década de 1990, pero es mucho menos probable en la vida civil.
... Y el MCAS ciertamente funcionó mal, debido a un solo sensor defectuoso. Más que eso, el diseño era inherentemente defectuoso porque nada relacionado con los controles de vuelo debería depender de un solo sensor. Como ingeniero que ha trabajado en sistemas relacionados con la seguridad para automóviles, no toleraríamos los procesos de MCAS en la pantalla del tablero de un automóvil, y mucho menos en el controlador del motor de un automóvil; por lo que la idea de que algo diseñado de forma tan fundamentalmente incompetente pueda entrar en un avión es horrenda. No hay dos formas de evitarlo: MCAS fue la única causa, y los "ingenieros" deberían estar en la cárcel por asesinato.
@Graham Hay otras fuentes además de la película que se refieren a un desafío similar al que se presentó en la película, pero, sinceramente, ya no sé qué creer. Creo que la película dio una impresión generalmente falsa de la NTSB en cuanto al objetivo que persiguen, pero esa es mi opinión personal. Lo gracioso es que todavía funciona como una ilustración aquí.
@Graham El sensor que alimentaba datos al MCAS no funcionó correctamente. El entrenamiento no funcionó. El diseño falló. El proceso de certificación no funcionó correctamente. Pero el MCAS como en el propio dispositivo, nunca hizo nada que no se suponía que debía hacer. Personalmente, he estado muy metido en la historia del 737 MCAS. Pregúntale a cualquiera aquí :). Con el tiempo, he llegado a comprender que hay mucho más de lo que parece. Echarle la culpa a cualquier persona o grupo de personas es más peligroso que no culpar a nadie. Si tuviera que señalar con el dedo en alguna dirección, señalaría a la cultura.
Cierto, la cultura estaba rota. Pero como ingeniero, cualquier dispositivo en un sistema relacionado con la seguridad que no considere la consecuencia de la falla o la redundancia del sensor es defectuoso por definición, porque la falla de los sensores es una operación normal. Estoy completamente de acuerdo con usted en la cultura, porque una empresa relacionada con la seguridad que no piensa de esa manera hace que sea un problema más profundo que un solo elemento defectuoso. Sin embargo, no creo que eso absuelva a los ingenieros de responsabilidad, pero tal vez solo soy yo.
@Graham: Si los pilotos estuvieran debidamente capacitados para reaccionar ante un mal funcionamiento del MCAS, entonces el MCAS no habría sido un sistema crítico para la seguridad. Por otro lado, no entrenar a los pilotos para que reconocieran que el 737 Max tiene características de vuelo naturales diferentes a las del 737 podría haber causado fácilmente un accidente en algunas circunstancias en las que MCAS estaba funcionando tan bien como podía físicamente, pero las condiciones de vuelo estaban fuera de las rango donde el MCAS podría hacer que el avión se manejara como un 737.
Había cientos, si no miles, de personas que sabían que MCAS en el Max era una bomba de relojería por docenas de razones, mucho antes de que ocurrieran los accidentes. Algunos advirtieron, pero fueron silenciados, a menudo a expensas de su sustento y reputación. Nadie actuó para prevenir los choques porque nadie tenía ese trabajo. No hay una sola autoridad independiente disponible en la aviación capaz y dispuesta a prevenir de manera concluyente tal desastre. Ese hecho es una característica de la cultura. A la sociedad en su conjunto le toma un tiempo superar ser tan complaciente.
¿Hay más muertes en accidentes de aviones comerciales causadas por errores del piloto que por funciones automatizadas?
RespuestasAquíPolítica de privacidad1y, 0v