Escolar Documentos
Profissional Documentos
Cultura Documentos
Confiabilidade
Sidney W.A. Dekker and David D. Woods
Lund University School of Aviation SE—260 70
Ljungbyhed Sweden
Introdução
Para ter certeza, segurança não é o mesmo que confiabilidade. Uma peça pode ser
confiável, mas por si só não pode ser segura. Ele pode desempenhar sua função
declarada no nível ou quantidade esperados, mas é o contexto, o contexto de outras
partes, da dinâmica e das interações e adaptações cruzadas entre as partes, que tornam
as coisas seguras ou inseguras. A confiabilidade como uma propriedade de engenharia
pode ser expressa como a taxa de falha de um componente ou probabilidades ao longo
de um período de tempo. Em outras palavras, ele aborda a questão de saber se um
componente cumpre seus critérios de desempenho pré-especificados.
Organizacionalmente, a confiabilidade é frequentemente associada a uma redução na
variabilidade e, concomitantemente, a um aumento na replicabilidade: o mesmo processo,
bem guardado, produz os mesmos resultados previsíveis. Tornar-se altamente confiável
pode ser um objetivo desejável para operações inseguras ou moderadamente seguras
(Amalberti, 2001). A produção garantida de resultados padrão por meio do desempenho
consistente dos componentes é uma forma de reduzir a probabilidade de falha nessas
operações, e muitas vezes é expressa como um impulso para eliminar erros e falhas
técnicas.
Em sistemas moderadamente seguros, como indústrias químicas, condução ou
vôos fretados, abordagens baseadas em confiabilidade ainda podem gerar retornos de
segurança significativos (Amalberti, 2001). As regulamentações e os procedimentos de
segurança têm uma forma de convergir a prática em uma base comum de desempenho
comprovado. Coletar histórias sobre eventos negativos de quase-acidente (erros,
incidentes) tem a vantagem de que os mesmos encontros com risco aparecem em
acidentes reais que acontecem naquele sistema. Há, em outras palavras, uma
sobreposição entre os ingredientes dos incidentes e os ingredientes dos acidentes:
recombinar narrativas de incidentes tem valor preditivo (e potencialmente preventivo).
Finalmente, desenvolver projetos resistentes e tolerantes a erros ajuda a evitar que erros
se tornem incidentes ou acidentes.
O monitoramento do desempenho por meio de auditorias de segurança
operacional, contagem de erros, coleta de dados de voo e tabulações de incidentes
tornou-se institucionalizado e, em muitos casos, exigido por legislação ou
regulamentação. A última encarnação, um esforço integrador para tornar tanto a gestão
de segurança quanto sua fiscalização mais ágeis com outros processos organizacionais,
é conhecida como Sistema de Gestão de Segurança (SGS), que agora é exigido na
maioria dos países ocidentais pelos reguladores. Os sistemas de gestão de segurança
normalmente abrangem um processo para identificar perigos para a segurança da
aviação e para avaliar e gerenciar os riscos associados, um processo para garantir que o
pessoal seja treinado e competente para desempenhar suas funções e um processo para
o relatório interno e análise de perigos, incidentes e acidentes e por tomar ações
corretivas para prevenir sua reincidência. O SGS também é sobre si mesmo; sobre a
responsabilidade burocrática que tanto representa quanto gera. Os reguladores
normalmente exigem que um SGS contenha uma documentação considerável contendo
todos os processos do sistema de gestão de segurança e um processo para conscientizar
o pessoal de suas responsabilidades com relação a eles. A garantia de qualidade e a
gestão da segurança no setor aéreo são frequentemente mencionadas na mesma frase
ou usadas sob o título de um departamento. A relação é tida como não problemática ou
mesmo coincidente. A garantia da qualidade é vista como uma atividade fundamental na
gestão de riscos. Uma boa gestão de qualidade ajudará a garantir a segurança. Essa
ideia, juntamente com a crescente implementação do SGS, pode de fato ter ajudado a
aviação a atingir recordes de segurança ainda mais fortes do que antes, pois os SGSs
ajudam a concentrar a atenção dos tomadores de decisão na gestão de riscos e nos
aspectos de segurança das mudanças organizacionais e tecnológicas, forçando uma
consideração ativa e documentação de como esse risco deve ser gerenciado.
Uma possível desvantagem é que programas de garantia de qualidade pura (ou
confiabilidade no sentido original da engenharia) contêm suposições de decomposição
que podem não ser realmente aplicáveis a sistemas que são tão complexos quanto a
aviação (veja Leveson, 2006). Por exemplo, sugere que cada componente ou subsistema
(camada de defesa) opera de forma razoavelmente independente, para que os resultados
de uma análise de segurança (por exemplo, inspeção ou certificação de pessoas ou
componentes ou subsistemas) não sejam distorcidos quando começamos a colocar o
pedaços juntos novamente. Também assume que os princípios que governam a
montagem de todo o sistema a partir de seus subsistemas ou componentes constituintes
são diretos. E que as interações, se houver, entre os subsistemas serão lineares: não
sujeitas a loops de feedback imprevistos ou interações não lineares.
…devemos ser extremamente sensíveis às limitações dos remédios conhecidos. Embora a boa
gestão e o desenho organizacional possam reduzir os acidentes em certos sistemas, eles nunca
podem evitá-los... as falhas do sistema técnico podem ser mais difíceis de evitar do que até os
mais pessimistas entre nós poderiam acreditar. O efeito de forças sociais não reconhecidas e
invisíveis sobre a informação, interpretação, conhecimento e – em última análise – ação são
muito difíceis de identificar e controlar.
A segurança desses sistemas torna-se assintótica em torno de uma fronteira mítica, colocada em
torno de 5 × 10—7 riscos de acidente desastroso por unidade de segurança no sistema. A partir
de hoje, nenhum sistema homem-máquina jamais cruzou essa fronteira, de fato, as soluções
agora projetadas tendem a ter efeitos desonestos quando os sistemas beiram a segurança total.
A perspectiva HRO deu credibilidade à noção de segurança como algo que uma
organização faz, não algo que uma organização possui. Como podemos reunir alguns
desses resultados de pesquisa em orientações úteis para organizações na aviação e
em outros lugares? Como podemos manter a crença de uma organização em sua
própria operação segura contínua curiosa, de mente aberta, complexamente
sensibilizada, convidativa à dúvida e ambivalente em relação ao passado? Resiliência
é, de certa forma, a mais recente agenda de ação da HRO, com alguns dos seguintes
itens:
A coragem de dizer não. Ter uma pessoa ou função dentro do sistema com
autoridade, credibilidade e recursos para ir contra interpretações e decisões comuns
sobre segurança e risco (Woods, 2006). Uma mudança nos trade-offs de metas
organizacionais geralmente ocorre gradualmente, à medida que a pressão leva a um
foco estreito em alguns objetivos, enquanto obscurece o trade-off com outros objetivos.
Esse processo geralmente acontece quando metas agudas, como produção/eficiência,
têm precedência sobre metas crônicas, como segurança. Se os sinais de “aviso”
incertos sempre levassem as organizações a fazer sacrifícios no cronograma e na
eficiência, seria difícil atender às demandas competitivas e das partes interessadas.
Por outro lado, se os sinais de “alerta” incertos são sempre racionalizados, a
organização está agindo de forma muito mais arriscada do que imagina ou deseja. Às
vezes, as pessoas precisam de coragem para colocar metas crônicas à frente de
metas agudas de curto prazo. Assim, é necessário que as organizações apoiem as
pessoas quando elas têm a coragem de dizer “não” (por exemplo, em procedimentos,
treinamento, feedback sobre desempenho), pois esses momentos servem como
lembretes de preocupações crônicas, mesmo quando a organização está sob pressões
agudas que facilmente pode superar os avisos (ver Dekker, 2007, sobre como criar
uma Cultura Justa). Sistemas resilientes são construídos nesta função em níveis
organizacionais significativos, que se relacionam com o próximo ponto.
A capacidade de trazer novas perspectivas. Sistemas que aplicam novas
perspectivas (por exemplo, pessoas de outras origens, diversos pontos de vista) em
atividades de resolução de problemas parecem ser mais eficazes: eles geram mais
hipóteses, cobrem mais contingências, debatem abertamente os fundamentos da
tomada de decisão, revelam suposições ocultas (Watts-Perotti). & Woods, 2009). Em
estudos de HRO de algumas organizações, a rotação constante de pessoal revelou-se
valiosa em parte porque ajudou a introduzir novos pontos de vista de uma forma
organizacional e hierarquicamente legítima (Rochlin, 1999). Crucialmente importante
aqui também é o papel dos pontos de vista minoritários, aqueles que podem ser
facilmente descartados porque representam a dissidência de um grupo menor. Os
pontos de vista minoritários podem ser bloqueados porque se desviam da
interpretação dominante, o que poderá gerar muitas razões pelas quais a visão
minoritária não compreende as condições atuais e retarda os planos formais das
organizações (Woods, 2006b). As leituras alternativas que os pontos de vista das
minorias representam, no entanto, podem oferecer um novo ângulo que revela
aspectos da prática que foram obscurecidos da perspectiva dominante (Starbuck e
Farjoun, 2005). Historicamente, os “denunciantes” podem vir de escalões mais baixos,
onde a quantidade de conhecimento sobre a extensão do problema não é igualada
pela autoridade ou recursos para fazer algo a respeito ou fazer com que o sistema
mude de rumo (Vaughan, 1996). No entanto, em julgamentos arriscados, temos que
nos submeter àqueles com experiência técnica (e temos que estabelecer um processo
de resolução de problemas que envolva aqueles que têm experiência em reconhecer
anomalias no evento).
Tudo isso pode servir para manter viva a discussão sobre o risco mesmo (ou
especialmente) quando tudo parece seguro. Uma maneira é ver se as atividades
associadas à recalibração dos modelos de segurança e risco estão acontecendo.
Incentivar esse comportamento normalmente cria fóruns onde as partes interessadas
podem discutir riscos mesmo quando não há evidência de risco presente em termos de
estatísticas de segurança atuais. Como Weick (1993) ilustra, a confiança extrema e a
cautela extrema podem paralisar pessoas e organizações porque patrocinam uma
mente fechada que evita a curiosidade ou aprofunda as incertezas (ver também
DeKeyser e Woods, 1990). Mas se as discussões sobre risco estão acontecendo
mesmo na ausência de ameaças óbvias à segurança, pode-se ter alguma confiança de
que uma organização está investindo em uma análise, e possivelmente em uma crítica
e atualização subsequente, de seus modelos de como ela cria segurança.
Conhecer a lacuna entre o trabalho como imaginado e o trabalho como
praticado. Um marcador de resiliência é a distância entre as operações como a
administração imagina que elas acontecem e como elas realmente acontecem. Uma
grande distância indica que a liderança organizacional pode estar mal calibrada para
os desafios e riscos encontrados nas operações reais. Além disso, eles também
podem perder como a segurança é realmente criada à medida que as pessoas
realizam o trabalho, constroem o discurso e a racionalidade em torno dele e obtêm
significado a partir dele (Weick et al., 1999; Dekker, 2006).
Monitoramento do monitoramento de segurança (ou meta monitoramento). Ao
desenvolver suas estratégias de segurança e contra medidas de risco, as
organizações devem investir na conscientização dos modelos de risco em que
acreditam e aplicam. Isso é importante se as organizações desejam evitar mecanismos
de enfrentamento obsoletos, confiança equivocada em como regulam ou verificam a
segurança e se não desejam perder novos caminhos possíveis para o fracasso. Esse
meta monitoramento obviamente representaria uma nova tarefa interessante para os
reguladores da aviação em todo o mundo, mas também se aplica reflexivamente a eles
mesmos. O ingrediente mais importante da engenharia de um sistema resiliente é
testar constantemente se as ideias sobre risco ainda correspondem à realidade; se o
modelo de operações (e o que as torna seguras ou inseguras) ainda está atualizado –
em todos os níveis da hierarquia operacional, gerencial e regulatória.
Esses mecanismos produzirão uma organização que prevê a mudança de riscos antes
que ocorram falhas e danos.
Referências
Air Accident Investigation and Aviation Safety Board (AAIASB). (2006). Aircraft accident
report (11/2006): Helios Airways flight HCY522, Boeing 737–31S at Grammatiko, Hellas
on 14 August 2005. Athens, Greece: Helenic Republic Ministry of Transport and
Communications.
De Keyser , V., & Woods, D. D. (1990). Fixation errors: Failures to revise situation
assessment in dynamic and risky systems. In A. G. Colombo and A. Saiz de
Bustamante (Eds.), System reliability assessment (pp. 231–251). The Netherlands:
Kluwer Academic.
Dekker , S. W. A. (2005). Ten questions about human error: A new view of human
factors and system safety. Mahwah, NJ: Lawrence Erlbaum Associates.
Gras, A., Moricot, C., Poirot-Delpech, S. L., & Scardigli, V. (1994). Faced with
automation: The pilot, the controller, and the engineer (trans. J. Lundsten). Paris:
Publications de la Sorbonne.
Hollnagel, E., Leveson, N., & Woods, D. D. (Eds.), (2006). Resilience engineering:
Concepts and precepts. Aldershot, UK: Ashgate.
LaPorte, T. R., & Consolini, P. M. (1991). Working in Practice but not in Theory:
Theoretical Challenges of High-Reliability Organizations. Journal of public
administration research and theory, 1, 19–47.
Patterson, E. S., Roth, E. M., Woods, D. D., Chow , R., & Gomez, J. O. (2004). Handoff
strategies in settings with high consequences for failure: Lessons for health care
operations. International journal for quality in health care, 16(2), 125–132.
Rochlin, G. I., LaPorte, T. R., & Roberts, K. H. (1987). The self-designing high-
reliability organization: aircraft carrier flight operations at sea. Naval War College
Review Autumn 1987.
Snook, S. A. (2000). Friendly fire: the accidental shootdown of us black hawks over
northern Iraq. Princeton, NJ: Princeton University Press.
Starbuck, W. H., & Farjoun, M. (Eds.), (2005). Organization at the limit: lessons from
the columbia disaster. London: Blackwell Publishing.
Vaughan, D. (1996). The challenger launch decision: risky technology, culture and
deviance at NASA. Chicago: University of Chicago Press.
Weick, K. E., Sutcliffe, K. M., & Obstfeld, D. (1999). Organizing for high reliability:
Processes of collective mindfulness. Research in organizational behavior, 21, 13–81.
Woods, D.D (2003). Creating foresight: How resilience engineering can transform
NASA’s approach to risky decision making. US Senate Testimony for the Committee on
Commerce, Science and Transportation, John McCain, chair. Washington, DC, October
29 2003. http://csel.eng.ohio-state.edu/podcasts/woods/.
Woods, D. D. (2006b). How to design a safety organization: Test case for resilience
engineering. In E. Hollnagel, D. D. Woods, & N. Leveson (Eds.), Resilience
engineering: concepts and precepts (pp. 315–324). Aldershot, UK: Ashgate.
Woods, D. D., & Cook, R. I. (2003). Mistaking error . In M. J. Hatlie & B. J. Youngberg
(Eds.), Patient safety handbook (pp. 95–108). Sudbury, MA: Jones and Bartlett.
Woods, D. D., Dekker, S. W. A., Cook, R. I., Johannesen, L., & Sarter, N. (in press).
Behind Human Error (2nd ed). Aldershot, UK: Ashgate.