Resumen
- El MCAS del Boeing 737 MAX pertenece a un expediente de riesgo y responsabilidad porque las investigaciones posteriores al vuelo 610 de Lion Air y al vuelo 302 de Ethiopian Airlines centraron la atención pública y regulatoria en los supuestos de diseño, la carga de trabajo del piloto, la delegación de certificación, el entrenamiento, las alertas en cabina y la evidencia necesaria para que un tipo de aeronave en tierra regrese al servicio.
- La cuestión central de responsabilidad es quién tenía el control práctico sobre el diseño del MCAS, la dependencia del sensor de ángulo de ataque, el análisis de fallos, la evaluación de factores humanos, la divulgación en la certificación, el entrenamiento de pilotos, la supervisión regulatoria, la implementación por las aerolíneas y la prueba de que la reparación para el retorno al servicio cambió el riesgo en lugar de solo modificar la documentación.
- La página de recomendaciones de seguridad de la NTSB enhttps://www.ntsb.gov/news/press-releases/Pages/NR20190926.aspxy el informe enhttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdf, la página de investigación del Comité de Transporte de la Cámara enhttps://democrats-transportation.house.gov/committee-activity/boeing-737-max-investigationy el informe enhttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdf, el resumen de retorno al servicio de la FAA enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdf, el informe del Comité Especial del DOT enhttps://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdf, la directiva de aeronavegabilidad de la FAA enhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesy el anuncio de resolución penal del DOJ de 2021 enhttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billionson las fuentes públicas principales.
- La evidencia internacional también es importante: el informe de la Revisión Técnica Conjunta de Autoridades enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdf, el informe final de la KNKT de Indonesia sobre Lion Air enhttps://knkt.go.id/Repo/Files/Laporan/Penerbangan/2018/KNKT.18.10.35.04-Final-Report.pdf, el informe de la Oficina de Investigación de Accidentes de Etiopía enhttps://reports.aviation-safety.net/2019/20190310-0_B38M_ET-AVJ.pdf, los materiales de retorno al servicio de EASA enhttps://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-servicey la directiva de retorno al servicio de Transport Canada enhttps://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-servicehacen que el caso sea global y no solo estadounidense.
- Este artículo trata los materiales de reguladores, investigadores, el Congreso y el DOJ como evidencia pública, utiliza las presentaciones de Boeing ante la SEC y los materiales de seguridad como contexto de la empresa, y no afirma tener acceso a archivos de ingeniería no públicos, conjuntos de datos de simuladores, deliberaciones regulatorias, registros de entrenamiento de aerolíneas, grabaciones de cabina más allá de los informes oficiales o comunicaciones con las familias de las víctimas.
Por qué este caso pertenece a un expediente de riesgo y responsabilidad
La crisis del MCAS del Boeing 737 MAX pertenece a un expediente de riesgo y responsabilidad porque se encuentra en la intersección del diseño, la certificación, el entrenamiento, la delegación, los factores humanos, la presión del mercado, la confianza regulatoria, la implementación por las aerolíneas y la seguridad de los pasajeros. La automatización de seguridad crítica no es una característica de software normal. Cambia quién asume el riesgo en la cabina y quién comprende ese riesgo antes de que la aeronave sea aprobada para el servicio.
Cuando la automatización puede mover las superficies de control de vuelo en respuesta a la entrada de sensores, la evidencia sobre los supuestos de diseño, la tolerancia a fallos, el reconocimiento del piloto, el entrenamiento y la divulgación regulatoria pasa a formar parte del propio sistema de seguridad.
El registro público es inusualmente grande. El informe de recomendaciones de seguridad de la NTSB enhttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfse centró en los supuestos sobre la respuesta del piloto a la activación no comandada del MCAS y los efectos relacionados en la cabina. El informe del Comité de Transporte de la Cámara enhttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdfdescribió un patrón de fallos más amplio que involucraba a Boeing y la supervisión de la FAA. El resumen de retorno al servicio de la FAA enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplica las acciones correctivas y el proceso de revisión utilizados para la aeronave en tierra. La directiva de aeronavegabilidad del Registro Federal enhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplaneses una norma oficial que requiere acciones correctivas antes de la operación. El anuncio del DOJ enhttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billiones un registro de resolución penal sobre la conducta de Boeing en relación con el Grupo de Evaluación de Aeronaves de la FAA.
Por lo tanto, la cuestión de la responsabilidad no es abstracta. ¿Quién tenía el control práctico sobre los supuestos de diseño del MCAS, la dependencia de un solo sensor, las alertas, la carga de trabajo del piloto, la delegación de certificación, los requisitos de simulador y entrenamiento, el análisis de fallos, la divulgación en los manuales, la revisión regulatoria, el cumplimiento por parte de las aerolíneas y la prueba de retorno al servicio? Boeing tenía control sobre el diseño y la evidencia interna. La FAA tenía autoridad de certificación y supervisión.
Las aerolíneas controlaban la implementación del entrenamiento y la operación dentro de sus sistemas regulatorios. Los reguladores internacionales controlaban la aceptación o la revisión independiente en sus jurisdicciones. Los pilotos y pasajeros tenían la menor capacidad para inspeccionar el diseño subyacente y el registro de certificación.
El caso también pertenece aquí porque la reparación tenía que ser verificable. Un tipo de aeronave en tierra puede regresar al servicio solo si los reguladores y el público pueden confiar en la corrección. Esa confianza no puede depender únicamente de la reputación de la marca. Debe depender de cambios de software, acciones de cableado y visualización cuando sea necesario, revisiones de entrenamiento, procedimientos operativos, revisión regulatoria, coordinación internacional y monitoreo operativo continuo. Por lo tanto, el archivo público trata sobre evidencia.
Los accidentes convirtieron los supuestos de automatización en un problema de seguridad pública
El vuelo 610 de Lion Air se estrelló el 29 de octubre de 2018, y el vuelo 302 de Ethiopian Airlines se estrelló el 10 de marzo de 2019. Juntos, murieron 346 personas. Los informes oficiales de accidentes y las recomendaciones de seguridad hicieron que el MCAS, los datos del ángulo de ataque, la carga de trabajo del piloto, las alertas, el mantenimiento, el entrenamiento y los supuestos de certificación fueran centrales en el registro público. Este artículo no reemplaza esos informes oficiales de accidentes.
Los utiliza para enmarcar la cuestión de la responsabilidad: ¿cómo es posible que una ruta de automatización de seguridad crítica se certificara de una manera que dejó a las tripulaciones, las aerolíneas, los reguladores y los pasajeros expuestos a supuestos que luego tuvieron que ser revisados?
El informe de la KNKT de Indonesia enhttps://knkt.go.id/Repo/Files/Laporan/Penerbangan/2018/KNKT.18.10.35.04-Final-Report.pdfy el informe de Etiopía enhttps://reports.aviation-safety.net/2019/20190310-0_B38M_ET-AVJ.pdfson centrales porque documentan secuencias y hallazgos específicos de los accidentes. El informe de la NTSB enhttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfañade un marco de recomendación de seguridad de EE. UU., centrándose en cómo las evaluaciones de seguridad del sistema deben considerar la respuesta del piloto, las múltiples alertas y la forma en que las condiciones de fallo se presentan en las cabinas reales. Estas fuentes son diferentes tipos de evidencia, pero juntas muestran que el problema no era simplemente un defecto de software aislado.
La automatización de seguridad crítica falla peligrosamente cuando los supuestos de diseño sobre el comportamiento humano son demasiado optimistas. Un piloto en una emergencia no está leyendo un memorando de diseño. La tripulación está gestionando la carga de trabajo, las alarmas, el comportamiento de la aeronave, los elementos de memoria, las listas de verificación, el control de tráfico aéreo, los efectos de sobresalto y la información incompleta. Si una evaluación de seguridad supone una respuesta rápida y correcta del piloto ante una condición de fallo, la evidencia debe justificar ese supuesto en condiciones realistas.
Los materiales públicos de la NTSB hacen visible este principio.
La cuestión de la responsabilidad no es si los pilotos deben estar entrenados y ser competentes. Por supuesto que deben. La cuestión es si el diseño de la aeronave, los manuales, el entrenamiento, las alertas y la evaluación regulatoria dieron a los pilotos una oportunidad justa y oportuna de reconocer y gestionar el modo de fallo. Si la automatización podía ordenar repetidamente el movimiento del estabilizador hacia abajo basándose en una entrada errónea, entonces la evidencia de diseño tenía que tener en cuenta el fallo del sensor, la presentación de alertas, la carga de trabajo y el tiempo de recuperación.
Eso es un problema de responsabilidad del fabricante y del regulador, no solo de entrenamiento de la aerolínea.
La delegación de certificación convirtió la confianza en una superficie de control
El caso del 737 MAX también pertenece al expediente de responsabilidad porque la delegación de certificación se convirtió en un problema público. La certificación de aeronaves modernas se basa en el fabricante, el regulador, los representantes delegados, la documentación técnica y las demostraciones de cumplimiento estructuradas. La delegación puede ser eficiente y necesaria en un sistema de aviación complejo.
También crea un límite de confianza: el regulador debe saber lo suficiente para desafiar al fabricante, y el fabricante debe divulgar lo suficiente para que el regulador comprenda las implicaciones de seguridad de las decisiones de diseño.
El informe de la Cámara enhttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdfes directo sobre las fallas de supervisión y la presión dentro del proceso de certificación. El informe del Comité Especial del DOT enhttps://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdfrevisa la certificación de aeronaves de la FAA y el sistema de Autorización de Designación de Organizaciones. El informe de la Revisión Técnica Conjunta de Autoridades enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdfañade la perspectiva de los reguladores internacionales sobre la certificación, los supuestos y el flujo de información. Estas fuentes convierten la certificación en una superficie de responsabilidad.
La inferencia respaldada es que el control práctico estaba distribuido, pero no de manera uniforme. Boeing tenía el conocimiento de diseño más detallado. La FAA tenía autoridad legal y responsabilidad de certificación. El personal delegado operaba dentro de una estructura que dependía de la independencia, la competencia, la divulgación y la escalada. Las aerolíneas y los pilotos confiaban en los manuales, el entrenamiento y las aprobaciones operativas resultantes. Los pasajeros confiaban en todo lo anterior sin ningún control directo.
El registro público no permite que un lector externo inspeccione todos los correos electrónicos de ingeniería, cada reunión de certificación, cada ejecución de simulador o cada versión de evaluación de seguridad interna. Esos siguen siendo parcialmente desconocidos. Pero los informes oficiales son suficientes para decir que la evidencia de certificación debe tratarse como infraestructura de seguridad. Si la evidencia es incompleta, si el conocimiento del regulador es parcial, o si la delegación debilita el desafío independiente, el riesgo se transfiere a personas que no pueden ver la prueba faltante.
El MCAS hizo que la categorización de la automatización fuera peligrosa
El problema de responsabilidad en torno al MCAS es en parte un problema de categorización. La automatización puede tratarse como una limitación limitada, una característica de asistencia al piloto, una ley de control de vuelo, una corrección de características de manejo, un problema de entrenamiento o un sistema de seguridad crítica dependiendo de cómo se describa y evalúe. Las palabras importan porque influyen en la evaluación de peligros, los requisitos de redundancia, el contenido de los manuales, el entrenamiento en simulador, la conciencia del piloto, el escrutinio regulatorio y los procedimientos operativos de las aerolíneas.
El resumen de retorno al servicio de la FAA enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplica las acciones correctivas posteriores a la puesta en tierra, incluidos los cambios en la lógica del MCAS y los requisitos de entrenamiento de pilotos. La AD del Registro Federal enhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesrequería actualizaciones de software, lógica revisada del ordenador de control de vuelo, ciertas pruebas del sistema, procedimientos operativos revisados del Manual de Vuelo de la Aeronave y otras acciones antes de la operación. Ese registro de reparación es importante porque muestra que la respuesta de retorno al servicio trató el MCAS y los efectos relacionados en la cabina de vuelo como algo que requería una corrección formal.
La inferencia respaldada es que la categorización previa al accidente subestimó el papel práctico de seguridad del MCAS. Esto no requiere adivinar la intención privada. Se deduce del hecho público de que los reguladores pusieron en tierra la aeronave y posteriormente requirieron acciones correctivas específicas antes del retorno al servicio. Si una característica requiere rediseño de software, revisión de entrenamiento y procedimientos exigidos por el regulador después de dos accidentes, era de seguridad crítica en la práctica, independientemente de que la comunicación anterior la hiciera parecer limitada.
Esto es importante para la automatización futura. Los diseñadores pueden preferir describir la automatización de manera restrictiva para evitar la carga de entrenamiento, la demora en la certificación, el costo o la resistencia del cliente. Los reguladores pueden confiar en etiquetas de categorías anteriores. Las aerolíneas pueden preferir habilitaciones de tipo comunes y un entrenamiento de transición minimizado. Pero los pasajeros necesitan que la característica sea evaluada por sus consecuencias de fallo, no por la conveniencia comercial.
El caso del 737 MAX muestra por qué la disciplina de categorización es parte de la gobernanza de la seguridad.
El entrenamiento y la divulgación en los manuales no eran detalles administrativos
El entrenamiento y los manuales a veces se tratan como implementación secundaria. En este caso, eran centrales. Si un sistema puede ordenar el movimiento de la aeronave en una condición rara pero de alta consecuencia, las tripulaciones necesitan conocimiento utilizable. Eso no significa que los pilotos necesiten memorizar cada línea de software. Significa que necesitan suficiente información para reconocer el comportamiento del sistema, aplicar el procedimiento correcto y entender por qué la aeronave se está comportando como lo hace. La divulgación en los manuales y el entrenamiento son, por lo tanto, parte del sistema de control.
El anuncio del DOJ de 2021 enhttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billionestablece que Boeing fue acusado de conspiración para defraudar a los Estados Unidos y acordó pagar más de 2.500 millones de dólares en virtud de un acuerdo de enjuiciamiento diferido relacionado con el Grupo de Evaluación de Aeronaves de la FAA. Este artículo utiliza esa fuente como un registro oficial de resolución penal. No la extiende a afirmaciones no respaldadas sobre todos los empleados de Boeing o cada comunicación de certificación. El punto cuidadoso es que la información de entrenamiento y evaluación se volvió lo suficientemente importante como para aparecer en un registro de resolución penal.
La investigación de la Cámara y el informe de la NTSB también muestran por qué la divulgación es importante. Si la información del MCAS no es completamente visible para los pilotos y las aerolíneas, el caso de seguridad operativa depende de que las tripulaciones diagnostiquen un modo de fallo sin conocer la ruta de automatización. Si los evaluadores de entrenamiento regulatorio no están completamente informados, la decisión de entrenamiento en sí misma puede estar distorsionada. Si las aerolíneas reciben una comprensión incompleta, no pueden implementar adecuadamente el entrenamiento o los controles de riesgo.
Si los pasajeros abordan aeronaves basándose en la confianza en la certificación, cargan con las consecuencias de esas brechas de información.
El entrenamiento también es un problema de equidad global. Las aerolíneas operan en diferentes sistemas regulatorios, con diferentes recursos de entrenamiento, acceso a simuladores, idiomas y entornos operativos. Un enfoque de certificación que minimice el entrenamiento puede reducir costos y acelerar la aceptación en el mercado, pero también puede transferir complejidad a las cabinas. El registro público después de los accidentes hizo visible esa transferencia.
El retorno al servicio fue un proceso de evidencia, no un reinicio de reputación
El proceso de retorno al servicio de la FAA es central porque fue el mecanismo de reparación público. El resumen de la FAA enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplica que la FAA revisó los cambios propuestos por Boeing y exigió acciones de diseño, procedimiento y entrenamiento. La AD enhttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplaneshizo que acciones específicas fueran legalmente requeridas para los operadores de EE. UU. El anuncio de retorno al servicio de EASA enhttps://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-servicey la directiva de retorno al servicio de Transport Canada enhttps://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-servicemuestran que los reguladores internacionales realizaron sus propios procesos en lugar de tratar la acción de EE. UU. como la única evidencia.
El expediente de responsabilidad debe juzgar el retorno al servicio como evidencia, no como marketing. Las preguntas relevantes son concretas. ¿Qué cambió en la lógica del MCAS? ¿Cómo utilizó el sistema las entradas de los sensores después de la reparación? ¿Qué alertas o procedimientos en cabina cambiaron? ¿Qué entrenamiento de pilotos se requirió? ¿Qué verificaciones de mantenimiento o cableado se requirieron? ¿Cómo probaron los reguladores la reparación? ¿Cómo la implementaron las aerolíneas? ¿Cómo se prepararon las aeronaves en almacenamiento? ¿Cómo se pusieron al día los pilotos?
¿Cómo se monitorearon los nuevos hallazgos después del retorno?
Los registros regulatorios públicos responden algunas de estas preguntas a un alto nivel. No divulgan todos los artefactos de prueba, escenarios de simulador, documentos de trabajo de ingeniería interna, registros de finalización de entrenamiento de aerolíneas o deliberaciones de reguladores internacionales. Esos son desconocidos restantes. Pero la documentación de retorno al servicio es una evidencia pública mucho más sólida que una simple garantía de la empresa. Muestra el tipo de reparación verificable que exige la automatización de seguridad crítica.
La lección es que la reparación debe cambiar el sistema, no solo la narrativa. Una aeronave en tierra no puede regresar porque se solicite confianza. Regresa porque los reguladores, expertos técnicos y operadores pueden señalar cambios requeridos y evidencia de cumplimiento. Esa es la diferencia entre normalización y reparación.
Hechos confirmados, inferencia respaldada e incógnitas
Los hechos públicos confirmados incluyen que el vuelo 610 de Lion Air y el vuelo 302 de Ethiopian Airlines se estrellaron, que murieron 346 personas, que el 737 MAX fue suspendido a nivel mundial, que las investigaciones oficiales y las recomendaciones de seguridad abordaron el MCAS y los problemas relacionados de certificación y factores humanos, que la FAA y los reguladores internacionales requirieron acciones antes del retorno al servicio, y que el DOJ anunció un acuerdo de enjuiciamiento diferido y sanciones financieras en 2021 relacionadas con las interacciones de Boeing con el Grupo de Evaluación de Aeronaves de la FAA.
Los hechos públicos confirmados también incluyen que la FAA emitió una directiva de aeronavegabilidad que requiere acciones correctivas antes de la operación en EE. UU.; que la FAA publicó un resumen de retorno al servicio; que la NTSB emitió recomendaciones de seguridad; que el Comité de Transporte de la Cámara emitió un informe de investigación; que el Comité Especial del DOT revisó los procesos de certificación; que la Revisión Técnica Conjunta de Autoridades emitió hallazgos; y que reguladores internacionales como EASA y Transport Canada publicaron decisiones de retorno al servicio.
La inferencia respaldada incluye la conclusión de que los supuestos de diseño del MCAS, la dependencia del sensor de ángulo de ataque, la carga de trabajo del piloto, la divulgación en entrenamiento y manuales, la delegación de certificación, la presión organizativa, el flujo de información regulatoria, la implementación por las aerolíneas y la evidencia de retorno al servicio fueron superficies de responsabilidad centrales. Esta inferencia se deriva de informes públicos oficiales y acciones regulatorias. No requiere acceso a archivos de diseño privados.
Quedan incógnitas. Las fuentes públicas no revelan todos los debates internos de diseño de Boeing, cada comunicación de gestión, cada decisión de certificación delegada, cada deliberación regulatoria, cada conjunto de datos de simulador, cada registro de entrenamiento de aerolínea, cada comunicación con las familias de las víctimas, cada registro de mantenimiento más allá de los informes oficiales de accidentes o cada resultado de monitoreo a largo plazo después del retorno al servicio. Las fuentes públicas tampoco justifican afirmaciones generales sobre la intención o el conocimiento de cada ingeniero, regulador, gerente, aerolínea o piloto.
Por lo tanto, la afirmación de responsabilidad debe ser institucional y basada en evidencia, no difamatoria ni especulativa.
Los factores humanos fueron el centro del caso de seguridad
Las recomendaciones públicas de la NTSB son importantes porque enmarcan el problema en términos de factores humanos. Una evaluación de seguridad que supone una respuesta oportuna del piloto debe tener en cuenta lo que los pilotos realmente ven, oyen, sienten y entienden bajo estrés. En los accidentes del MAX, los efectos en cabina incluyeron alertas, comportamiento de la aeronave, carga de trabajo y el desafío de diagnosticar la ruta de fallo. Un diseño que parece manejable de forma aislada puede ser mucho más difícil de manejar cuando múltiples señales compiten por la atención.
Los factores humanos a veces se tratan como más blandos que el software o el hardware. Eso es un error. En los sistemas de seguridad crítica, el ser humano es parte del límite del sistema. Si la automatización depende de que la tripulación reconozca una condición, la evidencia de diseño debe demostrar que ese reconocimiento es realista. Si un procedimiento depende de la memoria, la evidencia debe mostrar que es robusto bajo carga de trabajo. Si una alerta está ausente o no es estándar, la evidencia debe mostrar cómo la tripulación sabrá lo que está sucediendo.
Si el entrenamiento omite un sistema, la evidencia debe mostrar por qué la omisión es segura.
El informe de la NTSB enhttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfy el resumen de retorno al servicio de la FAA enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfson útiles juntos porque uno enmarca los problemas de recomendación de seguridad y el otro enmarca las acciones correctivas. Un expediente de responsabilidad completo conectaría esas dos capas: qué supuestos fallaron, qué cambios de diseño y entrenamiento los corrigieron, cómo los reguladores probaron los cambios y cómo las aerolíneas verificaron la implementación.
Los factores humanos también afectan la responsabilidad de los sistemas futuros. A medida que las aeronaves se vuelven más automatizadas, más conectadas y más definidas por software, la línea entre la acción del piloto y el comportamiento de la automatización puede volverse menos visible. Si una tripulación no puede saber por qué la aeronave está actuando, la tripulación no puede ser el único respaldo de seguridad. El fabricante y el regulador deben demostrar que el comportamiento de la automatización es comprensible, acotado y recuperable.
La delegación no puede funcionar sin un desafío independiente
La delegación de certificación no es inherentemente irresponsable. Es una respuesta práctica a la complejidad técnica y la carga de trabajo del regulador. Pero la delegación solo es responsable cuando preserva el desafío independiente. El regulador debe recibir información sustancial. El personal delegado debe poder plantear inquietudes. El fabricante no debe permitir que el costo, el cronograma o los objetivos del mercado supriman la evidencia de seguridad. El sistema de supervisión debe detectar cuando el riesgo práctico de una característica supera su categorización inicial.
El informe del Comité Especial del DOT enhttps://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdfy el informe JATR enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdfson importantes porque miran más allá de una función de software. Preguntan cómo deberían funcionar las estructuras de certificación, los supuestos y los flujos de información. El informe de la Cámara añade hallazgos y críticas del Congreso. Juntas, estas fuentes hacen que la responsabilidad institucional sea más clara de lo que lo haría una narrativa puramente técnica.
El desafío independiente tiene varias pruebas prácticas. ¿Sabía el regulador lo suficiente sobre la autoridad del MCAS, las condiciones de activación y las consecuencias de fallo? ¿Tenían los representantes delegados suficiente independencia? ¿Consideraron las evaluaciones de seguridad la carga de trabajo realista de la tripulación? ¿Recibieron los evaluadores de entrenamiento información precisa? ¿Recibieron los clientes de las aerolíneas suficientes detalles operativos? ¿Tenían los reguladores internacionales motivos para confiar en la certificación original? ¿Distorsionó algún objetivo comercial o de cronograma el caso de seguridad?
Los informes oficiales abordan muchas de estas preguntas a nivel público.
Las incógnitas siguen siendo importantes. Un lector público no puede reconstruir cada reunión o motivo subjetivo. Por lo tanto, el expediente de responsabilidad debe evitar afirmaciones que vayan más allá de los hallazgos oficiales. Aun así, puede decir que el sistema de delegación no produjo una confianza pública adecuada y tuvo que ser revisado y reparado.
Las víctimas y los pasajeros son las partes interesadas con menos poder
Un análisis de riesgo y responsabilidad debe mantener visible la distribución del poder. Boeing diseñó y comercializó la aeronave. La FAA la certificó. Las aerolíneas la compraron, entrenaron, mantuvieron y operaron. Los reguladores de todo el mundo la aceptaron, pusieron en tierra, revisaron y devolvieron al servicio. Los pasajeros y las familias no eligieron la arquitectura del MCAS, el diseño de entrada del sensor, el alcance del entrenamiento, la delegación de certificación ni los criterios de retorno al servicio. Soportaron las consecuencias finales.
Ese desequilibrio es importante para la reparación y la evidencia. Las familias de las víctimas necesitan más que jerga técnica. Necesitan un registro público veraz, responsabilidad legal, cambios de seguridad y la prueba de que el mismo camino no puede repetirse. Los pasajeros necesitan confianza en que el tipo de aeronave regresó al servicio mediante evidencia independiente, no presión. Las tripulaciones necesitan entrenamiento y documentación que respeten la realidad de la cabina. Las aerolíneas necesitan información de certificación y del fabricante que no oculte la automatización operativamente relevante.
Los reguladores necesitan sistemas que apoyen el escepticismo y la profundidad técnica.
La resolución del DOJ, la investigación de la Cámara, los informes de accidentes, la AD de la FAA, los documentos de retorno al servicio y las acciones de los reguladores internacionales son todas piezas de esa evidencia pública. Ninguna de ellas es completa por sí sola. Juntas, muestran que la responsabilidad de la seguridad del transporte es multicapa: investigación, ejecución, reparación de certificación, reparación de entrenamiento, implementación operativa y gobernanza a largo plazo.
Este caso también muestra por qué las disculpas y la compensación no sustituyen la reparación de la seguridad. Las sanciones monetarias y los acuerdos pueden abordar la responsabilidad legal. No prueban por sí mismos que la automatización sea segura. La reparación debe ser visible en el diseño, la certificación, el entrenamiento y la supervisión. Ese es el estándar de reparación verificable.
El gobierno corporativo y la presión del mercado pertenecen al expediente
Las presentaciones públicas de Boeing ante la SEC proporcionan contexto comercial y de riesgo, incluida la fabricación aeroespacial, la certificación, la seguridad, la reputación, los litigios, los riesgos regulatorios y operativos. El navegador de presentaciones de la SEC enhttps://www.sec.gov/edgar/browse/?CIK=12927&owner=excludey el punto de acceso a informes anuales de Boeing enhttps://investors.boeing.com/investors/financial-reports/default.aspxson útiles para el contexto de empresa pública, aunque no sustituyen los informes de accidentes ni los hallazgos regulatorios. La crisis del MCAS afectó la confianza en el producto, las entregas, las relaciones con los clientes, la confianza regulatoria, la exposición financiera y el gobierno corporativo.
La presión del mercado importa porque los programas de aeronaves operan bajo restricciones de costo, cronograma, cliente y competencia. Una empresa puede tener fuertes incentivos para minimizar las diferencias de entrenamiento, preservar la comunalidad, evitar demoras en las entregas y satisfacer las expectativas de las aerolíneas. Esos incentivos no son inherentemente inapropiados. Se convierten en problemas de responsabilidad si influyen en la evidencia de seguridad, la divulgación o la evaluación regulatoria.
Las investigaciones públicas plantearon repetidamente la relación entre la presión comercial y las decisiones de seguridad como parte del registro más amplio.
El artículo no debe afirmar que todas las personas actuaron con un motivo inapropiado. Debe decir que la gobernanza de la seguridad debe diseñarse para resistir la presión comercial. Eso significa revisión de seguridad independiente, acceso del regulador a información sustancial, derechos de escalada para los ingenieros, documentación de supuestos, implicaciones de entrenamiento transparentes y supervisión del consejo de administración sobre la cultura de seguridad. En una empresa de productos de seguridad crítica, el gobierno corporativo debe ser lo suficientemente técnico como para importar.
La lección a largo plazo es que la cultura de seguridad no puede vivir solo en lemas. Tiene que aparecer en los registros de decisiones. Cuando el fallo de un sistema puede matar personas, la empresa debería poder mostrar quién era el propietario del análisis de peligros, quién desafió los supuestos, quién aprobó las consecuencias del entrenamiento, quién informó a los reguladores y quién verificó la reparación. Si esa evidencia falta o es incompleta, la confianza no se gana.
Los reguladores internacionales hicieron global la reparación
El 737 MAX no era solo un programa de aeronaves estadounidense. Daba servicio a aerolíneas y pasajeros de todo el mundo, y la suspensión se volvió global. Por lo tanto, los reguladores internacionales tenían sus propias obligaciones de responsabilidad. Tenían que decidir si aceptar el trabajo de la FAA, realizar una revisión adicional, imponer sus propias condiciones, coordinar cambios de entrenamiento y comunicarse con las aerolíneas y el público en sus jurisdicciones.
El anuncio de retorno al servicio de EASA enhttps://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-servicey los materiales de Transport Canada enhttps://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-servicemuestran que las autoridades internacionales no trataron la reparación como una simple garantía de marca. Emitieron sus propias decisiones y condiciones. Eso es importante porque la aviación global depende de la confianza mutua, pero la confianza mutua debe estar respaldada por una competencia independiente.
El informe de la Revisión Técnica Conjunta de Autoridades enhttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdftambién es importante porque refleja una revisión transfronteriza de los problemas de certificación. Un proceso de reparación global debería mejorar no solo un tipo de aeronave, sino también la forma en que los reguladores intercambian información, desafían supuestos y manejan la certificación delegada.
Quedan incógnitas a nivel de implementación internacional. Las fuentes públicas no proporcionan los detalles de finalización del entrenamiento de cada aerolínea, las deliberaciones internas de cada regulador o cada informe operativo posterior al retorno. Pero el registro público de retorno al servicio es suficiente para demostrar que la reparación verificable tenía que ser global. Un fallo de automatización de seguridad crítica en una aeronave global no puede repararse solo a través de una narrativa nacional.
Lo que debe demostrar una reparación duradera
Un expediente de reparación duradera debe demostrar un cambio de diseño. Debe mostrar qué hacía el MCAS antes, qué hizo después, qué entradas utilizó, cómo se limitó la autoridad, cómo se acotó la activación repetida, cómo se manejaron los datos de sensores en desacuerdo, cómo se presentaron las alertas y cómo se comportó el sistema en condiciones de fallo. Debe preservar la evidencia del análisis, la simulación, las pruebas de vuelo y la revisión regulatoria.
En segundo lugar, debe demostrar la reparación de factores humanos. Debe mostrar cambios en el entrenamiento, cambios en los manuales, cambios en los procedimientos, escenarios de simulador, criterios de reconocimiento del piloto, análisis de carga de trabajo y evidencia de que las tripulaciones pueden gestionar la condición de fallo bajo estrés realista. Debe considerar no solo la respuesta idealizada del piloto, sino el entorno real de la cabina.
En tercer lugar, debe demostrar la reparación del proceso de certificación. Debe mostrar qué información recibieron los reguladores, cómo se revisó el trabajo delegado, cómo se desafiaron los supuestos, cómo se escalan los cambios de seguridad crítica y cómo se separa la presión comercial de la evidencia de seguridad. El Comité Especial del DOT, el JATR, el informe de la Cámara y las acciones de la FAA hacen que esta reparación del proceso sea central.
En cuarto lugar, debe demostrar la implementación por parte de las aerolíneas. Cada aeronave que regresaba al servicio necesitaba cambios requeridos. Cada aerolínea necesitaba entrenamiento aprobado y cumplimiento de mantenimiento. Cada regulador necesitaba una vía de supervisión. El público puede ver los requisitos regulatorios, pero la evidencia de implementación aerolínea por aerolínea no es completamente visible en las fuentes utilizadas aquí. Esa es una limitación normal, pero debe reconocerse.
Finalmente, debe demostrar una gobernanza continua. La reparación de la automatización de seguridad crítica no termina cuando se levanta la suspensión. Requiere monitoreo, reporte de incidentes, revisión de dificultades de servicio, comentarios de pilotos, auditorías regulatorias y disposición a revisar supuestos. Un sistema reparado no es un archivo cerrado si aparece nueva evidencia.
La evidencia debe sobrevivir a la presión del programa que produjo el diseño
Una razón por la que el caso del 737 MAX sigue siendo importante es que la evidencia de seguridad debe sobrevivir a la presión comercial presente durante el diseño y la certificación. Los programas de aeronaves son largos, costosos, competitivos y técnicamente complejos. Los equipos se enfrentan a objetivos de entrega, expectativas de los clientes, objetivos de comunalidad, cronogramas regulatorios, dependencias de proveedores y escrutinio de los inversores. Esas presiones no desaparecen porque un sistema sea de seguridad crítica. La cuestión de control es si el proceso de evidencia puede resistirlas.
La evidencia duradera mostraría un rastro desde el peligro hasta el supuesto, la prueba, el entrenamiento y el conocimiento del regulador. Si un sistema utiliza la entrada del ángulo de ataque, el archivo debe mostrar cómo se maneja el desacuerdo del sensor, qué sucede cuando la entrada es incorrecta, cómo se alerta a la tripulación, cómo se acotan los comandos repetidos, qué procedimiento se aplica y cómo se validó ese procedimiento bajo una carga de trabajo realista.
Si una decisión de certificación depende de la comunalidad o del entrenamiento limitado, el archivo debe mostrar por qué la seguridad sigue siendo aceptable sin ocultar información operativamente relevante.
El informe de la Cámara, el informe del Comité Especial del DOT, el informe JATR, las recomendaciones de la NTSB, los materiales de retorno al servicio de la FAA y la resolución del DOJ apuntan a una lección de gobernanza común: un caso de seguridad debe ser reconstruible por personas fuera del equipo de diseño original. Si los investigadores posteriores, los reguladores o los equipos de seguridad de las aerolíneas no pueden reconstruir por qué se tomó una decisión, qué información se conocía y qué supuestos se probaron, la organización no ha preservado suficiente evidencia de responsabilidad.
El buen juicio de ingeniería debe dejar un rastro.
Esto es especialmente importante cuando el software cambia el comportamiento de una familia de aeronaves familiar. La familiaridad puede reducir la carga de entrenamiento y la interrupción operativa. También puede crear el riesgo de que la nueva automatización se archive mentalmente como una pequeña variante en lugar de como una nueva superficie de fallo. El archivo de evidencia debe obligar a la organización a preguntar si el cambio es pequeño en términos de marketing o pequeño en términos de consecuencias de seguridad. Esas son preguntas diferentes.
El riesgo operativo no terminó con la certificación
La certificación es una puerta, pero no es toda la vida operativa. Una vez que una aeronave entra en servicio de aerolínea, las prácticas de mantenimiento, el entrenamiento de pilotos, las presiones de despacho, los sistemas de reporte, las piezas de repuesto, las actualizaciones de software, la supervisión regulatoria y las culturas de seguridad de las aerolíneas son importantes. Un defecto de diseño puede exponerse a través de las operaciones. Una brecha de entrenamiento puede ser visible primero en el vuelo de línea. Un problema de mantenimiento puede interactuar con la automatización de cabina.
Un informe de dificultad de servicio puede revelar un patrón antes que una investigación formal.
Por lo tanto, el registro del 737 MAX tiene una dimensión de riesgo operativo más allá de la decisión de certificación original. Las aerolíneas necesitaban implementar los cambios de retorno al servicio, entrenar a las tripulaciones, actualizar manuales, gestionar aeronaves almacenadas, comunicarse con los pasajeros y monitorear el comportamiento de la flota después del reingreso. Los reguladores necesitaban supervisar esa implementación. Boeing necesitaba apoyar a los operadores y responder a los hallazgos. Los pasajeros necesitaban que el sistema funcionara como un bucle de evidencia, no como una aprobación única.
Este artículo no pretende evaluar la implementación de cada aerolínea. Esa evidencia no es completamente pública en las fuentes utilizadas aquí. El punto de responsabilidad es estructural: la automatización de seguridad crítica necesita bucles de retroalimentación después de la certificación. Si los pilotos informan de un comportamiento confuso, si los mantenedores ven fallos recurrentes, si las aerolíneas solicitan aclaraciones, o si los reguladores reciben datos de servicio, el caso de seguridad debe actualizarse. Un certificado de tipo no es una promesa de que toda la evidencia futura sea irrelevante.
Por lo tanto, el estándar de reparación práctica es continuo. La aeronave regresó al servicio mediante correcciones obligatorias, pero la seguridad continua depende de monitorear si esas correcciones funcionan según lo previsto. Eso incluye datos de campo, comentarios de pilotos, efectividad del entrenamiento, hallazgos de mantenimiento y la disposición del regulador a exigir más cambios si la evidencia lo justifica. Para la automatización de seguridad crítica, los datos operativos son parte del registro de reparación.
La evidencia operativa también tiene que ser comprensible para las personas que dependen de ella. Un piloto no necesita leer todos los artefactos de certificación, pero el entrenamiento y los manuales deben traducir el caso de seguridad en reconocimiento y acción en cabina. Un equipo de seguridad de una aerolínea no necesita todos los registros de diseño propietarios, pero debe saber qué modos de fallo se cambiaron, qué señales de mantenimiento importan y qué eventos deben escalarse. Un regulador no vuela cada vuelo comercial, pero debe poder auditar si la evidencia de campo coincide con los supuestos aprobados.
Esa cadena convierte la reparación técnica en confianza operativa.
El riesgo de una cadena de evidencia débil es la normalización. Una vez que una aeronave regresa al servicio, la presión comercial empuja naturalmente al sistema hacia la rutina. La rutina es saludable solo si la reparación sigue siendo visible a través del entrenamiento, el mantenimiento, los informes y la supervisión. Si las lecciones se convierten en una exhibición histórica en lugar de una disciplina operativa, la organización puede preservar el resultado legal mientras pierde el resultado de aprendizaje de seguridad.
Por lo tanto, el registro del 737 MAX no es solo una historia de diseño; es una advertencia sobre lo rápido que los controles excepcionales pueden convertirse en papeleo ordinario a menos que las instituciones sigan poniéndolos a prueba.
La prueba de responsabilidad duradera
La prueba de responsabilidad duradera para el MCAS del Boeing 737 MAX es si el sistema de seguridad aprendió en el nivel donde falló el control. Si la lección es solo que se cambió una función de software, la reparación es demasiado estrecha. Si la lección incluye supuestos de diseño, factores humanos, delegación de certificación, flujo de información regulatoria, consecuencias de entrenamiento, supervisión internacional y evidencia de cumplimiento, la reparación está más cerca de la necesidad pública.
El registro público respalda una conclusión sobria. Boeing controló el diseño y gran parte de la evidencia técnica. La FAA controló la certificación de EE. UU. y la autoridad de retorno al servicio. Los reguladores internacionales controlaron su propia aceptación y decisiones de retorno. Las aerolíneas controlaron la implementación y la operación. Los pilotos controlaron la aeronave en vuelo, pero solo dentro del conocimiento y los procedimientos que se les proporcionaron. Los pasajeros no controlaron ninguna de las decisiones técnicas y regulatorias.
Esa distribución de control es por qué la responsabilidad debe centrarse en las instituciones y no solo en los operadores de primera línea.
El registro también respalda una advertencia clara para la automatización futura. El software de seguridad crítica no puede juzgarse por la lógica normal del producto. Debe juzgarse por las consecuencias de fallo, el reconocimiento humano, la operación degradada, la revisión independiente, la visibilidad del entrenamiento y la prueba de reparación. Cuanto más invisible sea la automatización para sus usuarios, más rigurosa debe ser la evidencia antes del servicio y después de cualquier incidente.
El 737 MAX regresó al servicio mediante cambios exigidos por los reguladores y revisión internacional. Ese retorno no borra el expediente de responsabilidad. Define lo que el expediente debe preservar: los accidentes, los hallazgos, las acciones correctivas, el registro de ejecución, las lecciones de certificación y el deber continuo de demostrar que la automatización no ha transferido silenciosamente el riesgo a las tripulaciones y los pasajeros. En la seguridad del transporte, la confianza no es un atributo de marca. Es un control verificado.

