Accidente Spanair JK5022

Autores:
Lourdes Garca Fernndez
Francisco Jimnez Luque
Juan Diego Lpez Romero
Jos Manuel Muoz Sarmiento
Ral Morales Ortega
Carlos Romero Villarreal
Sandra Snchez Ligero
Vctor Manuel Villalba Corbacho

Sistemas de Aeronaves
4 Grado en Ingeniera Aeroespacial
Escuela Tcnica Superior de Ingeniera
Universidad de Sevilla

1.- Descripcin y operacin del Sistema de Aviso de Despegue inseguro de los

aviones de la serie MD-80.

El TOWS (Take Off Warning System) es una parte del sistema CAWS (Central Aural Warning
System), que avisa a la tripulacin de la aeronave mediante avisos sonoros en cabina ante
irregularidades en la operacin de los siguientes elementos durante el despegue:

Flaps

Slats

Frenos

Freno automtico

Dispositivos de ruptura de la sustentacin automticos (auto spoilers)

Dispositivos de ruptura de la sustentacin (spoilers)

Compensador del estabilizador horizontal (trim)

En caso de que se detecten anomalas en la configuracin de despegue, el TOWS emite

seales de alarma compuestas por una secuencia de tonos seguida de una voz sinttica que
anuncia la causa del problema. Estos avisos se darn si se cumplen las siguientes condiciones:
1.

El avin est en tierra, el TOWS, por su naturaleza, no da ningn aviso durante

el vuelo.
2.

Palancas de empuje adelantadas.

3.

Alguna de las siguientes condiciones se cumple:

Slats retrados.

Spoilers extendidos

Flaps no situados en configuracin de despegue o en desacuerdo con

lo que haya establecido el calculador de despegue.

Posicin del estabilizador horizontal en desacuerdo con la dada por el

calculador del despegue con una tolerancia de 1,5o.

Selector de freno automtico no situado en posicin de despegue con

los spoilers armados para el despegue.

Spoilers no armados para el despegue con el selector de freno

automtico en posicin de despegue.

Freno de aparcamiento no liberado.

Relacin con el accidente

El DFDR (Digital Flight Data Recorder) marc en todo momento entre la puesta en marcha de
los motores hasta el impacto de la aeronave contra el suelo un valor de deflexin de los flaps
de 0o.
Ante estas condiciones, el TOWS debera haber dado un aviso sonoro como el descrito
anteriormente, pero la grabacin del CVR (Cockpit Voice Recorder) no capt en ningn sonido
relacionado con este sistema, si bien s capt las alarmas del sistema de aviso de entrada en
prdida tras la rotacin (una bocina de aviso y una vibracin de la palanca de control).

2.- Descripcin y operacin del sistema de sensacin de Peso en Pata (tren

delantero) en el MD-80. Sistemas asociados al rel R2-5.

El sistema de sensacin de Peso en Pata (Ground sensing) detecta si la aeronave est

en tierra o en vuelo, y enva la informacin correspondiente a los sistemas cuyo
funcionamiento depende de dicha condicin.
La deteccin de la condicin de tierra o vuelo se realiza mediante tres interruptores
situados en el tren de aterrizaje delantero, un conjunto asociado de 20 rels en el
compartimento de avinica, y dos disyuntores de proteccin ubicados en la cabina de
vuelo.
Interruptores

Un interruptor en el tren de aterrizaje delantero con las siguientes

posiciones:
o

CERRADO/ON Tren de aterrizaje delantero extendido y

blocado.
o

ABIERTO/OFF Tren de aterrizaje delantero recogido.

Dos interruptores a izquierda y derecha del tren de aterrizaje delantero

con las siguientes posiciones:

o

CERRADO/ON Amortiguador comprimido. (Tierra)

ABIERTO/OFF Amortiguador extendido. (Vuelo)

El interruptor de tren de aterrizaje recogido-extendido est colocado en serie con el

interruptor izquierdo del amortiguador, de manera que en tierra alimentan un circuito
constituido por 11 rels, formando el conjunto izquierdo del sistema.
El interruptor derecho alimenta en tierra un circuito constituido por 9 rels,
formando el conjunto derecho del sistema.
Rels
Los rels se agrupan en 4 secciones (A, B, C y D) , cada una de ellas con 3
contactos (1, 2 y 3). En cada una de ellas se cierra el circuito entre los contactos 2 y 3
(En vuelo), y entre los contactos 1 y 2 (En tierra), mediante los cuales se enva la seal
de tierra-vuelo a los dems sistemas dependientes de dicha condicin.
Disyuntores
Un disyuntor por cada conjunto anteriormente descrito (K-33 para el conjunto
izquierdo, y L-33 para el conjunto derecho).
Protegen el circuito, y a travs de ellos el sistema recibe 115 V de corriente alterna.
Rel R2-5
El rel R2-5, que forma parte del conjunto izquierdo, transmite la seal de condicin
de tierra-vuelo a 4 sistemas:

Sistema de calefaccin del compartimento de avinica

(Seccin A del rel con 28 V de corriente continua)

Formado por 2 ventiladores, izquierdo y derecho.
Funcin del rel R2-5 (Junto con el rel R2-6): Indicacin del mensaje Radio
Fan Off del panel de indicador de techo (EOAP).

Sistemas de avisos al despegue (TOWS)

(Seccin B del rel con 28 V de corriente continua)

Avisos acsticos en cabina en caso de configuracin inadecuada en despegue.
Funcin del rel R2-5:
o

Unin de contactos 1 y 2: (Amortiguador del tren de aterrizaje

delantero comprimido) El rel habilita el TOWS.

o
TOWS.

Apertura de unin de contactos 2 y 3: (Vuelo) El rel inhabilita el

Sistema de calefaccin de pitots y sondas

(Seccin C del rel con 115 V de corriente alterna)

Formado por varios calentadores, cada uno con su funcionamiento
controlado por varios rels.
Funcin del rel R2-5:
Control de la sonda RAT (Ram Air Temperature heater), con funcionamiento
solo en vuelo.

Sistema de alimentacin cruzada de corriente alterna

(Seccin D del rel con 28 V de corriente continua)

Alimentacin de corriente alterna de distinta procedencia a las barras
izquierda y derecha.
Con el avin en tierra, habilita la alimentacin cruzada de los generadores de
los motores, inhabilitando la procedente de la APU.
Funcin del rel R2-5:
Inhibe la alimentacin cruzada en tierra de la barra izquierda cuando la
energa proviene de la APU, o de una fuente externa.

3.- Descripcin y operacin del sistema de calefaccin de la sonda de temperatura

de aire de impacto en el MD-80.

Definicin de la RAT.
En ocasiones se requiere de sistemas que den conocimiento del valor de la temperatura del
aire en el exterior para asegurar el funcionamiento de la aeronave en condiciones adecuadas.
Para ello, se mide la temperatura del aire de impacto (Ram Air Temperature RAT) mediante
una sonda (RAT probe) situada en la parte inferior derecha del fuselaje delantero.
La sonda tiene incorporado un calentador para evitar su bloqueo por formacin de hielo en
su interior. Este calentador est diseado para funcionar cuando la aeronave est en vuelo y
desconectarse cuando est en tierra. Los sistemas reciben la informacin de que la aeronave
est en tierra o en vuelo a travs del sistema de sensacin de tierra (ground sensing).

Funcionamiento.
Con el objeto de que el sistema calentador funcione, es necesario que el piloto conecte
un conmutador rotatorio. De esta forma, el calentador recibe alimentacin de corriente
alterna, a travs de un circuito que posee un disyuntor de proteccin. Este disyuntor se
encuentra en la posicin Z-29 del panel, detrs del asiento izquierdo de la cabina de vuelo,
bajo el nombre de Ram Air Temp & Probe Heater. El circuito de alimentacin est
conectado con el Rel R2-5, que es el encargado de interrumpir la corriente cuando el
avin este en tierra.
El indicador de la temperatura de la sonda para el piloto se sita en el panel central de
instrumentos de vuelo, (SDP), y un mal funcionamiento vendra dado por temperaturas
anormalmente altas.
A travs del disyuntor anteriormente comentado, tambin recibe corriente alterna el
panel del sistema de gestin del empuje automtico de los motores, que en el caso de que
no reciba corriente, quedar inoperativo y la relacin de presiones del motor deseada
deber introducirse manualmente.

Relacin con el accidente.

La hora estimada de salida eran las 13.00 h, as que, tras recibirse la autorizacin de control,
la aeronave se dirigi hasta la pista para el despegue. En ese momento, la tripulacin
comunic que tenan un problema y que deban abandonar la pista y retornar a la plataforma
de la terminal T2 de Barajas, desde donde haba salido. La tripulacin detect una indicacin
anormalmente alta de la temperatura de la RAT y demand la asistencia de tcnicos de
mantenimiento para resolver el problema.
El vuelo inmediatamente anterior no haba tenido problemas con la sonda, pero los valores
altos provocaron el aborto del despegue para que la aeronave fuera atendida por el personal
de mantenimiento.
El tcnico tras consultar la lista de equipamiento mnimo (MEL) decidi abrir el disyuntor Z29, dejando la calefaccin inoperativa, ya que no exista previsin de engelamiento en la ruta
Madrid-Las Palmas.

Previo al accidente.
Los datos del DFDR indican que se produjeron otros 3 casos, aparte de los otros 3
registrados, en los que la calefaccin de la sonda estuvo funcionando en tierra entre el da 18
de agosto y el da del accidente, y no fueron recogidos en el ATLB.
Los casos que s fueron anotados hacen referencia a las tareas de mantenimiento del 19 y 20
de agosto de 2008 por indicaciones altas de la RAT:
1.

El tcnico que atendi la primera avera, al comprobar la indicacin en cabina

de la temperatura, observ que no haba diferencias abruptas con un da normal de

verano en Madrid. Desconect y conect el disyuntor Z-29 para una segunda
comprobacin y palp la sonda, sin encontrar ninguna irregularidad. Adems, simul
condiciones d vuelo y comprob que la RAT cumpla su funcin.
2.

La segunda anotacin de la avera se da en el vuelo inmediatamente posterior.

El tcnico que revis el avin comprob, junto con posteriores revisiones de otros dos
tcnicos, que no haba corriente elctrica circulando por la resistencia de la sonda y
por tanto, no estaba presente la avera. De nuevo, no se pudo reproducir el fallo
descrito en el ATLB.
Conjuntamente, Spanair ya tena registrado 2 casos de alta temperatura en aviones de su
flota MD distintos al accidentado, uno el 1 de septiembre de 2006 y otro el 25 de mayo de
2008.

Conclusin.
Con el objeto de crear patrones de comportamiento y correlaciones para detectar el fallo, se
han estudiado los 6 casos indicados por el DFDR, llegndose a una serie de conclusiones:
-

Se intercalan periodos en los que la calefaccin de la sonda funciona

normalmente y otros en los que no funciona como debe.

-

La temperatura de la sonda disminuye al aumentar la velocidad de rodaje de la

aeronave en tierra, lo que dificulta su deteccin por las tripulaciones de vuelo.

-

Pueden haberse producido calentamientos indebidos de la sonda que hayan

pasado inadvertidos a las tripulaciones de vuelo y al personal de mantenimiento.

-

Las anomalas de alta temperatura de la sonda no siempre se reproducen.

La mayora (en torno al 80%) de las situaciones de calentamiento de la sonda que se conocen
han estado asociadas con una avera del R2-5. El rel del avin accidentado ha sido sometido a
una inspeccin visual, otra boroscpica, un examen radiolgicoetc. En la prueba funcional
realizada se ha detectado un comportamiento anmalo cuando permanece energizado a la

tensin nominal de 115V. Sin embargo, no se ha podido llevar a cabo el desmontaje completo
y, por lo tanto, no existe informacin concluyente que permita identificar el fallo de manera
exacta.

4.- Identificar cuando los pilotos, siguiendo las correspondientes Check list deben
realizar comprobaciones relacionadas con la configuracin de dispositivos
hipersustentadores al operar un MD-80.
Para cada modelo de avin se desarrolla un sistema de listas de comprobacin que permiten
verificar el correcto funcionamiento de una serie de sistemas antes de iniciar el vuelo. Estas
listas definen instrucciones que deben ser seguidas por las tripulaciones de vuelo, siendo la
compaa a la que pertenecen la que determina el momento en el que deben verificarse y el
modo en el que se debe proceder.

Procedimiento Spanair.

A continuacin se recogen las listas de comprobacin que deben completarse antes de

iniciar el vuelo para la serie MD-80 en la compaa Spanair y algunos de los requisitos que sta
exige para su finalizacin:

Requisitos
Listas
Cundo deben realizarse

Generales

Antes del primer vuelo

del

da

comandante

cuando
lo

el

estime

necesario.
La
Prestart

lista

completa

si

ambos pilotos abandonan la

aeronave en los relevos de
tripulacin o en las paradas
intermedias y exceptuando
los puntos sombreados si
uno de los pilotos permanece
a bordo.

Before start

Alter start

Taxi

Taxi off inminent

Se deben leer (piloto de la

derecha) y responder (piloto de la
izquierda) con voz alta y clara.
Deben emplearse los trminos
set o cheked como indicacin de
que un equipo opera con normalidad
o que se ha ajustado correctamente
el elemento revisado.
Se debe evitar el trmino as
required como respuesta.
Una vez completada cada lista
debe

pronunciarse

su

nombre

seguido de checklist completed.

Cada una de estas listas est asociada con diversos sistemas de la aeronave a travs de una
serie de puntos que marcan las acciones que se deben completar para revisarlos. As los
puntos que involucran a los dispositivos hipersustentadores son:

Punto n 49 de la lista Prestart. Correspondiente a la comprobacin del TOWS. Se

requiere accin de mantenimiento si no suena una bocina al realizar la comprobacin. Slo hay
que realizarlo obligatoriamente antes del primer vuelo del da.

Punto n 9 de la lista After Start (flaps/slats). Se trata de un punto que realiza el

copiloto seleccionando la deflexin de los flaps que se ha obtenido previamente en los clculos
de actuaciones y en el que ambos pilotos deben comprobar que la secuencia de luces de
indicacin de slats es correcta, si todo sale correctamente la respuesta a este punto es set
and checked. Hay que tener en cuenta que deben accionarse los flaps una vez que se haya
recibido la seal de que la zona est despejada.

Punto n 8 de la lista Taxi. Indica que se repasen las velocidades, empuje y flaps para

despegue, entre otros.

Punto n 6 de la lista Take off inminent. En l figuran los puntos de verificacin final,

se comprueban los parmetros y selecciones de elementos fundamentales para el despegue

entre los que se encuentran los indicadores de flaps y slats. El Manual de Operaciones no
aclara cmo debe completarse este punto con lo que es realizado por el copiloto de memoria y
en voz alta, sin que el comandante tenga que responder aunque ste deba comprobar que las
respuestas dadas se corresponden con la situacin real de los sistemas y con los valores
seleccionados de los ajustes.

Procedimiento Boeing.

En lo que respecta al procedimiento que debe seguirse antes de iniciar el vuelo para la serie
MD-80 en la compaa Boeing debe indicarse que igualmente est basado en el seguimiento
de una serie de listas de comprobacin que se recogen a continuacin junto con algunos de los
requisitos que se exigen para su finalizacin:
Requisitos
Listas

Cundo
realizarse

deben

Generales

Exploracin metdica (scan pattern) y aplicando

la tcnica DO-VERIFY.
Before Start

Deben leerse y responderse en voz alta y clara.

No se define la distribucin de tareas entre la
tripulacin de vuelo.
Deben emplearse los trminos set o cheked
como respuesta a la seleccin o a la configuracin del
equipo

Taxi

Se debe evitar el trmino as required como

respuesta.

Una vez completada cada lista debe pronunciarse

su nombre seguido de checklist completed.

Al igual que en caso anterior, cada lista se asocia con los sistemas de la aeronave a travs de
una serie de puntos que marcan las acciones que se deben completar para revisarlos. As los
puntos que involucran a los dispositivos hipersustentadores son:

Punto n 65 de la lista Before Start. Correspondiente a la comprobacin del TOWS.

Se requiere accin de mantenimiento si no suena al realizar la comprobacin.

Punto n 1 de la lista Taxi. Comprobacin de flaps y slats diciendo la seleccin

realizada. Se debe verificar que las luces de indicacin de slats siguen la secuencia correcta.

5.- Por qu se produce el accidente (causa/s, raz)?

Presentar de manera esquemtica y visual (Diagrama Tiempo -Suceso) en
el caso de que el accidente sea debido a la conjuncin de distintas causas.
Identificar en el diagrama los sucesos clave.
La causa directa del accidente es la ausencia de dispositivos hipersustentadores
desplegados a la hora de despegar, durante toda la carrera de despegue y el perodo que el
avin estuvo en el aire, los flaps y los slats se encontraban a 0. El hecho de no tener suficiente
superficie alar provoc que la aeronave entrase en prdida al alanzar unos 25 pies de altura.
Posteriormente el avin se precipit hacia tierra y se produjo el impacto, a continuacin se
incluye un diagrama temporal del accidente.

13:00

Hora estimada salida vuelo

13:13

Inicio de funcionamiento del DFDR

La grabacin indica que la T de la sonda RAT se increment de 56C a 104C

13:25

Autorizacin para despegar

Deteccin por parte de la tripulacin de la T de la sonda RAT, retorno a
plataforma.

13:42

El avin se encuentra detenido en la plataforma

Los ltimos datos del DFDR son la misma T y posicin
de flaps a 11

13:51

Conversacin recogida por el CVR en la que tripulacin,

miembros de Spanair y tcnicos mantienen conversacin
sobre el uso de hielo seco.

13:53

Se reconoce a un comandante muy preocupado por el retraso del

vuelo
El comandante y el tcnico de mantenimiento dan el visto bueno y
despachan el avin sin funcionamiento de la calefaccin de la RAT

13:54

El copiloto informa de que no se podra realizar un despegue flexible

Conversacin telefnica del copiloto en la que opina que hay que
cambiar de planes.

14:08

Autorizacin de ATC para puesta en marcha tras haber errado en el

canal de frecuencia.
Posible sntoma de tensin en la tripulacin

14:09

Comprobaciones Prestart y Before Start correctas

Arranque de motores y discusin en cabina sobre un despegue manual
o automtico

14:12

El comandante interrumpi el After Start antes del apartado

Flaps/Slats
Se discute otra vez sobre el tipo de despegue

14:14

Se recibe autorizacin para rodar

El DFDR detect valor de deflexin de flaps 0, parmetro que no vari
hasta el accidente

14:15

Lectura de lista de taxi

El comandante no responde al copiloto, posible sntoma de que solo
piensa en despegar

14:18

El piloto vuelve a repetir que no tendrn empuje automtico

14:22

Lectura de la lista de despegue inminente con respuesta del

comandante
Recomendacin de conectar el polito automtico por el piloto

14:23

Deteccin por parte de la tripulacin de que no funcionar el empuje

automtico, se realizar un despegue manual

14:24

Se activa la palanca del sistema avisador de entrada en prdida

El copiloto pregunta por fallo de motor y el comandante sobre el modo
de apagar el aviso

14:24

El empuje se redujo dos segundos hasta que las palancas se

adelantaron al mximo posteriormente
Se alcanzo EPR=2.15, que se mantuvo constante hasta el final

14:24

En cabina se solaparon los avisos de entrada en prdida con los de

proximidad a tierra
A las 14:24:24 se escuch el primer impacto contra el suelo

Como se aprecia en el diagrama, el accidente fue provocado por un cmulo de fallos, entre
los que se encuentran los debidos a componentes del avin y los que estn relacionados a
errores humanos:
COMPONENTES DEL AVION

La sonda RAT que marcaba la T tuvo fallos en das anteriores al vuelo del

accidente, en concreto se detectaron temperaturas anmalas en cinco ocasiones,

como consecuencia de estos hechos se realizaron labores de mantenimiento en dos
ocasiones.

El fallo en la sonda el da del accidente provoc el retraso, que conllevara

fallos humanos relacionados con la presin y el estrs.

El TOWS (que no presentaba redundancia) no emiti ningn aviso de que los

dispositivos hipersustentadores no estaban en situacin de despegue, una hiptesis

que se baraja en el informe es que este fallo estuviera provocado por el fallo del rel
R2-5.

ERRORES HUMANOS

Presin sobre la tripulacin de parte de Spanair en relacin al retraso, no es un

justificante de lo sucedido, pero sin embargo es una causa que perfectamente pudiera
desencadenar los dems fallos humanos.

No se comprob el correcto funcionamiento del TOWS antes de proceder al

despegue.

Olvido del accionamiento de la palanca de mando de los flaps y slats.

Errores por parte del comandante, omite algunos pasos de las Check Lists, y

contesta antes de que el copiloto lea los puntos de comprobacin, este hecho produjo
que la tripulacin no se percatase de la ausencia de flaps al estar desactivada la
indicacin del TOWS.

El manual de Boeing no explicaba explcitamente como actuar ante un fallo en

la RAT como el que sucedi, entonces mantenimiento abri el disyuntor z29 y dej
inoperativo el sistema de empuje automtico y la calefaccin de la sonda. El rel R2-5
no fue comprobado. No se tuvo en cuenta que, de ser el elemento que provoc el
fallo, su mal funcionamiento dejara al avin sin TOWS. Los antecedentes muestran
que el 80% de estos fallos se deban al rel 2-5.

6.- Resumir brevemente las Recomendaciones de Seguridad vertidas por los

expertos en el informe, vinculado cada una de ellas con uno o ms conceptos FailSafe identificados por la autoridad segn CS-25.1309.

Introduccin: Fail-Safe
El concepto Fail-Safe Design se enmarca dentro de las especificaciones necesarias para la
certificacin de aviones propulsados con motor de turbina: los requerimientos CS-25. La idea
es que debe existir una relacin inversa entre la probabilidad de que se d una Condicin de
Fallo (Failure Condition, de ahora en adelante denotada como FC) y su efecto en la
aeronave/ocupantes.

La anterior relacin invita a clasificar los tipos de FC en funcin de su probabilidad de

ocurrencia, tal y como se indica en la siguiente tabla (donde PMHV es la Probabilidad Media
por Hora de Vuelo):
Tipo de FC

Anticipacin de ocurrencia

Probable

- 1 o ms durante la vida de cada aeronave.

PMHV

- Poco probable en la vida de una aeronave concreta.

Remota

- Varias durante la vida total de un conjunto de

( , ]

aeronaves de un mismo tipo.

Extremadamente
Remota

- No se anticipa en la vida de una aeronave.

- Pocas durante la vida total de todo el conjunto de

( , ]

aeronaves de un mismo tipo.

Extremadamente
Improbable

- No se anticipa en la vida total de todo el conjunto de

aeronaves de un mismo tipo.

La norma CS-25.1309 establece las especificaciones que deben cumplir todos los equipos,
sistemas e instalaciones de la aeronave, con el objetivo de garantizar un nivel de seguridad
aceptable en el desempeo normal de sus actividades. En esta lnea, el concepto de Diseo a
Prueba de Fallos (Fail-Safe Design) es una forma de lograr un diseo seguro atendiendo a una
serie de conceptos y principios, que se detallan a continuacin:
-

Disear con integridad y calidad, para caracterizar el funcionamiento de cada

componente en las condiciones ms adversas con objeto de estimar su tiempo de vida til, y
as poder actuar antes del fallo.
-

Redundancia o Sistemas de Back-up.

Aislamiento y/o Segregacin de sistemas, componentes y elementos, para evitar que el

fallo de uno no provoque el fallo de otro.

-

Fiabilidad probada. Contar con suficientes datos en directo como para poder

garantizar que el funcionamiento del componente/elemento/sistema es el correcto.

-

Indicacin o alerta (Warning) de fallo en cabina.

Procedimientos de tripulacin, que especifiquen las decisiones y actuaciones a

desarrollar ante un fallo concreto.

-

Comprobabilidad. Ha de poderse comprobar el estado/condicin de cada componente.

Mrgenes o factores de seguridad, que contemplen/permitan condiciones

indefinidas/imprevistas.
-

Tolerancia del error que contemple los efectos adversos de posibles errores durante el

diseo, pruebas, fabricacin, operacin y mantenimiento de la aeronave.

-

Lmites del efecto de fallos anticipados. Se ha de establecer la capacidad de cada

componente de soportar dao, para as poder limitar el impacto del fallo en la seguridad.
-

Guiado de fallos anticipados, para controlar y dirigir los efectos de un fallo de forma

que se limite el impacto sobre la seguridad.

Recomendaciones de seguridad: relacin con el concepto Fail-Safe
Recomendacin 07/09: se recomienda a la FAA que establezca instrucciones obligatorias de
aeronavegabilidad para que se incluya en el manual de vuelo de las aeronaves afectadas la
comprobacin del sistema TOWS antes de cada vuelo, que hasta entonces solo se comprobaba
en el primer vuelo del da.
Dado que el sistema TOWS es un sistema de alerta (Take Off Warning System), es evidente
una directa vinculacin entre su correcto funcionamiento y el concepto de Indicacin/Alerta
de la filosofa Fail-Safe. A raz de este, se implica la necesidad de un sistema de comprobacin

(Checkability) del correcto funcionamiento del TOWS antes de cada vuelo (y no nicamente
del primer vuelo del da), dado el carcter verdaderamente crtico de este sistema.

Recomendacin 08/09: se recomienda a la EASA y a la FAA que requieran a Boeing que

evale las condiciones de funcionamiento, vida til, fiabilidad y los modos de fallo de los rels
en posicin R2-5 y defina un programa de mantenimiento basado en esa evaluacin. Se debe a
que hasta el momento no se haca un seguimiento de dicho rel sino que solamente cuando
fallaba se reemplazaba.
Para un buen diseo a prueba de fallos, dado que es un componente que interacciona con
sistemas crticos (TOWS), es necesario conocer su vida til en las condiciones ms adversas
(Diseo con integridad y calidad), as como su fiabilidad (Fiabilidad probada) y cmo se
comporta cuando falla para saber cmo afectara al resto de sistemas (Lmite de los efectos
del fallo anticipado). Adems un mantenimiento adecuado requerir de un sistema de
comprobacin (Checkability) para establecer los periodos de revisin y cmo se debe
proceder.

Recomendacin 09/09: se recomienda a la EASA y a la FAA que revisen los diseos de los
TOWS de aviones de transporte cuyas certificaciones no exigieran que dicho sistema estuviese
instalado o, estndolo, que el diseo no respondiese al de un sistema crtico de categora
esencial. Se eleva as al TOWS a la categora de sistema crtico, donde antes era simplemente
un sistema de back-up.
Como sistema crtico en una aeronave, ser necesario que haya ms de un TOWS
(Redundancia), garantizando adems que el fallo de uno no afecte al resto (Segregacin).
Tambin dichos sistemas precisarn de mejores diseos dado que son crticos (Diseo con
integridad y calidad).

Recomendacin 10/09: se recomienda a la EASA y a la FAA que revisen sus normativas CS-25
y FAR 25 para requerir que los TOWS no se inhabiliten debido a un fallo simple o que
proporcionen un aviso claro de fallo del sistema.
Dentro de la lnea del Fail-Safe Design, necesitamos establecer una cierta segregacin para
evitar que un fallo simple (el fallo del rel) se traduzca en un fallo del TOWS. Tambin se
precisa de un sistema de indicacin y alerta, que directamente nos permitir saber si el
sistema funciona o no, pues ya se ha eliminado la disyuntiva de si estaba en modo vuelo o
modo tierra al haber aislado el fallo del rel del fallo del TOWS; por ello, en modo tierra, los

nicos dos posibles estados del sistema sern el de correcto funcionamiento o el de fallo, en
cuyo caso se recibir una alerta en cabina del sistema que comentamos.

Recomendacin 11/09: se recomienda a la EASA que revise el material que acompaa a las
normas CS-25 para considerar los errores humanos asociados a los fallos en la configuracin de
despegue a la hora de justificar la necesidad de los TOWS y tambin que se analice si las
hiptesis que se emplean en la evaluacin de dichos sistemas durante la certificacin son
consistentes con la experiencia y lo aprendido de los accidentes.
Con la consideracin de los TOWS como sistema de back-up se dejaba al piloto como fuente
principal de la toma de decisiones y al TOWS como un simple indicador, por lo que un error del
piloto es potencialmente catastrfico; se requiere entonces que el TOWS se convierta en un
sistema esencial para as poder subsanar el fallo humano. Tambin se pide que la normativa de
certificacin sea continuamente revisada para poder incluir nuevas hiptesis que surjan de la
experiencia que se vaya teniendo.
En la lnea del Fail-Safe Design hay que considerar los efectos negativos (una configuracin
errnea al despegue) ante posibles errores, en este caso, fallos humanos (Tolerancia al error);
por ello este sistema debe pasar a ser un sistema crtico de carcter esencial, con la
consecuente redundancia y segregacin del mismo. De la propia experiencia se extraern
nuevos fallos humanos o del sistema que no se hayan tenido en cuenta previamente, por lo
que es imprescindible que se siga actualizando el know-how. De esta manera se intenta limitar
el alcance de un error humano, de forma que no conlleve un gran impacto sobre la seguridad
(Guiado de los fallos anticipados).

Recomendacin 12/09: se recomienda a la OACI, a la FAA y a la EASA que promuevan una

conferencia a nivel mundial en el que participen todas las empresas e instituciones del mbito
del transporte areo para elaborar directrices de mejores prcticas a la hora de disear listas
de comprobacin, el entrenamiento del personal y la mejora de los procedimientos en las
cabinas de vuelo, para asegurar que las tripulaciones configuran adecuadamente la aeronave
en despegue y aterrizaje.
Debido al carcter crtico del despegue y del aterrizaje, es completamente necesario que la
tripulacin tenga un buen conocimiento de los procedimientos a realizar y que estos sean
rigurosamente elaborados para disminuir al mximo cualquier fallo humano (Procedimientos
de tripulacin). Ha de contemplarse, a su vez, un margen de error asociado a la condicin
humana y al volumen de trabajo que desarrolla la tripulacin durante despegue y aterrizaje
(Tolerancia al error).

Recomendacin 13/09: se recomienda a la EASA que recopile resultados de estudios y

trabajos desarrollados, instrucciones y directrices elaboradas por autoridades de aviacin civil
sobre diseo de listas de comprobacin y metodologa de trabajo en cabinas de vuelo, y les d
mxima difusin, de forma que operadores, fabricantes y autoridades nacionales europeas
dispongan de referencias claras y estn puestos en el estado del arte.
En la lnea del anterior punto, son imprescindibles unos procedimientos de tripulacin claros
e infranqueables. Para ello, es necesario que se diseen con la mejor calidad posible y por lo
que es necesario contar con la mxima cantidad de informacin y de la ms rigurosa actualidad
(Diseo de calidad).