Documente Academic
Documente Profesional
Documente Cultură
INTRODUCERE ...................................................................................................................... 3
CAPITOLUL 1. Reziliența sistemului și concepte conexe ..................................................... 5
1.1. Reziliența........................................................................................................................ 5
1.2. Cele trei faze ale rezilienței ............................................................................................ 6
1.3. Protecție versus reziliență............................................................................................... 7
1.4. Infrastructura ca sistem .................................................................................................. 8
1.5. Arhitectură de reziliență ................................................................................................. 9
1.6. Măsurarea rezilienței. ..................................................................................................... 9
1.7. Provocările ................................................................................................................... 10
1.8. Capacități de reziliență a sistemului ............................................................................. 10
1.9. Sisteme socio-complexe ............................................................................................... 13
CAPITOLUL 2 SIGURANȚA ZBORULUI .......................................................................... 15
2.1. Sistemul de management al siguranței (SMS) ............................................................. 15
2.2. Definiția OACI a SMS-urilor ....................................................................................... 15
2.3. Definiția SMS-urilor .................................................................................................... 17
2.4. Cei patru piloni ai SMS-ului ........................................................................................ 24
2.5. Răspunsul la urgențe .................................................................................................... 30
CAPITOLUL 3. STUDIU DE CAZ: ANALIZA ACCIDENTELOR DE AVIAȚIE DIN
PERSPECTIVA REZILIENȚEI ............................................................................................. 35
3.1. Scopul analizei ............................................................................................................. 35
3.2. Primul accident mortal de aviație ................................................................................. 36
3.3. Accidente de aviație ..................................................................................................... 36
3.3.1. TWA 800 ............................................................................................................... 37
3.3.2. Apollo 13 ............................................................................................................... 38
3.3.3. Zborul american 191, Chicago O’Hare ................................................................. 40
3.3.4. US Airways 1549................................................................................................... 41
3.3.5. ValuJet ................................................................................................................... 43
3.3.6. Concorde ................................................................................................................ 44
1
3.4. Interpretarea rezultatelor ............................................................................................ 46
CONCLUZII .......................................................................................................................... 49
Bibliografie ............................................................................................................................ 50
2
INTRODUCERE
3
4
CAPITOLUL 1 REZILIENȚA SISTEMULUI ȘI CONCEPTE CONEXE
1.1 Reziliența
Reziliența, așa cum este descris de Westrum (2006), constă din cel puțin două dintre
următoarele:
Evitare - acest termen este definit pentru a descrie aspectele preventive ale
rezistenței sistemului ca răspuns la o perturbare, internă sau externă. În
contextul rezilienței, evitarea depășește considerentele tradiționale de
siguranță a sistemului pentru a lua în considerare anticiparea unui accident
bazată pe capacitatea de a detecta „deriva” spre o fragilitate și posibile
accidente. Metodele obișnuite de a detecta derivă sunt senzorii, camerele și
observația umană.
Supraviețuire - Acest termen implică pur și simplu că sistemul nu a fost
distrus sau total incapacitat și continuă să funcționeze atunci când se confruntă
cu o perturbare.
5
Recuperare - Acest termen este utilizat pentru a supraviețui în fața unei
tulburări majore cu performanță redusă. Această capacitate este un focus al
rezilienței sistemului. Din nou, este doar unul dintre cele trei aspecte ale
rezistenței și anume evitarea accidentelor, supraviețuirea și recuperarea.
S-ar putea spune că dacă se realizează evitarea, atunci supraviețuirea și recuperarea
sunt molipsitoare; adică sunt realizate automat. Cu toate acestea, deoarece unele sisteme sunt
atât de complexe și imprevizibile, este posibil ca evitarea să nu fie realizabilă și trebuie să ne
bazăm pe supraviețuire și recuperare pentru a salva ziua.
6
latente''. Dacă acești factori sunt abordați din timp, atunci acești pași pot fi considerați
preventivi. Astfel, chiar și aspectele de recuperare pot fi considerate preventive, deoarece
sunt abordate în avans.
Dar, încă o dată, nu este doar sistemul de produse rezistent. Este întregul sistem de
infrastructură. Weick și Sutcliffe (2001, p. Xiii) se referă la acest tip de organizație ca la o
organizație de înaltă fiabilitate (HRO). 'Rezistența la sistemul de produse poate fi măsurată
prin fiabilitate, dar întreaga reziliență a întreprinderii este mult mai greu de definit și de
măsura. Totuși, sistemele intensiv uman nu au produs. Infrastructurile regionale și guvernele
sunt exemple. Aceste tipuri de sisteme necesită reziliență.
7
Potrivit lui Pommerening (2007, p. 11), „Cuplarea strânsă este asociată cu procesele
dependente de timp și invariante cu tampoane deliberate și puțin, dacă este cazul, slabă.
Resursele nu pot fi înlocuite ușor sau deloc. Cuplarea liberă înseamnă întârzieri la ieșire și
ordinea procesării poate fi modificată. În astfel de sisteme, sunt disponibile metode
alternative și resurse redundante, iar tampoanele și înlocuirile fortuite sunt posibile''.
Atributul capacității în cuplaj strâns.
8
1.5. Arhitectură de reziliență
Când spunem că reziliența poate fi arhivată, înseamnă că sistemele pot fi definite, și
elementele sau sistemul pot fi aranjate pentru care reziliența va fi o proprietate emergentă,
adică o proprietate care nu este deținută de elementele individuale ale sistemului. Maier și
Rechtin (2009, p. 423) definesc o arhitectură ca „structura - în termeni de componente,
conexiuni și constrângeri - a unui produs, proces sau element”. Maier și Rechtin (2009,
p.423), de asemenea, definesc arhitectura a fi „procesul de creare și construire a
arhitecturilor". Cu toate acestea, Maier și Rechtin dezvăluie că arhitectura poate fi sau nu
considerată o parte separată a ingineriei.
Reziliența sistemului rezultă dintr-un set de atribute de bază pe care un sistem ar
trebui să fie rezistent. Aceste atribute sunt urmărite de un set de principii care au fost
dezvoltate și, în mare parte, sunt acceptate de comunitatea de reziliență. Aceste atribute sunt
sursa euristicii de proiectare; ele pot fi dezvoltate din atribute.
9
În caz contrar, se pot trage următoarele concluzii. În primul rând, analizele de
fiabilitate și siguranță tradiționale pot fi utilizate pentru a ajunge la rezultate cantitative. Cu
toate acestea, aceste rezultate se bazează aproape în totalitate pe date istorice și pot reflecta,
într-o anumită măsură, capacitatea sistemului de a supraviețui perturbațiilor prevăzute. În al
doilea rând, există date pentru eroare umană în anumite domenii - de exemplu, în aeronave
comerciale. Prin urmare, în măsura în care există astfel de date, ele pot fi utilizate pentru a
suplimenta analizele de fiabilitate și siguranță pentru a ajunge la rezultate cantitative. În cele
din urmă, există problema amenințărilor neprevăzute. Se poate concluziona că măsura
rezilienței la amenințări neprevăzute este posibilă numai în măsura în care o anumită metodă
de reziliență s-a dovedit utilă împotriva altor amenințări neprevăzute.
1.7. Provocările
Pot fi corelate mai multe discipline la fel de răspândite precum ingineria și psihologia
pentru a analiza reziliența în întregime? Mai multe organizații, inclusiv, de exemplu,
dezvoltatori de aeronave, clienți, agenții guvernamentale, operatori și întreținători pot fi
integrate pentru a rezolva problemele de comunicare și de luare a deciziilor? Pot fi prezise și
eliminate evenimente perturbatoare, cum ar fi conflictele dintre operatori și software? Pot fi
create sisteme adaptive pentru a supraviețui și recuperarea unor perturbări majore, cum ar fi
atacurile teroriste și uraganele? Se poate realiza efectiv o schimbare culturală care să conducă
la organizații conștiente de risc care să anticipeze și să adreseze amenințările la reziliență? În
cele din urmă, există indicatori ai punctelor slabe potențiale din sisteme care pot fi exploatate
pentru a face sisteme mai rezistente? Toate aceste exemple sunt pași potențiali către
proiectarea sistemelor reziliente.
10
costul implementării, consecința unor eșecuri a sistemului, riscurile asociate cu acea
consecință și raportul beneficiu-cost, dacă este stabilit, care ar rezulta din implementarea sa.
Administrația
Richard Feynman, fizician Caltech (1988, p. 37), subliniază convingerea că trebuie să
existe o legătură de interes comun între management și inginerie. Această legătură a făcut ca
debarcările de pe Lună să fie un succes și această legătură care s-a deteriorat în proiectul
navetei spațiale. Feynman rezumă teoria sa după cum urmează:
Teoria mea este că pierderea interesului comun - între ingineri și oameni de știință
pe de o parte și managementul pe de altă parte - este cauza deteriorării în cooperare, care,
așa cum ați văzut, a produs o calamitate.
11
de resurse între organizații. Conectivitatea pe scară largă este esențială pentru diferitele
noduri ale unei multiorganizări de sistem de sisteme, cum ar fi o infrastructură urbană. Este,
de asemenea, legătura dintre diferitele noduri ale unei singure organizații, inclusiv furnizori
și producție. El leagă elemente ale sistemului de-a lungul ciclului de viață. De exemplu, leagă
dezvoltarea cu nodurile de operații și suport. Deosebit de importantă este conectivitatea
încrucișată cu agențiile de reglementare. Colaborarea între interese este mai mult decât
interacțiune; este o cooperare conștientă, coordonare și colaborare, printre elemente.
O altă capacitate managerială este guvernanța rezilienței sistemului. Esența
revizuirilor independente este că personalul din afara programului oferă comentarii și
informații cu privire la potențialele fluxuri și riscuri. În mod similar, recenziile de la egal la
egal se bazează pe experți în diverse discipline pentru a face același lucru. Acești pași vor
tinde să reducă probabilitatea tipurilor de accidente discutate în studiul de caz. Acțiunea
corectivă este un proces-cheie conceput pentru atenuarea „derivării” către fragilitatea
descrisă de Woods (2007). Supravegherea managerială este necesară pentru a stabili filozofia
decizională atât în proiectarea sistemului, cât și în funcționarea sistemului.
Alte capacități, cum ar fi tratamentul mai avansat al riscului, sunt de asemenea
acoperite ca parte a capabilităților manageriale. Acestea includ luarea în considerare a
riscurilor multiple cu probabilitate redusă discutate de Epstein (2006) și analiza dinamică,
neliniară a riscului Leveson și colab. (2006). Printre riscurile care trebuie abordate sunt cele
asociate cu maturitatea tehnică, costul și factorii de programare.
Responsabilitatea managerială finală este cultura. Dovada abundentă, de exemplu,
Vaughn (1996, p. 406) și raportul Columbia Accident Investigation Board (2003, p. 177),
sugerează că paradigmele culturale sau mentalitățile inducătoare de risc sunt responsabile
pentru lipsa de succes în multe sisteme.
Capabilitățile tehnice reprezintă, de asemenea, o nouă cale atât pentru sistemele
tehnologice, cât și pentru cele umane. Majoritatea sistemelor din trecut au fost create folosind
metodele analitice. Aceste metode se bazează foarte mult pe proiectarea unui sistem care
îndeplinește cerințele veridice. După cum este descris de Woods (2007), aceste metode nu
sunt, în general, adecvate pentru a realiza sisteme reziliente. O capacitate tehnică esențială
este analiza holistică. Analiza holistică, pe de o parte, permite analistului să țină seama de
numeroși factori complexi care nu sunt pur și simplu tratabili prin metode analitice. Analiza
12
holistică are în vedere relația dintre elementele sistemelor. Analiza analitică, pe de altă parte,
se concentrează pe capacitățile componentelor individuale.
Crearea adaptabilității pentru a face față întreruperilor nu este, de exemplu, tratabilă
prin metode analitice. Analizele holistice includ, de exemplu, utilizarea euristicii, regulilor,
legilor și atributelor. Conform lui Woods (2006), cinci principii constituie adaptabilitate: În
primul rând, există capacitatea de tamponare că un sistem poate absorbi o întrerupere fără o
pierdere totală a capacității. În al doilea rând, există imposibilitatea de a se restructura. În al
treilea rând, există marja pentru ca un sistem să poată continua să funcționeze în raport cu
limita de plic a performanței sale. În al patrulea rând, există toleranța la degradarea grațioasă
în fața prăbușirii iminente. În cele din urmă, există colaborarea dintre legături, discutată mai
sus, astfel încât elementele sistemului să acționeze într-o manieră reciprocă binefăcătoare.
Asta nu înseamnă că metodele analitice ar trebui abandonate complet. Studiile de caz
au arătat că metodele analitice ar fi putut ajuta, dar că ar fi trebuit să fie efectuate mai detaliat
și într-o gamă mai largă de condiții.
13
exemplu cazul erupțiilor vulcanice din Islanda 2010, care a condus la închiderea spațiului
aerian al numeroaselor țări UE).
Rinaldi (2004) a identificat patru clase de interdependențe: fizice, cibernetice,
geografice (schimbarea stării sistemului ca urmare a unui eveniment local de mediu) sau
logice (când starea fiecăruia din cele două sisteme depinde de starea celuilalt prin veriga unui
mecanism diferit de cele fizice, cibernetice sau geografice). Infrastructura reprezintă o rețea
de sisteme și procese independente care funcționează colaborativ și sinergic pentru a produce
și distribui un flux continuu de bunuri și servicii esențiale. Un asemenea sistem este critic
atunci când incapacitatea sau distrugerea are un impact sever asupra apărării și securității
economice.
Modelarea interdependențelor în transportul aerian este o problemă complexă,
multidimensională și multidisciplinară. În Tabelul 1.1. se prezintă dimensiunile asociate cu
interdependențele de sistem care complică analiza rezilienței.
Există diverse abordări de modelare: modelarea bazată pe agent, abordări bazate pe
rețea, abordări empirice, dinamica sistemelor, teorii economice, modelare holografică
ierarhică, rețele Petri, control dinamic și rețele Bayesiene. Aceste abordări au fost evaluate în
raport cu strategiile de îmbunătățire a rezilienței pentru infrastructuri critice și
interdependențele acoperite de acestea (Ouyang, 2014). Metodele bazate pe agent și metodele
bazate pe fluxurile de rețele au cea mai largă aplicabilitate acoperind trei capacități de
reziliență. În teoria viabilității (Bujorianu, 2012) se prezintă diverse posibilități de modelare a
incertitudinii în transportul aerian ce pot fi aplicate în modelarea pe agent și modele bazate
pe rețea.
14
CAPITOLUL 2 SIGURANȚA ZBORULUI
15
internaționale și încurajează planificarea și dezvoltarea transportului aerian internațional
pentru a asigura o creștere sigură și ordonată. OACI a mandatat ca 190 de state membre să
dezvolte și să implementeze programe SMS pentru a atinge un nivel acceptabil de siguranță
în operațiunile de aviație. Această cerință se aplică în prezent anexei 6 - Funcționarea
aeronavelor, anexa 11 - Serviciile de trafic aerian și anexa 14 - Aerodromuri, din statut. Ca
răspuns. Circulara consultativă (AC) introduce conceptul de sistem de management al
siguranței (SMS) furnizorilor de servicii de aviație (de exemplu, companiile aeriene,
operatorii de taxi aerian, departamentele de zbor corporative, școlile de pilot) și oferă
îndrumări pentru dezvoltarea SMS-urilor de către aceste organizații. AC se aplică atât
operatorilor aerieni certificați, cât și non-certificați, care doresc să dezvolte și să
implementeze un SMS.
OACI a solicitat ca statele sale membre să dezvolte și să implementeze programe
SMS pentru îmbunătățirea siguranței. Desigur, obiectivul principal este îmbunătățirea
siguranței, iar experții reprezentanți ai OACI consideră că implementarea unui SMS este cel
mai bun mijloc de realizare a acestui obiectiv.
Definiția „SMS” a OACI este „o abordare organizată pentru gestionarea siguranței,
incluzând structurile organizaționale, responsabilitățile, politicile și procedurile necesare”
(OACI, 2006, 1-2). Următoarele paragrafe vor descompune termenii Sisteme de management
al siguranței pentru a-l înțelege mai bine și voi prezenta o definiție care încearcă să capteze
esența SMS-ului.
Siguranța înseamnă lucruri diferite pentru oameni diferiți. În dicționarul online
Merriam-Webster, definiția pentru „siguranță” este dată după cum urmează: „condiția de a fi
în siguranță de a suferi sau de a provoca răni, răni sau pierderi” (Merriam-Webster Online
Dictionary, 2007). Modul în care se aplică această definiție este, în parte, o funcție a
circumstanțelor noastre. De exemplu, dacă locuiți în apropierea unei centrale nucleare,
siguranța înseamnă că orice se întâmplă într-o astfel de instalație nu vă afectează în mod
negativ sănătatea și bunăstare. Pentru cei care construiesc centrala nucleară înseamnă un
control eficient al reacției în lanț nuclear, răcirea corespunzătoare a miezului reactorului și
prevenirea eliberării de materiale radioactive. Dacă sunteți un schior în pantă, doriți să
ajungeți în partea de jos a pantei fără o gleznă ruptă, un braț întors sau o vătămare la cap. În
contextul definiției de siguranță a lui Webster, adică „libertatea împotriva pericolului sau a
16
vătămării”, schiul de coborâre s-a angajat într-o activitate sigură când a coborât pe pârtie? A
fost ferit de pericol sau vătămare? În acest context, este ceva în siguranță? Majoritatea dintre
noi mergem la muncă sau la școală în fiecare zi. Cu toate acestea, mai multe persoane sunt
ucise sau rănite în această țară în accidente auto decât orice altă activitate. Cu siguranță nu
suntem cu toții considerați „nesiguri”.
Securitatea este definită de OACI ca „starea în care riscul de vătămare a persoanelor
sau de daune materiale este redus și menținut la sau sub un nivel acceptabil printr-un proces
continuu de identificare a pericolului și de gestionare a riscurilor” (OACI, 2006, p. 1-1). (De
fapt, definiția OACI ar putea fi considerată cel mai bine în legătură cu managementul
siguranței.) Această definiție recunoaște că riscul în activitate nu este redus la zero, ci la un
nivel acceptabil. De asemenea, sugerează că siguranța activității este măsurată față de nivelul
acceptabil. Și explică că menținem siguranța printr-un proces. Acest proces implică
identificarea pericolelor care împiedică siguranța și gestionarea riscurilor.
Așadar, pentru profesioniștii în domeniul siguranței, însuși cuvântul „siguranță”
presupune măsurare, evaluare și feedback constant în sistem.
17
R=S×P
Chiar și cele mai bune analize de siguranță în urmă cu câteva decenii erau de natură
juridică. Cele două măsuri pe care se bazează acest calcul tradițional al riscului depind atât de
o analiză a evenimentelor nedorite. Mai mult, datele din care sunt trase aceste calcule sunt
istorice. De exemplu, să presupunem că are loc o aterizare dură. O abordare juridică a
analizei riscurilor ar face ca departamentul de securitate să analizeze diferitele baze de date
de securitate menținute de compania aeriană și să examineze rapoartele referitoare la
„aterizare dură”. După revizuirea acestor rapoarte, experții în materie ar atribui o măsură de
gravitate rapoartelor și apoi ar adăuga respectivele atribuții într-un index care descrie
severitatea evenimentului de aterizare dură. Apoi, s-ar face o încercare de a calcula o
statistică a ratei (numărul de aterizări dure împărțit la statisticile de expunere, în acest caz
numărul total de aterizări din sistem), rezultând astfel probabilitatea indicelui de apariție.
Utilizând acești doi indici, se va obține un „indice de risc” final prin raportarea la o matrice
de risc. O matrice tipică de risc este prezentată în figura 2.1 (FAA, 2006, p. 15).
18
Această abordare analitică aplicată înțelegerii evenimentelor nedorite este o mare
îmbunătățire față de cea utilizată în trecut. Cu toate acestea, acest calcul tradițional de
„severitate x probabilitate = risc” este, prin natura sa, retrospectivă și nu captează de la sine
esența SMS-urilor. De asemenea, un SMS realizează o analiză a riscurilor la nivelul
elementului constitutiv al unui sistem, unde sunt identificate pericolele. În forma sa cea mai
sofisticată, analiza riscurilor se bazează pe construirea modelelor, în care estimările privind
gama de severități potențiale, probabilitățile posibile și măsurile privind eficacitatea acelor
controale instituite pentru atenuarea pericolelor sunt permise să interacționeze între ele, și
mai mult în software-ul de modelare a scenariilor, rezultatul fiind o predicție a rezultatului
cel mai probabil al evenimentelor. Analiza juridică a evenimentelor nedorite este o metodă
importantă de identificare a pericolelor, dar nu și singura.
Realizarea acestui proces pe diferitele tipuri de evenimente nedorite experimentate în
operații, de asemenea, ar oferi echipei de management posibilitatea de a acorda prioritate
acțiunilor pe baza valorii relative a indicilor de risc alocați fiecărui tip de eveniment.
Risc și fiabilitate
Așa cum am descris în viziunea clasică a managementului riscului, accentul este pus
pe eveniment - evaluarea gravității sale și a probabilității de apariție a acestuia. Aceste
considerente rămân active într-un SMS, dar se adaugă un concept din domeniul ingineriei de
calitate; adică fiabilitatea. Fiabilitatea este o măsură a capacității unui sistem de a funcționa
fără defecte sau erori și este proiectată în mod conștient într-un sistem. O abordare de
fiabilitate a managementului riscurilor utilizează tehnici de inginerie de calitate pentru a
modifica proiectarea sistemului, adăugând subsisteme paralele, redundanță, alerte, bariere și
altele.
Managementul riscului
Gestionarea riscurilor este procesul de măsurare a riscului și de elaborare a
strategiilor de gestionare a acestuia. Aceste strategii includ de obicei reducerea efectului
negativ al riscului. În ecuația analizei riscului de mai sus, modificarea severității [S] sau a
probabilității [P] ar îndeplini această sarcină(R= S x P). O abordare proiectată de calitate va
include o analiză riguroasă a sistemului de interes - identificarea pericolelor, înțelegerea
interacțiunilor dintre aceste pericole și sisteme de detectare a ingineriei, încorporarea
sistemelor paralele și / sau redundante, după caz, și determinarea punctelor clare de decizie.
19
În cele din urmă, deoarece SMS-ul este încorporat într-un sistem integrat de
gestionare, planificarea strategică a riscurilor va include transferul riscului (de exemplu, către
operatorii de asigurare), evitarea riscului și / sau acceptarea consecințelor - în totalitate sau
parțial - a riscului (Figura 2.2).
Este important de reținut următoarele în ceea ce privește strategiile de gestionare a
riscurilor:
1. Nu se exclud reciproc. Alegerea uneia dintre ele nu înseamnă că nu poți alege și
altele. De fapt, de multe ori aceste strategii vor fi amestecate și combinate în diferite grade.
2. Strategiile individuale nu sunt o propunere de totul sau nimic. Strategiile pot fi și
adesea sunt parțial implementate.
3. Strategiile sunt oarecum un act de echilibrare.
4. Deciziile privind gestionarea riscurilor trebuie luate de conducerea organizației.
20
serviciile de întreținere sau alte activități, în funcție de natura organizației. Producția de
succes a serviciului intenționat este cea care permite unei organizații să rămână în afaceri.
Deoarece există pericole în aviație, o consecință a producției este riscul pentru
siguranță. Acest risc necesită crearea unui sistem de protecție pentru utilizatori și părți
interesate, care este responsabilitatea furnizorului de servicii de aviație (cel mai direct) și a
autorităților de reglementare. Acest sistem de protecție este fundamental ceea ce ar trebui să
furnizeze un SMS.
Obiectivele de producție și protecție trebuie să fie echilibrate de conducerea unei
organizații. Adesea, acest echilibru este fragil; producția prea mare poate compromite
siguranța și prea multă siguranță poate compromite performanța financiară.
Scopul unui proces de gestionare a riscurilor este de a identifica riscurile și însoțitorii
asociate cu aceste riscuri și de a gestiona și reduce riscurile. Un proces utilizat pe scară largă
și unul susținut în AC 120-92 al FAA (Administrația Federală a Aviației) include
următoarele etape (FAA, 2006, p. 12-17):
1. Sisteme și analiza sarcinilor. Proiectarea sistemului este piatra de temelie a
gestionării riscurilor. Un sistem documentat și o analiză a sarcinilor ar trebui să fie completă,
să descrie și să explice interacțiunile componentelor sistemului, inclusiv oameni, hardware,
software și mediu.
2. Identificarea pericolului. Având în vedere sistemul descris în etapa anterioară,
pericolele trebuie identificate, documentate și controlate.
3. Analiza și evaluarea riscurilor. După cum s-a discutat mai sus, riscul este evaluat
de cele două componente ale sale: probabilitatea apariției unui eveniment nedorit și
gravitatea apariției.
4. Criterii de gravitate și de probabilitate. Instrumentul utilizat în mod normal pentru
aceasta este o matrice cu severitate de-a lungul axei X și probabilitate de-a lungul axei Y.
5. Acceptarea riscurilor. Matricea de risc permite reprezentarea grafică a categoriilor
de acceptare ca, de exemplu, acceptabilă (verde), acceptabilă cu atenuare (galben) și
inacceptabilă (roșu).
6. Alte instrumente de evaluare a riscurilor pentru gestionarea riscurilor operaționale
și a zborurilor. În ultimul deceniu, o serie de instrumente au fost dezvoltate pentru lumea
transportatorilor aerieni care pot fi utilizate pentru a oferi o evaluare suplimentară a riscului.
21
Aceste instrumente - Programul de raportare voluntară a informațiilor, Programul de acțiune
pentru siguranța aviației, Asigurarea calității operațiunilor de zbor, Asigurarea calității
operațiunilor de întreținere, Programul de evaluare internă, Programul avansat de calificare și
Auditul de siguranță a operațiunilor de linie.
7. Analiza cauzală. Analiza cauzelor de rădăcină este realizată pentru a determina de
ce riscurile sunt atribuite anumite niveluri și ca prim pas în dezvoltarea mijloacelor de
reducere a riscurilor la niveluri inferioare.
8. Controlul riscurilor. Exemple de controale includ: proceduri noi sau modificate,
ajutoare software sau software noi sau îmbunătățite, modificări la instruire, echipamente noi
sau modificate sau alte controale. Aceasta este inima îmbunătățirii.
9. Ierarhia controalelor. O ierarhie tipică a controalelor este: proiectarea pericolului
prin modificarea sistemului; apărători sau bariere fizice (cum ar fi apărătorii de pe anumite
întrerupătoare); avertismente, avize sau semnale ale pericolului; modificări procedurale
pentru evitarea sau diminuarea pericolului; si antrenament. Procesul de selectare a
controalelor corespunzătoare ar trebui abordat într-o manieră structurată.
10. Risc rezidual sau substitutiv. Această etapă implică o evaluare a controalelor
pentru a se asigura că nu sunt introduse noi riscuri în sistem și că controlul selectat este
probabil să fie eficient.
11. Funcționarea sistemului. Când sunt implementate controalele, sistemul este
introdus în operație și monitorizat pentru a asigura eficacitatea.
Revenind la definiția SMS-ului - un sistem dinamic de gestionare a riscurilor bazat pe
principiile sistemului de management al calității (QMS) într-o structură scalată corespunzător
riscului operațional, aplicat într-un mediu de cultură de siguranță - să luăm în considerare pe
scurt principiile QMS.
Principiile sistemului de management al calității (QMS)
QMS-urile sunt sisteme care conturează politicile și procedurile necesare pentru
îmbunătățirea și controlul diferitelor procese care în final vor duce la îmbunătățirea
performanței afacerii. SMS-urile se bazează pe principiile QMS. Aceste principii pot fi găsite
de-a lungul unui program SMS eficient. Una dintre organizațiile primare care promovează
calitatea este Organizația Internațională pentru Standardizare (ISO), care este un organism
neguvernamental, de stabilire a standardelor internaționale, format din 157 de țări membre. O
22
scurtă privire de ansamblu asupra principiilor QMS, astfel cum sunt articulate de ISO include
următoarele (ISO, 2007):
• Principiul 1 Focus pe client. Organizațiile depind de clienții lor și trebuie să
înțeleagă nevoile curente și viitoare ale clienților. Organizațiile ar trebui să îndeplinească
cerințele clienților și să depună eforturi pentru a depăși așteptările clienților.
• Principiul 2 Conducerea. Liderii stabilesc unitatea de scop și direcția organizației.
Liderii eficienți creează și mențin un mediu în care oamenii se pot implica pe deplin în a
ajuta organizația să își atingă obiectivele.
• Principiul 3 Implicarea oamenilor. Oamenii sunt esența unei organizații, iar
implicarea lor deplină servește la beneficiul organizației.
• Principiul 4 Abordarea procesului. Gestionarea activităților și resurselor ca procese
permit obținerea eficientă a rezultatelor dorite.
• Principiul 5 Abordarea sistemelor în management. Identificarea, înțelegerea și
gestionarea proceselor interrelaționate ca sistem contribuie la eficacitatea și eficiența
organizației în realizarea obiectivelor sale.
• Principiul 6 Îmbunătățirea continuă. Îmbunătățirea continuă a performanței trebuie
să fie un obiectiv permanent al organizației.
• Principiul 7 Abordarea faptică a luării deciziilor. Analiza datelor și informațiilor
duce la luarea eficientă a deciziilor.
• Principiul 8 - Relații cu furnizorii reciproc avantajoși. O organizație și furnizorii
acesteia sunt interdependenți și o relație benefică reciproc îmbunătățește capacitatea ambilor
de a crea valoare.
Aceste opt principii ar trebui menținute în fruntea oricărui efort de dezvoltare și
gestionare a programelor SMS.
În plus, multe riscuri trebuie gestionate la o scară dincolo de limitele oricărei
organizații. De exemplu, intrările eronate pe pistă rămân în mod constant aproape de partea
de sus a listei tuturor evenimentelor periculoase. Când ne uităm la lista părților interesate
implicate în această problemă și la lista factorilor care contribuie, este clar că o rezolvare
adevărată a problemei de intrare necontrolata pe pistă necesită acțiuni din partea mai multor
organizații - companii aeriene, operatori charter, organizații de întreținere, aeroporturi,
servicii de catering etc. Un SMS conceput pentru atenuarea acestui risc trebuie, prin urmare,
23
să fie dimensionat în mod corespunzător pentru a include toate părțile interesate ca
participanți activi, cu obiective comune și responsabilitate comună.
Pilonul 1 - Politică
Fiecare tip de sistem de management trebuie să definească politicile, procedurile și
structurile organizaționale pentru a-și îndeplini obiectivele. Un SMS trebuie să aibă în
aplicare politici și proceduri care să descrie în mod explicit responsabilitatea, autoritatea,
responsabilitatea și așteptările. Cel mai important, siguranța trebuie să fie o valoare de bază
pentru organizație.
24
SMS-urile de siguranță și calitate utilizează principii de gestionare a calității, dar
cerințele care trebuie gestionate de sistem se bazează pe o evaluare obiectivă a riscului de
siguranță, mai degrabă decât pe satisfacția clienților pentru produse sau alte obiective
comerciale convenționale. Aceste cerințe trebuie să fie menționate în mod explicit în
documentația politicii SMS și trebuie să fie complet integrate în misiunea și viziunea
organizației.
Rolul, responsabilitățile și relațiile În mediul operațional complex de azi, multe
organizații și agenții sunt însărcinate cu anumite aspecte ale menținerii nivelului cel mai înalt
de siguranță. SMS recunoaște această responsabilitate comună și descrie în mod specific
rolurile, responsabilitățile și relațiile dintre toate părțile implicate în menținerea operațiunilor
sigure. În SMS, fiecare interfață între producție și exploatare, pe de o parte, și supraveghere
pe cealaltă, este identificată în mod clar și fiecare subsistem este proiectat pentru a oferi
agenției sau organizației de interfațare tot ce are nevoie pentru a-și îndeplini rolul.
Implicarea managementului executiv O caracteristică principală a unui SMS este
claritatea absolută a acestuia în definirea faptului că factorul cheie al succesului este
implicarea personală și materială a conducerii în activități de siguranță. Deși toți membrii
organizației trebuie să-și cunoască responsabilitățile și să fie împuterniciți și implicați în ceea
ce privește siguranța, responsabilitatea finală pentru siguranța sistemului nu poate fi delegată
de la conducerea superioară. SMS identifică comportamente cheie care demonstrează această
implicare, cum ar fi includerea obiectivelor de siguranță în planurile strategice și revizuirea
regulată a managementului SMS-urilor. Implicarea managementului executiv este o cerință
cheie în documentația politicii SMS.
25
organizaționale, precum și oamenii, echipamentele și facilitățile utilizate pentru îndeplinirea
misiunii organizației. Analiza sistemelor este inima ingineriei de calitate, iar o analiză de
inginerie sistematică bine făcută va explica interacțiunile dintre hardware, software, oameni
și mediu care alcătuiesc sistemul în detalii suficiente pentru a identifica pericolele și a realiza
analize de risc.
Identificarea pericolelor - odată ce procesele sunt bine înțelese, pericolele din sistem
și mediul său de funcționare pot fi identificate, documentate și controlate. Primul pas în
proces, identificarea pericolului, se bazează pe o înțelegere completă a sistemului, subliniind
importanța etapelor anterioare referitoare la descrierea sistemului. După ce sistemul este bine
înțeles, se poate revizui descrierea scrisă a sistemului sau diagrama fluxului de lucru a
procesului și la fiecare componentă a fluxului de lucru, puneți întrebarea „ce se întâmplă
dacă…”. Ce se întâmplă dacă această componentă a eșuat? Ce se întâmplă dacă apare această
amenințare? Dacă se întâmplă cealaltă eroare? Ca și în cazul descrierilor de sistem și sarcini,
judecata este necesară pentru a determina nivelul adecvat de detaliere. În timp ce
identificarea fiecărui pericol imaginabil nu ar fi practic, este de așteptat ca furnizorii de
servicii de aviație să depună diligențe pentru identificarea riscurilor semnificative și
rezonabile previzibile legate de operațiunile lor.
Analiza și evaluarea riscurilor - SMS-ul încurajează luarea deciziilor și acceptarea
evaluării riscurilor prin utilizarea unui proces aplicat în mod constant, cum este cel descris în
Manualul ICAO pentru managementul siguranței.
Acceptarea riscului - operațiunile nu sunt întreprinse niciodată fără un anumit nivel de
risc, astfel încât abordarea corectă a gestionării riscurilor este elaborarea de proceduri de
acceptare a riscurilor, inclusiv criterii de acceptare și desemnarea autorității și
responsabilitatea pentru luarea deciziilor de gestionare a riscurilor.
Analiza cauzală - analizele de risc ar trebui să conducă în mod inevitabil la analize
cauzale, care la rândul lor sunt furnizate managerilor operaționali pentru modificarea
procesului sau reintroduse în componenta de asigurare a securității SMS. Analiza cauzală
oferă baza unei îmbunătățiri continue.
Controlul riscului - după ce etapele precedente au fost finalizate, controalele de risc
trebuie concepute și puse în aplicare. Acestea pot fi proceduri suplimentare sau revizuite, noi
controale, modificări ale instruirii, echipamente suplimentare sau modificate, modificări ale
26
aranjamentelor de personal sau oricare dintre alte modificări ale sistemului. SMS necesită
trasarea unor linii clare de responsabilitate și autoritate care să atribuie sarcina de a controla
riscul.
Funcționarea sistemului - componenta de gestionare a riscurilor a SMS-urilor ar
trebui să fie proiectată pentru a nu numai să monitorizeze, să evalueze, să analizeze și să
controleze continuu riscul, dar să asigure și următoarea componentă, asigurarea siguranței;
un mijloc eficient de auditare, analiză și revizuire a rezultatelor eforturilor sale.
Managementul riscului lucrează în concordanță cu asigurarea siguranței pentru a asigura
funcționarea eficientă într-un mediu operațional în schimbare
27
SMS-ul de evaluare internă definește, de asemenea, o funcție suplimentară de audit la
nivel organizațional. Acest nivel oferă o funcție de asigurare a calității pentru a asigura că
revizuirile mai aprofundate și tehnice realizate de auditurile interne departamentale
îndeplinesc obiective organizaționale prin evaluarea și atenuarea riscului. În.
Integrarea programelor de reglementare și voluntare - în multe organizații de aviație
există un amestec atât de programe de siguranță voluntare, cât și de cele impuse prin
regulament. SMS-urile nu înlocuiesc acele programe cerute de lege și nici nu elimină
valoarea altor persoane stabilite în mod voluntar. În schimb, SMS oferă un cadru pentru toate
aceste programe pentru a se integra într-o strategie coerentă de asigurare a siguranței.
Audituri externe - auditele externe oferă încă un alt nivel de asigurare a siguranței.
Aceste audituri pot fi solicitate prin regulament sau pot fi audituri terțe inițiate de organizație
pentru a oferi o evaluare obiectivă a proceselor sale. Încă o dată, SMS-urile nu înlocuiesc
necesitatea acestor sisteme externe de supraveghere, ci consideră mai degrabă aceste audituri
ca o altă sursă de informații pentru revizuirea managementului.
Analiză și evaluare - poate cea mai importantă parte a oricărui proces de îmbunătățire
continuă este aplicarea constantă a revizuirii managementului. Dacă revizuirea
managementului nu este o parte de rutină a calendarului organizației, toate celelalte
componente ale sistemului SMS sunt inutile. În plus, revizuirea managementului trebuie să
includă procese de gestionare a schimbărilor bine definite, astfel încât informațiile obținute
din analiză și evaluare să poată fi aplicate pentru a reduce riscul operațional.
Monitorizarea mediului - întrucât evaluarea mediului de afaceri trebuie să fie o parte
regulată a planificării strategice, SMS recunoaște o nevoie similară de a monitoriza continuu
mediul operațional pentru a evalua noi amenințări și a monitoriza cele existente. Componenta
de asigurare a siguranței trebuie să includă aceste evaluări în mod regulat.
28
Crearea unei culturi de siguranță începe de la vârful organizației, odată cu
încorporarea politicilor și procedurilor care cultivă o cultură de raportare (unde există
structuri care permit informațiile legate de siguranță să curgă de la toate nivelurile
organizației într-un sistem abilitat să corecteze probleme) și o cultură dreaptă (în care
indivizii sunt trași la răspundere pentru acțiunile lor și tratați în mod echitabil de organizație).
Menținerea unei culturi de siguranță necesită atenție constantă din partea fiecărui nivel de
conducere și a fiecărui departament din organizație. Un element central al SMS-urilor este
această realizare - faptul că departamentul de securitate nu deține siguranță, ci este deținut de
fiecare angajat.
Comunicare Pentru a sprijini o cultură de raportare, organizația trebuie să cultive
dorința membrilor săi de a contribui la înțelegerea funcționării sale de către organizație.
Întrucât unele dintre cele mai valoroase rapoarte implică auto-dezvăluirea greșelilor,
organizația trebuie să își asume angajamentul de a acționa într-o manieră non-punitivă atunci
când aceste greșeli nu sunt rezultatul unui comportament neglijent sau imprudent. Un SMS
trebuie să aibă mecanisme care să permită angajaților să prezinte rapoarte cu privire la
deficiențele de siguranță, fără teamă de represalii.
Un SMS trebuie să aibă, de asemenea, mecanisme solide de diseminare a
informațiilor către forța de muncă, astfel încât fiecare angajat să aibă acces în timp util la
informații legate de siguranță. Sistemele de gestionare a cunoștințelor acceptă SMS-urile prin
identificarea tipului de informații de care are nevoie un angajat și oferă mijloace orientate
pentru diseminarea informațiilor respective.
Învățarea organizațională Informațiile nu au nicio valoare decât dacă o organizație
învață de la ea. Un SMS trebuie să includă controale pentru a se asigura că lecțiile învățate
influențează designul sistemelor sale. Un SMS trebuie să fie un sistem cu buclă închisă, în
care există o pistă de audit pentru a demonstra că o descoperire în procesul de evaluare și
analiză a riscurilor duce la analiza cauzală, care este apoi utilizată într-un proces de acțiune
preventivă / corectivă pentru a modifica operația și a reduce risc. În plus, este necesar ca
lecțiile învățate să fie încorporate în mod regulat într-un program de calificare continuă
pentru angajații relevanți.
29
2.5. Răspunsul la urgențe
În documentația ICAO răspunsul la urgență este inclus ca parte integrantă a SMS-
urilor. De ce, s-ar putea întreba, trebuie din nou să revizuim ceva care este deja foarte
puternic reglementat, care necesită deja o alocare semnificativă a resurselor în cadrul
organizației și care funcționează deja destul de bine? O preocupare comună este aceea că
orice cerințe suplimentare impuse de un sistem SMS vor fi doar greoaie și vor crește
complexitatea, cu un redus redus al investițiilor în ceea ce privește calitatea răspunsului de
urgență.
Evoluția naturală a managementului siguranței în industrie a determinat răspunsul
reactiv la dezastre, astfel încât răspunsul la urgență este deja bine dezvoltat în zone cu risc
operațional potențial ridicat, cum ar fi pe aeroporturile de clasa I. Oricine este implicată în
planificarea siguranței la un aeroport hub sau o companie aeriană mare știe că ERP-urile
existente (planurile de răspuns la situații de urgență, așa cum le desemnează ICAO) sunt
foarte bine dezvoltate și extinse, iar prin reglementare sunt testate în mod regulat.
Pentru acei operatori, este foarte probabil ca ERP-urile existente să îndeplinească
toate cerințele SMS-urilor, astfel încât fluturarea sau panica nu sunt necesare. Pentru acele
programe existente bine dezvoltate, gradul de încărcare a încorporării ERP-urilor lor într-un
cadru SMS va fi probabil foarte scăzut. SMS-ul este în mod intenționat un sistem scalabil, ale
cărui principii se aplică atât furnizorului de servicii mari, cât și micului. Prin urmare, schițele
generale pentru răspunsul de urgență în SMS sunt demne de luat în considerare, știind că
unele niveluri de operare au deja sisteme solide, în timp ce altele vor beneficia de o revizuire.
Capitolul 11 din Manualul ICAO pentru managementul siguranței este dedicat
planificării răspunsurilor în caz de urgență și este cea mai bună sursă de referință pentru un
furnizor de servicii pe care să-l folosească pentru a revizui fundamentele propriilor programe.
Există desigur reglementări specifice care reglementează nivelurile de planificare și răspuns
la situații de urgență, în funcție de locația, scara și tipul operațiunilor implicate.
Manualul de gestionare a siguranței OACI afirmă că scopul ERP este să se asigure că
există (ICAO, 2006, p. 11–1):
1. trecerea ordonată și eficientă de la operațiunile normale la cele de urgență,
2. delegarea autorității de urgență;
3. atribuirea responsabilităților de urgență,
30
4. autorizarea personalului cheie pentru acțiuni cuprinse în plan;
5. coordonarea eforturilor de a face față situațiilor de urgență și
6. continuarea în siguranță a operațiunilor sau revenirea la operațiunile normale de
îndată ce este posibil.
Scopul de a solicita ca un ERP să facă parte dintr-un SMS este să se asigure că un
furnizor de servicii s-a gândit la fiecare dintre elementele enumerate mai sus și a stabilit un
plan de operațiuni înainte de necesitatea utilizării planului. Acest scop este determinat în
întregime de aceeași motivație de bază care alimentează SMS-urile în primul rând - controlul
riscului. În acest caz, riscul controlat nu se adresează în special circumstanțelor care au dus la
situația de urgență (deși SMS-ul ar determina nevoia de a lua măsuri corective pentru a
preveni situația de urgență în viitor, desigur). Mai degrabă, riscul atenuat de ERP este cel
asociat cu gestionarea situației de urgență în sine.
O urgență este un eveniment care, prin natura sa, are un risc ridicat, cu siguranță
pentru victimele aflate la scena imediată, dar și pentru primii respondenți, pentru cei care
ajută acești respondenți și în special pentru ceilalți clienți care continuă să primească servicii
de la organizație. În timp ce situația de urgență este în desfășurare, chiar dacă acești clienți
sunt la o mie de mile distanță de locul faptei. Există un ERP pentru controlul răspunsușui
organizațional la situații de urgență, astfel încât să se reducă la minimum riscul pentru toate
fațetele operației. Un ERP este un mecanism de control.
Documentul OACI definește următoarele secțiuni ca elemente constitutive ale unui
ERP bine proiectat:
• Guvernarea politicilor. Un ERP ar trebui să aibă trimiteri explicite la reglementările
care reglementează răspunsul la situații de urgență în mediul operațional al organizației și ar
trebui să conțină politicile și procedurile companiei care determină modul în care organizația
va reacționa la situații de urgență.
• Organizarea. Răspunsul de urgență este un proces și, în mod ideal, ar trebui să fie
creat folosind aceeași disciplină care se aplică creării oricărui proces sub SMS. ERP ar trebui
să descrie cine are responsabilitatea și autoritatea în diferite aspecte ale răspunsului, modul în
care se realizează răspunsul, ce resurse vor fi disponibile și așa mai departe.
• Notificări. ERP ar trebui să conțină un proces de notificare foarte clar, astfel încât
asistența să fie disponibilă atunci când este nevoie. Nu trebuie neglijat, desigur, este sarcina
31
teribilă de a anunța rudele celor implicați în eveniment. Alți pași în ERP vor viza și
responsabilitățile pe care operatorul le are față de familiile implicate.
• Răspuns inițial. Răspunsul inițial la o situație de urgență este un mediu cu risc foarte
mare. Această secțiune ar trebui să fie luată în considerare în special, ținând cont de primii
respondenți.
• Asistență suplimentară. ERP ar trebui să fie proiectat astfel încât backup-ul să fie
disponibil imediat când este nevoie. Trebuie luate în considerare toate resursele disponibile.
Acest pas revine la pasul de notificări.
• Centrul de gestionare a crizelor. O urgență bine gestionată necesită infrastructură
specială - comunicații, metode de coordonare, comandă rapidă și control decizional.
Planificarea unui centru de gestionare a crizelor este esențială.
• Înregistrări. Există atât cerințe de reglementare, cât și practice, pentru o bună
înregistrare în timpul unei situații de urgență. Echipa de planificare ERP ar trebui să se
asigure că sunt identificate toate cerințele de păstrare a înregistrărilor și că cineva are
responsabilitatea de a păstra aceste înregistrări.
• Loc de accident. Locul accidentului este un mediu de risc extrem de ridicat, iar
operatorul trebuie să se asigure că nu se mai face rău în răspunsul la eveniment. Aceasta
înseamnă că verificarea accesului trebuie să facă parte din plan, iar echipele de protecție
trebuie să fie disponibile pentru primii respondenți. Există responsabilități de reglementare pe
care operatorul le are cu privire la protecția site-ului, iar responsabilitățile respective trebuie
să fie atribuite.
• Mass-media. Este inevitabil ca un operator implicat într-o urgență gravă să aibă
contact cu mass-media. Posibilitatea de a controla acel contact nu poate părea imediat
gestiune a riscurilor, dar este. Interfața media cu alte grupuri la care operatorul are în mod
clar responsabilități, precum familiile victimelor și angajații. Nu cel mai puțin dintre motivele
pentru a avea un plan media într-un ERP este să vă asigurați că cei care gestionează efectiv
criza sunt izolați de un baraj de întrebări și cereri de către mass-media, astfel încât să își
poată face treaba.
• Investigații formale. Operatorul trebuie să planifice modul de susținere a
investigațiilor formale care sunt o parte inevitabilă a operațiunilor post-incidente. Timpul
necesar pentru a susține astfel de investigații poate fi destul de semnificativ, iar o planificare
32
bună în prealabil poate ajuta la asigurarea reprezentării intereselor companiei fără a îndepărta
personalul critic din operațiunile de rutină.
• Asistență familială. Operatorul are în mod clar o responsabilitate față de familiile
victimelor; nu numai unul moral, ci unul legal. Respectivele responsabilități includ
înființarea serviciilor de asistență familială, cazări de călătorie pentru membrii familiei,
asistență financiară în anumite circumstanțe și îndeosebi satisfacerea nevoii de informații
exacte și actualizate cu privire la eveniment.
• Consiliere post-critică la stres pentru incidente. Efectele unei urgențe grave nu se
încheie cu curățarea locului accidentului sau chiar cu închiderea anchetei. Evenimentele de
urgență pot fi, prin natura lor, traumatizante, iar operatorul are responsabilitatea de a lua în
considerare factorii umani implicați în răspunsul de urgență, cum ar fi timpii de serviciu în
timpul evenimentului, perioada de repaus ulterior și, în special, furnizarea de consiliere post-
incident. necesar.
• Revizuirea post-apariție. Esența SMS-urilor este îmbunătățirea continuă. Ca atare,
un ERP ar trebui să includă planuri de dezlănțuire a tuturor celor implicați în eveniment și ar
trebui să necesite o revizuire a activității după incident.
Revizuirea managementului este unul dintre cei mai importanți pași în orice proces de
calitate și, deoarece SMS-ul este exact acela - un proces de calitate - este esențial ca un ERP
să conțină în el cerința revizuirii regulate a planului. Și cu ceva la fel de serios ca ERP,
revizuirea nu poate fi doar o revizuire a documentelor. Este necesar să exercitați planul în
mod regulat. Operatorii mari și aeroporturile au deja o astfel de cerință prin regulament.
Pentru operatorii mai mici care îmbracă SMS-urile, este foarte important ca ERP-ul să fie de
fapt scos de pe raft la intervale regulate și să fie rulat într-un mediu simulat.
Pentru cei din SUA, Departamentul de Securitate Internă a creat resurse deosebite
pentru operatori să le folosească pentru a crea un program pentru exerciții de răspuns la
situații de urgență. Nu este necesară reinventarea roții - o echipă inteligentă de management
va profita de această lucrare excelentă și va numi pe cineva din organizație pentru a deveni
complet certificat în programul HSEEPS (Programul de evaluare și evaluare a securității
interne). Acest antrenament este conceput pentru a sprijini gestionarea situațiilor de urgență
și există un set de instrumente bine conceput pentru a ajuta la crearea tuturor nivelurilor de
33
practică de răspuns la situații de urgență - de la exerciții de masă, la practică funcțională, la
exerciții la scară completă.
34
CAPITOLUL 3. STUDIU DE CAZ: ANALIZA ACCIDENTELOR DE
AVIAȚIE DIN PERSPECTIVA REZILIENȚEI
35
3.2. Primul accident mortal de aviație
Data atribuită în mod obișnuit nașterii aviației este 17 decembrie 1903. În acel an
constructorii de biciclete Orville și Wilbur Wright au luat cerul într-o ambarcațiune mai grea
decât aerul, alimentat și (oarecum) controlabil pe care îl construiseră, numit Flyerul Wright.
Prima fatalitate a aeronavei a avut loc doar 1.736 de zile mai târziu, cu Orville la
controale. Călătorise la Fort Myer, Virginia, pentru a demonstra aeronavei Wright către
armată în septembrie 1908. Orville era nemulțumit de una dintre elice, așa că, pe 17
septembrie, a înlocuit-o cu una nouă, care nu fusese niciodată testată la zbor. Un locotenent
de armată în vârstă de douăzeci și șase de ani, Thomas E. Selfridge1, era pasagerul la bord cu
Orville în zborul de probă. După câteva circuite în jurul câmpului de la Fort Meyer, capătul
lamei elicei a zburat. Aeronava s-a scufundat de la o altitudine mică; Orville a fost rănit grav,
iar Selfridge a murit doar câteva ore mai târziu. Au fost aproximativ 2.500 de sute de martori
ai accidentului, inclusiv aviatorul celebru și prietenul fraților Wright, Octave Chanute.
36
3.3.1. TWA 800
La 17 iulie 1996, avionul Trans World Airlines (TWA) 800, un Boeing 747-131, s-a
prăbușit lângă New York ucigând toate cele 230 de persoane la bord. Cauza imediată a fost o
incendiu în rezervorul de combustibil pe aripa centrală. Deși există o anumită incertitudine în
sursa de aprindere, Consiliul Național pentru Siguranța Transporturilor (NTSB) (2000) a
concluzionat că cea mai probabilă sursă a fost un scurtcircuit în cablarea asociată cu sistemul
de calibrare a cantității de combustibil.
Deși au existat rapoarte despre un atac cu rachete care nu au fost verificate, NTSB s-a
preocupat doar de problema de inflamabilitate a rezervorului de combustibil.
Din punct de vedere al rezilienței, NTSB a concluzionat că un factor contributiv a fost
conceptul de proiectare și certificare care presupunea că toate sursele de aprindere pot fi
identificate și împiedicate de metodologiile de proiectare. În plus, conceptul de proiectare și
certificare nu a avut nicio metodologie de a face ca vaporii de combustibil să nu fie
inflamabili. În terminologia rezilienței, se poate spune că au existat capacități și toleranțe
inadecvate.
37
Prin urmare, cauza principală a fost neidentificarea riscurilor asociate cu vaporii de
combustibil și încorporarea rezultatelor în proiectare. Dincolo de eșecul de a avea un proces
de risc, adevăratul eșec este să existe metodologii care să poată estima realist probabilitatea
unei surse de aprindere. Deoarece riscul este o parte integrantă a siguranței sistemului, se
poate spune că și procesul de siguranță a fost inadecvat. Eșecul diferitelor organizații de a
aborda această problemă poate fi pus în categoria colaborării inter-relaționare, care este un
atribut de bază al rezilienței. Tabelul 3.1 rezumă unele dintre aspectele de reziliență ale TWA
800.
Conform Administrației Aviației Federale (FAA) (2008), FAA a mutat pentru a
necesita mijloace pentru a minimiza vaporii inflamabili în rezervoarele de combustibil. Pe un
astfel de mijloc este un dispozitiv pentru a injecta aer îmbogățit cu azot (NEA) în cavitățile
rezervorului de combustibil pentru a ventila cavitatea de aer normal bogat în oxigen. Selecția
unui mijloc va depinde, în parte, de costul implementării modificării.
3.3.2. Apollo 13
Deși nimeni nu a murit în misiunea Apollo 13 la 1 aprilie 1970, acest eveniment se
clasează ca unul dintre ratele principale aproape pentru care abilitățile echipajului au salvat
ziua. Chiles (2002, p. 302), Reason (1997, p. 86–87), Leveson (1995, p. 558–563) și Perrow
(1984, p. 271–281) dau toate relatările incidentului, dar aici este un rezumat al evenimentelor
cheie: Înainte de zbor, a existat o problemă cu scurgerea unui rezervor de oxigen. În loc să
înlocuiască rezervorul, echipajul de la sol a decis să scurgă rezervorul manual și a ajuns la
38
concluzia că performanța rezervorului nu va fi afectată. Această concluzie s-a dovedit
incorectă, deoarece firele au fost avariate într-unul din rezervoare.
În timpul zborului, a existat o explozie într-unul dintre rezervoarele de oxigen cauzate
de unul dintre firele proaste.
Perrow (1984, p. 274) indică, de asemenea, o presupunere, se numește Efectul
Titanic, adică presupunerea că sistemul este sigur. Această presupunere a dus la un eșec
prelungit al detectării exploziei rezervorului de oxigen din simplul motiv că un astfel de
eveniment nu a fost considerat posibil, în același mod în care scufundarea cu un aisberg nu a
fost considerată posibilă pentru nava Titanic. Prin urmare, s-ar putea spune că acest aspect
cultural era insuficient. La aceeași concluzie ajunge Leveson (1995, p. 562–563).
În ceea ce privește atributul de reziliență al colaborării inter-relaționare, Apollo 13
reprezintă un exemplu al aspectelor atât deficiente cât și excelente în această privință. În
primul rând, comunicările privind evacuarea rezervorului de oxigen pot fi considerate ca
fiind suficiente. Cu toate acestea, comunicările dintre echipaj și sol au fost un exemplu de
excelentă colaborare între relații.
Leveson (1995, p. 562–563) notează următoarele cauze principale: În primul rând, au
existat presiuni asupra moralului și bugetului. În continuare, presupunerea independenței
dintre pilele de combustibil și oxigen indică o analiză a siguranței înflorită. În continuare, a
existat o eroare considerabilă în estimarea probabilității unui astfel de eveniment care indică
lipsa unui proces de risc. În cele din urmă, Leveson subliniază faptul că nu se practică
utilizarea modulului lunar care nu fusese niciodată efectuat în simulator. Această neglijare a
arătat lipsa unui proces de verificare minuțios.
În sfârșit, Apollo 13 poate fi descris ca un excelent exemplu de adaptabilitate.
Supraviețuirea lui Apollo 13 poate fi atribuită factorului principal al capacității sale de a se
restructura pentru a supraviețui la un nivel inferior de performanță. Unele aspecte de
rezistență ale Apollo 13 sunt prezentate în tabelul 3.2.
39
4 Fiabilitate Deficient
5 Măsuri de siguranță Deficient
6 Managementul riscului Deficient
7 Toleranță Excelent
8 Competență Excelent
40
lamelelor de margine, (2) pierderea sistemului de avertizare a dezacordurilor și (3) pierderea
sistemului de avertizare. Deci, deși pierderea motorului duce înapoi la lipsa de întreținere, au
existat multiple repercusiuni ale pierderii motorului.
41
Deși contactul cu păsări nu este neobișnuit pentru aeronave, și toate motoarele cu jet
sunt supuse testelor de lovire a păsărilor, magnitudinea și caracterul loviturilor sunt imposibil
de prevăzut. Oprirea a două motoare în același timp este, de asemenea, rară. Astfel, nu este
posibilă proiectarea unui motor care să supraviețuiască unui contact cu păsări de orice
dimensiune sau fel. Prin urmare, este important să proiectăm o aeronavă rezistentă la aceste
perturbări. Prin urmare, capacitatea sistemului, așa cum este definită reziliența sistemului, de
a supraviețui unei astfel de perturbări este limitată, iar alte atribute de reziliență sunt
necesare.
Pilotul, Chesley B. Sullenberger, a primit o apreciere meritată pentru acțiunea sa
rapidă de a ameriza avionul în apă, mai degrabă decât de a se întoarce în La Guardia sau de a
pleca la un aeroport alternativ din apropiere. Acțiunile sale au fost exemple ale procesului de
luare a deciziilor critice pentru oameni pe „marginea ascuțită” a unui sistem. Aceste acțiuni
necesită atât o abilitate naturală, cât și o pregătire a simulatorului în condiții similare. Se
presupune că Sullenberger le-a avut pe amândouă.
Rapoartele publicate despre acest accident spun puțin despre aeronava în sine, Airbus
A320. Cu toate acestea, pentru ca pilotul să-și îndeplinească misiunea, aeronava avea nevoie
de anumite capacități. Prima capacitate de care avea nevoie aeronava a fost de a menține
controlul fără motoare. La majoritatea aeronavelor comerciale, ca acesta, mijlocul principal
de control este sistemul propriu de propulsie, care furnizează energie sistemului hidraulic
care controlează suprafețele de control aerodinamic. În cazul unei pierderi a sistemului de
propulsie, ca acesta, puterea este transferată la unitatea auxiliară de alimentare (APU). Prin
urmare, se menține redundanța funcțională, care este o caracteristică principală a rezilienței.
A doua capacitate a aeronavei necesară a fost abilitatea de a controla unghiul de
cabraj. Pilotul trebuia să mențină un unghi atac atac mare, astfel încât coada avionului să
atingă prima dată apa și să încetinească aeronava, ceea ce s-a și întâmplat.
Al treilea lucru care a fost necesar a fost capacitatea de a pluti. Pe această aeronavă,
pilotul a putut să trimită o comandă care să închidă toate ieșirile. care ar fi determina avionul
să se umple cu apă și în final să se scufunde. Această caracteristică a contribuit la toleranța la
perturbări.
A existat o colaborare între relații la toate nivelurile. Pilotul a fost capabil să
comunice în permanență cu sistemul de control al traficului aerian (ATC) și a putut trimite
42
comenzi interne către sistemul de control. Comunicările externe au dus la salvarea imediată
de către bărcile de la Departamentul de pompieri din New York, Departamentul de Poliție
din New York, Garda de Coastă a SUA și alte agenții.
Pe scurt, toate atributele de rezistență au fost prezente pentru a ajuta această aeronavă
să supraviețuiască și să se refacă dintr-o perturbare majoră. Toți acești factori sunt rezumați
în tabelul 3.4.
3.3.5. ValuJet
Accidentul ValuJet din 1996 este un caz clasic de lipsă de strictețe combinată cu o
comunicare slabă între elementele nodurilor infrastructurii. Infrastructura este definită ca
setul de noduri organizaționale responsabile pentru succesul unui sistem, în acest caz, în
cazul unei aeronave comerciale. Comunicarea perfectă a informațiilor este necesară la toate
nivelurile infrastructurii pentru a asigura succesul, în special informațiile critice privind
siguranța. Arhitectura rezilienței numește acest factor o colaborare inter-relaționantă și arată
modul în care acest factor este esențial pentru rezistența la o perturbare majoră, cum ar fi
experiența ValuJet.
Esența accidentului a fost, în primul rând, potrivit lui Chiles (2002, p. 150–155, 310),
FAA nu a reușit să raporteze canistrele de oxigen expirate de câțiva ani în mai multe
companii aeriene. Cu toate acestea, mai rău decât atât, transportul și depozitarea recipientelor
cu oxigen expirate au reprezentat un obstacol al birocrației. Contractorul responsabil cu
încărcarea canistrelor a fost supus presiunii și programului și a făcut doar o revizuire scurtă a
procedurilor de siguranță. S-a ajuns la concluzia că în timpul zborului, pinii de reținere a
43
recipientului s-au desfăcut din cauza ambalajului slab și apoi s-au aprins, ceea ce a provocat
pierderea finală a aeronavei.
Deși au existat mai mulți factori care au contribuit la acest accident, așa cum există de
obicei, un element esențial este lipsa comunicațiilor în infrastructură. Deși comunicările
dintre producător și compania aeriană ar fi putut fi așa cum era de așteptat, comunicarea
adăugată între compania aeriană și contractant a dus la o deteriorare a informațiilor. Acest
factor, combinat cu lipsa de reglementări și presiunile de cost și de program, toate au adăugat
un singur rezultat: dezastru. Tabelul 4.24 prezintă unele aspecte de rezistență ale accidentului
ValuJet.
3.3.6. Concorde
La 25 iulie 2000, avionul de transport supersonic Concorde s-a prăbușit în apropierea
aeroportului Charles De Gaulle din Franța, ucigând 100 de persoane, inclusiv echipajul
conform raportului Bureau Enque´tes Accidents (BEA) (2000) și descris de Chiles (2002, p.
4 –5, 312). Cauza imediată a accidentului a fost o bandă de metal căzută dintr-o altă aeronavă
care decolase cu doar 5 minute înainte de Concorde. Această bandă de metal a rupt anvelopa
Concorde, care a rupt rezervorul de combustibil.
44
Fig. 3.3. Concorde
Acest accident ilustrează câteva puncte despre reziliență. În primul rând, banda de
metal a căzut dintr-o aeronavă care nu a fost întreținută în conformitate cu specificațiile
producătorului. Asemănările cu accidentul ValuJet, discutat mai sus, în acest sens, sunt
evidente. În primul rând, sensibilitățile la problemele de întreținere sunt aparente, așa cum s-a
discutat mai jos
În al doilea rând, deficiențele de comunicații între producători și furnizori continuă să
reducă reziliența, așa cum am discutat mai sus în cazul ValuJet.
În sfârșit, Concorde în sine demonstrează o vulnerabilitate extremă la problemele
mici, prezentând astfel o lipsă severă de toleranță. Din punct de vedere al rezilienței, această
vulnerabilitate a fost o lipsă de toleranță la micile perturbări, și anume banda de metal.
Sistemul Concorde în sine nu avea capacitatea de a supraviețui unei astfel de perturbări.
Deoarece nu există modalități alternative de a supraviețui, sistemul se poate spune, de
asemenea, că nu are probabilitate. În ceea ce privește colaborarea inter-relaționare, aceasta
poate fi considerată ca fiind insuficientă într-un sens global, adică lipsa de cunoștințe între
sistemul Concorde în sine și sistemul extern care a creat perturbarea. Aspectele de reziliență
ale aeronavei Concorde sunt rezumate în tabelul 3.6.
45
Nr. crt. Aspecte Concluzii
1 Metode analitice Deficient
2 Capacitate Deficient
3 Flexibilitate Deficient
4 Toleranță Deficient
5 Inter-relaționare Deficient
46
După ce analistul a interiorizat infrastructura ca un concept de sistem, el sau ea ar
trebui să abordeze apoi conceptul de sistem. În cadrul acestui concept, dezvoltatorul,
clientul și furnizorii sunt sisteme care ar trebui să acționeze împreună pentru a obține
rezistența întregului sistem. Aspectul acestui sistem de sisteme duce la complexitate și la
probabilitatea apariției unor perturbări.
Istoriile cazurilor oferă indicii despre cauzele principale ale accidentelor și
capacitățile necesare pentru sistemele viitoare.
Cea mai marcantă valoare a istoriilor de caz este constatarea faptului că multe
catastrofe au cauze principale. Exemple sunt o lipsă de atenție la risc, întreținerea
deficientă și lipsa de colaborare între elementele sistemului. Aceste date conduc la
concluzia logică că sunt necesare îmbunătățiri specifice în anumite capacități pentru a
îmbunătăți reziliența.
O importanță aproape egală este constatarea că aceste cauze principale ale unor
catastrofe sunt dincolo de cunoștințele și predictibilitatea proiectanților sistemelor
originale. Tratamentul acestor cauze de rădăcină necesită, în unele cazuri, o gamă sporită
a proceselor standard de inginerie a sistemelor. În alte cazuri, în care întreruperile sunt
complet imprevizibile, sistemele adaptabile sunt necesare.
Cercetătorii au remarcat că în aproape toate dezastrele, accidentele au fost
precedate de defecte și aproape greșeli care ar fi putut fi folosite ca semne de avertizare
ale unui sistem mai puțin rezilient. Această observație a primit o anumită susținere de
către concluziile lui Wright și Van der Schaaf (2004), care au arătat o corelație statistică
puternică între incidența defectelor și incidența fatalității. Aceste informații
argumentează o cercetare sporită a acestor fenomene.
Întrebarea logică este următoarea: Ce se poate face cu aceste date? Răspunsul
evident este că gestionarea acestor sisteme poate aplica o capacitate suplimentară acolo
unde există deficiențe.
Un al doilea răspuns este că managementul poate determina alocarea optimă a
finanțării la diferite aspecte ale sistemului și poate aplica finanțarea în conformitate cu
această optimizare. Această optimizare nu este o chestiune ușoară. Nu se știe dacă o
astfel de optimizare a mai fost încercată până acum într-un context de reziliență. Dacă
nu, acum este momentul.
47
Întrebarea finală este cum poate fi proiectat un sistem care să fie rezilient la
dezastre și la perturbări? Răspunsul este că sistemul ar trebui să fie adaptabil. Woods
(2006b), de exemplu, oferă câteva îndrumări cu privire la caracteristicile unui sistem
adaptabil.
48
CONCLUZII
49
50
Bibliografie
51
Cohen, M.D., Levinthal, D.A. (1990), Absorptive capacity: a new perspective on learning
and innovation, Administrative Science Quarterly.
10. Cohen, M.D., Levinthal, D.A. (1990), Absorptive capacity: a new perspective on
learning and innovation, Administrative Science Quarterly.
11. Dekker, S.W. (2006), Resilience engineering: chronicling the emergence of confused
consensus, Ashgate.
12. Endsley, M. (1996), Automation and situation awareness. Automation and human
performance: Theory and applications, Mahwah
13. Ergin, N.H. (2007), Architecting system of systems: artificial life analysis of financial
market behavior, University of Missouri-Rolla.
Foster, H. D. (1993), Resilience theory and system evaluation, Springer, Verlag
14. Helfat, C. E., Eisenhardt, K. M. (2004), Intertemporal economies of scope,
organizational modularity, and the dynamics of diversification, Strategic Management
Journal.
Henry, D., Ramirez, J.E. (2012), Generic metrics and quantitative approaches for system
resilience as a function of time, reliability Engineering
15. Hofmann, D, 2004. The role of leadership in safety
16. Holling, C. S. (1973), Resilience and stability of ecological systems, Annual Review
of Ecology and Systematics.
17. Hollnagel, E, 2004, Barriers and accident prevention
18. Hollnagel, E, 2005, Joint cognitive systems: Foundations of cognitive systems
engineering,CRC Press
19. Hollnagel, E. (2014), Safety-I and Safety-II. The past and the future of safety
management, Ashgate.
20. Hopkins, A, 2005, Safety, culture and risk.The organizational causes of disasters,
Sydney.
21. Leveson, N.G., 2005, Phase 1 Final Report on Modeling, analyzing and engineering
NASA’ s safety culture.
22. Lundberg, J., Johansson, B. (2006). Resilience, stability and requisite interpretation in
accident investigations, Proceedings Resilience Engineering Symposium Paris.
52
23. Boscoianu, M., Bacali, L., Boscoianu, E.C., Popa, D., Codreanu, A., (2016), A Real
Options-Based Framework for Strategic Decision-Making in Hostile, Turbulent and Ultra-
Volatile Environments, Applied Mechanics and Materials.
Boșcoianu, M., Bălos, I.-D., Boșcoianu, E.-C., (2016), Ingineria sistemelor de supraveghere
radar din perspectiva capabilităților socio- tehnice, ISBN 978-973-131- 370-2, Editura Lux
Libris Brașov.
24. Boșcoianu, M., Calefariu, E., Boșcoianu, E.-C., Economie pentru ingineri și
manageri: Aplicații și probleme, ISBN 978-973-131-369-6, Editura Lux Libris Brașov, 2016.
Boșcoianu, M., German, A.-M., Boșcoianu, E.-C., (2016), Elemente de management strategic
în ingineria sistemelor socio-tehnice complexe, ISBN 9780973- 131-371-9, Editura Lux
Libris Brașov.
25. Prisacariu, V., Boscoianu, C., Luchian, A., (2017), Considerations of the bird strike
on aircraft wing, Recent Journal, ISSN 1582-0246, Vol. 19.
26. Rasmussen, J (1997), Risk management in a dynamic society: a modeling problem,
Safety Science.
27. Shirali, G.A., Ebrahimipour, V. (2013), A new method for quantitative assessment of
resilience engineering by PCA approach: A case study in a process industry, Reliability
Engineering & System Safety.
28. Woods, D. (2006), Essential characteristics of resilience, Resilience Engineering:
Concepts and Precepts
29. Woods, D. D. (1996). Decomposing automation: Apparent simplicity real complexity,
Automation and human performance: Theory and applications, Mahwah.
30. Zobel, C.W., Khansa, L. (2012), Quantifying cyberinfrastructure resilience against
multi- event attacks, Decison Sciences.
53