Factores humanos confidenciales
Programa de notificación de incidentes
La caridad
Aviación
Marítimo
Reporte inicial
Un superyate de gran tamaño sufrió una pérdida parcial de potencia mientras realizaba una maniobra de llegada a un dársena confinada. Varios sistemas críticos dejaron de funcionar: las pantallas de navegación se reiniciaron, las pantallas de control de la sala de máquinas se apagaron y el buque perdió momentáneamente la conciencia situacional.
Se restableció el suministro eléctrico de emergencia de forma limitada, pero la interrupción causó confusión y retrasó la maniobra.
La investigación realizada por un equipo de técnicos determinó que el fallo se debió a una actualización remota del software de una unidad de refrigeración de la cocina. La actualización había sido iniciada por el proveedor en tierra sin notificarlo al yate. Durante la actualización, un pico inesperado de carga eléctrica activó el sistema de gestión de energía, que desconectó los sistemas en una secuencia que la tripulación no comprendió del todo.
Comentario CHIRP
Este incidente pone de relieve los riesgos asociados a las actualizaciones remotas de software que se realizan en los buques sin notificarlo previamente a la tripulación. En este caso, un superyate de gran tamaño perdió potencia durante una maniobra tras una actualización de software en un sistema no esencial (refrigeración de la cocina). A través de su conexión con el sistema integrado de gestión de energía, la actualización afectó indirectamente a los sistemas esenciales de navegación y supervisión, lo que provocó que equipos críticos se desconectaran en un momento de alto riesgo durante una maniobra en puerto.
La actualización de los controles de maquinaria o de los sistemas conectados a la red eléctrica mientras un buque está en navegación y entrando en puerto supone un riesgo inaceptable. Los sistemas de esta naturaleza deben aislarse mediante interruptores o medidas de prevención equivalentes para garantizar que los equipos no críticos no puedan provocar fallos en cadena que afecten a los servicios esenciales.
El incidente también plantea cuestiones en materia de ciberseguridad. Aunque el suceso parece haber sido accidental, un ciberataque malicioso podría tener consecuencias similares. El acceso remoto a los sistemas de a bordo, en particular a los no esenciales, introduce posibles vulnerabilidades si las ciberdefensas y la supervisión de la red no son sólidas. Las tripulaciones deben ser conscientes de estos riesgos y garantizar que se apliquen las medidas de protección adecuadas.
La respuesta de la tripulación ilustra aún más los retos que plantea la gestión de fallos imprevistos del sistema. Aunque se restableció parcialmente el suministro de emergencia, no se comprendió del todo el orden en que se desconectaron los sistemas, lo que pone de relieve la necesidad de mejorar la familiarización y la formación sobre cómo responde el sistema de gestión de la energía a cargas eléctricas anormales y comportamientos inesperados del sistema.
Este evento también pone de manifiesto una cuestión más amplia en relación con la gestión del cambio. Las actualizaciones de software y las modificaciones del sistema deben tratarse como cambios formales, con procedimientos claros, que incluyan la evaluación de riesgos, la notificación a la tripulación y las restricciones operativas cuando sea necesario.
CHIRP también se preocupa por el hecho de que la reducción de las tripulaciones y la transferencia del control técnico y la toma de decisiones a tierra puedan tener consecuencias no deseadas. Quitar responsabilidad a quienes están a bordo puede reducir la conciencia situacional y la capacidad de la tripulación para anticipar o gestionar los riesgos que surgen en tiempo real.
Los proveedores deben comunicar todas las actualizaciones de software con antelación, permitiendo a los buques evaluar los posibles impactos operativos y decidir cuándo es seguro proceder. Los operadores también deben revisar la integración de los sistemas no críticos con los sistemas esenciales para evitar fallos puntuales o en cadena. El refuerzo de las ciberdefensas y la supervisión de los puntos de acceso en red, incluso para sistemas aparentemente menores, ayudará a reducir el riesgo tanto de interrupciones accidentales como de ataques deliberados.
Cuestiones clave relacionadas con este informe
Conciencia situacional – Se vio afectada inmediatamente cuando los sistemas críticos dejaron de funcionar, lo que provocó que la tripulación ignorara temporalmente la posición y el estado del buque. La pérdida repentina de las pantallas de visualización y supervisión creó confusión y aumentó la carga cognitiva, lo que afectó a la toma de decisiones durante una maniobra crítica.
Complacencia – Es posible que la excesiva dependencia de la automatización haya influido.
Competencia – La tripulación no comprendió completamente la secuencia en la que se desconectarían los sistemas durante una sobrecarga eléctrica inesperada, lo que puso de relieve la necesidad de realizar simulacros o establecer procedimientos que aborden situaciones inusuales más allá de las averías estándar. La tripulación confiaba en que todos los sistemas funcionarían sin afectar a los sistemas críticos. Esta confianza les dejó desorientados ante las averías en cadena provocadas por un pico de carga inesperado.
Comunicación – El proveedor en tierra había iniciado una actualización de software sin notificarlo al yate. La falta de comunicación previa limitó la capacidad de la tripulación para planificar y mantener el control.
Presión – Aumentó considerablemente durante el incidente. Se restableció parcialmente la energía de emergencia, pero la tripulación tuvo que gestionar múltiples problemas simultáneos bajo presión de tiempo, sin comprender completamente el comportamiento del sistema de gestión de energía. Este estrés podría afectar al juicio y ralentizar la respuesta eficaz.
Conclusiones clave
Incluso pequeñas actualizaciones pueden tener grandes consecuencias en la mar
Para los legisladores – este incidente pone de relieve la importancia de establecer y aplicar protocolos de comunicación claros entre los proveedores de equipos y los buques. Las actualizaciones de software no anunciadas, incluso en sistemas no esenciales, pueden afectar inadvertidamente a los sistemas críticos de los buques. Los reguladores deben garantizar que las directrices y normas exijan un aviso previo y una evaluación de riesgos antes de aplicar cualquier actualización remota.
Para la gerencia – Se recuerda a los gerentes que revisen cómo los sistemas no esenciales se integran con las operaciones vitales del buque. Comprender estas interdependencias y aplicar procedimientos estrictos para los cambios en los sistemas, el mantenimiento y las actualizaciones de software es esencial para evitar fallos en cadena. La supervisión y verificación de las acciones de los proveedores puede reducir el riesgo de interrupciones no deseadas.
Para la tripulación – El suceso pone de relieve la necesidad de que las tripulaciones mantengan en todo momento la conciencia situacional y estén familiarizadas con el comportamiento de la gestión de la energía del buque. La formación debe incluir fallos inusuales o en cadena del sistema, y las tripulaciones deben permanecer alerta durante los periodos de alta carga de trabajo o maniobras complejas. Una actuación rápida e informada depende de la comprensión tanto de la tecnología como de los factores humanos que intervienen.