CUPRINS

INTRODUCERE ...................................................................................................................... 3
CAPITOLUL 1. Reziliența sistemului și concepte conexe ..................................................... 5
1.1. Reziliența........................................................................................................................ 5
1.2. Cele trei faze ale rezilienței ............................................................................................ 6
1.3. Protecție versus reziliență............................................................................................... 7
1.4. Infrastructura ca sistem .................................................................................................. 8
1.5. Arhitectură de reziliență ................................................................................................. 9
1.6. Măsurarea rezilienței. ..................................................................................................... 9
1.7. Provocările ................................................................................................................... 10
1.8. Capacități de reziliență a sistemului ............................................................................. 10
1.9. Sisteme socio-complexe ............................................................................................... 13
CAPITOLUL 2 SIGURANȚA ZBORULUI .......................................................................... 15
2.1. Sistemul de management al siguranței (SMS) ............................................................. 15
2.2. Definiția OACI a SMS-urilor ....................................................................................... 15
2.3. Definiția SMS-urilor .................................................................................................... 17
2.4. Cei patru piloni ai SMS-ului ........................................................................................ 24
2.5. Răspunsul la urgențe .................................................................................................... 30
CAPITOLUL 3. STUDIU DE CAZ: ANALIZA ACCIDENTELOR DE AVIAȚIE DIN
PERSPECTIVA REZILIENȚEI ............................................................................................. 35
3.1. Scopul analizei ............................................................................................................. 35
3.2. Primul accident mortal de aviație ................................................................................. 36
3.3. Accidente de aviație ..................................................................................................... 36
3.3.1. TWA 800 ............................................................................................................... 37
3.3.2. Apollo 13 ............................................................................................................... 38
3.3.3. Zborul american 191, Chicago O’Hare ................................................................. 40
3.3.4. US Airways 1549................................................................................................... 41
3.3.5. ValuJet ................................................................................................................... 43
3.3.6. Concorde ................................................................................................................ 44

1
 3.4. Interpretarea rezultatelor ............................................................................................ 46
CONCLUZII .......................................................................................................................... 49
Bibliografie ............................................................................................................................ 50

2
 INTRODUCERE

Valoarea rezilienței în transportul aerian este recunoscută în cadrul științelor

comportamentale. Transportul aerian poate beneficia de studiile de reziliență din perspectiva
științei complexității. Aceasta permite combinarea cunoștiințelor din științele
comportamentale cu analiza și modelarea din știința complexității. Transportul aerian
reprezintă un sistem socio tehnic complex ce cuprinde interacțiuni între diverse entități,
inclusiv sisteme tehnice, stakeholderi operaționali, reglementatori și consumatori. Tehnologia
joacă un rol central iar sistem socio tehnic complex gestionează diverse perturbații interne și
externe care îi testează reziliența. Aceste evenimente pot interacționa creând efecte în
cascadă. În transportul aerian, perturbațiile se gestionează de operatorii din liniile aeriene,
aeroporturi, centre CTA, și pot influența performanțele globale ale sistem socio tehnic
complex (rerutare zboruri, schimbare aeronave sau echipaje, redirecționare pasageri).
Managementul perturbațiilor implică selecții create de complexitățile inerente atât la nivelul
proceselor gestionate cât și resurselor finite ale sistemelor operaționale. În cazul spațiului
aerian aglomerat, operatorii CTA pot solicita piloților rerutarea zborurilor, caz în care
siguranța implică costuri suplimentare. Există noi obiective conflictuale ce conduc la dileme
ce trebuie rezolvate. Problemele sunt în general rezolvate în mod adecvat iar majoritatea
acestor evenimente trec fără inconveniente la nivelul pasagerilor.
În unele cazuri reziliența sistemelor de transport aerian poate să scadă brusc,
rezultând întârzieri semnificative. De exemplu, evenimentele meteo perturbă funcționarea
normală cu efecte de propagare la nivel rețea.
În plus față de cazurile normale, cu consecințe limitate, există cazuri având consecințe
severe la nivel extins de rețea (hazarde SARS-COV 2, 2020; Ebola, 2014; erupții vulcanice,
Islanda, 2010) sau accidente catastrofice ce implică un număr redus de aeronave (coliziuni în
zbor, pierderea controlului aeronavei). Există o varietate extinsă de evenimente cu consecințe
majore, dar datorită rezilienței sistemului de transport aerian, o mare parte din evenimente au
consecințe neglijabile. Pentru creșterea rezilienței sistemului de transport aerian trebuie
identificate, înțelese și modelate interdependențele, și analizat răspunsul față de diverse
perturbații. Se poate arăta că perspectiva științei complexității poate fi un activ esențial în
acest sens.

3
4
CAPITOLUL 1 REZILIENȚA SISTEMULUI ȘI CONCEPTE CONEXE

Rezistența sistemului se referă la procesele, disciplinele și infrastructura care trebuie

să fie în vigoare pentru a vă asigura că astfel de evenimente precum Challenger, Columbia,
Chernobyl, Piper Alpha și Bhopal nu se vor mai întâmpla, cum poate fi realizată
supraviețuirea în urma unor astfel de perturbări și modul în care fiecare sistem poate continua
să funcționeze. Multe cărți excelente au fost scrise despre cauzele acestor accidente. Vaughn
(1996), de exemplu, a scris o analiză exhaustivă a accidentului Challenger. Pate´-Cornell
(1990) a publicat lucrarea de ultimă oră pe platformele petroliere din Marea Nordului.
Reason (1997), Leveson (1995) și Chiles (2002) au analizat, de asemenea, multe astfel de
accidente.
O concluzie pe care acești autori o au în comun este că accidentele majore nu pot fi
atribuite doar proceselor tehnice. De fapt, puține accidente majore pot fi atribuite numai
erorilor de fiabilitate, adică eșecului unei funcții critice a unei componente în funcție de
timpul mediu prevăzut între eșecuri. Cauzele cuprind o serie de subiecte organizaționale,
manageriale, umane și psihologice.

1.1 Reziliența
Reziliența, așa cum este descris de Westrum (2006), constă din cel puțin două dintre
următoarele:
 Evitare - acest termen este definit pentru a descrie aspectele preventive ale
rezistenței sistemului ca răspuns la o perturbare, internă sau externă. În
contextul rezilienței, evitarea depășește considerentele tradiționale de
siguranță a sistemului pentru a lua în considerare anticiparea unui accident
bazată pe capacitatea de a detecta „deriva” spre o fragilitate și posibile
accidente. Metodele obișnuite de a detecta derivă sunt senzorii, camerele și
observația umană.
 Supraviețuire - Acest termen implică pur și simplu că sistemul nu a fost
distrus sau total incapacitat și continuă să funcționeze atunci când se confruntă
cu o perturbare.

5
  Recuperare - Acest termen este utilizat pentru a supraviețui în fața unei
tulburări majore cu performanță redusă. Această capacitate este un focus al
rezilienței sistemului. Din nou, este doar unul dintre cele trei aspecte ale
rezistenței și anume evitarea accidentelor, supraviețuirea și recuperarea.
S-ar putea spune că dacă se realizează evitarea, atunci supraviețuirea și recuperarea
sunt molipsitoare; adică sunt realizate automat. Cu toate acestea, deoarece unele sisteme sunt
atât de complexe și imprevizibile, este posibil ca evitarea să nu fie realizabilă și trebuie să ne
bazăm pe supraviețuire și recuperare pentru a salva ziua.

1.2. Cele trei faze ale rezilienței

Cele trei aspecte ale rezilienței de mai sus pot fi privite ca apărute înainte, în timpul și
după o întrerupere. În timpul fiecărei faze, se pot lua măsuri pentru a rezolva perturbarea.
Acești pași pot fi făcuți numai dacă sistemul în cauză are anumite atribute:
În faza 1, sistemul va lua măsuri pentru a evita deloc dauna posibilă din cauza unei
posibile perturbări. În faza 2, sistemul va încerca să minimizeze daunele cauzate de
perturbare. În faza 3, sistemul va lua măsuri pentru a recupera cât mai multă capacitate.
Așadar, crearea rezilienței este întregul scop al întreprinderii axat pe realizarea
rezilienței sistemului. Sistemul rezilienței nu poate fi realizat fără un sistem de întreprindere
elastic pentru a permite. Pentru sisteme precum sistemele de infrastructură civilă,
întreprinderea rezilientă este sistemul de infrastructură în sine, care este perturbat, de
exemplu, de un uragan. Pentru sistemele de produse, cum ar fi navele spațiale, întreprinderea
rezilientă este infrastructura de management care permite rezistența produsului. Reziliența
este, de asemenea, capacitatea sistemelor organizaționale, hardware și software de a atenua
severitatea și probabilitatea de eșecuri sau pierderi, de a se adapta la schimbarea condițiilor și
de a răspunde în mod adecvat după fapt.
Multe surse, de exemplu, Woods (2007), se referă la opusul rezilienței ca fragilitate.
Conform lui Woods, un sistem fragil nu se poate adapta forțelor unei perturbări neanticipate
și se descompune sub stres.
Majoritatea autorităților se concentrează asupra aspectelor preventive ale rezistenței.
Hollnagel (2006, p. 14) afirmă că ”reziliența este capacitatea de a menține bariere eficiente
care pot rezista la impactul agenților nocivi și eroziunea care este rezultatul condițiilor

6
latente''. Dacă acești factori sunt abordați din timp, atunci acești pași pot fi considerați
preventivi. Astfel, chiar și aspectele de recuperare pot fi considerate preventive, deoarece
sunt abordate în avans.
Dar, încă o dată, nu este doar sistemul de produse rezistent. Este întregul sistem de
infrastructură. Weick și Sutcliffe (2001, p. Xiii) se referă la acest tip de organizație ca la o
organizație de înaltă fiabilitate (HRO). 'Rezistența la sistemul de produse poate fi măsurată
prin fiabilitate, dar întreaga reziliență a întreprinderii este mult mai greu de definit și de
măsura. Totuși, sistemele intensiv uman nu au produs. Infrastructurile regionale și guvernele
sunt exemple. Aceste tipuri de sisteme necesită reziliență.

1.3. Protecție versus reziliență

Unii autori disting între reziliență și protecție. Acești autori descriu protecția ca
modalitatea tradițională de planificare a perturbărilor; Protecția este în general fixată și in
flexibilă. Reziliența este mai adaptabilă și se poate recupera din întrerupere.
„Protecție” include „măsuri de protecție”, care se referă la acțiuni, proceduri sau
impedimente fizice utilizate pentru atenuarea vulnerabilităților, minimizarea consecințelor și
reducerea riscurilor. Mai simplu spus, sunt implementate măsuri de protecție pentru a se
apăra împotriva vătămărilor aduse proprietății, personalului sau executării misiunii. Exemple
de măsuri de protecție includ, dar nu se limitează la, următoarele: camere de supraveghere,
patrule de securitate și capabilități de răspuns, garduri, acreditare pentru angajați și vizitatori
și sisteme de detectare a intruziunilor.
În general, sistemele de protecție nu pot face față mai multor tipuri de perturbări sau
să răspundă în mai multe moduri. Scalingi (2007, p. 58) subliniază că protecția nu este
separată de reziliență. Ea spune că „reziliența include protecția și prevenirea, care sunt
elemente importante ale acesteia”. Cu alte cuvinte, este posibil să creezi un sistem care să se
protejeze împotriva unei perturbări și, de asemenea, este suficient de adaptabil pentru a se
recupera de la aceasta.
Un alt mod de a înțelege diferența dintre protecție și rezistență este de a descrie aceste
sisteme ca fiind cuplate strâns sau cuplate. Sistemele de protecție sunt cuplate strâns, iar
sistemele reziliente sunt cuplate slab.

7
 Potrivit lui Pommerening (2007, p. 11), „Cuplarea strânsă este asociată cu procesele
dependente de timp și invariante cu tampoane deliberate și puțin, dacă este cazul, slabă.
Resursele nu pot fi înlocuite ușor sau deloc. Cuplarea liberă înseamnă întârzieri la ieșire și
ordinea procesării poate fi modificată. În astfel de sisteme, sunt disponibile metode
alternative și resurse redundante, iar tampoanele și înlocuirile fortuite sunt posibile''.
Atributul capacității în cuplaj strâns.

1.4. Infrastructura ca sistem

Ori de câte ori două sau mai multe lucruri acționează împreună pentru a atinge un
scop comun, aveți un sistem. O rată de top este un sistem; guvernul este un sistem; iar o
centrală chimică este un sistem. Dacă o parte sistemului nu funcționează corect, întregul
sistem poate da greș.
O infrastructură reprezintă o structură de oameni și echipamente care proiectează,
operează, produce și întreține un sistem de produse, cum ar fi o aeronavă sau o navă spațială.
O infrastructură constă, de asemenea, din relațiile dintre aceste elemente. Sau infrastructura
în sine, cum ar fi o infrastructură civilă, poate fi sistemul. Gândirea acestei colecții ca un
sistem nu este o modalitate tradițională de a caracteriza un sistem. Unul trebuie să se
gândească la ce face pilotul, la ce face întreținătorul și așa mai departe. Acest sistem este cel
care ar trebui să funcționeze fără încetare, astfel încât aeronava sau nava spațială să
funcționeze, de asemenea, fără încetare. Acest concept devine tratabil atunci când limita
sistemului este delimitată. Deoarece toate aceste elemente umane contribuie la obiectivul
sistemului, este logic doar să concluzionăm că sunt componente ale sistemului.
Sfera de aplicare a sistemului de infrastructură devine și mai proeminentă atunci când
este luat în considerare numărul de persoane și organizații implicate. Comunicațiile dintre
aceste organizații devin puncte de fragilitate. Oamenii înșiși și deciziile pe care le iau sunt
critice pentru succesul sistemului. De exemplu, un pacient așteaptă o inimă donată. Este
corect tipul de sânge? O eroare în această situație este o problemă de viață sau de moarte.
Acesta este un exemplu de sistem de infrastructură fragilă format dintr-un spital, medici, o
organizație de donare de sânge și alte elemente.

8
 1.5. Arhitectură de reziliență
Când spunem că reziliența poate fi arhivată, înseamnă că sistemele pot fi definite, și
elementele sau sistemul pot fi aranjate pentru care reziliența va fi o proprietate emergentă,
adică o proprietate care nu este deținută de elementele individuale ale sistemului. Maier și
Rechtin (2009, p. 423) definesc o arhitectură ca „structura - în termeni de componente,
conexiuni și constrângeri - a unui produs, proces sau element”. Maier și Rechtin (2009,
p.423), de asemenea, definesc arhitectura a fi „procesul de creare și construire a
arhitecturilor". Cu toate acestea, Maier și Rechtin dezvăluie că arhitectura poate fi sau nu
considerată o parte separată a ingineriei.
Reziliența sistemului rezultă dintr-un set de atribute de bază pe care un sistem ar
trebui să fie rezistent. Aceste atribute sunt urmărite de un set de principii care au fost
dezvoltate și, în mare parte, sunt acceptate de comunitatea de reziliență. Aceste atribute sunt
sursa euristicii de proiectare; ele pot fi dezvoltate din atribute.

1.6. Măsurarea rezilienței.

Un subiect major în rândul cercetătorilor de reziliență este dacă reziliența sau, mai
bine spus, lipsa de reziliență, numită fragilitate, pot fi prezise sau măsurate. O școală de
gândire este că accidentele sunt atât de întâmplătoare, încât orice tip de predicție este în afara
problemei. Cu toate acestea, alții indică defecte și neajunsuri aproape întotdeauna de
accidente majore. Această idee se numește teoria aisbergului. Se poate spune, de exemplu, că
o aeronavă care necesită mai multă întreținere are mai multe șanse să aibă un accident?
Răspunsul la această întrebare nu este cunoscut, dar este posibil. Unele date statistice există,
de exemplu, din studiul Căilor Ferate Scoțiene, care a colectat și analizat date despre defecte
și accidente majore în domeniul feroviar. Acest studiu a indicat o corelație statistică între
evenimente minore și accidente majore, așa cum este descris de Wright și Van der Schaaf
(2004).
Dacă sunt dezvoltate, aceste dovezi ar avea un beneficiu enorm. Această informație ar
putea fi folosită pentru a crea proiecte mai bune, proceduri operaționale mai bune sau
proceduri de întreținere mai bune. Pe scurt, deși teoria aisbergului nu măsoară direct
reziliența, ar putea fi un pas în procesul de proiectare a sistemelor mai reziliente.

9
 În caz contrar, se pot trage următoarele concluzii. În primul rând, analizele de
fiabilitate și siguranță tradiționale pot fi utilizate pentru a ajunge la rezultate cantitative. Cu
toate acestea, aceste rezultate se bazează aproape în totalitate pe date istorice și pot reflecta,
într-o anumită măsură, capacitatea sistemului de a supraviețui perturbațiilor prevăzute. În al
doilea rând, există date pentru eroare umană în anumite domenii - de exemplu, în aeronave
comerciale. Prin urmare, în măsura în care există astfel de date, ele pot fi utilizate pentru a
suplimenta analizele de fiabilitate și siguranță pentru a ajunge la rezultate cantitative. În cele
din urmă, există problema amenințărilor neprevăzute. Se poate concluziona că măsura
rezilienței la amenințări neprevăzute este posibilă numai în măsura în care o anumită metodă
de reziliență s-a dovedit utilă împotriva altor amenințări neprevăzute.

1.7. Provocările
Pot fi corelate mai multe discipline la fel de răspândite precum ingineria și psihologia
pentru a analiza reziliența în întregime? Mai multe organizații, inclusiv, de exemplu,
dezvoltatori de aeronave, clienți, agenții guvernamentale, operatori și întreținători pot fi
integrate pentru a rezolva problemele de comunicare și de luare a deciziilor? Pot fi prezise și
eliminate evenimente perturbatoare, cum ar fi conflictele dintre operatori și software? Pot fi
create sisteme adaptive pentru a supraviețui și recuperarea unor perturbări majore, cum ar fi
atacurile teroriste și uraganele? Se poate realiza efectiv o schimbare culturală care să conducă
la organizații conștiente de risc care să anticipeze și să adreseze amenințările la reziliență? În
cele din urmă, există indicatori ai punctelor slabe potențiale din sisteme care pot fi exploatate
pentru a face sisteme mai rezistente? Toate aceste exemple sunt pași potențiali către
proiectarea sistemelor reziliente.

1.8. Capacități de reziliență a sistemului

Capacitățile sunt împărțite în două categorii largi, manageriale și tehnice, ambele
necesitând metodologii care depășesc practicile obișnuite din industrie, guvern și lume în
general. Capacitățile discutate aici vor fi utilizate ca reper pentru studiile de caz care vor fi
discutate în capitolul 3.
Nu există nici o presupunere că toate capacitățile din acest capitol trebuie să fie
implementate pe toate sistemele din toate domeniile. Gradul de implementare va depinde de

10
costul implementării, consecința unor eșecuri a sistemului, riscurile asociate cu acea
consecință și raportul beneficiu-cost, dacă este stabilit, care ar rezulta din implementarea sa.
Administrația
Richard Feynman, fizician Caltech (1988, p. 37), subliniază convingerea că trebuie să
existe o legătură de interes comun între management și inginerie. Această legătură a făcut ca
debarcările de pe Lună să fie un succes și această legătură care s-a deteriorat în proiectul
navetei spațiale. Feynman rezumă teoria sa după cum urmează:

Teoria mea este că pierderea interesului comun - între ingineri și oameni de știință
pe de o parte și managementul pe de altă parte - este cauza deteriorării în cooperare, care,
așa cum ați văzut, a produs o calamitate.

Capacitatea de supraveghere managerială este necesară pentru a obține reziliența

sistemului. Înțelegerea rezilienței este necesară la cele mai înalte niveluri de management.
Conducerea este responsabilă pentru toate celelalte capacități, atât manageriale, cât și
tehnice.
În special pentru sistemele tehnologice, o capacitate managerială cheie este
gestionarea contractelor. Gestionarea contractelor este mult mai dificilă în contextul
rezilienței decât în trecut, din cauza lipsei de criterii cantitative de contractare, după cum se
discută mai jos în mediul contractual. Această dificultate rezultă din faptul că contractele
tradiționale depind în cea mai mare parte de specificații care se bazează pe cerințe veridice
pentru a proiecta un produs cu performanțe dorite. Reziliența se bazează totuși pe euristică,
care nu sunt veridice. Cea mai probabilă cale către această schimbare constă în achiziții
bazate pe procese, mai degrabă decât în contracte bazate pe cerințe. În aceste cazuri,
contractele l-ar îndruma pe dezvoltator să folosească atributele de proiectare a rezilienței și să
prezinte rezultatele la agenția de aprovizionare pentru concordanță. Această metodă este
folosită astăzi, dar în viitor poate fi mai frecventă, deoarece reziliența devine o prioritate mai
mare.
Conectivitatea la scară largă este capacitatea de bază, definită de Woods (2006), care
este setul de legături de bază dintre nodurile sistemului, din nou, fie uman, fie tehnologic.
Conectivitatea la scară largă implică comunicare, acord, colaborare, schimb de date și schimb

11
de resurse între organizații. Conectivitatea pe scară largă este esențială pentru diferitele
noduri ale unei multiorganizări de sistem de sisteme, cum ar fi o infrastructură urbană. Este,
de asemenea, legătura dintre diferitele noduri ale unei singure organizații, inclusiv furnizori
și producție. El leagă elemente ale sistemului de-a lungul ciclului de viață. De exemplu, leagă
dezvoltarea cu nodurile de operații și suport. Deosebit de importantă este conectivitatea
încrucișată cu agențiile de reglementare. Colaborarea între interese este mai mult decât
interacțiune; este o cooperare conștientă, coordonare și colaborare, printre elemente.
O altă capacitate managerială este guvernanța rezilienței sistemului. Esența
revizuirilor independente este că personalul din afara programului oferă comentarii și
informații cu privire la potențialele fluxuri și riscuri. În mod similar, recenziile de la egal la
egal se bazează pe experți în diverse discipline pentru a face același lucru. Acești pași vor
tinde să reducă probabilitatea tipurilor de accidente discutate în studiul de caz. Acțiunea
corectivă este un proces-cheie conceput pentru atenuarea „derivării” către fragilitatea
descrisă de Woods (2007). Supravegherea managerială este necesară pentru a stabili filozofia
decizională atât în proiectarea sistemului, cât și în funcționarea sistemului.
Alte capacități, cum ar fi tratamentul mai avansat al riscului, sunt de asemenea
acoperite ca parte a capabilităților manageriale. Acestea includ luarea în considerare a
riscurilor multiple cu probabilitate redusă discutate de Epstein (2006) și analiza dinamică,
neliniară a riscului Leveson și colab. (2006). Printre riscurile care trebuie abordate sunt cele
asociate cu maturitatea tehnică, costul și factorii de programare.
Responsabilitatea managerială finală este cultura. Dovada abundentă, de exemplu,
Vaughn (1996, p. 406) și raportul Columbia Accident Investigation Board (2003, p. 177),
sugerează că paradigmele culturale sau mentalitățile inducătoare de risc sunt responsabile
pentru lipsa de succes în multe sisteme.
Capabilitățile tehnice reprezintă, de asemenea, o nouă cale atât pentru sistemele
tehnologice, cât și pentru cele umane. Majoritatea sistemelor din trecut au fost create folosind
metodele analitice. Aceste metode se bazează foarte mult pe proiectarea unui sistem care
îndeplinește cerințele veridice. După cum este descris de Woods (2007), aceste metode nu
sunt, în general, adecvate pentru a realiza sisteme reziliente. O capacitate tehnică esențială
este analiza holistică. Analiza holistică, pe de o parte, permite analistului să țină seama de
numeroși factori complexi care nu sunt pur și simplu tratabili prin metode analitice. Analiza

12
holistică are în vedere relația dintre elementele sistemelor. Analiza analitică, pe de altă parte,
se concentrează pe capacitățile componentelor individuale.
Crearea adaptabilității pentru a face față întreruperilor nu este, de exemplu, tratabilă
prin metode analitice. Analizele holistice includ, de exemplu, utilizarea euristicii, regulilor,
legilor și atributelor. Conform lui Woods (2006), cinci principii constituie adaptabilitate: În
primul rând, există capacitatea de tamponare că un sistem poate absorbi o întrerupere fără o
pierdere totală a capacității. În al doilea rând, există imposibilitatea de a se restructura. În al
treilea rând, există marja pentru ca un sistem să poată continua să funcționeze în raport cu
limita de plic a performanței sale. În al patrulea rând, există toleranța la degradarea grațioasă
în fața prăbușirii iminente. În cele din urmă, există colaborarea dintre legături, discutată mai
sus, astfel încât elementele sistemului să acționeze într-o manieră reciprocă binefăcătoare.
Asta nu înseamnă că metodele analitice ar trebui abandonate complet. Studiile de caz
au arătat că metodele analitice ar fi putut ajuta, dar că ar fi trebuit să fie efectuate mai detaliat
și într-o gamă mai largă de condiții.

1.9. Sisteme socio-complexe

Interdependențele din sistemele complexe
Pentru îmbunătățirea rezilienței sistemelor de transport aerian (Ouyang, 2014), este
critică identificarea, înțelegerea și modelare interdependențelor din cadrul sistemului.
Performanțele operațiilor de transport aerian pe parcursul evenimentelor disruptive depinde
de un set extins de sisteme interdependente, linii aeriene, aeroporturi, centre CTA. Aceste
sisteme de aviație sunt conectate pe diverse nivele prin diverse mecanisme, astfel există
interdependențe între perechi de stări sau componente. Rinaldi (2001) a definit
interdependența ca relația bidirecțională între două infrastructuri, prin care starea fiecărei
infrastructuri influențează sau este corelată cu starea celeilalte. De exemplu, liniile aeriene și
aeroporturile sunt interdependente. Închiderea unui aeroport (din motive meteo, de
capacitate sau probleme CTA) poate conduce la anularea sau modificarea zborurilor. În
același timp, deciziile CTA, MTA, influențează și depind de procesele de aeroport
(schimbare porți, bagaje pasageri). În operațiile aeroportuare normale unele interdependențe
sunt invizibile, dar în anumite scenarii disruptive acestea pot evolua și deveni evidente (de

13
exemplu cazul erupțiilor vulcanice din Islanda 2010, care a condus la închiderea spațiului
aerian al numeroaselor țări UE).
Rinaldi (2004) a identificat patru clase de interdependențe: fizice, cibernetice,
geografice (schimbarea stării sistemului ca urmare a unui eveniment local de mediu) sau
logice (când starea fiecăruia din cele două sisteme depinde de starea celuilalt prin veriga unui
mecanism diferit de cele fizice, cibernetice sau geografice). Infrastructura reprezintă o rețea
de sisteme și procese independente care funcționează colaborativ și sinergic pentru a produce
și distribui un flux continuu de bunuri și servicii esențiale. Un asemenea sistem este critic
atunci când incapacitatea sau distrugerea are un impact sever asupra apărării și securității
economice.
Modelarea interdependențelor în transportul aerian este o problemă complexă,
multidimensională și multidisciplinară. În Tabelul 1.1. se prezintă dimensiunile asociate cu
interdependențele de sistem care complică analiza rezilienței.
Există diverse abordări de modelare: modelarea bazată pe agent, abordări bazate pe
rețea, abordări empirice, dinamica sistemelor, teorii economice, modelare holografică
ierarhică, rețele Petri, control dinamic și rețele Bayesiene. Aceste abordări au fost evaluate în
raport cu strategiile de îmbunătățire a rezilienței pentru infrastructuri critice și
interdependențele acoperite de acestea (Ouyang, 2014). Metodele bazate pe agent și metodele
bazate pe fluxurile de rețele au cea mai largă aplicabilitate acoperind trei capacități de
reziliență. În teoria viabilității (Bujorianu, 2012) se prezintă diverse posibilități de modelare a
incertitudinii în transportul aerian ce pot fi aplicate în modelarea pe agent și modele bazate
pe rețea.

14
 CAPITOLUL 2 SIGURANȚA ZBORULUI

2.1. Sistemul de management al siguranței (SMS)

Autoritățile de reglementare, experții în domeniul siguranței și liderii industriei au
proclamat că sistemul de management al siguranței (SMS) reprezintă viitorul
managementului siguranței în industria aviației. SMS-urile predomină în alte țări de ani buni.
SMS-urile oferă organizațiilor un cadru puternic de filosofie, instrumente și metodologii de
siguranță care le îmbunătățesc capacitatea de a înțelege, construi și gestiona sisteme
proactive de siguranță.
În trecut, îmbunătățirea siguranței aviației s-a caracterizat printr-o abordare a
fluxurilor de avarie. Vom arunca avioane, am avea ocazional un accident nefericit și am
investiga cauza (cauzele) pentru a nu se mai repeta. Uneori, cauzele ar fi legate de intemperii
sau o defecțiune mecanică, dar mai des cauza ar fi determinată a fi o eroare umană - de obicei
pilotul. În esență, filozofia dominantă a fost odată determinată ca motiv să fie pilotul, trebuie
doar să încurajăm alți piloți să nu facă aceleași greșeli.
Astăzi ne dăm seama că este mult mai productiv să proiectăm un sistem în care, în
măsura posibilului, au fost proiectate cauze ale eșecului. Practicianul modern, bine informat
în materie de siguranță a aviației, trebuie să înțeleagă funcțional identificarea pericolelor,
managementul riscurilor, teoria sistemului, ingineria factorilor umani, cultura
organizațională, ingineria și managementul calității, metode cantitative și teoria deciziei.
SMS-urile nu sunt doar pentru aviație, ci se găsesc într-o mare varietate de industrii
diverse, cum ar fi produse chimice, petrol, construcții, sănătate în muncă, alimente,
autostrăzi, electricitate, protecție împotriva incendiilor și altele. SMS-urile nu sunt concepte
noi în aceste industrii - trimiterile la SMS-urile din literatura de specialitate din unele dintre
aceste industrii pot fi găsite încă de la începutul anilor '80. Multe dintre aceste industrii aveau
înregistrări de siguranță din punct de vedere istoric și au beneficiat de filosofia și structura pe
care SMS-urile o oferă.

2.2. Definiția OACI a SMS-urilor

Organizația Aviației Civile Internaționale (OACI), o agenție specializată a
Organizației Națiunilor Unite, codifică principiile și tehnicile navigației aeriene

15
internaționale și încurajează planificarea și dezvoltarea transportului aerian internațional
pentru a asigura o creștere sigură și ordonată. OACI a mandatat ca 190 de state membre să
dezvolte și să implementeze programe SMS pentru a atinge un nivel acceptabil de siguranță
în operațiunile de aviație. Această cerință se aplică în prezent anexei 6 - Funcționarea
aeronavelor, anexa 11 - Serviciile de trafic aerian și anexa 14 - Aerodromuri, din statut. Ca
răspuns. Circulara consultativă (AC) introduce conceptul de sistem de management al
siguranței (SMS) furnizorilor de servicii de aviație (de exemplu, companiile aeriene,
operatorii de taxi aerian, departamentele de zbor corporative, școlile de pilot) și oferă
îndrumări pentru dezvoltarea SMS-urilor de către aceste organizații. AC se aplică atât
operatorilor aerieni certificați, cât și non-certificați, care doresc să dezvolte și să
implementeze un SMS.
OACI a solicitat ca statele sale membre să dezvolte și să implementeze programe
SMS pentru îmbunătățirea siguranței. Desigur, obiectivul principal este îmbunătățirea
siguranței, iar experții reprezentanți ai OACI consideră că implementarea unui SMS este cel
mai bun mijloc de realizare a acestui obiectiv.
Definiția „SMS” a OACI este „o abordare organizată pentru gestionarea siguranței,
incluzând structurile organizaționale, responsabilitățile, politicile și procedurile necesare”
(OACI, 2006, 1-2). Următoarele paragrafe vor descompune termenii Sisteme de management
al siguranței pentru a-l înțelege mai bine și voi prezenta o definiție care încearcă să capteze
esența SMS-ului.
Siguranța înseamnă lucruri diferite pentru oameni diferiți. În dicționarul online
Merriam-Webster, definiția pentru „siguranță” este dată după cum urmează: „condiția de a fi
în siguranță de a suferi sau de a provoca răni, răni sau pierderi” (Merriam-Webster Online
Dictionary, 2007). Modul în care se aplică această definiție este, în parte, o funcție a
circumstanțelor noastre. De exemplu, dacă locuiți în apropierea unei centrale nucleare,
siguranța înseamnă că orice se întâmplă într-o astfel de instalație nu vă afectează în mod
negativ sănătatea și bunăstare. Pentru cei care construiesc centrala nucleară înseamnă un
control eficient al reacției în lanț nuclear, răcirea corespunzătoare a miezului reactorului și
prevenirea eliberării de materiale radioactive. Dacă sunteți un schior în pantă, doriți să
ajungeți în partea de jos a pantei fără o gleznă ruptă, un braț întors sau o vătămare la cap. În
contextul definiției de siguranță a lui Webster, adică „libertatea împotriva pericolului sau a

16
vătămării”, schiul de coborâre s-a angajat într-o activitate sigură când a coborât pe pârtie? A
fost ferit de pericol sau vătămare? În acest context, este ceva în siguranță? Majoritatea dintre
noi mergem la muncă sau la școală în fiecare zi. Cu toate acestea, mai multe persoane sunt
ucise sau rănite în această țară în accidente auto decât orice altă activitate. Cu siguranță nu
suntem cu toții considerați „nesiguri”.
Securitatea este definită de OACI ca „starea în care riscul de vătămare a persoanelor
sau de daune materiale este redus și menținut la sau sub un nivel acceptabil printr-un proces
continuu de identificare a pericolului și de gestionare a riscurilor” (OACI, 2006, p. 1-1). (De
fapt, definiția OACI ar putea fi considerată cel mai bine în legătură cu managementul
siguranței.) Această definiție recunoaște că riscul în activitate nu este redus la zero, ci la un
nivel acceptabil. De asemenea, sugerează că siguranța activității este măsurată față de nivelul
acceptabil. Și explică că menținem siguranța printr-un proces. Acest proces implică
identificarea pericolelor care împiedică siguranța și gestionarea riscurilor.
Așadar, pentru profesioniștii în domeniul siguranței, însuși cuvântul „siguranță”
presupune măsurare, evaluare și feedback constant în sistem.

2.3. Definiția SMS-urilor

Următorul enunț este oferit ca o definiție cuprinzătoare a SMS-urilor: un sistem
dinamic de gestionare a riscurilor bazat pe principiile sistemului de management al calității
într-o structură amplificată corespunzător riscului operațional, aplicat într-un mediu de
cultură a siguranței.

Sisteme de gestionare a riscurilor

Un sistem SMS este, în centrul său, un sistem dinamic de gestionare a riscurilor. O
revizuire a orientărilor actuale în gestionarea riscurilor este revelatoare și este o indicație a
modului în care paradigmele din comunitatea de siguranță sunt încă în proces de schimbare,
chiar și în rândul celor care promovează SMS-urile. Mai întâi vom analiza teoria actuală a
managementului riscului, promovată de ICAO.
În documentele de orientare OACI, riscul este descris ca o măsură a pierderilor
preconizate care pot fi cauzate de un eveniment nedorit, luat în considerare cu probabilitatea
producerii evenimentului; adică riscul este egal cu severitatea (S) x probabilitatea (P) sau:

17
 R=S×P
Chiar și cele mai bune analize de siguranță în urmă cu câteva decenii erau de natură
juridică. Cele două măsuri pe care se bazează acest calcul tradițional al riscului depind atât de
o analiză a evenimentelor nedorite. Mai mult, datele din care sunt trase aceste calcule sunt
istorice. De exemplu, să presupunem că are loc o aterizare dură. O abordare juridică a
analizei riscurilor ar face ca departamentul de securitate să analizeze diferitele baze de date
de securitate menținute de compania aeriană și să examineze rapoartele referitoare la
„aterizare dură”. După revizuirea acestor rapoarte, experții în materie ar atribui o măsură de
gravitate rapoartelor și apoi ar adăuga respectivele atribuții într-un index care descrie
severitatea evenimentului de aterizare dură. Apoi, s-ar face o încercare de a calcula o
statistică a ratei (numărul de aterizări dure împărțit la statisticile de expunere, în acest caz
numărul total de aterizări din sistem), rezultând astfel probabilitatea indicelui de apariție.
Utilizând acești doi indici, se va obține un „indice de risc” final prin raportarea la o matrice
de risc. O matrice tipică de risc este prezentată în figura 2.1 (FAA, 2006, p. 15).

Fig. 2.1. Matrice de risc

Realizarea acestui proces pe diferitele tipuri de evenimente nedorite experimentate în

operații, de asemenea, ar oferi echipei de management posibilitatea de a acorda prioritate
acțiunilor pe baza valorii relative a indicilor de risc alocați fiecărui tip de eveniment.

18
 Această abordare analitică aplicată înțelegerii evenimentelor nedorite este o mare
îmbunătățire față de cea utilizată în trecut. Cu toate acestea, acest calcul tradițional de
„severitate x probabilitate = risc” este, prin natura sa, retrospectivă și nu captează de la sine
esența SMS-urilor. De asemenea, un SMS realizează o analiză a riscurilor la nivelul
elementului constitutiv al unui sistem, unde sunt identificate pericolele. În forma sa cea mai
sofisticată, analiza riscurilor se bazează pe construirea modelelor, în care estimările privind
gama de severități potențiale, probabilitățile posibile și măsurile privind eficacitatea acelor
controale instituite pentru atenuarea pericolelor sunt permise să interacționeze între ele, și
mai mult în software-ul de modelare a scenariilor, rezultatul fiind o predicție a rezultatului
cel mai probabil al evenimentelor. Analiza juridică a evenimentelor nedorite este o metodă
importantă de identificare a pericolelor, dar nu și singura.
Realizarea acestui proces pe diferitele tipuri de evenimente nedorite experimentate în
operații, de asemenea, ar oferi echipei de management posibilitatea de a acorda prioritate
acțiunilor pe baza valorii relative a indicilor de risc alocați fiecărui tip de eveniment.
Risc și fiabilitate
Așa cum am descris în viziunea clasică a managementului riscului, accentul este pus
pe eveniment - evaluarea gravității sale și a probabilității de apariție a acestuia. Aceste
considerente rămân active într-un SMS, dar se adaugă un concept din domeniul ingineriei de
calitate; adică fiabilitatea. Fiabilitatea este o măsură a capacității unui sistem de a funcționa
fără defecte sau erori și este proiectată în mod conștient într-un sistem. O abordare de
fiabilitate a managementului riscurilor utilizează tehnici de inginerie de calitate pentru a
modifica proiectarea sistemului, adăugând subsisteme paralele, redundanță, alerte, bariere și
altele.
Managementul riscului
Gestionarea riscurilor este procesul de măsurare a riscului și de elaborare a
strategiilor de gestionare a acestuia. Aceste strategii includ de obicei reducerea efectului
negativ al riscului. În ecuația analizei riscului de mai sus, modificarea severității [S] sau a
probabilității [P] ar îndeplini această sarcină(R= S x P). O abordare proiectată de calitate va
include o analiză riguroasă a sistemului de interes - identificarea pericolelor, înțelegerea
interacțiunilor dintre aceste pericole și sisteme de detectare a ingineriei, încorporarea
sistemelor paralele și / sau redundante, după caz, și determinarea punctelor clare de decizie.

19
 În cele din urmă, deoarece SMS-ul este încorporat într-un sistem integrat de
gestionare, planificarea strategică a riscurilor va include transferul riscului (de exemplu, către
operatorii de asigurare), evitarea riscului și / sau acceptarea consecințelor - în totalitate sau
parțial - a riscului (Figura 2.2).
Este important de reținut următoarele în ceea ce privește strategiile de gestionare a
riscurilor:
1. Nu se exclud reciproc. Alegerea uneia dintre ele nu înseamnă că nu poți alege și
altele. De fapt, de multe ori aceste strategii vor fi amestecate și combinate în diferite grade.
2. Strategiile individuale nu sunt o propunere de totul sau nimic. Strategiile pot fi și
adesea sunt parțial implementate.
3. Strategiile sunt oarecum un act de echilibrare.
4. Deciziile privind gestionarea riscurilor trebuie luate de conducerea organizației.

Fig. 2.2. Riscul

Producție versus protecție Riscul este evaluat în contextul conceptului de producție

versus protecție. Producția se referă la produsul sau serviciul care este obiectivul organizației.
Producția ar putea fi serviciile de trafic aerian, instruirea zborurilor, serviciile aeroportului,

20
serviciile de întreținere sau alte activități, în funcție de natura organizației. Producția de
succes a serviciului intenționat este cea care permite unei organizații să rămână în afaceri.
Deoarece există pericole în aviație, o consecință a producției este riscul pentru
siguranță. Acest risc necesită crearea unui sistem de protecție pentru utilizatori și părți
interesate, care este responsabilitatea furnizorului de servicii de aviație (cel mai direct) și a
autorităților de reglementare. Acest sistem de protecție este fundamental ceea ce ar trebui să
furnizeze un SMS.
Obiectivele de producție și protecție trebuie să fie echilibrate de conducerea unei
organizații. Adesea, acest echilibru este fragil; producția prea mare poate compromite
siguranța și prea multă siguranță poate compromite performanța financiară.
Scopul unui proces de gestionare a riscurilor este de a identifica riscurile și însoțitorii
asociate cu aceste riscuri și de a gestiona și reduce riscurile. Un proces utilizat pe scară largă
și unul susținut în AC 120-92 al FAA (Administrația Federală a Aviației) include
următoarele etape (FAA, 2006, p. 12-17):
1. Sisteme și analiza sarcinilor. Proiectarea sistemului este piatra de temelie a
gestionării riscurilor. Un sistem documentat și o analiză a sarcinilor ar trebui să fie completă,
să descrie și să explice interacțiunile componentelor sistemului, inclusiv oameni, hardware,
software și mediu.
2. Identificarea pericolului. Având în vedere sistemul descris în etapa anterioară,
pericolele trebuie identificate, documentate și controlate.
3. Analiza și evaluarea riscurilor. După cum s-a discutat mai sus, riscul este evaluat
de cele două componente ale sale: probabilitatea apariției unui eveniment nedorit și
gravitatea apariției.
4. Criterii de gravitate și de probabilitate. Instrumentul utilizat în mod normal pentru
aceasta este o matrice cu severitate de-a lungul axei X și probabilitate de-a lungul axei Y.
5. Acceptarea riscurilor. Matricea de risc permite reprezentarea grafică a categoriilor
de acceptare ca, de exemplu, acceptabilă (verde), acceptabilă cu atenuare (galben) și
inacceptabilă (roșu).
6. Alte instrumente de evaluare a riscurilor pentru gestionarea riscurilor operaționale
și a zborurilor. În ultimul deceniu, o serie de instrumente au fost dezvoltate pentru lumea
transportatorilor aerieni care pot fi utilizate pentru a oferi o evaluare suplimentară a riscului.

21
Aceste instrumente - Programul de raportare voluntară a informațiilor, Programul de acțiune
pentru siguranța aviației, Asigurarea calității operațiunilor de zbor, Asigurarea calității
operațiunilor de întreținere, Programul de evaluare internă, Programul avansat de calificare și
Auditul de siguranță a operațiunilor de linie.
7. Analiza cauzală. Analiza cauzelor de rădăcină este realizată pentru a determina de
ce riscurile sunt atribuite anumite niveluri și ca prim pas în dezvoltarea mijloacelor de
reducere a riscurilor la niveluri inferioare.
8. Controlul riscurilor. Exemple de controale includ: proceduri noi sau modificate,
ajutoare software sau software noi sau îmbunătățite, modificări la instruire, echipamente noi
sau modificate sau alte controale. Aceasta este inima îmbunătățirii.
9. Ierarhia controalelor. O ierarhie tipică a controalelor este: proiectarea pericolului
prin modificarea sistemului; apărători sau bariere fizice (cum ar fi apărătorii de pe anumite
întrerupătoare); avertismente, avize sau semnale ale pericolului; modificări procedurale
pentru evitarea sau diminuarea pericolului; si antrenament. Procesul de selectare a
controalelor corespunzătoare ar trebui abordat într-o manieră structurată.
10. Risc rezidual sau substitutiv. Această etapă implică o evaluare a controalelor
pentru a se asigura că nu sunt introduse noi riscuri în sistem și că controlul selectat este
probabil să fie eficient.
11. Funcționarea sistemului. Când sunt implementate controalele, sistemul este
introdus în operație și monitorizat pentru a asigura eficacitatea.
Revenind la definiția SMS-ului - un sistem dinamic de gestionare a riscurilor bazat pe
principiile sistemului de management al calității (QMS) într-o structură scalată corespunzător
riscului operațional, aplicat într-un mediu de cultură de siguranță - să luăm în considerare pe
scurt principiile QMS.
Principiile sistemului de management al calității (QMS)
QMS-urile sunt sisteme care conturează politicile și procedurile necesare pentru
îmbunătățirea și controlul diferitelor procese care în final vor duce la îmbunătățirea
performanței afacerii. SMS-urile se bazează pe principiile QMS. Aceste principii pot fi găsite
de-a lungul unui program SMS eficient. Una dintre organizațiile primare care promovează
calitatea este Organizația Internațională pentru Standardizare (ISO), care este un organism
neguvernamental, de stabilire a standardelor internaționale, format din 157 de țări membre. O

22
scurtă privire de ansamblu asupra principiilor QMS, astfel cum sunt articulate de ISO include
următoarele (ISO, 2007):
• Principiul 1 Focus pe client. Organizațiile depind de clienții lor și trebuie să
înțeleagă nevoile curente și viitoare ale clienților. Organizațiile ar trebui să îndeplinească
cerințele clienților și să depună eforturi pentru a depăși așteptările clienților.
• Principiul 2 Conducerea. Liderii stabilesc unitatea de scop și direcția organizației.
Liderii eficienți creează și mențin un mediu în care oamenii se pot implica pe deplin în a
ajuta organizația să își atingă obiectivele.
• Principiul 3 Implicarea oamenilor. Oamenii sunt esența unei organizații, iar
implicarea lor deplină servește la beneficiul organizației.
• Principiul 4 Abordarea procesului. Gestionarea activităților și resurselor ca procese
permit obținerea eficientă a rezultatelor dorite.
• Principiul 5 Abordarea sistemelor în management. Identificarea, înțelegerea și
gestionarea proceselor interrelaționate ca sistem contribuie la eficacitatea și eficiența
organizației în realizarea obiectivelor sale.
• Principiul 6 Îmbunătățirea continuă. Îmbunătățirea continuă a performanței trebuie
să fie un obiectiv permanent al organizației.
• Principiul 7 Abordarea faptică a luării deciziilor. Analiza datelor și informațiilor
duce la luarea eficientă a deciziilor.
• Principiul 8 - Relații cu furnizorii reciproc avantajoși. O organizație și furnizorii
acesteia sunt interdependenți și o relație benefică reciproc îmbunătățește capacitatea ambilor
de a crea valoare.
Aceste opt principii ar trebui menținute în fruntea oricărui efort de dezvoltare și
gestionare a programelor SMS.
În plus, multe riscuri trebuie gestionate la o scară dincolo de limitele oricărei
organizații. De exemplu, intrările eronate pe pistă rămân în mod constant aproape de partea
de sus a listei tuturor evenimentelor periculoase. Când ne uităm la lista părților interesate
implicate în această problemă și la lista factorilor care contribuie, este clar că o rezolvare
adevărată a problemei de intrare necontrolata pe pistă necesită acțiuni din partea mai multor
organizații - companii aeriene, operatori charter, organizații de întreținere, aeroporturi,
servicii de catering etc. Un SMS conceput pentru atenuarea acestui risc trebuie, prin urmare,

23
să fie dimensionat în mod corespunzător pentru a include toate părțile interesate ca
participanți activi, cu obiective comune și responsabilitate comună.

Fig. 2.3. Managementul riscului

2.4. Cei patru piloni ai SMS-ului

SMS-ul este structurat pe patru componente de bază ale managementului siguranței:
politică, gestionarea riscurilor de siguranță, asigurarea siguranței și promovarea siguranței.
Toate cele patru elemente structurale trebuie să existe și trebuie executate cu putere pentru ca
un SMS să fie eficient.

Pilonul 1 - Politică
Fiecare tip de sistem de management trebuie să definească politicile, procedurile și
structurile organizaționale pentru a-și îndeplini obiectivele. Un SMS trebuie să aibă în
aplicare politici și proceduri care să descrie în mod explicit responsabilitatea, autoritatea,
responsabilitatea și așteptările. Cel mai important, siguranța trebuie să fie o valoare de bază
pentru organizație.

24
 SMS-urile de siguranță și calitate utilizează principii de gestionare a calității, dar
cerințele care trebuie gestionate de sistem se bazează pe o evaluare obiectivă a riscului de
siguranță, mai degrabă decât pe satisfacția clienților pentru produse sau alte obiective
comerciale convenționale. Aceste cerințe trebuie să fie menționate în mod explicit în
documentația politicii SMS și trebuie să fie complet integrate în misiunea și viziunea
organizației.
Rolul, responsabilitățile și relațiile În mediul operațional complex de azi, multe
organizații și agenții sunt însărcinate cu anumite aspecte ale menținerii nivelului cel mai înalt
de siguranță. SMS recunoaște această responsabilitate comună și descrie în mod specific
rolurile, responsabilitățile și relațiile dintre toate părțile implicate în menținerea operațiunilor
sigure. În SMS, fiecare interfață între producție și exploatare, pe de o parte, și supraveghere
pe cealaltă, este identificată în mod clar și fiecare subsistem este proiectat pentru a oferi
agenției sau organizației de interfațare tot ce are nevoie pentru a-și îndeplini rolul.
Implicarea managementului executiv O caracteristică principală a unui SMS este
claritatea absolută a acestuia în definirea faptului că factorul cheie al succesului este
implicarea personală și materială a conducerii în activități de siguranță. Deși toți membrii
organizației trebuie să-și cunoască responsabilitățile și să fie împuterniciți și implicați în ceea
ce privește siguranța, responsabilitatea finală pentru siguranța sistemului nu poate fi delegată
de la conducerea superioară. SMS identifică comportamente cheie care demonstrează această
implicare, cum ar fi includerea obiectivelor de siguranță în planurile strategice și revizuirea
regulată a managementului SMS-urilor. Implicarea managementului executiv este o cerință
cheie în documentația politicii SMS.

Pilonul 2 - Managementul riscurilor

Un sistem formal de identificare și gestionare a riscurilor este fundamental pentru
controlul riscurilor la niveluri acceptabile. Un sistem de management al riscului bine
proiectat descrie procesele operaționale peste granițele departamentului și ale agenției,
identifică indicatorii cheie de performanță și îi măsoară în mod regulat, evaluează metodic
riscul și exercită controale pentru atenuarea riscului.
Analiza sistemelor și inginerie Managementul riscurilor necesită o înțelegere detaliată
a sistemelor operaționale. Sistemul constă din structurile, procesele și procedurile

25
organizaționale, precum și oamenii, echipamentele și facilitățile utilizate pentru îndeplinirea
misiunii organizației. Analiza sistemelor este inima ingineriei de calitate, iar o analiză de
inginerie sistematică bine făcută va explica interacțiunile dintre hardware, software, oameni
și mediu care alcătuiesc sistemul în detalii suficiente pentru a identifica pericolele și a realiza
analize de risc.
Identificarea pericolelor - odată ce procesele sunt bine înțelese, pericolele din sistem
și mediul său de funcționare pot fi identificate, documentate și controlate. Primul pas în
proces, identificarea pericolului, se bazează pe o înțelegere completă a sistemului, subliniind
importanța etapelor anterioare referitoare la descrierea sistemului. După ce sistemul este bine
înțeles, se poate revizui descrierea scrisă a sistemului sau diagrama fluxului de lucru a
procesului și la fiecare componentă a fluxului de lucru, puneți întrebarea „ce se întâmplă
dacă…”. Ce se întâmplă dacă această componentă a eșuat? Ce se întâmplă dacă apare această
amenințare? Dacă se întâmplă cealaltă eroare? Ca și în cazul descrierilor de sistem și sarcini,
judecata este necesară pentru a determina nivelul adecvat de detaliere. În timp ce
identificarea fiecărui pericol imaginabil nu ar fi practic, este de așteptat ca furnizorii de
servicii de aviație să depună diligențe pentru identificarea riscurilor semnificative și
rezonabile previzibile legate de operațiunile lor.
Analiza și evaluarea riscurilor - SMS-ul încurajează luarea deciziilor și acceptarea
evaluării riscurilor prin utilizarea unui proces aplicat în mod constant, cum este cel descris în
Manualul ICAO pentru managementul siguranței.
Acceptarea riscului - operațiunile nu sunt întreprinse niciodată fără un anumit nivel de
risc, astfel încât abordarea corectă a gestionării riscurilor este elaborarea de proceduri de
acceptare a riscurilor, inclusiv criterii de acceptare și desemnarea autorității și
responsabilitatea pentru luarea deciziilor de gestionare a riscurilor.
Analiza cauzală - analizele de risc ar trebui să conducă în mod inevitabil la analize
cauzale, care la rândul lor sunt furnizate managerilor operaționali pentru modificarea
procesului sau reintroduse în componenta de asigurare a securității SMS. Analiza cauzală
oferă baza unei îmbunătățiri continue.
Controlul riscului - după ce etapele precedente au fost finalizate, controalele de risc
trebuie concepute și puse în aplicare. Acestea pot fi proceduri suplimentare sau revizuite, noi
controale, modificări ale instruirii, echipamente suplimentare sau modificate, modificări ale

26
aranjamentelor de personal sau oricare dintre alte modificări ale sistemului. SMS necesită
trasarea unor linii clare de responsabilitate și autoritate care să atribuie sarcina de a controla
riscul.
Funcționarea sistemului - componenta de gestionare a riscurilor a SMS-urilor ar
trebui să fie proiectată pentru a nu numai să monitorizeze, să evalueze, să analizeze și să
controleze continuu riscul, dar să asigure și următoarea componentă, asigurarea siguranței;
un mijloc eficient de auditare, analiză și revizuire a rezultatelor eforturilor sale.
Managementul riscului lucrează în concordanță cu asigurarea siguranței pentru a asigura
funcționarea eficientă într-un mediu operațional în schimbare

Pilonul 3 - Asigurarea siguranței

Odată ce politicile, procesele, măsurile, evaluările și controalele sunt puse în aplicare,
organizația trebuie să includă revizuirea regulată a managementului pentru a asigura
atingerea obiectivelor de siguranță. Procesele solide de gestionare a schimbărilor trebuie să
existe pentru a se asigura că sistemul se poate adapta.
Relația dintre managementul riscului de siguranță și asigurarea siguranței În SMS,
eficacitatea unei organizații în gestionarea riscului este derivată dintr-o evaluare obiectivă a
riscului în operațiunea organizației. Deși acest lucru diferă oarecum de criteriile utilizate
pentru evaluarea unui sistem de calitate (adică așteptărilor clienților), funcțiile de asigurare a
siguranței în SMS-urile își au originea în standardul internațional de management al calității.
Informații pentru luarea deciziilor Asigurarea siguranței folosește informații dintr-o
varietate de surse; audituri, investigații privind evenimentele legate de siguranță,
monitorizarea indicatorilor cheie de proces în operațiunile de rutină și informațiile transmise
de angajați în sistemele de raportare a angajaților. Un concept cheie în SMS este acela că
aceste diferite sisteme de supraveghere ar trebui să includă un sistem de revizuire a
managementului.
Auditele interne SMS atribuie proprietarului respectivului proces responsabilitatea
imediată pentru siguranța fiecărui proces din organizație. Proprietarii de procese sunt experții
tehnici de domeniu din orice organizație și astfel cei mai cunoscuți despre procesele tehnice
implicate. Managerilor din cadrul departamentelor operaționale li se atribuie
responsabilitatea monitorizării propriilor procese printr-un program de audit intern.

27
 SMS-ul de evaluare internă definește, de asemenea, o funcție suplimentară de audit la
nivel organizațional. Acest nivel oferă o funcție de asigurare a calității pentru a asigura că
revizuirile mai aprofundate și tehnice realizate de auditurile interne departamentale
îndeplinesc obiective organizaționale prin evaluarea și atenuarea riscului. În.
Integrarea programelor de reglementare și voluntare - în multe organizații de aviație
există un amestec atât de programe de siguranță voluntare, cât și de cele impuse prin
regulament. SMS-urile nu înlocuiesc acele programe cerute de lege și nici nu elimină
valoarea altor persoane stabilite în mod voluntar. În schimb, SMS oferă un cadru pentru toate
aceste programe pentru a se integra într-o strategie coerentă de asigurare a siguranței.
Audituri externe - auditele externe oferă încă un alt nivel de asigurare a siguranței.
Aceste audituri pot fi solicitate prin regulament sau pot fi audituri terțe inițiate de organizație
pentru a oferi o evaluare obiectivă a proceselor sale. Încă o dată, SMS-urile nu înlocuiesc
necesitatea acestor sisteme externe de supraveghere, ci consideră mai degrabă aceste audituri
ca o altă sursă de informații pentru revizuirea managementului.
Analiză și evaluare - poate cea mai importantă parte a oricărui proces de îmbunătățire
continuă este aplicarea constantă a revizuirii managementului. Dacă revizuirea
managementului nu este o parte de rutină a calendarului organizației, toate celelalte
componente ale sistemului SMS sunt inutile. În plus, revizuirea managementului trebuie să
includă procese de gestionare a schimbărilor bine definite, astfel încât informațiile obținute
din analiză și evaluare să poată fi aplicate pentru a reduce riscul operațional.
Monitorizarea mediului - întrucât evaluarea mediului de afaceri trebuie să fie o parte
regulată a planificării strategice, SMS recunoaște o nevoie similară de a monitoriza continuu
mediul operațional pentru a evalua noi amenințări și a monitoriza cele existente. Componenta
de asigurare a siguranței trebuie să includă aceste evaluări în mod regulat.

Pilonul 4 - Promovarea siguranței

În cele din urmă, organizația trebuie să promoveze continuu siguranța ca valoare de
bază cu ajutorul unor practici care susțin o cultură a siguranței solide.
Culturi de siguranță - unul dintre elementele cele mai provocatoare ale SMS-urilor
este crearea și dezvoltarea unei culturi de siguranță, în care fiecare persoană înțelege rolul
său în menținerea unei operațiuni sigure și participă activ la controlul și minimizarea risc.

28
 Crearea unei culturi de siguranță începe de la vârful organizației, odată cu
încorporarea politicilor și procedurilor care cultivă o cultură de raportare (unde există
structuri care permit informațiile legate de siguranță să curgă de la toate nivelurile
organizației într-un sistem abilitat să corecteze probleme) și o cultură dreaptă (în care
indivizii sunt trași la răspundere pentru acțiunile lor și tratați în mod echitabil de organizație).
Menținerea unei culturi de siguranță necesită atenție constantă din partea fiecărui nivel de
conducere și a fiecărui departament din organizație. Un element central al SMS-urilor este
această realizare - faptul că departamentul de securitate nu deține siguranță, ci este deținut de
fiecare angajat.
Comunicare Pentru a sprijini o cultură de raportare, organizația trebuie să cultive
dorința membrilor săi de a contribui la înțelegerea funcționării sale de către organizație.
Întrucât unele dintre cele mai valoroase rapoarte implică auto-dezvăluirea greșelilor,
organizația trebuie să își asume angajamentul de a acționa într-o manieră non-punitivă atunci
când aceste greșeli nu sunt rezultatul unui comportament neglijent sau imprudent. Un SMS
trebuie să aibă mecanisme care să permită angajaților să prezinte rapoarte cu privire la
deficiențele de siguranță, fără teamă de represalii.
Un SMS trebuie să aibă, de asemenea, mecanisme solide de diseminare a
informațiilor către forța de muncă, astfel încât fiecare angajat să aibă acces în timp util la
informații legate de siguranță. Sistemele de gestionare a cunoștințelor acceptă SMS-urile prin
identificarea tipului de informații de care are nevoie un angajat și oferă mijloace orientate
pentru diseminarea informațiilor respective.
Învățarea organizațională Informațiile nu au nicio valoare decât dacă o organizație
învață de la ea. Un SMS trebuie să includă controale pentru a se asigura că lecțiile învățate
influențează designul sistemelor sale. Un SMS trebuie să fie un sistem cu buclă închisă, în
care există o pistă de audit pentru a demonstra că o descoperire în procesul de evaluare și
analiză a riscurilor duce la analiza cauzală, care este apoi utilizată într-un proces de acțiune
preventivă / corectivă pentru a modifica operația și a reduce risc. În plus, este necesar ca
lecțiile învățate să fie încorporate în mod regulat într-un program de calificare continuă
pentru angajații relevanți.

29
 2.5. Răspunsul la urgențe
În documentația ICAO răspunsul la urgență este inclus ca parte integrantă a SMS-
urilor. De ce, s-ar putea întreba, trebuie din nou să revizuim ceva care este deja foarte
puternic reglementat, care necesită deja o alocare semnificativă a resurselor în cadrul
organizației și care funcționează deja destul de bine? O preocupare comună este aceea că
orice cerințe suplimentare impuse de un sistem SMS vor fi doar greoaie și vor crește
complexitatea, cu un redus redus al investițiilor în ceea ce privește calitatea răspunsului de
urgență.
Evoluția naturală a managementului siguranței în industrie a determinat răspunsul
reactiv la dezastre, astfel încât răspunsul la urgență este deja bine dezvoltat în zone cu risc
operațional potențial ridicat, cum ar fi pe aeroporturile de clasa I. Oricine este implicată în
planificarea siguranței la un aeroport hub sau o companie aeriană mare știe că ERP-urile
existente (planurile de răspuns la situații de urgență, așa cum le desemnează ICAO) sunt
foarte bine dezvoltate și extinse, iar prin reglementare sunt testate în mod regulat.
Pentru acei operatori, este foarte probabil ca ERP-urile existente să îndeplinească
toate cerințele SMS-urilor, astfel încât fluturarea sau panica nu sunt necesare. Pentru acele
programe existente bine dezvoltate, gradul de încărcare a încorporării ERP-urilor lor într-un
cadru SMS va fi probabil foarte scăzut. SMS-ul este în mod intenționat un sistem scalabil, ale
cărui principii se aplică atât furnizorului de servicii mari, cât și micului. Prin urmare, schițele
generale pentru răspunsul de urgență în SMS sunt demne de luat în considerare, știind că
unele niveluri de operare au deja sisteme solide, în timp ce altele vor beneficia de o revizuire.
Capitolul 11 din Manualul ICAO pentru managementul siguranței este dedicat
planificării răspunsurilor în caz de urgență și este cea mai bună sursă de referință pentru un
furnizor de servicii pe care să-l folosească pentru a revizui fundamentele propriilor programe.
Există desigur reglementări specifice care reglementează nivelurile de planificare și răspuns
la situații de urgență, în funcție de locația, scara și tipul operațiunilor implicate.
Manualul de gestionare a siguranței OACI afirmă că scopul ERP este să se asigure că
există (ICAO, 2006, p. 11–1):
1. trecerea ordonată și eficientă de la operațiunile normale la cele de urgență,
2. delegarea autorității de urgență;
3. atribuirea responsabilităților de urgență,

30
 4. autorizarea personalului cheie pentru acțiuni cuprinse în plan;
5. coordonarea eforturilor de a face față situațiilor de urgență și
6. continuarea în siguranță a operațiunilor sau revenirea la operațiunile normale de
îndată ce este posibil.
Scopul de a solicita ca un ERP să facă parte dintr-un SMS este să se asigure că un
furnizor de servicii s-a gândit la fiecare dintre elementele enumerate mai sus și a stabilit un
plan de operațiuni înainte de necesitatea utilizării planului. Acest scop este determinat în
întregime de aceeași motivație de bază care alimentează SMS-urile în primul rând - controlul
riscului. În acest caz, riscul controlat nu se adresează în special circumstanțelor care au dus la
situația de urgență (deși SMS-ul ar determina nevoia de a lua măsuri corective pentru a
preveni situația de urgență în viitor, desigur). Mai degrabă, riscul atenuat de ERP este cel
asociat cu gestionarea situației de urgență în sine.
O urgență este un eveniment care, prin natura sa, are un risc ridicat, cu siguranță
pentru victimele aflate la scena imediată, dar și pentru primii respondenți, pentru cei care
ajută acești respondenți și în special pentru ceilalți clienți care continuă să primească servicii
de la organizație. În timp ce situația de urgență este în desfășurare, chiar dacă acești clienți
sunt la o mie de mile distanță de locul faptei. Există un ERP pentru controlul răspunsușui
organizațional la situații de urgență, astfel încât să se reducă la minimum riscul pentru toate
fațetele operației. Un ERP este un mecanism de control.
Documentul OACI definește următoarele secțiuni ca elemente constitutive ale unui
ERP bine proiectat:
• Guvernarea politicilor. Un ERP ar trebui să aibă trimiteri explicite la reglementările
care reglementează răspunsul la situații de urgență în mediul operațional al organizației și ar
trebui să conțină politicile și procedurile companiei care determină modul în care organizația
va reacționa la situații de urgență.
• Organizarea. Răspunsul de urgență este un proces și, în mod ideal, ar trebui să fie
creat folosind aceeași disciplină care se aplică creării oricărui proces sub SMS. ERP ar trebui
să descrie cine are responsabilitatea și autoritatea în diferite aspecte ale răspunsului, modul în
care se realizează răspunsul, ce resurse vor fi disponibile și așa mai departe.
• Notificări. ERP ar trebui să conțină un proces de notificare foarte clar, astfel încât
asistența să fie disponibilă atunci când este nevoie. Nu trebuie neglijat, desigur, este sarcina

31
teribilă de a anunța rudele celor implicați în eveniment. Alți pași în ERP vor viza și
responsabilitățile pe care operatorul le are față de familiile implicate.
• Răspuns inițial. Răspunsul inițial la o situație de urgență este un mediu cu risc foarte
mare. Această secțiune ar trebui să fie luată în considerare în special, ținând cont de primii
respondenți.
• Asistență suplimentară. ERP ar trebui să fie proiectat astfel încât backup-ul să fie
disponibil imediat când este nevoie. Trebuie luate în considerare toate resursele disponibile.
Acest pas revine la pasul de notificări.
• Centrul de gestionare a crizelor. O urgență bine gestionată necesită infrastructură
specială - comunicații, metode de coordonare, comandă rapidă și control decizional.
Planificarea unui centru de gestionare a crizelor este esențială.
• Înregistrări. Există atât cerințe de reglementare, cât și practice, pentru o bună
înregistrare în timpul unei situații de urgență. Echipa de planificare ERP ar trebui să se
asigure că sunt identificate toate cerințele de păstrare a înregistrărilor și că cineva are
responsabilitatea de a păstra aceste înregistrări.
• Loc de accident. Locul accidentului este un mediu de risc extrem de ridicat, iar
operatorul trebuie să se asigure că nu se mai face rău în răspunsul la eveniment. Aceasta
înseamnă că verificarea accesului trebuie să facă parte din plan, iar echipele de protecție
trebuie să fie disponibile pentru primii respondenți. Există responsabilități de reglementare pe
care operatorul le are cu privire la protecția site-ului, iar responsabilitățile respective trebuie
să fie atribuite.
• Mass-media. Este inevitabil ca un operator implicat într-o urgență gravă să aibă
contact cu mass-media. Posibilitatea de a controla acel contact nu poate părea imediat
gestiune a riscurilor, dar este. Interfața media cu alte grupuri la care operatorul are în mod
clar responsabilități, precum familiile victimelor și angajații. Nu cel mai puțin dintre motivele
pentru a avea un plan media într-un ERP este să vă asigurați că cei care gestionează efectiv
criza sunt izolați de un baraj de întrebări și cereri de către mass-media, astfel încât să își
poată face treaba.
• Investigații formale. Operatorul trebuie să planifice modul de susținere a
investigațiilor formale care sunt o parte inevitabilă a operațiunilor post-incidente. Timpul
necesar pentru a susține astfel de investigații poate fi destul de semnificativ, iar o planificare

32
bună în prealabil poate ajuta la asigurarea reprezentării intereselor companiei fără a îndepărta
personalul critic din operațiunile de rutină.
• Asistență familială. Operatorul are în mod clar o responsabilitate față de familiile
victimelor; nu numai unul moral, ci unul legal. Respectivele responsabilități includ
înființarea serviciilor de asistență familială, cazări de călătorie pentru membrii familiei,
asistență financiară în anumite circumstanțe și îndeosebi satisfacerea nevoii de informații
exacte și actualizate cu privire la eveniment.
• Consiliere post-critică la stres pentru incidente. Efectele unei urgențe grave nu se
încheie cu curățarea locului accidentului sau chiar cu închiderea anchetei. Evenimentele de
urgență pot fi, prin natura lor, traumatizante, iar operatorul are responsabilitatea de a lua în
considerare factorii umani implicați în răspunsul de urgență, cum ar fi timpii de serviciu în
timpul evenimentului, perioada de repaus ulterior și, în special, furnizarea de consiliere post-
incident. necesar.
• Revizuirea post-apariție. Esența SMS-urilor este îmbunătățirea continuă. Ca atare,
un ERP ar trebui să includă planuri de dezlănțuire a tuturor celor implicați în eveniment și ar
trebui să necesite o revizuire a activității după incident.
Revizuirea managementului este unul dintre cei mai importanți pași în orice proces de
calitate și, deoarece SMS-ul este exact acela - un proces de calitate - este esențial ca un ERP
să conțină în el cerința revizuirii regulate a planului. Și cu ceva la fel de serios ca ERP,
revizuirea nu poate fi doar o revizuire a documentelor. Este necesar să exercitați planul în
mod regulat. Operatorii mari și aeroporturile au deja o astfel de cerință prin regulament.
Pentru operatorii mai mici care îmbracă SMS-urile, este foarte important ca ERP-ul să fie de
fapt scos de pe raft la intervale regulate și să fie rulat într-un mediu simulat.
Pentru cei din SUA, Departamentul de Securitate Internă a creat resurse deosebite
pentru operatori să le folosească pentru a crea un program pentru exerciții de răspuns la
situații de urgență. Nu este necesară reinventarea roții - o echipă inteligentă de management
va profita de această lucrare excelentă și va numi pe cineva din organizație pentru a deveni
complet certificat în programul HSEEPS (Programul de evaluare și evaluare a securității
interne). Acest antrenament este conceput pentru a sprijini gestionarea situațiilor de urgență
și există un set de instrumente bine conceput pentru a ajuta la crearea tuturor nivelurilor de

33
practică de răspuns la situații de urgență - de la exerciții de masă, la practică funcțională, la
exerciții la scară completă.

34
 CAPITOLUL 3. STUDIU DE CAZ: ANALIZA ACCIDENTELOR DE
AVIAȚIE DIN PERSPECTIVA REZILIENȚEI

3.1. Scopul analizei

Scopul studiului de caz este de a analiza cauzele principale pentru a identifica
atributele și capacitățile necesare pentru a crea un sistem rezilient. Prin urmare, acest capitol
rezumă cauzele fundamentale folosind categoriile utilizate în această lucrare. Deși cazurile
enumerate aici nu pot fi o listă cuprinzătoare, se pare că acestea au cauze principale în
comun. Această asemănare între cauzele principale permite analistului să ajungă la abordări
comune de evitare, supraviețuire sau diminuare a numărului de accidente. În plus, exprimarea
acestor cauze principale într-un limbaj comun cu reziliența sistemului ajută la demonstrarea
acestei asemănări.
Unii analiști enumeră cauza principală a unor dezastre ca erori de proiectare. Erorile
de proiectare pot, de exemplu, să rezulte din eșecul de a identifica cerințele, pentru a verifica
dacă sistemul îndeplinea aceste cerințe sau că proiectanții nu au luat în considerare în mod
adecvat riscurile tehnice. Motivul (1997, pp. 10–11) se referă la fluxurile din această etapă a
ciclului de viață al unui sistem ca „erori latente”. Alte cauze principale ar putea fi pur și
simplu clasificate ca factori culturali. Vaughn (1996), de exemplu, descrie modul în care
aeronautica și spațiul național a fost una în care abaterea de la procedurile dorite și
performanțele dorite au fost recunoscute ca fiind regulă. Factorii culturali pot fi de asemenea
considerați ca factori sistemici, deoarece afectează toate elementele unui sistem.
În sfârșit, acest capitol depășește rapoartele oficiale despre aceste accidente pentru a
le interpreta în lumina atributelor de reziliență, cum ar fi capacitatea, flexibilitatea, toleranța
și colaborarea dintre elementele, așa cum sunt definite în această lucrare.
Capacitatea întreabă dacă sistemul are suficiente marje și resurse pentru a absorbi o
perturbare. Flexibilitatea întreabă dacă sistemul poate îndeplini funcția într-o manieră
alternativă. Toleranța întreabă dacă sistemul se va degrada lent atunci când este supus unei
perturbări. Colaborarea dintre elementele întreabă dacă există comunicare și colaborare între
elementele sistemului.

35
 3.2. Primul accident mortal de aviație
Data atribuită în mod obișnuit nașterii aviației este 17 decembrie 1903. În acel an
constructorii de biciclete Orville și Wilbur Wright au luat cerul într-o ambarcațiune mai grea
decât aerul, alimentat și (oarecum) controlabil pe care îl construiseră, numit Flyerul Wright.
Prima fatalitate a aeronavei a avut loc doar 1.736 de zile mai târziu, cu Orville la
controale. Călătorise la Fort Myer, Virginia, pentru a demonstra aeronavei Wright către
armată în septembrie 1908. Orville era nemulțumit de una dintre elice, așa că, pe 17
septembrie, a înlocuit-o cu una nouă, care nu fusese niciodată testată la zbor. Un locotenent
de armată în vârstă de douăzeci și șase de ani, Thomas E. Selfridge1, era pasagerul la bord cu
Orville în zborul de probă. După câteva circuite în jurul câmpului de la Fort Meyer, capătul
lamei elicei a zburat. Aeronava s-a scufundat de la o altitudine mică; Orville a fost rănit grav,
iar Selfridge a murit doar câteva ore mai târziu. Au fost aproximativ 2.500 de sute de martori
ai accidentului, inclusiv aviatorul celebru și prietenul fraților Wright, Octave Chanute.

3.3. Accidente de aviație

În istoriile de caz reprezentative care urmează, este prevăzut un tabel pentru fiecare
care oferă unele dintre punctele tari sau punctele slabe ale rezilienței fiecărui sistem studiat.
Aceste puncte forte și puncte slabe sunt exprimate în termeni de atribute de reziliență
enumerate în Capitolul 1, Reziliența sistemului și concepte conexe sau în termeni de procese
analitice specifice care ar fi putut fi neglijate, cum ar fi cerințe, verificare, fiabilitate sau
gestionarea interfeței. . Aici nu se face nicio încercare de reproiectare a sistemelor eșuate.
Asociat cu fiecare studiu de caz este un mic tabel care rezumă unele dintre aspectele de
reziliență pentru fiecare incident sau accident. Nu trebuie dedus că aceste aspecte constituie
toate aspectele care ar fi trebuit să fie abordate pentru a face sistemul rezilient. Ele constituie
doar concluziile investigației pentru fiecare incident.
Dintre studiile de caz de mai jos, cele mai multe sunt catastrofe. Cu toate acestea,
printre acestea se numără câteva incidente în care sistemul s-a dovedit a fi rezilient și, prin
urmare, fie a supraviețuit complet, fie recuperat cu un anumit grad de performanță. Apollo 13
și zborul 1549 din S.U.A. sunt exemple. Motivul pentru care aceștia sunt arătați este faptul că
pot arunca la fel de multă lumină asupra rezilienței pe care o pot face catastrofele.

36
 3.3.1. TWA 800
La 17 iulie 1996, avionul Trans World Airlines (TWA) 800, un Boeing 747-131, s-a
prăbușit lângă New York ucigând toate cele 230 de persoane la bord. Cauza imediată a fost o
incendiu în rezervorul de combustibil pe aripa centrală. Deși există o anumită incertitudine în
sursa de aprindere, Consiliul Național pentru Siguranța Transporturilor (NTSB) (2000) a
concluzionat că cea mai probabilă sursă a fost un scurtcircuit în cablarea asociată cu sistemul
de calibrare a cantității de combustibil.

Fig 3.1. TWA 800

Deși au existat rapoarte despre un atac cu rachete care nu au fost verificate, NTSB s-a
preocupat doar de problema de inflamabilitate a rezervorului de combustibil.
Din punct de vedere al rezilienței, NTSB a concluzionat că un factor contributiv a fost
conceptul de proiectare și certificare care presupunea că toate sursele de aprindere pot fi
identificate și împiedicate de metodologiile de proiectare. În plus, conceptul de proiectare și
certificare nu a avut nicio metodologie de a face ca vaporii de combustibil să nu fie
inflamabili. În terminologia rezilienței, se poate spune că au existat capacități și toleranțe
inadecvate.

37
 Prin urmare, cauza principală a fost neidentificarea riscurilor asociate cu vaporii de
combustibil și încorporarea rezultatelor în proiectare. Dincolo de eșecul de a avea un proces
de risc, adevăratul eșec este să existe metodologii care să poată estima realist probabilitatea
unei surse de aprindere. Deoarece riscul este o parte integrantă a siguranței sistemului, se
poate spune că și procesul de siguranță a fost inadecvat. Eșecul diferitelor organizații de a
aborda această problemă poate fi pus în categoria colaborării inter-relaționare, care este un
atribut de bază al rezilienței. Tabelul 3.1 rezumă unele dintre aspectele de reziliență ale TWA
800.
Conform Administrației Aviației Federale (FAA) (2008), FAA a mutat pentru a
necesita mijloace pentru a minimiza vaporii inflamabili în rezervoarele de combustibil. Pe un
astfel de mijloc este un dispozitiv pentru a injecta aer îmbogățit cu azot (NEA) în cavitățile
rezervorului de combustibil pentru a ventila cavitatea de aer normal bogat în oxigen. Selecția
unui mijloc va depinde, în parte, de costul implementării modificării.

Nr. crt. Aspecte Concluzii

1 Toleranță Deficient
2 Competență Deficient
3 Managementul riscului Deficient
4 Măsuri de siguranță Deficient
5 Flexibilitate Deficient
6 Inter-relaționare Deficient

Tabel 3.1. Aspecte reziliente asupra zborului TWA 800

3.3.2. Apollo 13
Deși nimeni nu a murit în misiunea Apollo 13 la 1 aprilie 1970, acest eveniment se
clasează ca unul dintre ratele principale aproape pentru care abilitățile echipajului au salvat
ziua. Chiles (2002, p. 302), Reason (1997, p. 86–87), Leveson (1995, p. 558–563) și Perrow
(1984, p. 271–281) dau toate relatările incidentului, dar aici este un rezumat al evenimentelor
cheie: Înainte de zbor, a existat o problemă cu scurgerea unui rezervor de oxigen. În loc să
înlocuiască rezervorul, echipajul de la sol a decis să scurgă rezervorul manual și a ajuns la

38
concluzia că performanța rezervorului nu va fi afectată. Această concluzie s-a dovedit
incorectă, deoarece firele au fost avariate într-unul din rezervoare.
În timpul zborului, a existat o explozie într-unul dintre rezervoarele de oxigen cauzate
de unul dintre firele proaste.
Perrow (1984, p. 274) indică, de asemenea, o presupunere, se numește Efectul
Titanic, adică presupunerea că sistemul este sigur. Această presupunere a dus la un eșec
prelungit al detectării exploziei rezervorului de oxigen din simplul motiv că un astfel de
eveniment nu a fost considerat posibil, în același mod în care scufundarea cu un aisberg nu a
fost considerată posibilă pentru nava Titanic. Prin urmare, s-ar putea spune că acest aspect
cultural era insuficient. La aceeași concluzie ajunge Leveson (1995, p. 562–563).
În ceea ce privește atributul de reziliență al colaborării inter-relaționare, Apollo 13
reprezintă un exemplu al aspectelor atât deficiente cât și excelente în această privință. În
primul rând, comunicările privind evacuarea rezervorului de oxigen pot fi considerate ca
fiind suficiente. Cu toate acestea, comunicările dintre echipaj și sol au fost un exemplu de
excelentă colaborare între relații.
Leveson (1995, p. 562–563) notează următoarele cauze principale: În primul rând, au
existat presiuni asupra moralului și bugetului. În continuare, presupunerea independenței
dintre pilele de combustibil și oxigen indică o analiză a siguranței înflorită. În continuare, a
existat o eroare considerabilă în estimarea probabilității unui astfel de eveniment care indică
lipsa unui proces de risc. În cele din urmă, Leveson subliniază faptul că nu se practică
utilizarea modulului lunar care nu fusese niciodată efectuat în simulator. Această neglijare a
arătat lipsa unui proces de verificare minuțios.
În sfârșit, Apollo 13 poate fi descris ca un excelent exemplu de adaptabilitate.
Supraviețuirea lui Apollo 13 poate fi atribuită factorului principal al capacității sale de a se
restructura pentru a supraviețui la un nivel inferior de performanță. Unele aspecte de
rezistență ale Apollo 13 sunt prezentate în tabelul 3.2.

Nr. crt. Aspecte Concluzii

1 Flexibilitate Excelent
2 Inter-relaționare Mixt
3 Capacitate de decizie Excelent

39
 4 Fiabilitate Deficient
5 Măsuri de siguranță Deficient
6 Managementul riscului Deficient
7 Toleranță Excelent
8 Competență Excelent

Tabel 3.2. Aspecte reziliente asupra Apollo 13

3.3.3. Zborul american 191, Chicago O’Hare

Pe 25 mai 1979, un DC-10 American Airlines s-a prăbușit ucigând toate cele 271 de
persoane la bord. Conform lui Reason (1997, p. 88), motivul accidentului a fost acela că
motorul a căzut ca urmare a oboselii materialului și a fisurilor apărute în stâlpul motorului.
Aceste fluxuri au fost rezultatul procedurilor pe care compania aeriană le-a conceput pentru a
scoate motoarele pentru întreținere. Aceste proceduri s-au abătut de la Buletinul de servicii al
producătorului. Fluxuri similare au fost găsite și pe stâlpii aeronavelor aparținând companiei
Continental.
Cauză principală a accidentului a fost întreținerea necorespunzătoare reflectată în
metoda necorespunzătoare de scoatere a motoarelor din aeronavă. Conform lui Reason
(1997, p. 88), două companii aeriene, American Airlines și Continental Airlines, au conceput
metode de îndepărtare a motoarelor care constituiau o abatere de la buletinul de service al
producătorului. Din cele de mai sus se poate deduce că a existat o comunicare inadecvată
între liniile organizaționale producător-linie aeriană. Această caracteristică constituie singură
deficiența în colaborarea dintre relații, care este un atribut cheie al rezilienței.
Tabelul 3.3. ilustrează obstacolele pe care le creează granițele organizaționale și
contractuale. Acest tabel arată cazul unui producător de aeronave care trebuie să furnizeze
cerințe de întreținere și să comunice cu organizația de întreținere în mod regulat. Pentru a
face acest lucru, producătorul trebuie să parcurgă două straturi de granițe organizaționale și
contractuale, ambele prezentând obstacole în comunicare. Tabelul 3.3 rezumă unele dintre
aspectele de rezistență ale zborului american 191.
În plus față de lipsa de întreținere adecvată, Perrow (1984, p. 138) citează din raportul
NTSB despre subiectul mai multor evenimente cauzate de pierderea motorului: (1) retragerea

40
lamelelor de margine, (2) pierderea sistemului de avertizare a dezacordurilor și (3) pierderea
sistemului de avertizare. Deci, deși pierderea motorului duce înapoi la lipsa de întreținere, au
existat multiple repercusiuni ale pierderii motorului.

Nr. crt. Aspecte Concluzii

1 Lucrări de întreținere Deficient
2 Toleranță Deficient
3 Competență Deficient
4 Flexibilitate Deficient
5 Inter-relaționare Deficient

Tabel 3.3. Aspecte reziliente asupra zborului 191

3.3.4. US Airways 1549

Pe 15 ianuarie 2009, pilotul zborului 1549 al SUA Airways a amerizat aeronava
Airbus A320 în râul Hudson din New York, imediat după decolare de pe aeroportul La
Guardia. Nu s-au înregistrat victime în rândul celor 155 de persoane de la bord. Presupunerea
perturbației a fost aceea că aeronava a lovit un stol de păsări, poate gâște, ceea ce a dus la
oprirea ambelor motoare.

Fig.3.2. US Airways 1549

41
 Deși contactul cu păsări nu este neobișnuit pentru aeronave, și toate motoarele cu jet
sunt supuse testelor de lovire a păsărilor, magnitudinea și caracterul loviturilor sunt imposibil
de prevăzut. Oprirea a două motoare în același timp este, de asemenea, rară. Astfel, nu este
posibilă proiectarea unui motor care să supraviețuiască unui contact cu păsări de orice
dimensiune sau fel. Prin urmare, este important să proiectăm o aeronavă rezistentă la aceste
perturbări. Prin urmare, capacitatea sistemului, așa cum este definită reziliența sistemului, de
a supraviețui unei astfel de perturbări este limitată, iar alte atribute de reziliență sunt
necesare.
Pilotul, Chesley B. Sullenberger, a primit o apreciere meritată pentru acțiunea sa
rapidă de a ameriza avionul în apă, mai degrabă decât de a se întoarce în La Guardia sau de a
pleca la un aeroport alternativ din apropiere. Acțiunile sale au fost exemple ale procesului de
luare a deciziilor critice pentru oameni pe „marginea ascuțită” a unui sistem. Aceste acțiuni
necesită atât o abilitate naturală, cât și o pregătire a simulatorului în condiții similare. Se
presupune că Sullenberger le-a avut pe amândouă.
Rapoartele publicate despre acest accident spun puțin despre aeronava în sine, Airbus
A320. Cu toate acestea, pentru ca pilotul să-și îndeplinească misiunea, aeronava avea nevoie
de anumite capacități. Prima capacitate de care avea nevoie aeronava a fost de a menține
controlul fără motoare. La majoritatea aeronavelor comerciale, ca acesta, mijlocul principal
de control este sistemul propriu de propulsie, care furnizează energie sistemului hidraulic
care controlează suprafețele de control aerodinamic. În cazul unei pierderi a sistemului de
propulsie, ca acesta, puterea este transferată la unitatea auxiliară de alimentare (APU). Prin
urmare, se menține redundanța funcțională, care este o caracteristică principală a rezilienței.
A doua capacitate a aeronavei necesară a fost abilitatea de a controla unghiul de
cabraj. Pilotul trebuia să mențină un unghi atac atac mare, astfel încât coada avionului să
atingă prima dată apa și să încetinească aeronava, ceea ce s-a și întâmplat.
Al treilea lucru care a fost necesar a fost capacitatea de a pluti. Pe această aeronavă,
pilotul a putut să trimită o comandă care să închidă toate ieșirile. care ar fi determina avionul
să se umple cu apă și în final să se scufunde. Această caracteristică a contribuit la toleranța la
perturbări.
A existat o colaborare între relații la toate nivelurile. Pilotul a fost capabil să
comunice în permanență cu sistemul de control al traficului aerian (ATC) și a putut trimite

42
comenzi interne către sistemul de control. Comunicările externe au dus la salvarea imediată
de către bărcile de la Departamentul de pompieri din New York, Departamentul de Poliție
din New York, Garda de Coastă a SUA și alte agenții.
Pe scurt, toate atributele de rezistență au fost prezente pentru a ajuta această aeronavă
să supraviețuiască și să se refacă dintr-o perturbare majoră. Toți acești factori sunt rezumați
în tabelul 3.4.

Nr. crt. Aspecte Concluzii

1 Capacitate de decizie Excelent
2 Capacitate Limitată
3 Flexibilitate Excelent
4 Toleranță Excelent
5 Inter-relaționare Excelent

Tabel 3.4. Aspecte reziliente asupra zborului 1549

3.3.5. ValuJet
Accidentul ValuJet din 1996 este un caz clasic de lipsă de strictețe combinată cu o
comunicare slabă între elementele nodurilor infrastructurii. Infrastructura este definită ca
setul de noduri organizaționale responsabile pentru succesul unui sistem, în acest caz, în
cazul unei aeronave comerciale. Comunicarea perfectă a informațiilor este necesară la toate
nivelurile infrastructurii pentru a asigura succesul, în special informațiile critice privind
siguranța. Arhitectura rezilienței numește acest factor o colaborare inter-relaționantă și arată
modul în care acest factor este esențial pentru rezistența la o perturbare majoră, cum ar fi
experiența ValuJet.
Esența accidentului a fost, în primul rând, potrivit lui Chiles (2002, p. 150–155, 310),
FAA nu a reușit să raporteze canistrele de oxigen expirate de câțiva ani în mai multe
companii aeriene. Cu toate acestea, mai rău decât atât, transportul și depozitarea recipientelor
cu oxigen expirate au reprezentat un obstacol al birocrației. Contractorul responsabil cu
încărcarea canistrelor a fost supus presiunii și programului și a făcut doar o revizuire scurtă a
procedurilor de siguranță. S-a ajuns la concluzia că în timpul zborului, pinii de reținere a

43
recipientului s-au desfăcut din cauza ambalajului slab și apoi s-au aprins, ceea ce a provocat
pierderea finală a aeronavei.
Deși au existat mai mulți factori care au contribuit la acest accident, așa cum există de
obicei, un element esențial este lipsa comunicațiilor în infrastructură. Deși comunicările
dintre producător și compania aeriană ar fi putut fi așa cum era de așteptat, comunicarea
adăugată între compania aeriană și contractant a dus la o deteriorare a informațiilor. Acest
factor, combinat cu lipsa de reglementări și presiunile de cost și de program, toate au adăugat
un singur rezultat: dezastru. Tabelul 4.24 prezintă unele aspecte de rezistență ale accidentului
ValuJet.

Nr. crt. Aspecte Concluzii

1 Siguranță Deficient
2 Capacitate Deficient
3 Flexibilitate Deficient
4 Toleranță Deficient
5 Inter-relaționare Deficient

Tabel 3.5. Aspecte reziliente asupra zborului ValuJet

3.3.6. Concorde
La 25 iulie 2000, avionul de transport supersonic Concorde s-a prăbușit în apropierea
aeroportului Charles De Gaulle din Franța, ucigând 100 de persoane, inclusiv echipajul
conform raportului Bureau Enque´tes Accidents (BEA) (2000) și descris de Chiles (2002, p.
4 –5, 312). Cauza imediată a accidentului a fost o bandă de metal căzută dintr-o altă aeronavă
care decolase cu doar 5 minute înainte de Concorde. Această bandă de metal a rupt anvelopa
Concorde, care a rupt rezervorul de combustibil.

44
 Fig. 3.3. Concorde

Acest accident ilustrează câteva puncte despre reziliență. În primul rând, banda de
metal a căzut dintr-o aeronavă care nu a fost întreținută în conformitate cu specificațiile
producătorului. Asemănările cu accidentul ValuJet, discutat mai sus, în acest sens, sunt
evidente. În primul rând, sensibilitățile la problemele de întreținere sunt aparente, așa cum s-a
discutat mai jos
În al doilea rând, deficiențele de comunicații între producători și furnizori continuă să
reducă reziliența, așa cum am discutat mai sus în cazul ValuJet.
În sfârșit, Concorde în sine demonstrează o vulnerabilitate extremă la problemele
mici, prezentând astfel o lipsă severă de toleranță. Din punct de vedere al rezilienței, această
vulnerabilitate a fost o lipsă de toleranță la micile perturbări, și anume banda de metal.
Sistemul Concorde în sine nu avea capacitatea de a supraviețui unei astfel de perturbări.
Deoarece nu există modalități alternative de a supraviețui, sistemul se poate spune, de
asemenea, că nu are probabilitate. În ceea ce privește colaborarea inter-relaționare, aceasta
poate fi considerată ca fiind insuficientă într-un sens global, adică lipsa de cunoștințe între
sistemul Concorde în sine și sistemul extern care a creat perturbarea. Aspectele de reziliență
ale aeronavei Concorde sunt rezumate în tabelul 3.6.

45
 Nr. crt. Aspecte Concluzii
1 Metode analitice Deficient
2 Capacitate Deficient
3 Flexibilitate Deficient
4 Toleranță Deficient
5 Inter-relaționare Deficient

Tabel 3.6. Aspecte reziliente asupra zborului Concorde

3.4. Interpretarea rezultatelor

Infrastructura de reziliență a sistemului este un sistem de sisteme care ar trebui să
funcționeze ca un întreg. Această temă poate consta, de asemenea, în rezistența
guvernelor și a industriilor care se concentrează pe obligațiile bazate pe contracte și
rareori privesc propriile granițe organizaționale. Aceasta nu înseamnă că se poate spune
despre contracte că ar trebui ignorate, ci contractele ar trebui să fie scrise pentru a
favoriza cooperarea, mai degrabă decât pentru a trage linii.
Accidentul de la ValuJet, așa cum este descris este doar un exemplu despre
modul în care mai multe granițe organizaționale servesc doar pentru a eroda rezistența.
În acest caz, o companie aeriană a subcontractat o organizație de întreținere, care se afla
la trei grade de separare de dezvoltatorul aeronavei, pentru a desfășura activități contrar
practicilor de siguranță specificate. Rezultatul a fost un dezastru.
O altă caracteristică a infrastructurii, care este uneori greu de înțeles este faptul că
infrastructura este un sistem în sine. Pentru majoritatea inginerilor de sisteme
tradiționale, sistemul este sistemul de produse, adică aeronava sau nava spațială. Cu
toate acestea, din punct de vedere al rezilienței, analistul trebuie să înțeleagă că
infrastructura este un sistem în sine care trebuie să funcționeze în ansamblu. Când se
consideră că această infrastructură conține clientul, dezvoltatorul, furnizorii și multe alte
elemente, importanța acestui concept devine mai evidentă.
În unele cazuri, infrastructura este singurul sistem de interes; adică nu există un
sistem de produse.

46
 După ce analistul a interiorizat infrastructura ca un concept de sistem, el sau ea ar
trebui să abordeze apoi conceptul de sistem. În cadrul acestui concept, dezvoltatorul,
clientul și furnizorii sunt sisteme care ar trebui să acționeze împreună pentru a obține
rezistența întregului sistem. Aspectul acestui sistem de sisteme duce la complexitate și la
probabilitatea apariției unor perturbări.
Istoriile cazurilor oferă indicii despre cauzele principale ale accidentelor și
capacitățile necesare pentru sistemele viitoare.
Cea mai marcantă valoare a istoriilor de caz este constatarea faptului că multe
catastrofe au cauze principale. Exemple sunt o lipsă de atenție la risc, întreținerea
deficientă și lipsa de colaborare între elementele sistemului. Aceste date conduc la
concluzia logică că sunt necesare îmbunătățiri specifice în anumite capacități pentru a
îmbunătăți reziliența.
O importanță aproape egală este constatarea că aceste cauze principale ale unor
catastrofe sunt dincolo de cunoștințele și predictibilitatea proiectanților sistemelor
originale. Tratamentul acestor cauze de rădăcină necesită, în unele cazuri, o gamă sporită
a proceselor standard de inginerie a sistemelor. În alte cazuri, în care întreruperile sunt
complet imprevizibile, sistemele adaptabile sunt necesare.
Cercetătorii au remarcat că în aproape toate dezastrele, accidentele au fost
precedate de defecte și aproape greșeli care ar fi putut fi folosite ca semne de avertizare
ale unui sistem mai puțin rezilient. Această observație a primit o anumită susținere de
către concluziile lui Wright și Van der Schaaf (2004), care au arătat o corelație statistică
puternică între incidența defectelor și incidența fatalității. Aceste informații
argumentează o cercetare sporită a acestor fenomene.
Întrebarea logică este următoarea: Ce se poate face cu aceste date? Răspunsul
evident este că gestionarea acestor sisteme poate aplica o capacitate suplimentară acolo
unde există deficiențe.
Un al doilea răspuns este că managementul poate determina alocarea optimă a
finanțării la diferite aspecte ale sistemului și poate aplica finanțarea în conformitate cu
această optimizare. Această optimizare nu este o chestiune ușoară. Nu se știe dacă o
astfel de optimizare a mai fost încercată până acum într-un context de reziliență. Dacă
nu, acum este momentul.

47
 Întrebarea finală este cum poate fi proiectat un sistem care să fie rezilient la
dezastre și la perturbări? Răspunsul este că sistemul ar trebui să fie adaptabil. Woods
(2006b), de exemplu, oferă câteva îndrumări cu privire la caracteristicile unui sistem
adaptabil.

48
 CONCLUZII

Aviația cuprinde liniile aeriene, aeroporturile, producătorii de aeronave și

material aeronautic și angajează o diversitate de actori, stakeholderi, angajați și
specialiști. Se evidențiază modul spectaculos în care tehnologia de nivel ridicat și
inovațiile organizaționale au răspuns la provocări strategice multiple ce pornesc de la
oferta de produse și servicii cu performanțe superioare, cost, timp, siguranță. Pornind de
la indicatorii de performanță, siguranță și competitivitate durabilă, liniile aeriene au
gestionat procese de schimbare în contextul post- liberalizare și schimbare a naturii
competiției pe fondul unui macrociclu caracterizat de crize și turbulențe, oferind un
model de aplicare a managementului strategic pentru toate industriile tehnologice.
Aceste aspecte trebuie să țină seama de interconexiunile designului tehnic cu designul
organizațional într-o abordare de tip sisteme de sisteme de aviație bazata pe paradigma
ingineriei rezilientei.
Înțelegerea strategiilor din aviație referitoare la dozarea binomului siguranță-
productivitate în context turbulent și competitiv impune un mod nou de abordare. Pentru
înțelegerea concepției, implementării și utilizării strategiilor de dezvoltare a
arhitecturilor reziliente specifice sistemelor de aviație, noul cadru inter, trans și
multidisciplinar pornește de la designul sisteme de management al siguranței (SMS)
focalizat multidirecțional atât pe designul tehnic al aeronavelor, designul sistemelor de
management al traficului aerian, cât și pe designul organizațional specific. Pornind de la
avantajele oferite de acest cadru sistemic dar modular și scalabil, se analizează și se
integrează capabilitățile dinamice din aviație ca expresie a strategiei de „crearea a
strategiilor” având la bază cercetările întrunite de design tehnic, al managementului
traficului și design organizațional, într-o setare care integreaza în mod inovativ
paradigma gândirii opționale materializată prin opțiunile reale. Integrarea paradigmei
capabilităților dinamice cu opțiunile reale reprezintă o contribuție de mare rafinament în
managementul sistemelor de aviație.

49
50
 Bibliografie

1. Ahern N.R (2006), A review of instruments measuring resilience,

Issues in Comprehensive Pediatric Nursing
2. Allerton D.J. (2009), Principles of Flight Simulation, Wiley Aeerospace
2. Amalberti, R. (2001), The patradoxes of almost totally safe transportation systems,
Safety Science
3. Amalberti, R. (2006), Optimum system safety and optimum system resilience,
Resilience Engineering, Aldershot
4. Aubin J.P. (1991), Viability theory. Systems and control: foundations and
applications, Boston
5. Balchanos, M., Li, Y., Mavris, D. (2012), Towards a Method for Assessing
Resilience of Complex Dynamical Systems, International Symposium on Resilient Control
Systems (ISRCS)
Barney, J.B. (2001), Is the resource-based view a useful perspective for strategic
management research? Yes, Academy of Management Review
6. Blanchard, B.S., Fabrycky, W.L. (2006), Systems engineering and analysis, Prentice
Hall
Bloom, N., Van Reenen, J. (2010), Why Do Management Practices Differ Across Firms and
Countries?, Journal of Economic Perspectives
Bonabeau, E., Dorigo, M., Theraulaz, G. (1999), Swarm Intelligence: From Natural to
Artificial Systems, Oxford University Press, New York.
7. Calefariu, G. , Butucea Şt., (2000), Studiul cinematicii angrenării în vederea
modelării dinamice a mecanismelor electromecanice pentru EDM . În Buletinul Conferinţei
Internaţionale de Tehnologii Neconvenţionale, Volumul 1, Braşov, 2-3 martie 2000, ISBN
973652-234-2, Pag. 191-195.
8. Cioaca, C., Pop, S., Boscoianu, E.-C., Boscoianu, M., (2015), Aerial Infrared
Thermography: a Scalable Procedure for Photovoltaics Inspections based on Efficiency and
Flexibility, OPTIROB 2015.
9. Cioaca, C., Boscoianu, E.C., Belega, B.-A., (2016), Applications of Expert Systems
for Protecting Information in Military Information Systems, MTA Review,Vol. 26, nr. 4.

51
Cohen, M.D., Levinthal, D.A. (1990), Absorptive capacity: a new perspective on learning
and innovation, Administrative Science Quarterly.
10. Cohen, M.D., Levinthal, D.A. (1990), Absorptive capacity: a new perspective on
learning and innovation, Administrative Science Quarterly.
11. Dekker, S.W. (2006), Resilience engineering: chronicling the emergence of confused
consensus, Ashgate.
12. Endsley, M. (1996), Automation and situation awareness. Automation and human
performance: Theory and applications, Mahwah
13. Ergin, N.H. (2007), Architecting system of systems: artificial life analysis of financial
market behavior, University of Missouri-Rolla.
Foster, H. D. (1993), Resilience theory and system evaluation, Springer, Verlag
14. Helfat, C. E., Eisenhardt, K. M. (2004), Intertemporal economies of scope,
organizational modularity, and the dynamics of diversification, Strategic Management
Journal.
Henry, D., Ramirez, J.E. (2012), Generic metrics and quantitative approaches for system
resilience as a function of time, reliability Engineering
15. Hofmann, D, 2004. The role of leadership in safety
16. Holling, C. S. (1973), Resilience and stability of ecological systems, Annual Review
of Ecology and Systematics.
17. Hollnagel, E, 2004, Barriers and accident prevention
18. Hollnagel, E, 2005, Joint cognitive systems: Foundations of cognitive systems
engineering,CRC Press
19. Hollnagel, E. (2014), Safety-I and Safety-II. The past and the future of safety
management, Ashgate.
20. Hopkins, A, 2005, Safety, culture and risk.The organizational causes of disasters,
Sydney.
21. Leveson, N.G., 2005, Phase 1 Final Report on Modeling, analyzing and engineering
NASA’ s safety culture.
22. Lundberg, J., Johansson, B. (2006). Resilience, stability and requisite interpretation in
accident investigations, Proceedings Resilience Engineering Symposium Paris.

52
23. Boscoianu, M., Bacali, L., Boscoianu, E.C., Popa, D., Codreanu, A., (2016), A Real
Options-Based Framework for Strategic Decision-Making in Hostile, Turbulent and Ultra-
Volatile Environments, Applied Mechanics and Materials.
Boșcoianu, M., Bălos, I.-D., Boșcoianu, E.-C., (2016), Ingineria sistemelor de supraveghere
radar din perspectiva capabilităților socio- tehnice, ISBN 978-973-131- 370-2, Editura Lux
Libris Brașov.
24. Boșcoianu, M., Calefariu, E., Boșcoianu, E.-C., Economie pentru ingineri și
manageri: Aplicații și probleme, ISBN 978-973-131-369-6, Editura Lux Libris Brașov, 2016.
Boșcoianu, M., German, A.-M., Boșcoianu, E.-C., (2016), Elemente de management strategic
în ingineria sistemelor socio-tehnice complexe, ISBN 9780973- 131-371-9, Editura Lux
Libris Brașov.
25. Prisacariu, V., Boscoianu, C., Luchian, A., (2017), Considerations of the bird strike
on aircraft wing, Recent Journal, ISSN 1582-0246, Vol. 19.
26. Rasmussen, J (1997), Risk management in a dynamic society: a modeling problem,
Safety Science.
27. Shirali, G.A., Ebrahimipour, V. (2013), A new method for quantitative assessment of
resilience engineering by PCA approach: A case study in a process industry, Reliability
Engineering & System Safety.
28. Woods, D. (2006), Essential characteristics of resilience, Resilience Engineering:
Concepts and Precepts
29. Woods, D. D. (1996). Decomposing automation: Apparent simplicity real complexity,
Automation and human performance: Theory and applications, Mahwah.
30. Zobel, C.W., Khansa, L. (2012), Quantifying cyberinfrastructure resilience against
multi- event attacks, Decison Sciences.

53