Hace un tiempo estaba charlando con una buena amiga que trabaja en una empresa del sector aeronáutico sobre la tecnología utilizada en comunicaciones, y me vino a la cabeza el tema de la seguridad en la aeronáutica y si se recurría a sistemas antiguos en caso de avería del principal. En ocasiones, trato de buscar similitudes entre la seguridad aplicada en otros campos y la de los sistemas de información, y el mundo de la aviación es, según dicen, uno de los más seguros.
Todos hemos visto numerosas películas de aviones o helicópteros en las que se va produciendo un fallo tras otro y la aeronave se ve precipitada irremediablemente al vacío, hasta que el “prota” consigue, de la forma más inverosímil, hacerlo aterrizar con soluciones al más puro estilo McGyver. Esto me llevó a preguntarle cuántos errores deben encadenarse para que se quede un helicóptero sin potencia. En concreto, cómo se planteaba el tema de la redundancia de los dispositivos básicos para que esto no ocurriera.
Esta amiga mía trabaja en una empresa de mantenimiento de helicópteros cuya oficina de diseño se encarga de la integración e instalación (entre otras cosas) de sistemas de comunicación y de navegación que les solicitan los clientes, siempre según la normativa de aviación civil (AESA) y las características o el uso al que va destinada la aeronave.
Pues como decía, curioso por las medidas de seguridad que se aplican en los helicópteros y poder encontrar semejanzas con el mundo de las TIC, estuvimos charlando sobre los elementos de seguridad con los que cuenta un helicóptero para la navegación y las comunicaciones. Su respuesta me dejó un tanto sorprendido. Me estuvo enumerando, un poco por encima, los equipos de navegación y comunicaciones que son obligatorios en cualquier aeronave.
En resumen, la mayoría de los helicópteros cuenta con el siguiente instrumental. Para las comunicaciones, dos radios VHF-COMM (que trabaja en la banda comprendida entre 118-137 Mhz, para comunicaciones de aviación civil) con sendas antenas, que se utiliza en comunicaciones a distancias cortas y medias entre aeronaves y tierra.
Para la navegación: dos sistemas VHF-NAV, que indican la posición con respecto a unas estaciones VOR o VOR/DME o realizar Instrumental Landing System (un sistema de asistencia al aterrizaje), que trabajan en la banda de 108-118 Mhz. También cada uno cuenta con su antena (VOR/LOC).
Otro sistema de navegación básico es el ADF (Automatic Direction Finder) (para que luego digan que en la informática utilizamos muchos acrónimos anglosajones), que indica la posición relativa respecto a una estación NDB.
Un sistema GPS (a 1.575 MHz) y un Localizador de Emergencia (ELT) que emite una señal radioeléctrica, en caso de producirse un fuerte impacto (2,3G) o una caída al agua, durante un máximo de 72 horas. Éste también puede activarse desde el panel de mando.
Cuenta con numerosos sistemas más que enumeramos para no alargar esta entrada: Marker Beacon, ATC Transponder, Radioaltímetro, Radar…
La mayoría de estos sistemas están redundados, unos pertenecen a la parte del piloto y los otros a la del copiloto, algo que es muy habitual en sistemas TIC que buscan alta disponibilidad. Al contrario de lo que yo pensaba, no cuentan con sistemas antiguos para casos de emergencia; conozco algunos casos en los que se cuenta con una línea de RDSI en caso de perder la comunicación principal con Internet (aunque sería insuficiente teniendo en cuenta el volumen de tráfico actual). Pero esto no fue lo que me llamó la atención. Lo que me resultó curioso es el sistema eléctrico del helicóptero. Os dejo una representación esquemática que he realizado del real.
Lo explico brevemente de la siguiente manera. Primero se observa que todos los elementos están duplicados, lo que aumenta muchísimo la disponibilidad. El sistema comienza por el generador, cada uno conectado a uno de los motores/rotores, que suministra corriente a todos los buses y a la batería (para que esté siempre cargada). Los dispositivos comentados anteriormente se conectan a diferentes buses, según la criticidad del mismo. Los relés permiten al piloto redirigir la corriente en caso de avería en alguno de los elementos intermedios hacia su instrumental, e incluso permiten desconectarlo todo y que sea alimentado por la batería (BATT). Poniéndonos en el peor de los casos, que ambos generadores fallen, el piloto podrá activar el relé de la batería y dispondrá de unos 30 minutos para aterrizar el helicóptero “tan pronto como sea posible” (as soon as posible, dice el manual de vuelo) en el primer lugar posible que encuentre”, y pedirá auxílio. Si no dispone de corriente para activar la radio (aunque siempre tiene que haber una radio conectada a la barra de batería, otra cosa es que se rompa en el aterrizaje), podría utilizar la radiobaliza de emergencia (ELT) que emite una señal fija de emergencia durante 72 horas.
La ventaja que vi de este planteamiento consiste en que, según determinadas circunstancias, se pueden activar o desactivar diferentes circuitos para solucionar determinados fallos en la circuitería o alargar la duración de la batería en caso de avería en los generadores.
Este concepto es el que quería exponer en este artículo y valorar la posibilidad de aplicar esta idea de los circuitos diferenciados que se activan o desactivan en caso de avería o fallo en el suministro eléctrico con el objetivo de alargar la duración del SAI. Todos tenemos claro que no todos los sistemas son igual de críticos, y más concretamente, no todos tienen una disponibilidad crítica. Por esto, me gusta esa idea de desplegar diferentes circuitos según la criticidad, de forma que se puedan apagar ordenadamente los sistemas según el tiempo estimado o real del corte eléctrico. Los sistemas informáticos no son iguales que un altímetro u otros instrumentos de medida, y necesitan ser apagados correctamente. Esto me lleva a pensar en un sistema de alimentación ininterrumpida que cuente con varias líneas. En caso de avería o fallo, se enviará una señal de apagado a las máquinas de forma secuencial, comenzando con los menos críticos, y así alargar la duración de la batería o la del generador (que no son ilimitados, como la gente cree).
Así, equipos que no son críticos como un sistema interno de inventario, por poner un ejemplo, podrían recibir la señal de apagado del SAI inmediatamente después de detectar un corte eléctrico. En el otro extremo, nos encontramos en el caso de sistemas que deben estar operativos sí o sí. Se debe configurar el sistema de forma que se alargue el periodo de actividad hasta el restablecimiento del suministro energético. Entre medias de estos casos nos encontraríamos con una variedad de situaciones que podrían configurarse según las necesidades de cada uno. Se me ocurre que se podría dejar funcionando aquellos sistemas básicos necesarios para el trabajo diario, ya que la actividad no puede pararse por un corte eléctrico; no obstante, si el corte se alargara demasiado y peligrara la disponibilidad de los sistemas críticos, se podría optar por apagar estas líneas a pesar de detenerse la actividad. Para eso se definen las prioridades y se planifican las contingencias…
Bueno, es una idea que se me ocurrió durante una charla. Desconozco si en el MundoReal (TM) ya se pone en práctica algo parecido o si en el mercado existen productos comerciales que ofrecen esto; pero de los numerosos lugares que he visitado, ninguno de ellos es así. La verdad es que deja todo mucho que desear, ya que se conecta a un único SAI, y evidentemente no todo es igual de importante. He visto monitores e impresoras conectadas sin justificación.
Dejo esta idea en el aire, quizá alguien con más conocimiento en sistemas pueda arrojar algo más de luz sobre este tema.
Bueno, no es exactamente el caso de conectividad (potencia en este caso) externa, pero los sistemas actuales (seguro que hay muchos mas doctos en la matería que yo) ya disponen de dispositivos internos (como procesadores) que se desactivan en caso de fallo y son reemplazados por otros (esta últma acción ya no recuerdo si era manual o automatica).
Luego subiendo un poco más (o ponendo otra capa a la cebolla) esta la alta disponibildiad pasivo-activo, activo-activo de clusters y similares, y por último llegando al caso de potencia externa (el caso que expones) si conozco al menos un caso en el que se pone en marcha de forma automatica un centro de respaldo – claro que siempre con algunas acciones manuales (duda¿el piloto realiza acciones en la alta disponibildiad?) donde los ‘cambios’ de direccionamientos se activan tras poner en marcha el “cluster” que tiene en el centro de respaldo (y digo cluster porque es una replica continua activo-pasivo de todos los sistemas del ‘otro lado’). Ahora, lo del apagado ‘de forma correcta’ y ademas en cascada no lo he visto en ningun sitio, ¿quien le dice a quien y como se le ordena dentro de un complejo sistema de swithces/routers/mainframe/middleframe y otros…?
Después de toda la parrafada no tengo muy claro haber añadido algo constructivo a tu exposición, la cual me ha gustado mucho. Seguro que Toni conoce muchos de esos sistemas como el de las centrales nucleares con unos requisitos excepcionales en estos casos…