Escolar Documentos
Profissional Documentos
Cultura Documentos
COMANDO DA AERONÁUTICA
SEGURANÇA OPERACIONAL
MCA 81-4
2023
MINISTÉRIO DA DEFESA
COMANDO DA AERONÁUTICA
DEPARTAMENTO DE CONTROLE DO ESPAÇO AÉREO
SEGURANÇA OPERACIONAL
MCA 81-4
2023
MINISTÉRIO DA DEFESA
COMANDO DA AERONÁUTICA
DEPARTAMENTO DE CONTROLE DO ESPAÇO AÉREO
SUMÁRIO
PREFÁCIO ............................................................................................................................... 7
1 DISPOSIÇÕES PRELIMINARES ..................................................................................... 9
1.1 FINALIDADE ..................................................................................................................... 9
1.2 ÂMBITO.............................................................................................................................. 9
2 ABREVIATURAS .............................................................................................................. 10
2.1 ABREVIATURAS ............................................................................................................ 10
2.2 CONCEITUAÇÕES .......................................................................................................... 11
3 GERENCIAMENTO DA SEGURANÇA OPERACIONAL ......................................... 22
3.1 INTRODUÇÃO ................................................................................................................. 22
3.2 IMPLEMENTAÇÃO DO GERENCIAMENTO DA SEGURANÇA OPERACIONAL ... 26
3.3 GERENCIAMENTO INTEGRADO DOS RISCOS ......................................................... 30
4 FUNDAMENTOS DO GERENCIAMENTO DA SEGURANÇA OPERACIONAL .. 32
4.1 EVOLUÇÃO DO CONCEITO DE SEGURANÇA OPERACIONAL ............................. 32
4.2 OS SERES HUMANOS E O SISTEMA............................................................................ 34
4.3 CAUSA DOS ACIDENTES .............................................................................................. 37
4.4 EFEITOS DO ELEMENTO HUMANO NA SEGURANÇA OPERACIONAL ............... 42
4.5 TEORIA DA DERIVA PRÁTICA-ESTRATÉGIAS PARA O GERENCIAMENTO DA
SEGURANÇA OPERACIONAL ............................................................................................. 42
4.6 O DILEMA GERENCIAL ................................................................................................. 45
4.7 GERENCIAMENTO DO RISCO À SEGURANÇA OPERACIONAL ............................ 48
5 CULTURA DE SEGURANÇA OPERACIONAL .......................................................... 53
5.1 INTRODUÇÃO ................................................................................................................. 53
5.2 CULTURA DE SEGURANÇA OPERACIONAL E GERENCIAMENTO DA
SEGURANÇA OPERACIONAL ............................................................................................. 53
5.3 A CULTURA DA SEGURANÇA OPERACIONAL E SUA INFLUÊNCIA NAS
NOTIFICAÇÕES DE SEGURANÇA OPERACIONAL ......................................................... 54
5.4 DESENVOLVIMENTO DE UMA CULTURA DE SEGURANÇA OPERACIONAL
POSITIVA ................................................................................................................................ 55
5.5 CULTURA JUSTA ............................................................................................................ 60
5.6 MONITORAMENTO DA CULTURA DE SEGURANÇA OPERACIONAL ................. 63
6 GERENCIAMENTO DO DESEMPENHO DA SEGURANÇA OPERACIONAL ..... 66
6.8 DEFINIÇÃO DE METAS COM OBJETIVOS DE SEGURANÇA SMART ................... 66
6.9 CRONOLOGIA ................................................................................................................. 68
6.10 METODOLOGIA ............................................................................................................ 69
6.11 OBJETIVOS DE SEGURANÇA OPERACIONAL ........................................................ 70
6.12 INDICADORES DE DESEMPENHO DA SEGURANÇA OPERACIONAL ................ 70
6.13 METAS DE DESEMPENHO DA SEGURANÇA OPERACIONAL (MDSO) .............. 76
7 SISTEMA DE COLETA E PROCESSAMENTO DE DADOS DE SEGURANÇA
OPERACIONAL DO SISCEAB ........................................................................................... 84
7.1 INTRODUÇÃO ................................................................................................................. 84
7.2 COLETA DE DADOS E INFORMAÇÕES DE SEGURANÇA OPERACIONAL .......... 85
7.3 TAXONOMIA ................................................................................................................... 88
7.4 PROCESSAMENTO DOS DADOS DE SEGURANÇA OPERACIONAL ..................... 89
7.5 GERENCIAMENTO DE DADOS E INFORMAÇÕES DE SEGURANÇA
OPERACIONAL ...................................................................................................................... 91
8 ANÁLISE DE DADOS E INFORMAÇÕES DE SEGURANÇA OPERACIONAL .... 94
8.1 INTRODUÇÃO ................................................................................................................. 94
8.2 TIPOS DE ANÁLISE DE SEGURANÇA OPERACIONAL ............................................ 95
MCA 81-4/2023
PREFÁCIO
1 DISPOSIÇÕES PRELIMINARES
1.1 FINALIDADE
1.2 ÂMBITO
O presente Manual, de observância obrigatória, aplica-se a todas as
Organizações e Entidades Provedoras dos Serviços de Navegação Aérea integrantes do
SISCEAB e respectivos PSNA, que possuam órgão ATS sob sua subordinação administrativa.
10/154 MCA 81-4/2023
2 ABREVIATURAS
2.1 ABREVIATURAS
ADREP - Notificação de dados sobre acidentes/incidentes (Accident/Incident Data
Reporting)
ANS - Serviços de Navegação Aérea (Air Navigation Service)
ASO - Avaliação de Segurança Operacional.
APSO - Análise Preliminar de Segurança Operacional.
ATC - Controle de Tráfego Aéreo (Air Traffic Control).
ATS - Serviço de Tráfego Aéreo (Air Traffic Service).
CINDACTA - Centro Integrado de Defesa Aérea e Controle de Tráfego Aéreo.
CIRCEA - Circular Normativa de Controle do Espaço Aéreo.
COI - Centros Operacionais Integrados.
COP - Centro de Operações.
CRCEA SE - Centro Regional de Controle do Espaço Aéreo Sudeste.
DECEA - Departamento de Controle do Espaço Aéreo.
DGCEA - Diretor-Geral do Departamento de Controle do Espaço Aéreo.
DGRSO - Documento do Gerenciamento do Risco à Segurança Operacional.
DNB - Dependência da NAV Brasil.
DTCEA - Destacamento de Controle do Espaço Aéreo.
EPSNA - Entidade Provedora de Serviço de Navegação Aérea.
ER - Executivo Responsável.
NOTA: Caso durante a ASO, fique evidente que a mudança não afeta e ou não acarreta
risco para a segurança operacional, a análise pode ficar limitada à primeira fase da
ASO (APSO).
2.2.2 ATIVIDADE DE PREVENÇÃO DE SEGURANÇA OPERACIONAL
Atividade realizada com o objetivo de identificar ameaças à segurança
operacional, de eliminar um perigo ou mitigar o risco decorrente de condição insegura latente
ou de falha ativa. Tais atividades podem servir como base para a emissão de Ação Corretiva e
Ação Mitigadora.
NOTA 1: A Avaliação de Segurança Operacional pode ser aplicada aos riscos correntes ou
às mudanças no ANS que têm potencial para afetar a segurança operacional na
prestação dos Serviços de Tráfego Aéreo (ATS).
NOTA 2: São exemplos de ASO: DGRSO, Plano de Segurança Operacional - PSOp (Safety
Case), e RASOp.
ambiente de trabalho até que, em certas condições ou cenários operacionais, seus efeitos ou
danos potenciais sejam ativados por falhas ativas (falhas humanas no nível operacional).
NOTA: As condições latentes podem estar relacionadas, por exemplo, com falhas em
equipamentos, sistemas automatizados, processos e procedimentos operacionais,
com condições inadequadas do local de trabalho, com treinamentos e supervisão
ineficientes, dentre outros.
2.2.13 DEFESAS
Ações específicas de mitigação, controles preventivos ou medidas de
recuperação implementados para prevenir a ocorrência de um perigo ou o aumento de uma
consequência indesejável.
provedoras dos serviços de navegação aérea do SISCEAB, de acordo com o respectivo ato de
autorização ou de designação.
2.2.17 ERROS
Ação ou omissão de uma pessoa operacional que leva a desvios das intenções
ou expectativas organizacionais ou das intenções ou expectativas de uma outra pessoa
operacional.
2.2.20 GATILHO
Um nível de alerta ou valor estabelecido para um indicador de desempenho de
segurança operacional específico do SISCEAB que deve ser utilizado como referência para
iniciar uma ação necessária (por exemplo, uma avaliação, ajuste ou ação corretiva).
NOTA: Por área protegida entende-se, a área que compreende a pista de pouso e
decolagem, a zona de parada (stopway), o comprimento da faixa de pista, a área
em ambos os lados da pista de pouso e decolagem delimitada pela distância
estabelecida pelo RBAC nº 154 para a posição de espera da referida pista, RESA
e, se existente, a zona desimpedida (clearway).
2.2.25 INDICADORES
São instrumentos de gestão que utilizam dados estatísticos, obtidos de maneira
padronizada e regular, que permitem medir o desempenho de determinado processo, bem
como o alcance da meta a ele associado. Além de sinalizar oportunamente possíveis desvios,
os Indicadores possuem um caráter preventivo, já que permitem antever a probabilidade de
determinado evento vir a ocorrer.
NOTA: As MDSO devem ser estabelecidas de forma a contribuir para a consecução dos
objetivos de segurança operacional definidos pelo Estado e ou pelo PSNA
2.2.38 PERIGO
Condição ou objeto com potencial para contribuir ou causar um incidente ou
acidente aeronáutico.
NOTA: Em outras palavras, perigo pode ser descrito como qualquer condição, real ou
potencial, que possa causar dano físico, doença ou morte a pessoas; dano ou perda
de sistemas, equipamentos ou propriedades, ou danos ao meio ambiente.
2.2.39 PERIGO NO ATS
Qualquer condição real ou potencial que possa acarretar risco para a segurança
operacional na prestação dos Serviços de Tráfego Aéreo.
NOTA 1: Por convenção, no Brasil, os Serviços de Navegação Aérea são parte integrante do
“Controle do Espaço Aéreo”, abrangendo as áreas de Tráfego Aéreo (ATS), de
Informações Aeronáuticas (AIS); de Comunicações, Navegação e Vigilância
(CNS); de Meteorologia Aeronáutica (MET), de Cartografia Aeronáutica (CTG) e
de Busca e Salvamento (SAR).
NOTA 2: Essas organizações podem ser de natureza pública civil ou militar e, ainda, de
natureza privada.
NOTA 3: Esta conceituação não contempla os serviços prestados exclusivamente à
Circulação Operacional Militar (COM).
NOTA 1: O Responsável Local deve fazer parte do quadro de recursos humanos do PSNA
Local.
18/154 MCA 81-4/2023
NOTA 2: Nos casos de R-TWR e R-AFIS, cujos serviços ATS são prestados remotamente,
o Responsável Local deve ser o profissional que faz parte do Pessoal-Chave,
responsável pelo gerenciamento da segurança operacional na prestação dos
serviços atribuídos ao(s) PSNA.
NOTA 3: Os DTCEA, os COI, o COP, as DNB e as EPTA são exemplos de PSNA Local.
NOTA 1: O Reporte Voluntário pode ser feito por meio de RELPREV, RCSV ou RVF,
disponíveis nas páginas do DECEA, do CENIPA ou no Portal Único
disponibilizado na internet.
NOTA 2: O Reporte Voluntário é baseado nos princípios da voluntariedade, do sigilo e da
não punibilidade e não deve ser utilizado para outros fins que não o registro das
situações, circunstâncias ou fatos que constituam ou possam constituir perigos
para a segurança operacional, com o objetivo exclusivo de gerenciar os riscos e
prevenir ocorrências aeronáuticas.
MCA 81-4/2023 19/154
NOTA 1: O Responsável Local deve fazer parte do quadro de recursos humanos do PSNA
Local.
NOTA 2: Nos casos de R-TWR e R-AFIS, cujos serviços ATS são prestados remotamente,
o Responsável Local deve ser o profissional que faz parte do pessoal-chave,
responsável pelo gerenciamento da segurança operacional na prestação dos
serviços atribuídos ao(s) PSNA.
2.2.50 RISCO
É expresso pela combinação da probabilidade com a gravidade esperadas,
resultantes das consequências de um perigo.
2.2.57 SISTEMA
Uma estrutura organizada, com um propósito definido, integrada por um
conjunto de elementos e componentes interrelacionados e interdependentes, assim como
políticas, normas, procedimentos e práticas conexas, criados para realizar uma atividade
específica ou resolver um problema.
3.1.2 A implementação do SMS possibilita, por meio de seus processos e ferramentas, que as
OPSNA, EPSNA e respectivos PSNA possam gerenciar suas atividades de segurança
operacional de forma sistemática, organizada, direcionada e integrada aos demais processos
da organização. Uma compreensão clara do seu papel e da sua contribuição para a segurança
das operações permite que tanto ao Estado (DECEA) quanto os PSNA priorizem ações para
lidar com os riscos de segurança operacional e gerenciem de forma mais eficaz seus recursos,
otimizando os benefícios que a o gerenciamento da segurança operacional pode proporcionar.
3.1.6.4.2 Um dos principais mecanismos é a adoção de uma cultura de reportes, o que permite
que a organização tome conhecimento dos problemas relacionados à segurança, analise-os e
trate as possíveis anormalidades identificadas, mantendo os perigos e riscos inerentes à
operação sob controle da organização.
3.1.6.4.3 A detecção antecipada dos perigos por meio do gerenciamento de riscos à segurança
operacional é realizada de maneira proativa e melhora a capacidade da organização em
24/154 MCA 81-4/2023
detectar problemas de segurança operacional que possam vir a surgir, prevenindo acidentes e
incidentes. Para a detecção antecipada dos perigos podem ser utilizadas várias ferramentas,
tais como: Livro de Registro de Ocorrências (LRO), Reportes Voluntários (RELPREV, RVF
e RCSV), Reportes Mandatórios (FNO), Pesquisa de Fatores Operacionais, Pesquisa de
Fatores Humanos, Escutas Aleatórias, Vistorias de Segurança Operacional do SEGCEA,
Inspeção de Segurança Operacional, Análise Preliminares de Segurança Operacional e as
Avaliação de Segurança Operacional.
3.1.6.7.1 Demonstra como a Alta Direção da organização apoia, bem como viabiliza os
recursos e os meios para a segurança operacional, como são tratados os processos de
Gerenciamento do Risco e como o desempenho de segurança operacional é continuamente
melhorado, resultando em maior confiança por parte do PSNA, tanto quanto aos aspectos
internos como externos à organização.
3.1.6.8.1 Possível redução no custo das operações, evidenciando ineficiências nos processos e
sistemas existentes. A integração com outros sistemas de gestão internos ou externos também
pode proporcionar economia de recursos.
3.1.7.1.1 A avaliação para determinar a aplicabilidade do SMS tem por base um conjunto de
critérios que, no caso dos Serviços de Navegação Aérea, deve ser aplicado às OPSNA e
EPSNA que possuem órgãos ATS sob sua subordinação.
3.1.7.2.2 Por ser impraticável o desenvolvimento unificado dos SMS dos vários provedores de
serviço, faz-se necessário dispensar atenção ao gerenciamento das interfaces dos SMS de
diferentes provedores de serviços nas suas interações.
3.1.7.2.3 O gerenciamento das interfaces entre os SMS, deve considerar o nível de interação
entre os provedores de serviços que já possuem um SMS, bem como de outras organizações
que conduzem uma atividade de aviação. O gerenciamento das interfaces deve reduzir o risco
de lacunas ou sobreposições de segurança, e não aumentar o risco de segurança devido à
redução da interoperabilidade entre sistemas.
3.1.7.2.4.2 Isso acarreta responsabilidades adicionais para os PSNA que devem estar bem-
informados sobre as atividades, serviços e/ou produtos de organizações contratados, com
potencial para introduzir perigos que acarretem riscos para a segurança operacional do PSNA.
3.2.3 INTERFACES
3.2.3.1 Para a implementação do gerenciamento da segurança operacional, é importante levar
em conta os riscos de segurança que podem ser induzidos por organizações inter-relacionadas.
As interfaces podem ser internas (por exemplo, entre seus PSNA, entre a área operacional,
técnica, manutenção, tecnologia da informação, recursos humanos etc.), ou podem ser
externas, por exemplo, com outros PSNA ou outras organizações provedoras de serviços
como operadores de aeródromos ou prestadores de serviços contratados. As OPSNA e
EPSNA e respectivos PSNA têm maior controle sobre os perigos e respectivo riscos
associados à segurança de suas operações, quando as interfaces são bem identificadas e
gerenciadas.
3.2.3.2.2 Por isso se torna fundamental que a descrição do SMS seja a primeira fase do
gerenciamento da segurança operacional, pois, dessa forma, será conhecido o total de
envolvidos no gerenciamento dos riscos e, por consequência haverá maior controle dos riscos
consequentes dos perigos identificados.
3.2.3.3.3 Também é importante reconhecer que cada PSNA envolvido é responsável por
identificar os perigos e gerenciar os riscos que possam afetá-los. O caráter crítico da interface
seja ela interna ou externa pode ser diferente, podendo-se aplicar diferentes classificações do
risco à segurança operacional e ter diferentes prioridades (em termos de desempenho,
priorização de recursos e tempo) no controle desses riscos.
3.2.4.3 Plano de implementação dos SMS será baseado na implementação dos 4 elementos e
de seus 12 componentes, que visa o atendimento de uma série de requisitos objetivando a
implementação do SMS em uma organização. O Plano de Implementação SMS deve
considerar a implementação por fases, conforme abaixo:
3.2.5.2 O SMS deve ser desenhado para fornecer os resultados desejados para cada
organização sem cargas indevidas. O SMS, bem implementado, contribui para complementar
e aprimorar os sistemas e processos existentes da organização. O gerenciamento de segurança
eficaz será alcançado por meio de planejamento e implementação criteriosos, garantindo que
cada requisito seja abordado de maneira que se encaixe no ambiente de cultura e do entorno
operacional da organização.
3.2.5.3 Por isso, as OPSNA e EPSNA têm que levar em conta a complexidade e dimensão dos
PSNA sob seu escopo, devendo ser definidas de maneira explícita em seu Manual de
Gerenciamento da Segurança Operacional, pois essa descrição auxilia o Executivo
Responsável nas tomadas de decisão visando à eficiência, à eficácia e ao desempenho da
segurança operacional, bem como em questões relacionadas a:
3.3.2 Cabe mencionar que, como conceitos, ambos sistemas funcionais (SMS e AVSEC)
compartilham de muitas características importantes relacionadas aos riscos provenientes de
acontecimentos que tenham consequências de diversas magnitudes para a aviação, no entanto
a diferença básica entre eles está fundamentada na intenção. O AVSEC tem sua atenção
voltada para atos maliciosos, voluntários e propositais para perturbar o funcionamento da
aviação, já o SMS se concentra no impacto negativo provocado por consequências não
intencionais por meio de uma combinação de fatores diferentes.
3.3.3 No contexto operacional, todos os sistemas funcionais produzem algum tipo de risco
que deve ser gerenciado adequadamente para reduzir possíveis consequências adversas.
Tradicionalmente, cada sistema desenvolve os processos e práticas específicas de
gerenciamento de riscos inerentes a cada sistema.
3.3.4 Outro aspecto são as consequências entre os sistemas que resultam de processos
específicos de gerenciamento de riscos. Isso está relacionado ao fato de que uma estratégia
eficaz de gerenciamento de risco de um setor específico pode ter consequências negativas em
outro setor operacional da aviação. No contexto aeronáutico, a dependência entre sistemas
que se destacam com mais frequência é o dilema entre segurança operacional (SMS) e
segurança da aviação (AVSEC). Medidas eficazes de segurança da aviação podem ter
consequências negativas para a segurança operacional e vice-versa. É importante ter em
mente que, ainda que os “domínios” do SMS e do AVSEC possam diferir na intenção, eles
acabam convergindo por se tratar, no fim, de um mesmo objetivo: a proteção de pessoas e
bens.
3.3.6 No A gestão de riscos bem-sucedida na aviação deve visar a redução geral dos riscos no
sistema, incluindo todos os sistemas funcionais envolvidos. Este processo requer uma
avaliação analítica do sistema como um todo ao mais alto nível da organização
correspondente (Estado, organizações regionais, prestadores de serviços). A avaliação e
integração das necessidades e interdependências do sistema funcional é conhecida como
gerenciamento integrado de riscos (IRM). O IRM se concentra na redução geral do risco
organizacional. Isto é conseguido por meio de uma análise quantitativa e qualitativa dos riscos
inerentes e da eficácia e consequências dos processos de gestão de riscos específicos de cada
setor.
3.3.7 O IRM deve ter uma abordagem sistêmica de modo a coordenar, harmonizar e otimizar
os processos de gestão de riscos com o único objetivo de reduzir o risco. O IRM não pode
substituir sistemas funcionais de gerenciamento de riscos específicos e não se destina a
delegar funções e responsabilidades adicionais a sistemas funcionais. O IRM é um conceito
de alto nível destinado a promover uma assessoria especializada em gerenciamento de risco
específico do setor e, de maneira holística, fornecer informações para atingir o mais alto nível
de desempenho do sistema em um nível socialmente aceitável.
32/154 MCA 81-4/2023
4.1.3 A segurança da aviação é dinâmica. Novos perigos e riscos à segurança surgem com
certa frequência e devem ser mitigados. Desde que os riscos de segurança sejam mantidos sob
um nível de controle adequado, um sistema tão aberto e dinâmico quanto a aviação ainda
pode ser mantido seguro. É importante observar que o desempenho de segurança aceitável
geralmente é definido e influenciado por normas e culturas nacionais e internacionais.
4.1.4 O progresso na segurança da aviação pode ser descrito por quatro abordagens, que se
alinham aproximadamente com épocas de atividade, conforme ilustradas na Figura 1.
4.1.6.3 Por volta dos anos 50, as melhorias tecnológicas levaram a uma redução gradual na
frequência de acidentes e os desenvolvimentos de segurança se expandiram para incluir a
conformidade regulatória e a vigilância.
4.1.7.2 No início dos anos 1970, observou-se que a frequência de acidentes aéreos foi
significativamente reduzida graças aos avanços tecnológicos e melhorias nas normas de
segurança. A aviação tornou-se um meio de transporte mais seguro e o foco das atividades de
segurança foi ampliado para incluir questões de fatores humanos, como a “interface homem-
máquina”.
MCA 81-4/2023 33/154
4.2.3 Portanto, para que possamos ter um sistema seguro, dentre outros aspectos, é necessário
que as capacidades e limitações humanas sejam sistematicamente observadas nas diversas
fases dos processos de implementação dos sistemas ATM, desde a concepção. A consideração
dos fatores humanos é parte integrante da gestão da segurança, necessária para compreender,
identificar e mitigar riscos, bem como otimizar as contribuições humanas para a segurança da
organização.
MCA 81-4/2023 35/154
4.2.9 O Modelo Shell ilustra a relação entre o ser humano (Liveware - L, no centro do
modelo) e os quatro componentes do local de trabalho, conforme a Figura 2:
imprevisível e mais suscetível aos efeitos das influências internas (fome, fadiga, motivação
etc.) e externas (temperatura, iluminação, ruído etc.).
4.2.10.2 Embora as pessoas sejam incrivelmente adaptáveis, elas estão sujeitas a variações
significativas no desempenho, além de possuírem diversas limitações, físicas, cognitivas ou
emocionais.
4.2.10.3 Pode-se observar na Figura 2 que as bordas entre os vários blocos SHELL e o bloco
central do Elemento Humano não são simples e retas e sim dentadas, pois representam a
necessidade de que os outros componentes do sistema sejam cuidadosamente adaptados, de
forma que o encaixe entre os blocos seja o melhor possível, evitando tensões que possam
comprometer o desempenho humano. Portanto o Liveware é o centro do Modelo SHELL e os
demais componentes devem ser adaptados e combinados, considerando as potencialidades e
as limitações do ser humano. Isso é útil para visualizar as seguintes interfaces entre os vários
componentes do sistema de aviação:
fatores habilitadores, tais como falhas de equipamento ou erros operacionais, isto é, não terá
apenas um único fator para desencadear tal evento. Além disso, tal modelo defende que
sistemas complexos como a aviação são extremamente bem defendidos por camadas de
defesas (também conhecidas como "barreiras").
4.3.2 Para que um acidente ocorra, em um sistema bem projetado, as falhas devem acontecer
em todas as barreiras defensivas do sistema em um determinado momento; quando na verdade
tais defesas deveriam ter sido capazes de detectar e/ou impedir previamente o erro ou a falha.
Desse modo, o modelo de Reason propõe que todos os acidentes incluam uma combinação
tanto de falhas ativas quanto de condições latentes.
4.3.3 As lacunas nas defesas do sistema mostradas na Figura 3 não são necessariamente
estáticas. Lacunas “abrem” e “fecham” enquanto as situações operacionais, ambientes ou
estados de manutenção dos equipamentos alteram-se a todo momento.
4.3.4 Conceitualmente, as falhas ativas são as ações ou omissões, incluindo erros e violações,
que têm consequências adversas imediatas. Em geral, são considerados atos inseguros.
Referem-se aos executores, ao pessoal que trabalha na linha de frente.
4.3.5 Sob essas circunstâncias específicas, as falhas humanas, daqueles que executam as
tarefas operacionais (falhas ativas), deflagram as condições latentes que abrem brechas nas
defesas de segurança preexistentes do sistema. Essas brechas são consequências (postergadas)
das decisões gerenciais tomadas nos mais altos níveis do sistema, que permanecem
adormecidas até que são ativadas por algum arranjo ou circunstância operacional. Aqueles
que tomam as decisões gerenciais também estão sujeitos às limitações e predisposições
humanas, assim como os aspectos organizacionais, como políticas, limitações de tempo e
restrições orçamentárias.
MCA 81-4/2023 39/154
4.3.6 Uma condição latente é aquela que não é revelada no momento em que o evento ocorre,
permanecendo no sistema até que uma outra falha ou um erro humano a revele. O ambiente de
trabalho abriga diversas condições latentes que podem favorecer as falhas ativas. Como
exemplo dessas condições podemos mencionar: as falhas na IHM (Interação Humano-
Máquina) dos sistemas de controle, falhas nos equipamentos, comunicação interna deficiente,
más decisões administrativas ou operacionais, treinamento deficiente etc. Pode-se dizer que as
falhas ativas são sintomas, enquanto as condições latentes são as causas.
4.3.7 A aceitação, por parte da indústria, sobre o conceito de acidente organizacional foi
possível graças ao poderoso modelo de James Reason, que proporcionou um meio para
compreendermos, de forma gráfica, como as atividades aéreas funcionam com êxito ou se
dirigem ao fracasso, em termos de segurança operacional.
4.3.8.3 O alcance deste tipo de atuação é muito maior, já que uma vez detectadas, mitigadas
ou eliminadas vão interferir positivamente nas condições de trabalho de vários operadores.
40/154 MCA 81-4/2023
sistema.
4.4.2 A análise dos aspectos relacionados aos fatores humanos no Gerenciamento do Risco,
por exemplo, deverá levar em conta o desempenho humano em interação com todas as
interfaces existentes durante a prestação dos serviços de tráfego aéreo. Ou seja, os aspectos
que podem interferir na interação do elemento humano com o(s):
a)outros seres humanos;
b)sistemas e equipamentos;
c)ambiente de trabalho; e
d)sistema de apoio.
4.5 TEORIA DA DERIVA PRÁTICA-ESTRATÉGIAS PARA O GERENCIAMENTO DA
SEGURANÇA OPERACIONAL
4.5.1 A deriva prática é inerente à natureza de sistemas de produção sociotécnicos, dinâmicos
e abertos, dos quais o contexto da aviação é um excelente exemplo. Os projetistas de sistemas
utilizam métodos diferentes para definir o maior número de cenários plausíveis, de interações
operacionais entre pessoas, tecnologia e contexto operacional, para identificar riscos
potenciais nessas interações operacionais.
4.5.2 A teoria de Scott A. Snook sobre a deriva prática é usada para entender como o
desempenho de qualquer sistema "se afasta" do que prevê o seu projeto original. Tarefas,
procedimentos e equipamentos são frequentemente projetados e planejados, inicialmente, sob
uma perspectiva teórica, em condições ideais, com uma suposição implícita de que quase tudo
pode ser previsto e controlado, e onde tudo funciona como o esperado. Essa teoria está
norteada em três premissas básicas:
4.5.4 Uma vez operacionalmente implantado, o sistema deve ter o desempenho ideal,
seguindo a linha de base do desempenho (linha laranja) na maior parte do tempo. Na
realidade, o desempenho operacional muitas vezes difere do desempenho previsto na linha
base como consequência de operações da vida real em um ambiente complexo, em constante
mudança (linha vermelha). Como a deriva é uma consequência da prática diária, ela é
chamada de "deriva prática". O termo "deriva" é utilizado neste contexto como a saída
gradual de um curso pretendido devido a influências externas.
4.5.5 Algumas das razões para o desvio prático incluem:
a) tecnologia nem sempre funciona como o previsto;
b) procedimentos que não podem ser executados como planejado sob certas condições
operacionais;
c) mudanças no sistema, incluindo os componentes adicionais;
d) interações com outros sistemas;
e) cultura de segurança;
f) adequação (ou inadequação) de recursos (por exemplo, equipamento de suporte); e
g) aprender com ocorrências e falhas para melhorar as operações e assim por diante.
4.5.6 Na realidade, as pessoas geralmente, no dia a dia, fazem o sistema funcionar, apesar das
deficiências do sistema, aplicando adaptações (ou soluções alternativas) e estratégias pessoais.
Essas soluções alternativas podem ignorar a proteção dos controles e defesas de risco de
segurança existentes.
4.5.7 Atividades da Garantia da Segurança Operacional, como auditorias, observações e
44/154 MCA 81-4/2023
4.5.10 As ferramentas reativas são baseadas na noção de esperar até que “algo quebre para ser
consertado”, isto é, análise de resultados ou eventos passados. Elas são mais adequadas para
os eventos que envolvam falhas na tecnologia e/ou situações incomuns. Os perigos são
identificados por meio das análises/investigações de ocorrências de segurança. Incidentes e
acidentes são uma indicação do sistema e, portanto, pode ser usado para determinar quais
perigos contribuíram para o evento. A contribuição dessas ferramentas para o gerenciamento
da segurança, no entanto, depende da extensão em que as informações geradas vão além das
causas desencadeantes do evento, e inclui a identificação de fatores que contribuíram para os
riscos à segurança operacional. A investigação de acidentes e incidentes graves são exemplos
de ferramentas reativas.
4.5.11 As ferramentas proativas se baseiam na noção de que as falhas do sistema podem ser
minimizadas, por meio da identificação dos perigos à segurança no sistema, adotando as
medidas necessárias para mitigar esses riscos. Sistemas de reportes voluntários, auditorias de
segurança, pesquisas de segurança operacional (PFO e PFH) e a pesquisa de cultura de
segurança são exemplos de ferramentas proativas.
4.5.14 Para que o SMS funcione conforme concebido, os PSNA devem, além de dispor das
ferramentas mencionadas acima para auxiliá-los na navegação da deriva prática, devem ser
capazes de estabelecer e padronizar procedimentos tais como auditorias, observação das
operações, além do monitoramento dos indicadores quanto ao alcance das metas estabelecidas
e no tocante à identificação das atividades que estão se desenvolvendo no campo da deriva
prática.
4.5.15 A análise contínua dessas informações de segurança para descobrir a razão pela qual a
deriva aconteceu, está acontecendo ou está por acontecer ajuda no processo de mitigação dos
riscos à segurança operacional. Quanto mais próximo do início da operacionalização do
sistema se identificar a deriva prática, mais fácil será para a organização intervir, adotando as
medidas corretivas pertinentes aos perigos que porventura venham a ser identificados.
4.6.3 Resumidamente, o “dilema de dois Ps” é caracterizado como o conflito que pode
acontecer no nível mais alto da gerência de uma organização em razão da percepção
equivocada de que os recursos deveriam ser alocados em somente um dos objetivos tidos
como conflitantes: objetivos de produção (entrega de serviços) ou objetivos de proteção
(segurança).
4.6.4 A alocação excessiva de recursos em controles de riscos à segurança das operações, isto
é, em favor da proteção, pode desencadear atividades não lucrativas, vindo a comprometer a
sobrevivência da organização no rol dos negócios (vide Figura 8).
46/154 MCA 81-4/2023
4.6.5 Por outro lado, a alocação excessiva de recursos na produção às custas da proteção tem
potencial impacto sobre o produto ou serviço. Esse comportamento parcial na tomada de
decisão pelas organizações leva a catástrofes. É só uma questão de tempo, em última
instância, podendo resultar em um acidente (vide Figura 9).
4.6.6 A Figura 10 mostra uma alocação equilibrada de recursos para os objetivos de produção
e proteção resultantes dos processos organizacionais de tomada de decisão com base no
gerenciamento de segurança como uma função da organização (ou seja, apenas outro processo
organizacional). Como o gerenciamento de segurança é visto apenas como outro processo
organizacional e apenas mais uma função básica, segurança e eficácia não estão em conflito,
mas sim intimamente interligadas. Isso resulta em uma alocação equilibrada de recursos para
garantir que a organização esteja protegida enquanto produz. Nesse caso, o “dilema dos dois
MCA 81-4/2023 47/154
Ps” foi gerenciado com sucesso. Na verdade, pode-se argumentar que, neste caso, o dilema
não existe.
4.7.2 O GRSO é uma atividade contínua, ou seja, nunca termina, pois o sistema de aviação
está sempre mudando, novos perigos podem ser introduzidos a qualquer momento e alguns
perigos e riscos à segurança podem mudar com o tempo.
4.7.3 Além disso, a eficácia das estratégias de mitigação dos riscos à segurança já
implementadas deve ser monitorada para determinar se alguma ação adicional será necessária.
4.7.4.2 O perigo é uma parte inevitável das atividades do ANS, no entanto, a forma como se
manifestam e suas possíveis consequências adversas, podem ser tratadas por meio de
estratégias de mitigação que visam conter o potencial de o perigo resultar em uma condição
insegura. As atividades do ANS podem coexistir com perigos, desde que eles sejam
controlados. A identificação de perigos é a primeira etapa do processo do Gerenciamento do
MCA 81-4/2023 49/154
Risco à Segurança Operacional (GRSO), precede a avaliação dos riscos à segurança e requer
uma compreensão clara dos perigos e suas consequências.
4.7.5.2 Considere, por exemplo, um vento de quinze nós. Quinze nós de vento não é
necessariamente uma condição perigosa. Mas se o vento de quinze nós está de través com a
trajetória da aeronave, durante uma vetoração radar para interceptação da final de um
procedimento de precisão, poderá haver a um deslocamento lateral não previsto, levando a
uma aproximação não estabilizada o que pode ser perigoso para as operações. Isso se deve ao
seu potencial de contribuir para a instabilidade da aeronave e a redução no controle pode levar
a uma ocorrência, como por exemplo, uma excursão lateral da pista.
4.7.5.6.2 Os riscos também podem ser identificados a partir da revisão ou estudo de relatórios
de investigação interna e externa. Uma consideração dos perigos ao revisar relatórios de
investigação de acidentes ou incidentes é uma boa maneira de melhorar a identificação de
perigos da organização. Isso é particularmente importante quando a cultura de segurança da
50/154 MCA 81-4/2023
organização ainda não está madura o suficiente para apoiar relatórios eficazes de segurança
voluntária, ou em pequenas organizações com eventos ou relatórios limitados.
NOTA: no DECEA, as atividades relacionadas a OSHE são tratadas pelo SDAD por meio de
sua Divisão de Assistência Integrada (DAIN)
danos à aeronave e risco à segurança dos passageiros. Neste caso, é importante considerar
tanto o OSHE, quanto as consequências para a segurança da aviação de tal perigo composto,
uma vez que nem sempre são as mesmas. O objetivo e o foco dos controles preventivos para
OSHE e as consequências para a segurança da aviação podem ser diferentes.
4.7.5.9.1 A consideração dos fatores humanos tem particular importância no GRSO, pois os
seres humanos podem ser tanto uma fonte quanto uma solução para os riscos à segurança, já
que podem contribuir para a ocorrência de um acidente ou incidente por meio de um
desempenho variável devido às limitações humanas, mas também são capazes de antecipar e
agir adequadamente para evitar uma situação de risco e são capazes de resolver problemas,
tomar decisões e agir para mitigar os riscos.
4.7.5.9.3 O GRSO requer que todos os aspectos de risco à segurança sejam tratados, incluindo
aqueles relacionados aos seres humanos. No entanto, avaliar os riscos relacionados ao
desempenho humano é mais complexo do que avaliar os fatores de risco associados, por
exemplo, à tecnologia ou ao meio ambiente, já que:
a)A perda de sono, ou seja, dormir menos tempo do que o necessário para o corpo se
restabelecer;
5.2.2 Quer uma organização perceba ou não, ela terá uma série de diferentes "culturas de
segurança" que refletem atitudes e comportamentos de um grupo. Não há duas organizações
idênticas, mesmo dentro da mesma organização, grupos diferentes podem ter várias maneiras
de pensar sobre segurança, falar sobre segurança e agir sobre questões de segurança
operacional. Essa variação pode ser apropriada para diferentes atividades.
5.2.3 A maneira pela qual os valores de segurança operacional são incorporados às práticas
pela administração e pelo pessoal afeta diretamente a maneira como os principais elementos
do SSP e SMS são estabelecidos e mantidos. Como consequência, a cultura da segurança
operacional tem um impacto direto no desempenho da segurança operacional. Ao acreditar
que a segurança operacional não é tão importante, isso levaria à aplicação de soluções
alternativas, reduções e simplificações ou avaliações e tomada de decisões inseguras,
especialmente quando o risco é percebido como baixo e não há consequências ou perigos
54/154 MCA 81-4/2023
5.2.4 Quando a organização tem uma cultura de segurança positiva, e isso é visivelmente
apoiado pela alta direção da organização em seus vários níveis gerenciais, o pessoal da linha
de frente tende a sentir uma sensação de responsabilidades compartilhadas para alcançar os
objetivos de segurança da organização. Gerenciamento de segurança eficaz também apoia os
esforços para direcionar para uma cultura de segurança cada vez mais positiva, aumentando a
visibilidade do apoio da administração e melhorando o envolvimento ativo do pessoal no
gerenciamento risco de segurança.
5.2.5 Uma cultura de segurança positiva depende de um alto grau de confiança e respeito
entre pessoal e a alta direção. O desenvolvimento de uma cultura de segurança operacional
positiva requer tempo e esforço, e pode ser facilmente danificada por decisões, ações ou
inações de gerenciamento. São necessários esforços e reforços contínuos para desenvolver e
ou manter uma cultura de segurança operacional positiva. Quando a liderança endossa
ativamente práticas seguras, torna-se a maneira normal de fazer as coisas. A situação ideal é
um SSP/SMS totalmente implementado e eficaz e uma cultura de segurança positiva.
Portanto, a cultura de segurança de uma organização é frequentemente vista como um reflexo
do nível de maturidade e da eficácia de seu SSP/SMS. Um gerenciamento de segurança
operacional eficaz contribui para uma cultura de segurança positiva e uma cultura de
segurança positiva contribui para um gerenciamento da segurança eficaz.
provável que divulguem essas informações e trabalhem com o regulador e/ou com as
organizações para gerenciar efetivamente os riscos de segurança operacional associados.
5.3.3 Os dados e informações de segurança e fontes relacionadas devem ser protegidos nos
termos do Capítulo 9 da ICA 81-2/2022, bem como no Capítulo 9 deste MCA, sobre proteção
dos dados e informações de segurança operacional. No caso de um sistema de relatórios
voluntários, deve-se garantir a manutenção da confidencialidade, bem como garantir que o
processamento do reporte seja realizado, observando-se as disposições legais e
regulamentares relativas à proteção dos dados e informações de segurança operacional e suas
fontes conexas.
5.3.5 De modo geral, organizações e indivíduos devem acreditar que serão apoiados ao relatar
o interesse da segurança. Isso inclui erros organizacionais e pessoais. Um aumento nos
relatórios confidenciais e uma diminuição nos relatórios anônimos geralmente são indicativos
do progresso da organização em direção a uma cultura de segurança positiva.
5.4.2 Uma cultura de segurança positiva é um pré-requisito para uma implementação bem-
sucedida e eficaz do Sistema de Gerenciamento de Segurança (SMS).
5.4.3 A forma como os valores de segurança operacional são incorporados às práticas pela
administração e pelo pessoal operacional afeta diretamente o quanto os elementos do SMS são
implementados, operacionalizados e mantidos. Como consequência, a cultura de segurança
operacional tem um impacto direto sobre o desempenho da segurança operacional das
organizações.
5.4.4 Se a segurança operacional for percebida de forma menos importante, pode resultar na
adoção de soluções alternativas, criação de atalhos, tomadas decisões ou julgamentos
inseguros, especialmente quando o risco é percebido como baixo e sem consequências
significativas.
Elemento
Facilita Dificulta
Descrição Geral
operacional.
Consciência
Conscientização reflete até • Estabelece-se processos • Nenhum esforço é dispendido na
que ponto funcionários e eficazes de identificação de identificação de perigos;
gerentes estão conscientes dos perigos; • As investigações param na
riscos da aviação enfrentados • As investigações buscam as primeira causa viável, em vez de
pela organização e suas causas (fatores aprofundar a investigação para a
atividades. contribuintes); identificação de todas as causas
Desde a perspectiva do • A organização procura (fatores contribuintes);
Estado, o pessoal é consciente estar sempre informado de • A organização não se preocupa em se
dos riscos de segurança melhorias importantes de informar e obter conhecimentos
operacional induzidos por suas processos, procedimentos e importantes de melhorias, de
próprias atividades e ferramentas de segurança processos, procedimentos e
organizações que operacional, e se adapta as ferramentas de segurança operacional;
supervisionam. Os mesmas de acordo com a • A organização não avalia se
funcionários e gerentes devem necessidade; melhorias de segurança operacional
manter, constantemente, um • A organização avalia são implementadas adequadamente;
alto grau de vigilância com sistematicamente se • Os membros da organização não têm
relação a questões de melhorias de segurança consciência dos riscos de segurança
segurança operacional. operacional são operacional induzidos por suas ações
implementadas e estão individuais e atividades operacionais
funcionando como da organização; e
planejadas; e • Os dados de segurança operacional
• Os membros da são coletados, mas não são analisados
organização estão bem e não tomam medidas de tratamento a
conscientes dos riscos de respeito desses dados.
segurança operacional
induzidos por suas ações
individuais e atividades
operacionais da organização.
MCA 81-4/2023 59/154
Elemento
Facilita Dificulta
Descrição Geral
Elemento
Facilita Dificulta
Descrição Geral
operacional é favorecida por inaceitável, que é conhecido descrita em nenhum documento;
um ambiente de reportes que por todos os funcionários,
• Os funcionários são sistemática e
promovem a confiança de que por meio de um documento.
rigorosamente punidos por erros
suas ações ou omissões estão Cultura justa;
humanos;
de acordo com seu • As investigações de
treinamento e experiência e ocorrências (incluindo • As investigações de acidente e
não serão punidas. acidentes e incidentes) incidentes se concentram apenas nos
Tal ambiente é fundamental consideram os fatores fatores individuais; e
para a eficácia de reportes de individuais, assim como os • O bom desempenho operacional e o
segurança operacional. fatores organizacionais; comportamento seguro são
Os sistemas eficazes de • É reconhecido e computados como garantidos em
reportes de segurança recompensado, regularmente matéria de segurança operacional, não
operacional contribuem para o bom desempenho há processos/procedimentos de
garantir que as pessoas estão operacional; e averiguação
dispostas a reportar seus erros
e experiências, de modo que • Existe boa disposição entre
os Estados e os prestadores de todos os funcionários,
serviços tenham acesso a pessoal operacional, técnico
dados e informações etc., para relatar ocorrências
relevantes para tratar em que eles estão
deficiências e perigos envolvidos.
potenciais existentes de
segurança operacional. Esses
sistemas criam um ambiente
em que as pessoas podem
confiar que seus dados e
informações/reportes serão
utilizados exclusivamente para
o incremento da segurança
operacional.
5.4.8 Em uma cultura de segurança operacional positiva, os líderes se dedicam aos processos
de segurança operacional, auxiliam os colaboradores no seu trabalho cotidiano, lidam com
problemas e compartilham informações que afetam o desempenho humano de maneira
oportuna e transparente.
5.4.9 Quando as percepções de liderança são ruins, os funcionários não acreditam que a
liderança esteja preocupada com o bem-estar da equipe e nem com a segurança operacional. A
liderança tem um forte impacto no moral e na cultura em geral. A principal mudança para a
melhoria das percepções da liderança é aumentar a visibilidade dos líderes. Uma liderança
visível ajuda a criar confiança ao se envolver em diálogos importantes sobre questões que
dizem respeito ao gerenciamento da segurança operacional. Outros exemplos de liderança
visível são: participar de reuniões operacionais, solicitar e agir com base no feedback da
equipe e modelar ações positivas para o incremento da segurança operacional.
5.5.2 Cultura Justa é uma atmosfera de confiança na qual as pessoas estão esclarecidas sobre
onde a linha deve ser traçada entre o comportamento aceitável e o não aceitável” (James
Reason). Não existem apenas linhas prontas para serem ultrapassadas. Nós construímos essas
linhas dependendo de uma série de outros fatores.
Ação Gerencial
Ação Gerencial para Corrigir o Sistema. Punição.
ou Punição.
Figura 13 – Cultura Justa
5.5.4 Por essa razão nasceu o conceito de Cultura Justa, que é definido como sendo a cultura
na qual os profissionais não serão punidos por erros cometidos no exercício de suas
atividades, exceto se as falhas forem enquadradas como violações decorrentes de atos
dolosos.
5.5.5 As falhas humanas podem ser classificadas em erros ou violações. Ambas exigem um
posicionamento por parte da administração no que se refere à apuração dos fatos e às
consequentes medidas adotadas para se evitar ocorrências semelhantes.
5.5.5.1 Erro é a falha na execução de uma atividade que resulta no desvio da intenção
pretendida ou frustra a expectativa do profissional em atingir determinado objetivo. Os erros
62/154 MCA 81-4/2023
5.5.5.3 A diferença básica entre erro e violação reside na intenção do ato. Entretanto, há que
se considerar que o ato consciente e deliberado de descumprir uma norma vigente, que
caracteriza a violação, nem sempre será nocivo. Existirão situações específicas nas quais
descumprir a norma evitará um mal maior ou, ainda, aquelas nas quais a legislação contém
algum tipo de imperfeição que torna impraticável o seu cumprimento, condições estas que a
organização tem pleno interesse em identificar para que seja analisada, corrigida ou mitigada.
5.5.6 Vale ressaltar que o conceito de Cultura Justa está associado ao comportamento e não às
consequências dele decorrentes. Assim, mesmo que o comportamento considerado inaceitável
não tenha produzido consequências desastrosas ele será tratado como tal, gerando os
enquadramentos e as sanções cabíveis na esfera disciplinar.
5.5.7 Cultura Justa significa uma cultura na qual os profissionais da organização se sintam
confortáveis relatando erros, reconheçam que mesmo profissionais competentes cometem
erros, que desenvolvem normas inadequadas (atalhos, “ação tolerada”) e que se deve ter
tolerância zero para comportamento negligente (violação).
5.5.8 Para se implementar uma cultura justa é fundamental normatizar de forma clara e
objetiva as punições para as violações (deixar claro para todos qual é o comportamento não
tolerado) e monitorar processos de risco:
5.6.2 Cada ambiente profissional possui uma cultura organizacional própria. Buscar
evidências em documentos oficiais e observar comportamentos de maneira pontual, não será
suficiente para identificar suas características.
5.6.3 Ter os níveis de atenção e percepção do risco elevados apenas em decorrência de uma
ocorrência nefasta constitui uma condição indesejável e já muito conhecida, que precisa ser
64/154 MCA 81-4/2023
a) questionários;
b) entrevistas e grupos de discussões;
c) observações; e
d) revisões de documentos.
MCA 81-4/2023 65/154
5.6.8 O objetivo da avaliação do nível de maturidade é coletar dados que permitam conhecer,
de maneira ampla e detalhada, o nível de maturidade em que a Cultura de Segurança
Operacional da organização se encontra, para, a partir daí, iniciar um processo planejado
visando moldar a cultura existente por meio de ações que valorizem e fortaleçam os aspectos
desejáveis de comportamento e modifiquem aqueles considerados indesejáveis ou
inadequados.
6.2 Gerenciar o desempenho da segurança operacional é uma tarefa complexa, haja vista o
grande número de variáveis envolvidas na prestação dos diversos serviços na aviação, mas
extremamente importante, pois é o que assegura o bom funcionamento do SMS.
6.4 Para que a avaliação do desempenho seja bem-sucedida e os resultados sejam efetivos é
necessário que a combinação entre objetivos, indicadores e metas de segurança operacional
sejam específicas, mensuráveis, alcançáveis, relevantes e oportunas (SMART). Objetivos
SMART seguem critérios que facilitam a construção, por ser uma proposta de metodologia
simples e que aumentam as chances de esses objetivos serem alcançados.
6.6 Os IDSO devem ser estabelecidos de forma a expressar a tendência de melhoria desejada,
permitindo o monitoramento das MDSO.
a) S–Específico (specific): deve focar em uma área ou processo específico para ser
desenvolvido;
MCA 81-4/2023 67/154
6.8.5 A partir de agora será apresentado um exemplo para compreensão da relação entre
objetivos de segurança operacional, IDSO e MDSO, conforme ilustrado na Figura 14. Neste
exemplo, uma determinada organização registrou 100 excursões em pista por milhão de
movimentos em 2019. Por ser demasiadamente preocupante, foi definido um objetivo para
reduzir o número de excursões em pista em cinquenta por cento até 2023.
6.8.8 Qualquer abordagem escolhida é válida, podendo haver outras que uma organização
considere eficaz para demonstrar seu desempenho de segurança. Diferentes abordagens
podem ser combinadas conforme apropriado às circunstâncias específicas do provedor,
porém, os indicadores que compõem o NADSO do SISCEAB deverão respeitar as abordagens
previamente definidas, conforme orientação do DECEA.
6.9 CRONOLOGIA
6.9.1 Para qualquer abordagem escolhida, a cronologia empregada no gerenciamento da
segurança operacional obedecerá às seguintes etapas:
INDICADOR 1.1
INDICADOR 1.2 INDICADOR 2.1 INDICADOR 2.2
da segurança operacional.
6.12.2 As medições são essenciais para entender o que acontece nos PSNA, avaliar se há a
necessidade de mudança, avaliar o impacto das mudanças no ANS, estabelecer prioridades,
verificar a necessidade de treinamento adicional etc., tudo objetivando a melhoria contínua
dos processos. Desta forma, serão utilizados Indicadores de Desempenho da Segurança
Operacional (IDSO) que, associados às respectivas Metas de Desempenho da Segurança
Operacional (MDSO), permitirão avaliar de maneira padronizada, objetiva e confiável como
está o desempenho da segurança, bem como identificar tendências, possibilitando atuar de
maneira oportuna, tempestiva e eficaz.
6.12.5.2 Os IDSO de resultado medem eventos que já ocorreram e são normalmente, mas nem
sempre, os resultados negativos que a organização pretende evitar, enquanto os IDSO de
atividade medem processos implementados para melhorar ou manter a segurança operacional
e servem para monitorar as condições que têm o potencial de alcançar ou contribuir para um
determinado resultado desejado.
6.12.5.3.3 Como estes IDSO medem os resultados da segurança operacional, eles servirão
para medir a eficácia das ações mitigadoras, por exemplo, por meio do monitoramento do
“número de ocorrências de tráfego aéreo” após o cumprimento de uma recomendação de
segurança, permitindo avaliar a eficácia da recomendação e do cumprimento (supondo que
nada mais tenha mudado). Desta forma, a redução das ocorrências pode validar uma melhoria
no desempenho geral da segurança, atribuindo-se ao cumprimento da ação recomendada.
NOTA: Para o SISCEAB, os incidentes de tráfego aéreo de risco crítico também são
resultados caracterizados como IDSO de baixa probabilidade e alta severidade. Os
indicadores de segurança da aviação têm sido historicamente tendenciosos para IDSO que
refletem resultados de “baixa probabilidade e alta gravidade” e para alguns indicadores de
“alta probabilidade e baixa severidade”, como no caso do incidente de tráfego aéreo de risco
potencial em alguns PSNA. Isso é compreensível porque são eventos de alto perfil e fáceis de
medir, porém, de uma perspectiva do gerenciamento de desempenho da segurança
operacional, há desvantagens quando há uma confiança excessiva nos resultados. Por
exemplo, incidentes de tráfego aéreo em PSNA de baixo volume de tráfego são pouco
frequentes (pode haver apenas um incidente por ano, ou nenhum), dificultando a realização de
análises estatísticas para identificar tendências. Isso não indica necessariamente que o sistema
é seguro. Uma consequência da dependência desse tipo de dados é a falsa percepção de que o
desempenho de segurança operacional de um PSNA é eficaz, quando, na verdade, pode estar
perigosamente próximo de um acidente.
6.12.5.4.2 Os IDSO de Atividade têm como foco os processos implementados que visam à
manutenção ou melhoria da segurança operacional, assim como, medir as condições que têm
o potencial de se tornar ou contribuir para um resultado específico. Como exemplo de
Indicador de Atividade para o gerenciamento proativo do desempenho da segurança
operacional podemos ter “porcentagem de RELPREV, que reflete condições latentes no
PSNA”.
6.12.5.4.3 Esses indicadores possibilitam também que a organização avalie como o PSNA
lida com mudanças, tanto as administrativas como as ocorridas no ambiente operacional,
permitindo a antecipação de fraquezas e vulnerabilidades relacionadas ao resultado da
mudança, ou ao monitoramento do desempenho após o gerenciamento de uma mudança. Um
exemplo de IDSO para monitorar uma mudança nas operações seria “percentual de eficácia
das ações (medidas mitigadoras) no gerenciamento da segurança da mudança”.
6.12.6.1.1 IDSO são os parâmetros que fornecem à organização uma visão do seu
desempenho em segurança operacional: onde ela esteve; onde está agora; e para onde está
indo, em relação à segurança operacional. Essa imagem auxilia na construção de uma base
sólida e defensável sobre a qual as decisões de segurança operacional são tomadas, baseadas
em dados da organização, afetando positivamente o desempenho da segurança da
organização. A identificação de IDSO deve, portanto, ser realista, relevante e vinculada aos
objetivos de segurança operacional, independentemente de sua simplicidade ou complexidade.
6.12.6.1.3 Uma combinação de IDSO geralmente é necessária para fornecer uma indicação
clara do desempenho de segurança. Deve haver uma ligação clara entre os IDSO de resultado
e de atividade. O que se espera é que os IDSO de resultado sejam definidos antes de
determinar os IDSO de atividade. Definir um IDSO precursor (de resultado com alta
probabilidade e baixa severidade) vinculado a um IDSO de evento ou condição mais grave
(de resultado com baixa probabilidade/alta severidade) garante que haja uma correlação clara
entre os dois. Todos os IDSO de resultado e de atividade são igualmente válidos e
importantes. Um exemplo dessas ligações está ilustrado na Figura 16.
estar dirigido para identificar claramente o que precisa ser medido e não como os indicadores
serão usados.
6.12.6.3.1 Não há, por exemplo, como se estabelecer um plano para reduzir o número de
incidentes de tráfego aéreo simplesmente, porque o índice de “Incidentes de Tráfego Aéreo
por 100.000 Movimentos” é um dos indicadores estabelecidos e está sinalizando uma
tendência de incremento. Que ações podem ser desencadeadas para a redução desejada, se não
está claro quais fatores estão produzindo os incidentes?
6.12.6.3.3 O processo de formulação dos indicadores deve ser criterioso e deve auxiliar a
identificar com precisão a relação dos IDSO com as MDSO e com os Objetivos de Segurança
Operacional, conforme pode ser observado no exemplo do processo abaixo:
operações”. Se o número de incidentes cai nos primeiros meses, mas volta a subir após doze
meses, o DECEA pode optar por realocar recursos para áreas (considerando os fatores
contribuintes mais presentes) onde, segundo a projeção dos IDSO, estão impactando mais nos
objetivo de segurança operacional, enquanto os fatores contribuintes menos presentes poderão
ter os recursos reduzidos. A mesma análise poderá ocorrer nos níveis de OPSNA e EPSNA.
6.13.2 As Metas são os “propulsores” da gestão, uma vez que gerenciar consiste em
desenvolver ações visando cumprir Metas, ou seja, alcançar os resultados esperados. As
MDSO combinadas com os IDSO são ferramentas eficazes no monitoramento do
Desempenho da Segurança Operacional.
6.13.4 As Metas de médio prazo (períodos de 3 a 4 anos) serão definidas pelo DECEA, com o
objetivo de orientar o trabalho de todos os PSNA na condução de suas atividades de
gerenciamento da segurança operacional e serão definidas em Plano específico publicado em
PCA ou por outro meio a ser estabelecido e divulgado pela ASEGCEA.
6.13.7.4 Os Níveis de Alerta são calculados com base nos valores médios registrados de cada
Indicador e no desvio padrão decorrente, considerando os últimos 3 (três) anos.
6.13.7.5 A fórmula de cálculo dos Níveis de Alerta e do Desvio Padrão (σ), bem como os
parâmetros estabelecidos para a sua aplicação, estão inseridos no SIGCEA.
6.13.7.7 Seguem abaixo descritos os níveis de alerta, onde µ é a Média Aritmética dos valores
de cada mês, nos últimos 3 (três) anos, e σ representa a variância:
6.13.7.8 Sempre que um dos Níveis de Alerta for atingido, o Comitê Local de Segurança
Operacional deverá reunir-se para a identificação e adoção de ações corretivas, no sentido de
conter a progressão dos eventos considerados indesejáveis, buscando reverter a tendência dos
indicadores e atingir a MDSO estabelecida e a manutenção do NADSO.
6.13.7.9 O Responsável Local deverá informar ao GSOP sobre as ações corretivas adotadas
pelo Comitê Local de Segurança Operacional em consequência do atingimento de qualquer
um dos Níveis de Alerta representados no subitem 6.13.7.7.
78/154 MCA 81-4/2023
6.13.7.11 O SIGCEA será o sistema utilizado no SISCEAB para alimentar os dados e gerar os
gráficos para monitoramento e análise dos níveis de alerta relacionados aos IDSO e MDSO
definidos para o NADSO.
6.13.8.2 Medidas adequadas e oportunas devem ser tomadas sempre que forem identificadas
condições nas quais os Indicadores sinalizem que determinada MDSO não será cumprida.
Essas condições e as respectivas ações corretivas ou mitigadoras devem ser analisadas,
registradas e aprovadas pelos respectivos Comitês de Segurança Operacional dos provedores
de serviço de navegação aérea.
6.13.9.2 As MDSO serão estabelecidas com base nos valores médios do número de
ocorrências registradas nos últimos três anos, sobre os quais será calculada uma melhoria
percentual, que constituirá a meta a ser atingida para o ano em curso.
6.13.9.4 O percentual de melhoria a ser alcançado anualmente pelos PSNA será estabelecido
pelas Organizações e Entidades e deverá levar em conta os Objetivos de Segurança
Operacional definidos pelos Executivos Responsáveis (ER) da OPSNA ou EPSNA para o
período de três anos.
6.13.9.5 É desejável que as melhorias estabelecidas estejam entre 2% e 5%. Percentuais acima
poderão ser adotados, desde que sejam alcançáveis.
6.13.9.7 As melhorias esperadas devem estar entre 2 e 5% sobre o valor médio dos últimos
três anos (33,33). Neste exemplo a melhoria é no sentido de elevar os percentuais para o ano
em curso (na maioria dos casos a melhoria será no sentido de reduzir), portanto quando
aplicada uma melhoria no sentido de elevar em 4% o cumprimento de RSO sobre o valor
percentual médio do triênio, teremos:
6.13.9.8 Como resultado, a MDSO para o ano em curso será cumprir 89,09% das RSO
emitidas, ou seja, 4% a mais que a média dos últimos três anos.
6.13.10.2 O NADSO do SISCEAB é composto pelas MDSO e IDSO definidos pelo DECEA,
deve concorrer para o cumprimento do NADSO do Estado, e são estabelecidos por meio da
publicação de um PCA ou por outro meio determinado pela ASEGCEA.
6.13.10.3 Os NADSO das OPSNA e EPSNA deverão ser compostos pelos IDSO de interesse
do SISCEAB e respectivas MDSO estabelecidas e aprovadas para que os PSNA concorram
para o cumprimento do NADSO do SISCEAB, e deverão ser divulgados por meio da
publicação de um PCA ou outro meio estabelecido pela ASEGCEA.
80/154 MCA 81-4/2023
6.13.10.4 O NADSO é amplo e conceitual, enquanto os IDSO e MDSO que o compõem são
parâmetros numéricos precisos, que devem ser monitorados continuamente e, quando os
Níveis de Alerta (ou gatilhos) forem atingidos, ações concretas e formais devem ser
desencadeadas pelo PSNA.
6.13.10.6 Desse modo, os Provedores devem ser capazes de demonstrar por meio de
evidências formais e sistematizadas como estão desenvolvendo suas responsabilidades no
tocante ao monitoramento da segurança, por meio dos IDSO e das MDSO. Tais evidências
devem ser disponibilizadas a qualquer tempo a pedido da ASEGCEA ou por ocasião das
Vistorias e Inspeções de Segurança Operacional.
b) Ocorrências ATS.
6.13.11.6 Os PSNA deverão utilizar o SIGCEA para o preenchimento dos dados relativos aos
IDSO de interesse do SISCEAB e respectivas MDSO.
6.13.11.7 Além dos indicadores de interesse do SISCEAB estabelecidos pelo DECEA para a
composição do NADSO, outros indicadores de baixo impacto deverão ser estabelecidos e
controlados pelos PSNA para o atender a interesses específicos e próprios do provedor,
complementando os IDSO do NADSO.
7.1.2 Esses dados de segurança operacional são coletados por meio de ferramentas proativas
ou reativas relacionadas à segurança operacional, incluindo, entre outros, os seguintes dados:
7.1.6 Espera-se que as organizações possuam pessoal qualificado para coletar e armazenar
dados de segurança, bem como as competências necessárias para processar dados de
segurança. Isso geralmente requer desses profissionais possuam habilidades de tecnologia da
MCA 81-4/2023 85/154
informação, bem como conhecimento dos requisitos de dados, padronização de dados, coleta
e armazenamento de dados, governança de dados e capacidade de entender possíveis
consultas que podem ser necessárias para a análise.
7.1.7 As organizações devem designar um custodiante para o seu SDCPS que será o
responsável pela proteção dos dados e informações de segurança operacional e fontes
relacionadas, nos termos da ICA 81-2/2022.
7.2.5.4 Adicionalmente aos dados oriundos dos sistemas de reportes citados no subitem 7.2.3 ,
as OPSNA, EPSNA e respectivos PSNA deverão utilizar os dados do processamento das
Ocorrências de Tráfego Aéreo disponíveis no SIGCEA provenientes de Laudo Técnico ATS,
RICEA, Parecer Técnico ATS, Relatório de Análise de Fadiga, PFO etc, visando subsidiar o
cálculo dos IDSO, MDSO e NADSO de seus PSNA.
7.2.5.5 Além dos dados previstos no subitem 7.1.2 , os PSNA poderão utilizar quaisquer
dados julgados pertinentes para apoiar o processo de gestão de desempenho de segurança
operacional e tomada de decisões por parte dos gestores.
7.2.5.6 A identificação e a coleta dos dados de segurança devem estar alinhadas com a
necessidade de o SISCEAB efetivamente gerenciar a segurança operacional. Em alguns casos,
o processo de GRSO destacará a necessidade de dados de segurança adicionais para avaliar
melhor o impacto (nível de probabilidade/severidade) e determinar os riscos associados. Da
mesma forma, o processo de gerenciamento do desempenho da segurança operacional pode
destacar a necessidade de informações adicionais para uma compreensão mais abrangente de
determinada questão de segurança ou para facilitar o estabelecimento ou refinamento dos
IDSO.
7.2.5.7 Os PSNA devem considerar uma abordagem que atenda às necessidades do SISCEAB
para coleta de dados de segurança operacional que vêm de diferentes fontes, internas e
externas. Essa integração permite que o SISCEAB tenha uma visão mais precisa dos riscos
presentes nos PSNA de suas áreas de jurisdição. É importante notar que os dados e
informações de segurança que inicialmente parecem não estar relacionadas, mais tarde,
podem se tornar úteis para a identificação de fragilidades na segurança operacional e apoio na
tomada de decisão por parte da gerência.
7.2.11.1 Grande parte dos dados e das informações de segurança operacional utilizados para a
tomada de decisões procedem de operações de rotina e cotidiana (análises proativas) e de
ocorrências já acontecidas (análises reativas).
7.2.11.2 Os PSNA devem identificar quais dados e informações de segurança operacional têm
o objetivo de responder determinado problema a ser resolvido de modo a determinar a fonte
apropriada e a quantidade de dados ou informações necessárias.
7.2.11.4 Para isso, é de extrema importância que os PSNA locais realizem não só a coleta
como o tratamento desses dados e avaliem desde uma ótica de análise de tendência.
7.2.11.5 Dessa maneira, o PSNA local consegue identificar e agir de forma específica desde a
abordagem até as ações relacionadas a possíveis condições latentes ou ocorrências
observadas, o que denota a importância do estabelecimento por parte da OPSNA ou EPSO
sobre qual será a fonte e o volume de dados/informações a serem tratados, estabelecendo
parâmetros a serem adotados.
7.3 TAXONOMIA
7.3.1 Os dados de segurança operacional devem ser categorizados usando taxonomias e
definições para que possam ser capturados, compilados e armazenados usando termos
padronizados. Taxonomias e definições comuns estabelecem uma linguagem padrão,
melhorando a qualidade da informação e da comunicação. A capacidade de os gestores dos
PSNA em se concentrar nas questões de segurança melhora consideravelmente se uma
linguagem comum for compartilhada. A taxonomia permite a análise e facilita o
compartilhamento e a troca de informações.
7.3.2 A taxonomia ADREP foi desenvolvida pela ICAO utilizando uma linguagem
padronizada, cuja nomenclatura foi categorizada com base nos eventos que integra o sistema
de notificação de Acidentes e Incidentes Aeronáuticos. É constituída de uma coleção de
atributos e valores relacionados que permitem realizar análises de tendências de segurança
operacional.
7.3.3 Embora a taxonomia ADREP tenha sido desenvolvida para a aviação, ela engloba
muitos eventos de segurança operacional relativos ao ANS, com maior prevalência para os
Serviços ATS.
7.3.4.4 Eventos
7.3.4.4.1 Os eventos constituem um detalhamento das categorias listadas no Anexo A. O
Anexo B apresenta uma relação não exaustiva dos eventos mais comuns já identificados.
7.3.4.4.2 Devido às várias possibilidades, novos eventos poderão ser identificados e
adicionados à taxonomia no SIGCEA. Tal medida poderá ser necessária para a identificação e
registro de novos perigos que se tornem significativos para a segurança operacional.
7.3.4.7 A taxonomia para o gerenciamento da Fadiga Humana no ATC é composta por Classe,
Categoria e Eventos, conforme apresentados no Anexo C desta Norma.
7.4 PROCESSAMENTO DOS DADOS DE SEGURANÇA OPERACIONAL
Processamento de dados de segurança refere-se à manipulação de dados de
segurança para produzir informações de segurança significativas em formas úteis. O PSNA
90/154 MCA 81-4/2023
deve processar seus dados de segurança operacional para produzir informações de segurança
operacionais significativas por meio de diagramas, relatórios, tabelas, gráficos, etc.
NOTA 1: O PSNA deve considerar no processamento de dados de segurança operacional a
qualidade de dados, a agregação, a fusão e filtragem desses dados.
NOTA 2: No SISCEAB, o processamento dos dados de segurança operacional é realizado
pela ASEGCEA por meio do SIGCEA, com o objetivo de produzir informações
de segurança relevantes em formatos úteis para subsidiar as tomadas de decisões
relativas à segurança operacional.
7.4.1.2 A limpeza dos dados de segurança operacional deve ser realizada por meio de um
processo de detecção e correção (ou remoção) de registros corrompidos ou imprecisos de um
conjunto de registros, tabela ou banco de dados e se refere à identificação de partes
incompletas, incorretas, imprecisas ou irrelevantes dos dados de segurança operacional e, em
seguida, a substituição, modificação, ou exclusão desses dados espúrios.
7.4.1.3 O PSNA deve avaliar a relevância de seus dados de segurança operacional com base
nas suas atividades e necessidades, de modo que representem as suas questões de segurança
operacional mais significativas.
NOTA: Por meio dos filtros existentes no SIGCEA, um PSNA pode selecionar as
ocorrências de interesse para trabalhar com os dados de maior relevância.
7.4.1.4 Para a tomada de decisões, o PSNA somente deve utilizar dados e informações de
segurança operacionais oportunas e que reflitam significativamente as suas operações e suas
necessidades em termos de segurança operacional.
7.4.1.5 Os dados de segurança operacional devem ser precisos, ou seja, refletir o seu cenário
descrito.
NOTA 1: O PSNA deve qualificar e treinar seu pessoal para impedir a imprecisão dos seus
dados de segurança operacional que geralmente ocorre quando os usuários
inserem dados com valores incorretos, quando comete um erro na edição, ou
quando ocorre a deterioração dos dados, causado pela extração, transformação e
transferência entre bancos de dados.
NOTA 2: Atualmente o SIGCEA concentra os dados de segurança operacional, de modo
que as diversas cadeias hierárquicas podem extrair seus dados sem a necessidade
de enviá-los, evitando assim a sua movimentação, tornando esses dados precisos e
confiáveis.
MCA 81-4/2023 91/154
NOTA: No DECEA existe a fusão de diversos sistemas afins que colabora com a segurança
operacional. Por exemplo, o sistema de gerenciamento de pessoal operacional
(SGPO) integra dentre outros os dados das licenças de pessoal de navegação aérea
(LPNA), dos certificados médicos aeronáuticos (CMA) e escalas operacionais. Dessa
forma o escalante é alertado quando ao vencimento da LPNA ou CMA e de
determinado operador quando estiver confeccionando a escala. Do mesmo modo
busca-se a integração entre o SGPO e o banco de dados do SIGCEA, de forma que os
dados operacionais estarão disponíveis, imediatamente, aos investigadores durante a
apuração de determinada ocorrência.
compartilhados naquilo que for pertinente, sem prejuízo das disposições normativas contidas
nos Capítulos 8 e 9 da ICA 81-2/2022 sobre dados de segurança operacional.
8.2.1.2 Técnicas descritivas fornecem informações sobre dados; no entanto, eles não
permitem que os usuários formulem conclusões além dos dados analisados ou cheguem a
conclusões sobre hipóteses com base nesses dados, sendo apenas uma maneira de descrever
os dados.
8.2.1.3 A estatística descritiva é útil porque, se apenas os dados brutos forem apresentados,
principalmente em grandes quantidades, seria difícil visualizar o que os dados mostram. A
estatística descritiva permite que os usuários apresentem e visualizem os dados de uma
maneira que faça mais sentido, permitindo uma interpretação mais simples deles.
8.2.1.4 Entre as ferramentas usadas para resumir os dados estão as tabelas e matrizes,
gráficos, cartas e até mapas. A estatística descritiva inclui medidas da tendência central, como
Média, Mediana e Moda, bem como medidas de variabilidade, tais como Faixa, Quartis,
Mínimo e Máximo, Distribuições de Frequência, Variância e Desvio Padrão. Esses resumos
podem ser a base inicial para descrever os dados como parte de uma análise estatística mais
ampla ou podem ser suficientes para uma investigação específica.
8.2.2.2 A estatística inferencial utiliza técnicas que permitem que os usuários dos dados
disponíveis façam generalizações, inferências e conclusões sobre a população, a partir das
quais as amostras foram coletadas, para descrever as tendências. Isso inclui métodos para
estimar parâmetros, teste de hipóteses estatísticas, comparar o desempenho médio de dois
grupos na mesma medida para identificar diferenças ou semelhanças e identificar possíveis
correlações e relações entre variáveis.
8.2.3.3 O aspecto central da análise preditiva depende da captura de relações entre variáveis
de ocorrências passadas e explorá-las para prever um resultado desconhecido. Alguns
sistemas permitem que os usuários modelem diferentes cenários de riscos ou oportunidades
com diferentes resultados. Isso permite que os tomadores de decisão avaliem as decisões que
MCA 81-4/2023 97/154
podem tomar diante de diferentes circunstâncias desconhecidas e avaliar como podem alocar
efetivamente recursos limitados em áreas onde existem riscos mais altos ou as melhores
oportunidades.
8.3.5 Ferramentas de visualização, como tabelas, gráficos, imagens e painéis, são meios
simples, mas eficazes, de apresentar os resultados da análise de dados.
8.3.6.2 Além disso, possibilita disponibilizar uma representação visual que fornece à Alta
Direção, Executivos responsáveis (ER), Gerentes de Segurança Operacional (GSOP), demais
gerentes e profissionais de segurança uma maneira rápida e fácil de visualizar o desempenho
de segurança operacional, bem como evidenciar a eficácia do gerenciamento da segurança
operacional da organização.
8.3.6.3 Com os dados do SIGCEA podem ser desenvolvidos painéis de segurança operacional
para exibição, em tempo real, dos IDSO, MDSO, NADSO e Níveis de Alerta dos PSNA, bem
como de informações relacionadas à categoria, causa e gravidade de perigos específicos. Isso
permite que a organização possa coletar e analisar continuamente os seus dados de segurança
operacional para dar suporte ao gerenciamento da segurança operacional e à tomada de
decisões mais eficazes.
8.3.6.3.1 Resulta particularmente útil que o painel de segurança operacional seja desenvolvido
de modo a permitir que os analistas e tomadores de decisão tenham a capacidade de
configurar o painel para exibir seus principais indicadores, bem como contenham recursos que
possibilitem aprofundar as métricas.
MCA 81-4/2023 99/154
8.3.6.3.2 A organização deve avaliar se os resultados das suas análises exigem mais e
melhores dados a serem coletados e analisados para apoiar as ações e decisões a serem
tomadas. A Figura 18 mostra como o relatório dos resultados da análise pode determinar
outros requisitos para os dados a serem coletados.
8.4.1.1 A ASEGCEA, por meio do SIGCEA, mantém estruturada uma rede na internet que
garante o acesso aos dados e às informações dos PSNA e possibilita o compartilhamento das
informações de segurança operacional entre os PSNA do SISCEAB. As OPSNA, EPSNA e
todos os PSNA Locais têm acesso a esta mesma rede, podendo utilizar o SIGCEA para
promover o compartilhamento de suas informações de segurança operacional.
8.5.2 Muitos incidentes de aviação foram, pelo menos parcialmente, devido às más decisões
gerenciais. O objetivo dos responsáveis pela tomada de decisões consiste, no curto prazo, em
minimizar resultados negativos e obter resultados positivos e, em longo prazo, contribuir para
a alcançar os objetivos de segurança operacional da organização.
8.5.3 A tomada de boas decisões, normalmente não é fácil. As decisões são frequentemente
tomadas sem que todos os fatores relevantes possam ser considerados. Os responsáveis pela
tomada de decisões também estão sujeitos a vieses ou inclinações que, conscientemente ou
não, podem afetar as decisões tomadas.
8.5.4 O objetivo do D3M não é necessariamente tomar a decisão "perfeita" ou ideal, mas
tomar uma boa decisão que atinja o objetivo de curto prazo (com relação à qual a decisão em
questão está sendo tomada) e contribua para alcançar o objetivo de longo prazo: melhorar o
desempenho da segurança operacional da organização.
8.5.4.1 Uma decisão baseada em dados (D3M) será considerada uma boa decisão quando
atender aos seguintes critérios:
8.5.5.2 A tomada de decisão baseada em dados (D3M) leva à tomada de decisões que estejam
alinhadas com o que os dados e informações de segurança operacional estão indicando.
8.5.6.2 A organização deve entender os aspectos que envolvem a abordagem D3M, caso
contrário esse processo pode se tornar uma fonte de frustração para os tomadores de decisão,
minimizando sua importância ou mesmo abandonando a tomada de decisões baseadas em
102/154 MCA 81-4/2023
dados.
8.5.6.4 É mais difícil criar confiança nos dados do que confiar em contribuições e opiniões de
especialistas. A adoção da abordagem D3M requer uma mudança na cultura e na mentalidade
da organização, quando as decisões são baseadas em IDSO confiáveis e nos resultados de
outras análises de dados de segurança operacional.
8.5.6.5 Em alguns casos, o processo de tomada de decisão pode ficar paralisado na tentativa
de encontrar a "melhor solução possível", que também é conhecida como "paralisia analítica".
Entre as estratégias que podem ser aplicadas para evitar isso, estão as seguintes:
a) fixação de prazo máximo;
b) ter alcance e objetivos bem definidos; e
c) não buscar uma decisão ou solução “perfeita” na primeira vez, mas sim obter a
uma decisão “adequada” e “prática”, com vistas a melhorar as decisões
posteriores.
8.5.7.3 Por sua vez, uma abordagem D3M eficaz é baseada na clareza das definições dos
requisitos de dados e informações sobre segurança operacional, nas normas, nos métodos de
coleta, no gerenciamento, análise e compartilhamento dos dados, os quais são componentes
do processo D3M. Este processo é ilustrado na Figura 19.
8.5.7.4.2 Qual é a pergunta que precisa ser respondida? Que decisão os tomadores de decisão
de segurança devem tomar? Como isso se alinhará aos objetivos organizacionais mais
estratégicos? No processo de definir a declaração do problema, os tomadores de decisão
devem se fazer as seguintes perguntas:
8.5.7.5.2 Nenhum dado é mais valioso do que outros dados. O foco deve estar em verificar se
os dados disponíveis são apropriados para ajudar a responder e resolver o problema.
9.1.2 Também fornece orientação sobre a implementação desses princípios por autoridades
reguladoras, provedores de serviços, legisladores e autoridades competentes com
responsabilidade de tomar decisões sobre o uso e proteção de dados de segurança,
informações de segurança e suas fontes relacionadas.
9.2.2 Nesse contexto, a importância de implementar proteções não pode ser exagerada. As
proteções não se destinam a eximir as fontes de suas obrigações relacionadas à segurança ou
interferir na administração adequada da justiça.
9.2.4 Embora os dados e as informações possam vir de várias fontes, a comunicação de dados
de segurança e informações de segurança por indivíduos e organizações no sistema de aviação
é fundamental para o gerenciamento da segurança. Sistemas eficazes de reportes de segurança
(mandatórios e voluntários) ajudam a garantir que as pessoas estejam e continuem dispostas a
relatar suas experiências e suas falhas, para que as organizações tenham acesso aos dados e
informações relevantes necessários para lidar com deficiências e perigos de segurança
existentes e potenciais.
9.2.5 Essa garantia é fornecida pela criação de um ambiente no qual as pessoas podem ter
certeza de que os dados de segurança e as informações de segurança serão usados
exclusivamente para manter e melhorar a segurança, a menos que um dos princípios de
exceção seja aplicável.
9.2.6 Os indivíduos e as organizações devem ser protegidos, nos termos da Portaria Conjunta
nº 5.754, de 23 de agosto de 2021, assim como os dados de segurança e as informações de
segurança que eles relatam, de modo a:
9.2.8 As organizações, com base nos dados e informações de segurança operacional, podem
tomar as medidas necessárias como ações preventivas, corretivas ou de retificação, com o
objetivo de manter ou melhorar a segurança, com vistas a:
9.3.1.2 O tipo de dados de segurança e informações de segurança que podem ser capturados e
os tipos de sistemas que podem fazer parte dos sistemas de reportes de segurança podem
evoluir ao longo do tempo junto com a evolução dos próprios sistemas de gerenciamento da
segurança operacional. Dados de segurança, informações de segurança e sistemas de reportes
de segurança, que não estão expressamente identificados hoje, podem ser regulamentados no
futuro.
9.3.2.1 Certos tipos de dados de segurança e informações de segurança que são protegidos
pela ICA 81-2/22 podem, em certas circunstâncias, estar sujeitos a outros requisitos de
proteção.
108/154 MCA 81-4/2023
9.3.2.2 Em particular, a ICA 81-2/22 especifica que, quando uma investigação sob o Anexo
13 for instituída, os registros de investigação de acidentes e incidentes listados no Anexo 13
estão sujeitos às proteções concedidas no Anexo 13.
9.3.2.3 Este princípio aplica-se a partir do momento em que ocorre um acidente ou incidente
nos termos do Anexo 13 e permanece aplicável mesmo após a publicação do Relatório Final.
As orientações relativas à proteção de registros de investigação de acidentes e incidentes
aeronáuticos são da competência do CENIPA.
9.3.4.3 A ação preventiva pode ser entendida como a ação tomada para prevenir a ocorrência
ou recorrência de um evento ou perigo que represente um risco à segurança operacional.
9.3.4.4 A ação corretiva pode ser entendida como uma ação tomada para tratar carências ou
deficiências específicas relacionadas à segurança, tais como o titular de uma autorização que
não consegue demonstrar conformidade com os padrões de segurança ou competência
aplicáveis. Uma ação corretiva pode ser necessária para trazer um titular de autorização de
volta à conformidade.
9.3.4.5 Ação retificadora são aquelas tomadas para tratar as causas subjacentes de carências
ou deficiências relacionadas à segurança, como treinamento. As medidas retificadoras
MCA 81-4/2023 109/154
9.3.4.6 Embora possam ser especificadas para um objetivo, tais ações podem servir a mais de
um propósito. Por exemplo, uma ação pode ser tomada pelo DECEA ou PSNA, exigindo que
o titular de uma licença ou certificado realize treinamento adicional e se abstenha de exercer
os privilégios dessa licença ou certificado até que esse treinamento seja concluído com êxito.
Uma ação também pode ser tomada pelo DECEA para cancelar ou suspender as prerrogativas
inerentes às concessões ou autorizações concedidas a um PSNA.
9.3.4.7 Tais ações, embora de retificação porque abordam a causa subjacente de um problema
de segurança, também podem ser consideradas corretivas porque abordam uma deficiência
específica. Independentemente da caracterização da ação realizada, é importante que haja uma
ligação clara e demonstrável entre a ação específica realizada e a manutenção ou melhoria da
segurança operacional.
9.3.4.8 Dados ou informações de segurança podem revelar perigos ou deficiências que exijam
medidas para manter a segurança ou identificar áreas onde ações preventivas aumentariam a
segurança da aviação, abordando riscos potenciais ou emergentes. Para fundamentar a
condição ou perigo subjacente que justifica a ação preventiva, corretiva ou retificadora, as
organizações podem precisar usar os dados de segurança ou informações de segurança.
9.3.4.9 Por exemplo, dados e informações de segurança operacional podem ser necessários
para estabelecer a base de uma medida administrativa relacionada a licenças ou para atender a
requisitos de comprovação. Dados e informações de segurança operacional também podem
ser necessários para estabelecer a necessidade de instruções adicionais de uma licença ou
alterações em sistemas operacionais ou gerenciais ou, ainda, para garantir a integridade e o
funcionamento adequados dos sistemas de notificações.
9.3.4.11 Apesar dessas percepções, não há impedimento para a utilização dos dados e
informações de segurança para apoiar as ações necessárias para manter ou melhorar a
segurança operacional. Quando forem necessárias ações para manter ou melhorar o nível de
segurança da aviação ou para evitar que a segurança do sistema de aviação se deteriore em
curto ou longo prazo, as organizações devem utilizar os dados ou informações de segurança
para apoiar essas ações, desde que tenha um objetivo e efeito comprovadamente preventivo
ou corretivo.
9.3.4.12 Nesses casos, é importante que as organizações tomem as medidas necessárias para
comunicar claramente a lógica por trás da ação tomada, a fim de demonstrar o propósito de
segurança e minimizar qualquer impacto adverso em relatos futuros. Por outro lado, é
importante que seja vedada a utilização de dados e informações de segurança para a
realização de ações que não possam ser demonstradas para servir um ou mais destes
propósitos e que, em vez disso, possam ter um objetivo e efeito puramente punitivo ou
disciplinar, ressalvados os princípios da cultura justa.
110/154 MCA 81-4/2023
9.4.1.4 Uma forma de fornecer proteção pode ser a desidentificação do relator. Embora a
confidencialidade dos relatos seja uma estratégia útil, a desidentificação completa, sempre que
possível, elimina a oportunidade de acompanhamento durante a análise. É importante que as
políticas se concentrem no uso que a autoridade competente pode fazer, ou permitir que se
faça, com os dados e as informações de segurança operacional.
aplica aos sistemas de reporte voluntários. A confiança das pessoas, ao exercerem a ação de
notificar voluntariamente, é fundamental para o gerenciamento eficaz da segurança
operacional.
9.4.2 PROCEDIMENTOS
9.4.2.1 A Seção III da Lei nº 12.970, de 8 de maio de 2014 (Lei SIPAER), bem como o
subitem 9.7 da ICA 81-2/2022, garantem que os dados e as informações de segurança não
sejam usados em processos disciplinares, civis, administrativos e criminais contra
funcionários, pessoal operacional ou organizações, a menos que se aplique um princípio de
exceção.
9.4.2.2 O termo “procedimento” pode ser mais abrangente e mais amplo em escopo do que o
termo “ação”. Também pode se referir de forma mais restrita aos processos de um órgão
específico para revisar ou aplicar “ações” que foram tomadas por outra autoridade. Em geral,
os termos “procedimento” e “ação” podem ser entendidos como abrangendo todas as
providências tomadas ou medidas adotadas para iniciar, dar execução ou rever uma decisão de
uma autoridade que afete os direitos, privilégios, direitos legítimos de uma pessoa, interesses
ou expectativas razoáveis (conforme identificadas em disposições legais). Tendo em conta os
diferentes sistemas jurídicos, a natureza e o âmbito de determinadas ações ou procedimentos
podem variar. Por exemplo, em alguns Estados:
9.4.2.4 Embora possa haver casos em que dados e informações de segurança sejam usados em
litígios iniciados por terceiros contra a fonte do relatório, os Estados são incentivados a tomar
todas as medidas necessárias para garantir que os dados e as informações de segurança não
sejam usados para outros fins que não a manutenção ou melhoria da segurança da aviação, a
menos que se aplique um princípio de exceção.
112/154 MCA 81-4/2023
9.5.2.1 Como os princípios de exceção serão administrados para diversos fins, a autoridade
competente será diferente dependendo da natureza dos dados ou informações em questão e do
tipo de uso que está sendo buscado. A autoridade competente precisará ser capaz de equilibrar
interesses conflitantes, como leis de acesso à informação, regulamentos não relacionados à
segurança da aviação, regras de divulgação de litígios e outros, para que o público tenha
confiança em sua capacidade de tomada de decisão. As autoridades competentes podem
incluir autoridades judiciais, autoridades reguladoras ou outras encarregadas de
responsabilidades aeronáuticas designadas de acordo com o Código Brasileiro de Aeronáutica
e outras legislações pertinentes.
9.5.2.2 Diferentes situações requerem que a utilização dos princípios de exceção (aplicados
em conformidade com o subitem 9.8 da ICA 81-2/2022), sejam observados pelas autoridades
competentes apropriadas, conforme os diferentes propósitos. A Tabela 4 abaixo apresenta
exemplos de situações possíveis e respectivas autoridades competentes.
9.5.3.2 O segundo caso em que uma autoridade competente pode determinar que uma exceção
à regra de proteção se aplica é quando, após revisar os dados de segurança ou informações de
segurança em questão, a autoridade competente determina que a divulgação de tais dados ou
informações é “necessária para a administração adequada da justiça” e “os benefícios de sua
divulgação superam o impacto adverso que tal divulgação provavelmente terá na futura coleta
e disponibilidade de dados de segurança e informações de segurança”.
114/154 MCA 81-4/2023
9.5.3.3 No âmbito individual, tornar a informação pública pode trazer prejuízos ou danos à
pessoa envolvida, como constrangimento e/ou perda potencial de meios de subsistência. Em
um nível mais amplo, a publicação ou divulgação de dados ou informações de segurança, em
casos específicos, pode criar um desincentivo geral para pessoas em situação semelhante, mas
não envolvidas na ação ou procedimento específico, de relatar ou contribuir para a coleta de
tais dados e informações.
9.5.3.4 Ao tomar uma decisão sobre os dois primeiros princípios de exceção, é importante que
a autoridade competente garanta:
a) no primeiro caso, que o conteúdo dos dados de segurança ou informações de
segurança que se pretende divulgar ou utilizar, é necessário para decidir se o ato
ou omissão constitui negligência grave, dolo ou atividade ilícita; ou
b) no segundo caso, que tais dados, informações ou a respectiva fonte sejam
necessários à boa administração e ao andamento da justiça.
9.5.3.5 A autoridade competente determinará se os dados de segurança, as informações de
segurança ou a identidade da fonte de tais dados ou informações são necessários para o caso.
Se uma autoridade competente puder razoavelmente tomar uma decisão sem se referir aos
dados, informações ou fontes protegidas, é importante que seja dada a maior importância à
preservação da proteção dos dados e informações de segurança e fontes relacionadas. Não há
necessidade de prejudicar a coleta e disponibilidade de dados de segurança, quando uma
decisão pode ser tomada pela autoridade competente sem exigir a divulgação (ou uso) de tais
dados e informações. Isso ajudará a garantir a disponibilidade contínua de dados de segurança
e informações de segurança para manter ou melhorar a segurança da aviação.
9.5.3.7 A terceira exceção envolve casos em que, “após análise dos dados de segurança ou
informações de segurança”, a autoridade competente “determina que sua liberação é
necessária para manter ou melhorar a segurança e que os benefícios de sua liberação superam
os efeitos adversos domésticos e impacto que tal divulgação provavelmente terá na futura
coleta e disponibilidade de dados e informações de segurança”. Essa exceção se aplica à
liberação de dados e informações de segurança necessárias para manter ou melhorar a
segurança. Não se aplica ao uso de tais dados ou informações em conexão com ações
preventivas, corretivas ou corretivas tomadas por uma autoridade reguladora que sejam
necessárias para manter ou melhorar a segurança da aviação.
9.5.4.2 Para evitar que surjam situações indesejáveis do tipo mencionado no subitem 9.5.4.1 ,
será prudente garantir que indivíduos e organizações entendam claramente com antecedência
como, quando, onde e para quais fins os dados e informações que eles fornecem podem ser
usados de acordo com a aplicação dos princípios de exceção. Tal entendimento é essencial
para o estabelecimento e manutenção de um ambiente de reportes previsíveis baseado na
confiança. As diretrizes gerais sobre a aplicação dos princípios de exceção pela autoridade
competente estão ilustradas na Figura 20.
9.6.3 Se uma autoridade competente determinar que dados e informações de segurança podem
ser divulgados ao público, espera-se que o Estado garanta que qualquer divulgação pública
seja feita de acordo com as leis de privacidade aplicáveis ou de forma desidentificada,
resumida ou agregada. Mais informações sobre salvaguardas autorizadas estão contidas no
subitem 9.4.3 .
9.7 PROTEÇÃO DE DADOS REGISTRADOS
9.7.1 PROTEÇÃO DE GRAVAÇÕES AMBIENTAIS DO LOCAL DE TRABALHO
9.7.1.1 As gravações de conversas em ambiente no local de trabalho devem fazer parte da
política ou das regras de proteção. A utilização desses registros nos processos de
gerenciamento da segurança operacional, quando permitido por regulamentos ou políticas,
deve respeitar integralmente os princípios de proteção e exceção. O grau de confiança dos
profissionais da organização para a emissão de reportes voluntários é essencial para a gestão
eficaz da segurança. Deve-se envidar todos os esforços para elevar o grau de confiança dos
integrantes de uma organização.
10.1.2.2 O SMS procura conter e/ou mitigar de forma proativa os riscos à segurança
operacional antes que eles resultem em incidentes de tráfego aéreo ou acidentes/incidentes
aeronáuticos.
10.1.2.3 O SMS permite que os provedores de serviços gerenciem com eficácia suas
atividades, seus recursos e o desempenho da segurança operacional, ao mesmo tempo que
proporciona uma maior compreensão da contribuição de seus processos e ferramentas para a
segurança da aviação. Um SMS eficaz demonstra aos órgãos reguladores a capacidade do
PSNA em gerenciar os riscos à segurança operacional de suas operações, o que contribui para
o gerenciamento de segurança eficaz no âmbito do Estado.
COMPONENTE ELEMENTO
Operacional (GRSO). Perigo Fadiga); e
2.2 Avaliação e Mitigação dos Riscos da
Segurança Operacional.
3.1 Controle e Medição do Desempenho da
Segurança Operacional;
3. Garantia da Segurança Operacional.
3.2 Gerenciamento de Mudanças; e
3.3 Melhoria Contínua do SMS.
4.1 Capacitação em Segurança Operacional; e
4. Promoção da Segurança Operacional.
4.2 Comunicação da Segurança Operacional.
10.3 COMPONENTE 1: POLÍTICA E OBJETIVOS DA SEGURANÇA OPERACIONAL
10.3.1 O primeiro componente da estrutura do SMS se concentra na criação de um ambiente
que propicie que o processo gerencial para o gerenciamento de segurança operacional seja
realizado com eficácia. Ele se baseia no estabelecimento de uma política e de objetivos de
segurança operacional que evidenciem o compromisso da Alta Direção com a segurança
operacional, seus objetivos, bem como com a estrutura organizacional necessária para dar
suporte à implementação, à operacionalização e à melhoria contínua do SMS.
10.3.2 O compromisso da Alta Direção com a segurança operacional pode ser demonstrado
pelas decisões tomadas pela Direção e pela alocação e priorização de recursos. Essas decisões
devem sempre ser consistentes com a política e com os objetivos de segurança operacional, a
fim de desenvolver uma cultura de segurança operacional positiva.
segurança. Esse apoio da Alta Direção também pode ser demonstrado pelo alinhamento entre
as atividades desenvolvidas na organização e a política de segurança operacional.
10.3.5.6.1 Os objetivos de segurança operacional devem ser expressos por declarações curtas
e de alto nível, e devem estar relacionados aos principais riscos e às prioridades de segurança
operacional da organização.
10.3.6.3 Espera-se que a organização identifique a pessoa mais adequada para ser o Executivo
Responsável. Devido às atribuições e responsabilidades do Executivo Responsável, é
importante que a sua posição funcional esteja entre os mais altos níveis da estrutura
organizacional, o que facilita a adoção de decisões estratégicas em matéria de segurança
operacional.
10.3.6.8 O Executivo Responsável não pode delegar a sua responsabilidade relativas ao SMS,
muito menos as decisões relativas aos riscos de segurança operacionais. As seguintes
responsabilidades de segurança operacional não podem ser delegadas:
10.3.8.4 O PRE deve abordar emergências previsíveis conforme identificadas por meio do seu
SMS e incluir ações de mitigação, processos e controles para gerenciar com efetividade as
emergências relacionadas à aviação.
10.3.8.5 O PRE deve estabelecer procedimentos tanto para garantir a continuidade segura das
operações do PSNA quanto para o restabelecimento das funcionalidades e o retorno seguro às
operações normais o mais rápido possível.
10.3.8.6 O PRE deve garantir uma transição ordenada, segura e eficiente das operações
normais para as operações em situações de emergência, incluindo a atribuição de
responsabilidades e delegação de autoridade durante as situações de emergências.
10.3.8.7 O PRE deve determinar as ações a serem tomadas pelo pessoal responsável durante
uma emergência. A maioria desses casos exigirá ações coordenadas entre diferentes
organizações, possivelmente com outros provedores de serviços e organizações externas,
como serviços de emergência não aeronáuticos. O PRE deve ser facilmente acessível ao
pessoal-chave apropriado, bem como às organizações externas de coordenação.
10.3.9.2 O MGSO deve incluir uma descrição do sistema e estabelecer os limites do SMS.
Também deve ajudar a esclarecer a relação entre a política, processos, procedimentos e
práticas e definir como eles se relacionam com a política e os objetivos de segurança da
organização. A documentação deve ser adaptada e escrita para abordar as atividades diárias de
gerenciamento de segurança, de modo que sejam facilmente compreendidas pelo pessoal em
toda a organização.
10.3.9.4 O MGSO da organização deve ser mantido atualizado e, caso sejam necessárias
alterações significativas, tal atualização deve ser coordenada com a ASEGCEA antes de
serem introduzidas.
10.3.9.5 Espera-se que o MGSO inclua uma descrição detalhada das políticas, processos e
procedimentos da organização, contemplando:
10.4.1.6 O GRSO informa aos responsáveis por tomar decisões sobre os perigos e riscos
potenciais à segurança nas operações, recomendando formas de mitigá-los.
10.4.1.7 O GRSO fornece um meio para:
a) Identificar potenciais perigos, analisar e avaliar o risco de segurança no ANS;
b) Definir requisitos de segurança para reduzir o risco a um nível aceitável;
c) Identificar metas de desempenho de segurança, as metas mensuráveis usadas
para verificar o risco residual previsto de um perigo; e
d) Definir um plano de monitoramento da segurança operacional para que as
organizações possam determinar se os níveis de risco esperados estão sendo
atendidos e mantidos.
10.4.1.8 Espera-se que as organizações desenvolvam processos sistemáticos e ferramentas de
gerenciamento do risco à segurança operacional bem definidos, de forma a identificar não só
os riscos correntes presentes nas operações de tráfego aéreo nos diversos níveis
organizacionais, mas também os perigos decorrentes de mudanças que ocorrerem no ANS.
10.4.1.9 A ICA 63-26/2010 e o MCA 63-14/2012 apresentam os requisitos, critérios,
procedimentos, processos, metodologia e as ferramentas que detalham o componente
Gerenciamento do Risco à Segurança Operacional.
10.4.1.10 Os PSNA devem utilizar os processos, ferramentas e metodologias apresentadas na
ICA 63-26/2010 e no MCA 63-14/2012 para gerenciar os riscos à segurança operacional de
suas operações.
10.4.1.11 Para o Gerenciamento dos Riscos do Estado, relativos aos Serviços de Navegação
Aérea, devem ser utilizados os processos, ferramentas e metodologias contidas na ICA 63-
26/2010 e no MCA 63-14/2012.
10.5 COMPONENTE 3: GARANTIA DA SEGURANÇA OPERACIONAL
10.5.1 A Garantia da Segurança Operacional do SMS de um PSNA é o componente
responsável por proporcionar ao provedor a capacidade para desenvolver e manter os meios
necessários para verificar o seu desempenho da segurança operacional e validar a efetividade
dos processos de identificação dos perigos e de controle de seus riscos. Desta forma, a
efetividade do componente 3 estará diretamente relacionada à capacidade do PSNA
desenvolver ferramentas que possibilitem assegurar o controle e a validação dos processos de
segurança operacional.
10.5.3 É por meio da Garantia da Segurança Operacional que o PSNA melhora continuamente
o desempenho do seu SMS, desenvolvendo e implementando medidas em resposta a qualquer
problema identificado que seja capaz de gerar um impacto potencial na segurança
operacional.
10.5.4 Com objetivo de melhorar continuamente o desempenho do seu SMS, o PSNA deve
desenvolver e implementar medidas em resposta a qualquer problema identificado capaz de
gerar um impacto potencial na segurança operacional.
10.5.5.2.2 Vistorias internas também são realizadas para avaliar a efetividade do SMS e
identificar na rotina do PSNA áreas com potenciais de melhorias.
NOTA: As causas e fatores contribuintes para a não efetivação dos controles de riscos
devem ser analisados pelo PSNA e as medidas corretivas deverão ser
implementadas.
10.5.5.2.4 O PSNA deve garantir que quaisquer controles de risco à segurança operacional
sejam efetivamente implementados e monitorados.
10.5.5.2.6 As vistorias internas tendem a ser mais eficazes quando realizadas por profissionais
ou setores independentes das funções que estão sendo auditadas. Espera-se que o PSNA
128/154 MCA 81-4/2023
10.5.5.2.7 As vistorias internas nos PSNA devem fornecer ao Executivo Responsável e à Alta
Direção da organização informações sobre os seguintes aspectos:
a) conformidade com a regulamentação;
b) conformidade com políticas, processos e procedimentos;
c) a eficácia dos controles dos riscos à segurança operacional;
d) a eficácia das ações corretivas; e
e) a eficácia do SMS da organização.
10.5.5.2.8 As OPSNA e EPSNA deverão garantir a efetividade das vistorias internas de todos
os PSNA sob sua responsabilidade.
10.5.5.2.11 A vistoria interna realizada no PSNA, seja pela OPSNA, EPSNA ou pelo próprio
PSNA Local, deve ser capaz de fornecer ao Executivo Responsável informações relacionadas
ao nível de conformidade do PSNA, o grau de efetividade dos controles de risco de segurança
operacional e quais ações corretivas ou preventivas são necessárias para alcançar as melhorias
desejáveis para a segurança operacional.
b) Avaliação da Efetividade:
(1) Os usuários entendem o processo ou procedimento de segurança
operacional?
(2) O objetivo do processo ou procedimento de segurança operacional está
sendo alcançado de forma consistente?
(3) Os resultados dos processos ou procedimentos de segurança operacional
atendem às necessidades de seus usuários?
(4) O processo ou procedimento de segurança operacional é revisado
regularmente?
(5) É realizada uma avaliação de risco de segurança operacional quando há
mudanças no processo ou procedimento de segurança operacional?
(6) As melhorias de processo ou procedimento de segurança operacional
resultaram nos benefícios esperados?
10.5.5.2.14 O PSNA deve tratar as não conformidades identificadas pelas vistorias internas
por meio da análise das causas básicas e do desenvolvimento e implementação de planos de
ação corretiva e preventiva.
10.5.5.2.15 A vistoria interna do PSNA deve monitorar os progressos das soluções de não
conformidades previamente identificadas. Os resultados da análise das causas e fatores
contribuintes de eventuais casos de não conformidade devem alimentar os processos de
GRSO dos PSNA.
10.5.5.2.16 Os resultados do processo de auditoria interna constituem uma das várias entradas
para as funções do GRSO e Garantia de Segurança Operacional. As auditorias internas
disponibilizam aos gestores dos PSNA informações sobre o nível de conformidade dentro da
organização, o nível de eficácia dos controles de risco de segurança e onde são necessárias
ações corretivas ou preventivas.
10.5.5.2.17 Uma das funções de supervisão da segurança operacional, incluindo o
monitoramento dos resultados das auditorias internas dos PSNA, são realizadas pela
ASEGCEA por meio das vistorias de segurança operacional, conforme os critérios e
procedimentos estabelecidos no MCA 81-3/2022.
NOTA: O PSNA deve ser capaz de identificar os perigos e analisar e controlar os riscos
conforme os procedimentos definidos para a identificação de perigos ou pelo
GRSO.
10.5.6.3 O PSNA deve levar em conta as seguintes considerações em seus processos de
gerenciamento da mudança:
10.5.6.5 O PSNA deve definir os gatilhos para o processo formal de mudança. As mudanças
que podem desencadear o gerenciamento formal de mudanças incluem:
vistoria interna. Deve-se reconhecer que manter e melhorar continuamente o SMS é uma
atividade permanente, pois a própria organização e o ambiente operacional estarão em
constante mudança.
10.5.7.3 A efetividade do SMS não deve se basear apenas em IDSO. Considerando seu
tamanho e complexidade, os PSNA devem ter como objetivo implementar uma variedade de
métodos para determinar essa efetividade, medindo os resultados diretos e, também, os
resultados dos processos, além de avaliar as informações coletadas por meio das ferramentas
do SMS. Esses métodos podem incluir:
a) vistorias: isso inclui vistorias internas e vistorias realizadas por outras
organizações;
b) avaliações: inclui avaliações da cultura de segurança e efetividade do SMS;
c) monitoramento de ocorrências: monitorar a recorrência de eventos que impactam
a segurança operacional, incluindo acidentes, incidentes e ocorrências
operacionais, bem como erros e situações de violação das regras;
d) pesquisas de segurança operacional: inclui as pesquisas de fator operacional e
pesquisas culturais que forneçam feedback útil sobre o envolvimento da equipe
com o SMS, podendo também podem fornecer um indicador da cultura de
segurança do PSNA;
e) revisões de gestão: exame que avalia se os objetivos de segurança estão sendo
alcançados pelo PSNA. São também uma oportunidade de examinar todas as
informações de desempenho de segurança operacional disponíveis para
identificar tendências gerais, pois, é necessário que a alta administração analise a
eficácia do SMS. Essa revisão pode ser realizada como uma das funções do
comitê de segurança de mais alto nível, na presença do ER;
f) avaliação de IDSO e MDSO: parte da revisão de análise crítica pela direção. Ela
deve considerar as tendências e, quando apropriado, a disponibilidade dos dados
de segurança operacional. Nessa avaliação pode ser adotado o uso de benchmark
ou uma comparação a outros PSNA ou dados nacionais ou internacionais; e
g) abordagem de lições aprendidas: a divulgação dos resultados dos sistemas de
notificação e investigações de segurança feitas pelo PSNA deve levar à
implementação de melhorias de segurança.
134/154 MCA 81-4/2023
10.6.4.3 O programa de treinamento deve ser adaptado às necessidades das funções de cada
indivíduo dentro do SMS. Por exemplo, o nível e a profundidade do treinamento para gerentes
seniores envolvidos nos comitês de segurança da organização serão mais extensos do que para
o pessoal diretamente envolvido com a entrega de produtos ou serviços da organização. O
pessoal não envolvido diretamente nas operações pode exigir apenas uma visão geral de alto
nível do SMS da organização.
NOTA: A presença de pessoal treinado e capacitado adequadamente para desempenhar
suas funções de SMS, independentemente de seu nível na organização, é uma
indicação do compromisso do Executivo Responsável com um SMS eficaz.
MCA 81-4/2023 135/154
10.6.4.5.2 Uma análise típica deve ser iniciada com a identificação de seu público-alvo, que
geralmente inclui as seguintes etapas:
a) deve ser identificado cada grupo de profissionais e de que forma eles irão
interagir com os processos, entradas e saídas de gerenciamento de segurança
operacional, em particular com as tarefas de segurança operacional;
b) devem ser identificados os conhecimentos e competências necessários para
desempenhar cada função de segurança operacional exigidos por cada grupo de
profissionais;
c) deve ser conduzida uma análise para identificar a lacuna entre as habilidades e
conhecimentos de segurança operacionais atuais e aqueles necessários para
desempenhar com eficácia as funções de segurança operacionais alocadas;
d) dever ser identificada a abordagem mais adequada para o desenvolvimento de
conhecimento e competências para cada grupo, com o objetivo de desenvolver
um programa de treinamento e capacitação apropriado para o envolvimento de
cada indivíduo ou grupo na gestão da segurança operacional; e
e) deve ser conduzida uma análise para identificar novos conhecimentos e
competências a serem atendidos por meio de um programa de treinamento
recorrente.
10.6.4.6 O PSNA deve identificar o método apropriado para o treinamento e capacitação
desenvolvidos. O objetivo principal é que, após a conclusão da formação, o profissional esteja
preparado para o desempenho das suas funções de SMS. É muito importante que os
Instrutores tenham o conhecimento e a competência necessária, pois seu compromisso,
habilidades para o ensino e a experiência em gerenciamento de segurança operacional terão
136/154 MCA 81-4/2023
10.6.4.7 O PSNA deve determinar quem deve ser treinado ou capacitado e em que
profundidade conforme seu nível de suas funções no SMS. A maioria das pessoas que
trabalham na organização tem alguma relação direta ou indireta com a segurança da aviação e,
portanto, tem algumas funções de SMS. Isso se aplica a qualquer pessoal diretamente
envolvido na entrega de produtos e serviços, e pessoal envolvido nos comitês de segurança da
organização.
NOTA: Profissionais administrativos e outros que dão suporte ao SMS devem ser
treinados ou capacitados em SMS, conforme o nível de suas funções no SMS.
10.6.5.4 O PSNA deve considerar se alguma das informações de segurança listadas acima
precisa ser comunicada a organizações externas.
NOTA: Isso pode ser feito como parte das atividades de vistoria interna ou ao avaliar a
eficácia do SMS.
10.6.5.6 Espera-se que as atividades de promoção da segurança operacional sejam realizadas
ao longo do ciclo de vida do SMS, não apenas no início.
10.7.1.2 A maioria das organizações é composta por uma rede complexa de interfaces e
interações envolvendo diferentes departamentos internos, bem como diferentes organizações
externas que contribuem para a operação segura da organização. A prática da descrição do
sistema permite que a organização tenha uma visão mais clara de suas muitas interações e
interfaces. Isso permitirá melhor gerenciamento do risco de segurança e dos controles de risco
de segurança, se descritos, e ajudará a entender o impacto das mudanças nos processos e
procedimentos de seu SMS.
10.7.1.4 Muitas vezes, um “sistema” é composto pela integração de vários sistemas, que
também pode ser visto como um sistema com subsistemas. Esses sistemas e suas interações
entre si constituem as fontes de perigos e contribuem para o controle dos riscos de segurança.
Os sistemas importantes incluem aqueles que podem impactar diretamente a segurança da
aviação e aqueles que afetam o desempenho ou capacidade de uma organização de realizar
um gerenciamento de segurança eficaz.
10.7.1.5 É importante que uma visão geral da descrição do sistema e das interfaces do SMS
seja incluída na documentação do SMS. Uma descrição do sistema pode incluir uma lista com
marcadores com referências a políticas e procedimentos. Uma representação gráfica, como
um fluxograma de processo ou organograma anotado, pode ser suficiente para algumas
organizações. É importante que uma organização use um método e formato que funcione para
MCA 81-4/2023 139/154
essa organização.
10.7.1.6 Como cada organização é única, não existe um método “genérico” para a
implementação do SMS. Espera-se que cada organização implemente um SMS que funcione
para sua situação única. É importante que cada organização defina por si mesma como
pretende cumprir os requisitos fundamentais. Para isso, cada organização deve preparar uma
descrição do sistema que identifique suas estruturas organizacionais, processos e arranjos de
negócios que considere importantes para as funções de gerenciamento da segurança. É
importante que com base na descrição do sistema, a organização identifique ou desenvolva
políticas, processos e procedimentos e que estabeleçam seus próprios requisitos de
gerenciamento da segurança.
10.7.1.7 Quando uma organização decide fazer uma mudança significativa ou substantiva nos
processos identificados na descrição do sistema, é importante que as mudanças sejam vistas
como potencialmente afetando sua avaliação de risco de segurança da linha de base. É
importante que, assim, a descrição do sistema seja revisada como parte do gerenciamento dos
processos de mudança.
10.7.3.3 Algumas das interfaces internas podem ser com setores da organização não
diretamente associadas à segurança, como marketing, finanças, jurídico e recursos humanos.
Essas áreas podem afetar a segurança por meio de suas decisões que impactam nos recursos e
investimentos internos, bem como por meio de acordos e contratos com organizações
externas, e podem não necessariamente abordar a segurança.
10.7.3.4 É importante que uma vez identificadas as interfaces SMS o provedor de serviços
considere sua criticidade relativa. Isso permite que o provedor de serviços priorize o
gerenciamento das interfaces mais críticas e seus possíveis riscos de segurança. Coisas a
considerar são:
10.7.3.5.2 Com base nos riscos de segurança identificados, o provedor de serviços pode
considerar trabalhar com a outra organização para determinar e definir uma estratégia
apropriada de controle de riscos de segurança. Ao envolver a outra organização, eles podem
contribuir para identificar perigos, avaliar o risco de segurança, bem como determinar o
controle de risco de segurança apropriado. Esse esforço colaborativo é necessário porque a
percepção dos riscos de segurança pode não ser a mesma para cada organização. O controle
de risco pode ser realizado pelo provedor de serviços ou pela organização externa.
Isso pode significar que a natureza crítica da interface é diferente para cada organização, pois
podem aplicar diferentes classificações de risco de segurança e ter diferentes prioridades de
risco de segurança (em termos de desempenho de segurança, recursos, tempo, etc.).
10.7.4.2 É importante que o provedor de serviço realize uma análise de suas atividades para
determinar o nível adequado de recursos para gerenciar o SMS. É importante que isso inclua a
determinação da estrutura organizacional necessária para gerenciar o SMS. Isso inclui
considerações sobre quem será responsável por gerenciar e manter o SMS, quais comitês de
segurança são necessários, se houver, e a necessidade de especialistas de segurança
específicos.
optar por implementar um único sistema de gerenciamento para cobrir todas as suas
atividades. É importante que o provedor de serviços decida a melhor forma de integrar ou
segregar seu SMS para atender às suas necessidades de negócios ou organizacionais.
10.7.5.4 Um provedor de serviços também pode considerar a aplicação do SMS a outras áreas
que não tenham um requisito regulatório atual para um SMS. É importante que os provedores
de serviços determinem os meios mais adequados para integrar ou segregar seu sistema de
gerenciamento para se adequar ao seu modelo de negócios, ambiente operacional, requisitos
regulamentares e estatutários, bem como às expectativas da comunidade aeronáutica.
Qualquer que seja a opção escolhida, é importante que ela ainda garanta que satisfaz aos
requisitos do SMS.
10.7.6.2 É importante que o plano de implementação do SMS forneça uma visão clara dos
recursos, tarefas e processos necessários para implementar o SMS. O momento e a sequência
do plano de implementação podem depender de uma variedade de fatores que serão
específicos de cada organização, como:
a) requisitos regulamentares, do cliente e estatutários;
b) múltiplos certificados detidos (com datas de implementação regulamentar
possivelmente diferentes);
c) até que ponto o SMS pode se basear em estruturas e processos existentes;
d) a disponibilidade de recursos e orçamentos;
e) interdependências entre diferentes etapas (é importante que um sistema de
relatos seja implementado antes de estabelecer um sistema de análise de
dados); e
f) a cultura de segurança existente.
10.7.6.3 É importante que o plano de implementação de SMS seja desenvolvido em consulta
com o Executivo Responsável e outros administradores superiores, e que inclua quem é
responsável pelas ações, junto com os prazos. É importante que o plano aborde a coordenação
com organizações externas ou contratados, quando aplicável.
MCA 81-4/2023 145/154
10.7.6.5 Também é fundamental que tanto o Estado quanto o provedor de serviço reconheçam
que alcançar um SMS eficaz pode levar vários anos. É importante que os provedores de
serviços consultem seu Estado, pois pode haver requisitos para uma abordagem em fases para
a implementação do SMS.
146/154 MCA 81-4/2023
11 DISPOSIÇÕES FINAIS
11.1 As sugestões para o contínuo aperfeiçoamento desta publicação deverão ser enviadas
acessando o link específico da publicação, por intermédio dos endereços eletrônicos
http://publicacoes.decea.intraer/ ou http://publicacoes.decea.gov.br/.
11.2 Os casos não previstos nesta Instrução serão submetidos ao Diretor-Geral do DECEA.
MCA 81-4/2023 147/154
REFERÊNCIAS
Anexo B – Eventos