A perspectiva da Organização de Alta

Confiabilidade
Sidney W.A. Dekker and David D. Woods
Lund University School of Aviation SE—260 70
Ljungbyhed Sweden

Introdução

A teoria de alta confiabilidade descreve a extensão e a natureza do esforço que as

pessoas, em todos os níveis de uma organização, têm que se engajar para garantir
operações consistentemente seguras, apesar de sua complexidade e riscos inerentes.
Baseia-se em uma base de pesquisa empírica que mostra como a segurança se origina
em grande parte nas atividades gerenciais e operacionais das pessoas em todos os níveis
de uma organização. A perspectiva das Organizações de Alta Confiabilidade (HROs) é
relevante aqui, uma vez que a aviação tem feito um trabalho eficaz em institucionalizar e
sistematizar seu aprendizado com incidentes e acidentes. A HRO, no entanto, tenta ir
mais longe – levando o aprendizado adiante no tempo, estudando como as atividades
gerenciais e operacionais podem incentivar a exploração e a troca de informações
relacionadas à segurança. O objetivo é captar os primeiros sinais de que o problema pode
estar no horizonte e, então, ser capaz de fazer modificações sem ter que esperar pelos
sinais mais óbvios de falha na forma de incidentes ou acidentes. As HROs são capazes
de permanecer curiosas sobre suas próprias operações e continuar se perguntando por
que são bem-sucedidas. Eles mantêm a mente aberta sobre as fontes de risco, tentam
permanecer sensíveis a múltiplas fontes de informações de segurança, continuam a
suscitar dúvidas e opiniões minoritárias e permanecem ambivalentes em relação ao
passado, para que a confiança adquirida em resultados anteriores não seja tomada como
garantia. - garantia de segurança futura (Weick, 1993).
Este primeiro capítulo considera algumas das origens do HRO, depois aborda a
parte “confiabilidade” de seu rótulo aplicado à segurança da aviação em parte com base
em um exemplo de acidente de sistemas e conclui como a Engenharia de Resiliência
representa a agenda de ação da HRO (Hollnagel et al., 2006). Com um conjunto
emergente de técnicas e modelos para rastrear como as organizações aprendem, se
adaptam e mudam sem esperar por grandes falhas, a Engenharia de Resiliência
apresenta maneiras de indicar onde o excesso de confiança nos resultados anteriores
pode estar ocorrendo, onde os pontos de vista minoritários podem correr o risco de serem
subestimados e onde o desempenho agudo ou as demandas de produção podem superar
as preocupações crônicas de segurança. A razão pela qual essa instrumentalidade é
importante para a aviação é tanto sua alta segurança quanto sua complexidade: os
acidentes há muito deixaram de ser o resultado de falhas de componentes únicos. Pelo
contrário, eles emergem da complexidade organizada do sistema (Amalberti, 2001). É
preciso mais do que rastrear o comportamento de componentes individuais para prever se
os sistemas de aviação podem continuar lidando com mudanças e complexidades.

HRO: Algumas origens

Por meio de uma série de estudos empíricos, pesquisadores da HRO
descobriram que, por meio de objetivos de segurança de liderança, manutenção de
sistemas relativamente fechados, descentralização funcional, criação de uma cultura
de segurança, redundância de equipamentos e pessoal e aprendizado sistemático, as
organizações podem alcançar a consistência e estabilidade necessária para efetuar
operações quase sem falhas (LaPorte e Consolini, 1991). Algumas dessas categorias
foram muito inspiradas pelos mundos estudados – operações aéreas de porta-aviões
navais, por exemplo (Rochlin, LaPorte e Roberts, 1987). Lá, em um sistema fechado
relativamente autocontido e desconectado, o aprendizado sistemático era um
subproduto automático das rápidas rotações do pessoal naval, transformando todos
em instrutor e aprendiz, muitas vezes ao mesmo tempo. A descentralização funcional
fez com que atividades complexas (como pousar uma aeronave e detê-la com o fio na
tensão correta) fossem decompostas em tarefas mais simples e relativamente
homogêneas, delegadas em pequenos grupos de trabalho com autonomia substancial
para intervir e interromper todo o processo. independente da classificação. Os
pesquisadores da HRO encontraram muitas formas de redundância – em sistemas
técnicos, suprimentos e até mesmo em hierarquias de tomada de decisão e
gerenciamento, este último por meio de unidades de sombra e multiqualificação.
Quando os pesquisadores da HRO começaram a examinar como a segurança é
criada e mantida em sistemas tão complexos, eles adotaram uma abordagem que
pode ser encontrada em partes dos fatores humanos da aviação hoje. Eles se
concentraram em erros e outros indicadores negativos, como incidentes, assumindo
que essas eram as unidades básicas que as pessoas nessas organizações usavam
para mapear as propriedades físicas e dinâmicas de segurança de suas tecnologias de
produção, em última análise, para controlar o risco (Rochlin, 1999). A suposição deu
errado: elas não eram. As pessoas operacionais, aquelas que trabalham na ponta
afiada de uma organização, dificilmente definem a segurança em termos de
gerenciamento de risco ou prevenção de erros. O trabalho empírico subsequente da
HRO, que se estende por décadas e uma infinidade de domínios complexos e de alto
risco (aviação, energia nuclear, gerenciamento de rede elétrica, marinha) pintaria um
quadro mais complexo e, em muitos aspectos, mais construtivo, com segurança não
sendo a ausência de negativos, mas sim a presença de certas atividades para
gerenciar o risco. A HRO começou a descrever como a segurança operacional – como
é criada, mantida, discutida, mitificada – deve ser capturada muito mais do que o
controle de negativos. Como Rochlin (1999, p. 1549) colocou,

a cultura de segurança observada é uma crença dinâmica, construída intersubjetivamente, na

possibilidade de continuidade da segurança operacional, instanciada pela experiência de
antecipação de eventos que poderiam ter levado a erros graves, e complementada pela
expectativa contínua de surpresa futura.

A criação de segurança, em outras palavras, envolve uma crença sobre a

possibilidade de continuar operando com segurança (Woods e Cook, 2003). Essa
crença é construída e compartilhada entre aqueles que fazem o trabalho todos os dias.
Ela é moderada ou até mantida em parte pela preparação constante para surpresas
futuras – preparação para situações que podem desafiar as suposições atuais das
pessoas sobre o que torna sua operação arriscada ou segura. E sim, é também uma
crença pontuada por encontros com o risco. Mas erros, ou quaisquer outros aspectos
negativos, funcionam no máximo como o tempero narrativo que mantém a crença
saborosa e digna de ser compartilhada. Eles acabaram não sendo sua substância
principal.Curiosamente, o rótulo “Alta Confiabilidade" cresceu cada vez mais em
desacordo com as descobertas que essa escola produziu. O que foi um esforço de
pesquisa para examinar como os sistemas de alto risco podem produzir resultados de
alta confiabilidade, apesar de seu perigo inerente (ou seja, medido em termos de
redução de negativos ou eventos de falha), transformado em uma descoberta de
segurança como uma construção social reflexiva que desafiou virtualmente todas as
orientações metodológicas, ontológicas e teóricas disponíveis na época. A segurança,
concluiu HRO, não existe “lá fora”, independente das mentes ou ações das pessoas
que a criam através de sua prática, simplesmente para ser descoberta, desnudada, por
aqueles com o instrumento de medição correto. Saber sobre segurança não pode ser
sinônimo de tabulação de medidas “objetivas” do desempenho do mundo real. E, de
fato, o valor preditivo de tais medidas geralmente é bastante decepcionante. Embora
garantir o desempenho consistente e confiável dos componentes (tanto humanos
quanto de máquinas) tenha sido um contribuinte extremamente importante para o
histórico de segurança bem-sucedido da aviação até o momento, há limites para essa
abordagem, principalmente quando se trata de evitar acidentes complexos do sistema
que surgem do normal funcionamento de sistemas de transporte já quase totalmente
seguros (Amalberti, 2001).

Confiabilidade e seus efeitos na segurança

Para ter certeza, segurança não é o mesmo que confiabilidade. Uma peça pode ser
confiável, mas por si só não pode ser segura. Ele pode desempenhar sua função
declarada no nível ou quantidade esperados, mas é o contexto, o contexto de outras
partes, da dinâmica e das interações e adaptações cruzadas entre as partes, que tornam
as coisas seguras ou inseguras. A confiabilidade como uma propriedade de engenharia
pode ser expressa como a taxa de falha de um componente ou probabilidades ao longo
de um período de tempo. Em outras palavras, ele aborda a questão de saber se um
componente cumpre seus critérios de desempenho pré-especificados.
Organizacionalmente, a confiabilidade é frequentemente associada a uma redução na
variabilidade e, concomitantemente, a um aumento na replicabilidade: o mesmo processo,
bem guardado, produz os mesmos resultados previsíveis. Tornar-se altamente confiável
pode ser um objetivo desejável para operações inseguras ou moderadamente seguras
(Amalberti, 2001). A produção garantida de resultados padrão por meio do desempenho
consistente dos componentes é uma forma de reduzir a probabilidade de falha nessas
operações, e muitas vezes é expressa como um impulso para eliminar erros e falhas
técnicas.
Em sistemas moderadamente seguros, como indústrias químicas, condução ou
vôos fretados, abordagens baseadas em confiabilidade ainda podem gerar retornos de
segurança significativos (Amalberti, 2001). As regulamentações e os procedimentos de
segurança têm uma forma de convergir a prática em uma base comum de desempenho
comprovado. Coletar histórias sobre eventos negativos de quase-acidente (erros,
incidentes) tem a vantagem de que os mesmos encontros com risco aparecem em
acidentes reais que acontecem naquele sistema. Há, em outras palavras, uma
sobreposição entre os ingredientes dos incidentes e os ingredientes dos acidentes:
recombinar narrativas de incidentes tem valor preditivo (e potencialmente preventivo).
Finalmente, desenvolver projetos resistentes e tolerantes a erros ajuda a evitar que erros
se tornem incidentes ou acidentes.
O monitoramento do desempenho por meio de auditorias de segurança
operacional, contagem de erros, coleta de dados de voo e tabulações de incidentes
tornou-se institucionalizado e, em muitos casos, exigido por legislação ou
regulamentação. A última encarnação, um esforço integrador para tornar tanto a gestão
de segurança quanto sua fiscalização mais ágeis com outros processos organizacionais,
é conhecida como Sistema de Gestão de Segurança (SGS), que agora é exigido na
maioria dos países ocidentais pelos reguladores. Os sistemas de gestão de segurança
normalmente abrangem um processo para identificar perigos para a segurança da
aviação e para avaliar e gerenciar os riscos associados, um processo para garantir que o
pessoal seja treinado e competente para desempenhar suas funções e um processo para
o relatório interno e análise de perigos, incidentes e acidentes e por tomar ações
corretivas para prevenir sua reincidência. O SGS também é sobre si mesmo; sobre a
responsabilidade burocrática que tanto representa quanto gera. Os reguladores
normalmente exigem que um SGS contenha uma documentação considerável contendo
todos os processos do sistema de gestão de segurança e um processo para conscientizar
o pessoal de suas responsabilidades com relação a eles. A garantia de qualidade e a
gestão da segurança no setor aéreo são frequentemente mencionadas na mesma frase
ou usadas sob o título de um departamento. A relação é tida como não problemática ou
mesmo coincidente. A garantia da qualidade é vista como uma atividade fundamental na
gestão de riscos. Uma boa gestão de qualidade ajudará a garantir a segurança. Essa
ideia, juntamente com a crescente implementação do SGS, pode de fato ter ajudado a
aviação a atingir recordes de segurança ainda mais fortes do que antes, pois os SGSs
ajudam a concentrar a atenção dos tomadores de decisão na gestão de riscos e nos
aspectos de segurança das mudanças organizacionais e tecnológicas, forçando uma
consideração ativa e documentação de como esse risco deve ser gerenciado.
Uma possível desvantagem é que programas de garantia de qualidade pura (ou
confiabilidade no sentido original da engenharia) contêm suposições de decomposição
que podem não ser realmente aplicáveis a sistemas que são tão complexos quanto a
aviação (veja Leveson, 2006). Por exemplo, sugere que cada componente ou subsistema
(camada de defesa) opera de forma razoavelmente independente, para que os resultados
de uma análise de segurança (por exemplo, inspeção ou certificação de pessoas ou
componentes ou subsistemas) não sejam distorcidos quando começamos a colocar o
pedaços juntos novamente. Também assume que os princípios que governam a
montagem de todo o sistema a partir de seus subsistemas ou componentes constituintes
são diretos. E que as interações, se houver, entre os subsistemas serão lineares: não
sujeitas a loops de feedback imprevistos ou interações não lineares.

Os pressupostos de tal abordagem de confiabilidade (ou garantia de qualidade)

implicam que a aviação deve continuar a buscar sistemas com alto desempenho teórico
e alto potencial de segurança. Uma parte menos útil dessa noção, é claro, é a
eliminação de falhas de componentes (por exemplo, erros humanos), mas ainda é um
objetivo amplamente perseguido, às vezes sugerindo que a indústria da aviação hoje é
a guardiã de um sistema já seguro que precisa proteção contra componentes
imprevisíveis e erráticos que são suas fontes restantes de falta de confiabilidade. Essa
abordagem de bom senso, diz Amalberti (2001), que de fato pode ter ajudado a aviação
a alcançar os níveis de segurança atuais, talvez seja menos aplicável a um sistema que
possui os níveis de complexidade e segurança já usufruídos hoje. Isso é repetido por
Vaughan (1996, p. 416):

…devemos ser extremamente sensíveis às limitações dos remédios conhecidos. Embora a boa
gestão e o desenho organizacional possam reduzir os acidentes em certos sistemas, eles nunca
podem evitá-los... as falhas do sistema técnico podem ser mais difíceis de evitar do que até os
mais pessimistas entre nós poderiam acreditar. O efeito de forças sociais não reconhecidas e
invisíveis sobre a informação, interpretação, conhecimento e – em última análise – ação são
muito difíceis de identificar e controlar.

À medida que o progresso em segurança na aviação se tornou assintótico, a

otimização dessa abordagem provavelmente não gerará retornos de segurança
significativos. De fato, pode haver indicações de que extensões lineares contínuas de
uma abordagem de confiabilidade de componente tradicional poderiam paradoxalmente
ajudar a produzir um novo tipo de acidente de sistema na fronteira de uma prática
quase totalmente segura (Amalberti, 2001, p. 110):

A segurança desses sistemas torna-se assintótica em torno de uma fronteira mítica, colocada em
torno de 5 × 10—7 riscos de acidente desastroso por unidade de segurança no sistema. A partir
de hoje, nenhum sistema homem-máquina jamais cruzou essa fronteira, de fato, as soluções
agora projetadas tendem a ter efeitos desonestos quando os sistemas beiram a segurança total.

O acidente de aviação descrito na seção a seguir pode ilustrar alguns dos

desafios futuros em termos de pensar sobre o que confiabilidade (ou HRO) realmente
deveria significar na aviação. Por meio de uma concorrência de funções e eventos, dos
quais uma barreira linguística era um produto e também constitutivo, o vôo de um
Boeing 737 para fora de Chipre em 2005 pode ter sido empurrado para além da borda
do caos, para aquela área de comportamento dinâmico não linear onde surgiram
novos comportamentos do sistema que poderiam ser difíceis de prever usando uma
lógica de decomposição. O acidente nos encoraja a considerar a HRO por sua
capacidade de monitorar as propriedades do sistema de ordem superior: a capacidade
do sistema de reconhecer, adaptar e absorver interrupções que estão fora dos
distúrbios para os quais foi projetado para lidar.

Um acidente talvez além do alcance da confiabilidade tradicional

Em 13 de agosto de 2005, no voo anterior ao acidente, um Boeing 737-300 da

Helios Airways voou de Londres para Larnaca, Chipre. A tripulação de cabine notou
um problema com uma das portas e convenceu a tripulação de voo a escrever que a
“porta de serviço da popa requer inspeção completa” no diário de bordo da aeronave.
Uma vez em Larnaca, um engenheiro de solo realizou uma inspeção da porta e
realizou uma verificação de vazamento de pressurização da cabine durante a noite.
Não encontrou defeitos. A aeronave foi liberada da manutenção às 03:15 e
programada para o vôo 522 às 06:00 via Atenas, Grécia para Praga, República Tcheca
(AAISASB, 2006).

Poucos minutos após a decolagem de Larnaca, o comandante ligou pelo rádio

para a companhia em Chipre para relatar um problema com a refrigeração de seu
equipamento e a buzina de configuração de decolagem (que avisa os pilotos que a
aeronave não está configurada adequadamente para decolagem, embora
evidentemente já havia decolado com sucesso). Um engenheiro de solo foi chamado
para falar com o capitão, o mesmo engenheiro de solo que havia trabalhado na
aeronave na noite anterior. O engenheiro de solo pode ter suspeitado que os
interruptores de pressurização poderiam estar em ação (já que ele havia acabado de
trabalhar no sistema de pressurização da aeronave), mas sua sugestão para esse
efeito ao capitão não foi executada. Em vez disso, o capitão queria saber onde
estavam os disjuntores para o resfriamento de seu equipamento para poder puxá-los e
religá-los.

Durante esta conversa, as máscaras de oxigênio foram instaladas na cabine de

passageiros, como são projetadas para fazer quando a altitude da cabine excede
14.000 pés. A conversa com o engenheiro de solo terminou, e seria a última que teria
sido ouvida do vôo 522. Horas depois, a aeronave finalmente ficou sem combustível e
caiu em um terreno montanhoso ao norte de Atenas. Todos a bordo estavam mortos
há horas, exceto um comissário de bordo que possuía uma licença de piloto comercial.
Provavelmente usando garrafas de oxigênio médico para sobreviver, ele finalmente
conseguiu entrar na cabine, mas seus esforços para salvar a aeronave chegaram tarde
demais. O sistema de pressurização foi ajustado para manual para que o engenheiro
pudesse realizar a verificação de vazamento. Nunca havia sido ajustado para
automático (o que é feito no cockpit), o que significava que a aeronave não se
pressurizava durante a subida, a menos que um piloto tivesse controlado manualmente
a válvula de saída de pressurização durante toda a subida. O oxigênio dos
passageiros estava disponível há não mais de 15 minutos, o comandante havia saído
de seu assento e o co-piloto não havia colocado uma máscara de oxigênio.

O Helios 522 é ilustrativo, pois nada estava “errado” com os componentes.

Todos eles atenderam aos critérios aplicáveis. “O capitão e o primeiro oficial foram
licenciados e qualificados de acordo com os regulamentos aplicáveis e os requisitos do
operador. Seu tempo de serviço, tempo de voo, tempo de descanso e padrões de
atividade de serviço estavam de acordo com os regulamentos. Os comissários de
bordo foram treinados e qualificados para exercer suas funções de acordo com as
exigências existentes” (AAISASB, 2006, p. 112). Além disso, ambos os pilotos foram
declarados clinicamente aptos, embora as autópsias tenham revelado obstrução
arterial significativa que pode ter exacerbado os efeitos da hipóxia. E embora existam
variações no que significa conformidade com JAR em toda a Europa, o regulador
cipriota (Chipre DAC, ou Departamento de Aviação Civil) cumpriu os padrões em JAR
OPS 1 e Parte 145. Isso foi observado com a ajuda da CAA do Reino Unido, que
forneceu inspetores para operações de voo e auditorias de aeronavegabilidade por
meio de contratos com o DAC. A Helios e a organização de manutenção foram ambas
certificadas pela DCA.

O capitão alemão e o copiloto cipriota cumpriram os critérios estabelecidos para

os seus trabalhos. Mesmo quando se tratava de inglês, eles passavam. Eles estavam
dentro da largura de banda do controle de qualidade dentro do qual achamos que a
segurança do sistema é garantida, ou pelo menos altamente provável. Essa camada
de defesa - se você optar por falar essa língua - não tinha brechas até onde nosso
sistema de verificação e regulamentação pudesse determinar antecipadamente. E
pensamos que poderíamos alinhar esses subsistemas linearmente, sem interações
complicadas. Um capitão alemão, apoiado por um copiloto cipriota. Em uma fuselagem
certificada há muito tempo, mantida por uma organização aprovada. A montagem do
sistema total não poderia ser mais simples. E deve ter, deveria ter sido seguro.

No entanto, havia a fragilidade de ter componentes individuais atendendo a

critérios pré-especificados, que se tornaram aparentes quando problemas combinados
empurravam as demandas de coordenação da tripulação para além da rotina. Como
observou a AAISASB, “a facilidade de uso do inglês suficiente para o desempenho de
tarefas no curso de um voo normal e rotineiro não implica necessariamente que a
comunicação no estresse e na pressão do tempo de uma situação anormal seja
igualmente eficaz. A situação anormal pode potencialmente exigir palavras que não
fazem parte do vocabulário “normal” (palavras e termos técnicos usados em uma
língua estrangeira em circunstâncias normais), potencialmente deixando dois pilotos
incapazes de se expressar com clareza. Além disso, o desempenho humano, e
particularmente a memória, é conhecido por sofrer os efeitos do estresse, o que
implica que, em uma situação estressante, a busca e a escolha de palavras para
expressar sua preocupação em uma língua não nativa podem ser severamente
comprometidas. …Em especial, houve dificuldades devido ao fato de o capitão falar
com sotaque alemão e não ser compreendido pelo engenheiro britânico. O engenheiro
britânico não confirmou isso, mas afirmou que também era incapaz de entender a
natureza do problema que o capitão estava enfrentando” (pp. 122-123).

A ironia é que o sistema regulatório projetado para padronizar a segurança da

aviação em toda a Europa, através de sua harmonização do licenciamento de
tripulação, também legalizou a mistura de um grande número de culturas e idiomas de
tripulação dentro de um único avião, do grego ao norueguês, do esloveno para
holandês. Em 14 de agosto de 2005, esse sistema certificado pode não ter sido capaz
de reconhecer, adaptar e absorver uma interrupção que estivesse fora do conjunto de
distúrbios para o qual foi projetado. O “ajuste estocástico” (ver Snook, 2000) que juntou
esta tripulação, este engenheiro, desta companhia aérea, nesta fuselagem, com estas
anomalias do sistema, neste dia, superou como todos nós aprendemos a nos adaptar,
criar e manter a segurança em uma indústria já muito segura. O Helios 522 atesta que
a qualidade de componentes individuais ou subsistemas nem sempre pode prever
efetivamente como eles podem se recombinar para criar novos caminhos para a falha
(ver Dekker, 2005).
Emergência e Resiliência
O Helios 522, em certo sentido, representa a incapacidade temporária de lidar
efetivamente com a complexidade. Isso é verdade, é claro, para a tripulação do cockpit
depois de sair de Larnaca, mas isso é ainda mais interessante em um nível de sistema
maior. Foi o sistema de certificação de pilotos e companhias aéreas, regulação, em um
ambiente de escassez e competição, com novos operadores em um papel de mercado
que eles não apenas cumprem, mas também ajudam a constituir além das fronteiras
tradicionais da Velha Europa – que não conseguiam reconhecer, adaptar para e
absorver uma interrupção que estava fora do conjunto de distúrbios que o sistema foi
projetado para lidar (ver Rochlin, 1999; Weick et al., 1999; Woods, 2003; 2005;
Hollnagel et al., 1996). O “ajuste estocástico” (ver Snook, 2000) ou ressonância
funcional (Hollnagel, Woods e Leveson, 2006) que juntou esta tripulação, desta
companhia aérea, nesta fuselagem, com estas anomalias do sistema, neste dia, de
certa forma desafiou como uma indústria aprendeu a se adaptar, criar e manter a
segurança quando já era muito segura.
Pode ser interessante passar de uma interpretação mecanicista de sistemas
complexos para uma interpretação sistêmica. Uma máquina pode ser controlada e
“falhará” ou terá um desempenho inferior ou terá problemas quando um ou mais de
seus componentes quebrarem. Em contraste, um sistema vivo pode ser perturbado em
vários graus. Consequentemente, seu funcionamento é muito menos binário e
potencialmente muito mais resiliente. Essa resiliência significa que a falha não é
realmente, ou nem pode ser, o resultado da quebra de componentes individuais ou
compostos. Em vez disso, está relacionado à capacidade do sistema de se adaptar e
absorver variações, mudanças, distúrbios, interrupções e surpresas. Se ele se adaptar
bem, absorver de forma eficaz, mesmo as quebras de componentes compostos podem
não prejudicar as chances de sobrevivência. A United 232 em julho de 1989 é um
exemplo disso. Depois de perder o controle das superfícies de controle da aeronave
como resultado de uma falha no motor central que rasgou fragmentos em todas as três
linhas hidráulicas próximas, a tripulação descobriu como manobrar a aeronave com
empuxo diferencial em dois motores restantes. Eles conseguiram colocar o DC-10
avariado em Sioux City, salvando 185 vidas de 293.
Coisas simples podem gerar resultados muito complexos que não poderiam ser
previstos apenas olhando para as próprias partes. Pequenas mudanças no estado
inicial de um sistema complexo (por exemplo, um piloto cipriota e alemão, em vez de,
digamos, dois cipriotas) podem alterar drasticamente o resultado final. A razão
subjacente para isso é que os sistemas complexos são dinamicamente estáveis, não
estaticamente (como as máquinas): a instabilidade surge não dos componentes, mas
da concorrência de funções e eventos no tempo. A essência da resiliência é a
capacidade intrínseca de um sistema de manter ou recuperar um estado
dinamicamente estável (Hollnagel, Woods e Leveson, 2006).
Profissionais e organizações, como sistemas adaptativos, avaliam e revisam
continuamente suas abordagens de trabalho na tentativa de permanecerem sensíveis
à possibilidade de falha. Os esforços para criar segurança, em outras palavras, estão
em andamento. O não sucesso está relacionado aos limites do atual modelo de
competência e, em uma organização que aprende, reflete a descoberta desses limites.
As estratégias que profissionais e organizações (incluindo reguladores e inspetores)
mantêm para lidar com possíveis caminhos para o fracasso podem ser fortes ou
resilientes (ou seja, bem calibradas) ou fracas e equivocadas (ou seja, mal calibradas).
Organizações e pessoas também podem se tornar excessivamente confiantes em
quão bem calibradas são suas estratégias. Organizações de alta confiabilidade
permanecem alertas para sinais de que circunstâncias existem, ou estão se
desenvolvendo, nas quais essa confiança é errônea ou mal colocada (Rochlin, 1993;
Gras, Moricot, Poirot-Delpech e Scardigli, 1994). Isso, afinal, pode evitar interpretações
estreitas de risco e estratégias obsoletas (por exemplo, verificar a qualidade dos
componentes).

Resiliência é a capacidade do sistema de se ajustar efetivamente a influências

perigosas, em vez de resistir ou desviá-las (Hollnagel, Woods e Leveson, 2006). A
razão para isso é que essas influências também são ecologicamente adaptativas e
ajudam a garantir a sobrevivência do sistema. Envolver tripulações de diferentes
países (com salários mais baixos) torna possível continuar voando mesmo com os
preços do petróleo em níveis recordes. Mas o ajuste efetivo a essas influências
potencialmente perigosas não ocorreu em nenhum nível do sistema neste caso. A
perspectiva de sistemas, de organizações vivas cuja estabilidade é dinamicamente
emergente e não estruturalmente inerente, significa que a segurança é algo que um
sistema faz, não algo que um sistema tem (Hollnagel, Woods e Leveson, 2006;
Hollnagel, 2009). As falhas representam rupturas nas adaptações direcionadas ao
enfrentamento da complexidade (Woods, 2003). O aprendizado e a adaptação,
conforme defendido pela HRO, são contínuos – sem isso, a segurança não pode ser
mantida em um ambiente organizacional dinâmico e mutável. Como a pesquisa HRO
descobriu, isso envolve múltiplas racionalidades, reflexividade e autoconsciência, uma
vez que a capacidade de identificar situações que tinham potencial para evoluir para
problemas reais (e separá-las das que não o fizeram) faz parte da operação segura
como construção social. Grupos de atores posicionados de forma diferente estão
aprendendo, e estão aprendendo coisas diferentes em momentos diferentes – nunca
excluindo sua própria estrutura ou relações sociais do discurso no qual essa
aprendizagem está inserida (Rochlin, 1999).
Garantindo a Resiliência em Organizações de Alta Confiabilidade

A perspectiva HRO deu credibilidade à noção de segurança como algo que uma
organização faz, não algo que uma organização possui. Como podemos reunir alguns
desses resultados de pesquisa em orientações úteis para organizações na aviação e
em outros lugares? Como podemos manter a crença de uma organização em sua
própria operação segura contínua curiosa, de mente aberta, complexamente
sensibilizada, convidativa à dúvida e ambivalente em relação ao passado? Resiliência
é, de certa forma, a mais recente agenda de ação da HRO, com alguns dos seguintes
itens:

Não tomar o sucesso passado como garantia de segurança futura. O sistema vê

o sucesso operacional contínuo como uma garantia de segurança futura, como uma
indicação de que os perigos não estão presentes ou que as contramedidas em vigor
são suficientes? Em seu trabalho, os pesquisadores da HRO descobriram como a
operação segura na aviação comercial depende em parte dos operadores da linha de
frente tratarem seu ambiente operacional não apenas como inerentemente arriscado,
mas também como ativamente hostil àqueles que estimam mal esse risco (Rochlin,
1993). A confiança no equipamento e no treinamento não elimina a necessidade que
os operadores veem de vigilância constante para sinais de que uma situação está se
desenvolvendo em que essa confiança é errônea ou mal colocada (Rochlin, 1999).
Weick (1993) cita o exemplo dos índios Naskapi que usam ossos do ombro de caribu
para localizar a caça. Eles seguram os ossos sobre o fogo até que eles quebrem e
depois caçam nas direções para onde as rachaduras apontam. Isso significa que as
decisões futuras sobre onde caçar não são influenciadas pelo sucesso passado, de
modo que o estoque de animais não se esgota e a caça não tem chance de se
habituar aos padrões de caça dos índios. Não apenas os resultados passados não são
tomados como motivo de confiança nos resultados futuros – não fazê-lo, na verdade,
aumenta as chances futuras de sucesso.

Distanciamento por diferenciação. Nesse processo, os membros da organização

olham para outros incidentes ou falhas em outras organizações ou subunidades como
não relevantes para eles e sua situação (Cook e Woods, 2006). Eles descartam outros
eventos porque parecem diferentes ou distantes. Mas só porque a organização ou
seção tem problemas técnicos diferentes, configurações operacionais diferentes,
gerentes diferentes, histórias diferentes, ou pode alegar já ter abordado uma
determinada preocupação de segurança revelada pelo evento, não significa que ela
esteja imune ao problema. Eventos aparentemente divergentes podem representar
padrões subjacentes semelhantes na deriva em direção ao perigo.

Resolução fragmentada de problemas. Pode ser interessante investigar até que

ponto as atividades de resolução de problemas são desarticuladas entre
departamentos organizacionais, seções ou subcontratados, pois descontinuidades e
transferências internas de tarefas aumentam o risco (Patterson, Roth, Woods, Chow e
Gomez, 2004). Com informações incompletas, desconexas e irregulares, ninguém
pode ser capaz de reconhecer a erosão gradual das restrições de segurança no
projeto e operação do sistema original (Woods, 2005). Os pesquisadores da HRO
descobriram que a importância da informação de fluxo livre não pode ser
superestimada. Uma troca espontânea e contínua de informações relevantes para o
funcionamento normal do sistema oferece um pano de fundo a partir do qual os sinais
de problemas podem ser detectados por aqueles com experiência para fazê-lo (Weick,
1993; Rochlin, 1999). A pesquisa feita sobre transferências, que é um dispositivo de
coordenação para evitar a fragmentação da resolução de problemas (Patterson et al.,
2004), identificou alguns dos custos potenciais de não ser informado, esquecer ou
mal-entendido as informações comunicadas. Esses custos, para a tripulação de
entrada, incluem:

● Ter um modelo incompleto do estado do sistema;

● Não ter conhecimento de dados ou eventos significativos;
● Estar despreparado para lidar com impactos de eventos anteriores;
● Não antecipar eventos futuros;
● Falta de conhecimento necessário para realizar tarefas com segurança;
● Descartar ou refazer atividades que estão em andamento ou que a equipe
 concordou em fazer;
● Criar uma mudança injustificada em metas, decisões, prioridades ou planos.

A coragem de dizer não. Ter uma pessoa ou função dentro do sistema com
autoridade, credibilidade e recursos para ir contra interpretações e decisões comuns
sobre segurança e risco (Woods, 2006). Uma mudança nos trade-offs de metas
organizacionais geralmente ocorre gradualmente, à medida que a pressão leva a um
foco estreito em alguns objetivos, enquanto obscurece o trade-off com outros objetivos.
Esse processo geralmente acontece quando metas agudas, como produção/eficiência,
têm precedência sobre metas crônicas, como segurança. Se os sinais de “aviso”
incertos sempre levassem as organizações a fazer sacrifícios no cronograma e na
eficiência, seria difícil atender às demandas competitivas e das partes interessadas.
Por outro lado, se os sinais de “alerta” incertos são sempre racionalizados, a
organização está agindo de forma muito mais arriscada do que imagina ou deseja. Às
vezes, as pessoas precisam de coragem para colocar metas crônicas à frente de
metas agudas de curto prazo. Assim, é necessário que as organizações apoiem as
pessoas quando elas têm a coragem de dizer “não” (por exemplo, em procedimentos,
treinamento, feedback sobre desempenho), pois esses momentos servem como
lembretes de preocupações crônicas, mesmo quando a organização está sob pressões
agudas que facilmente pode superar os avisos (ver Dekker, 2007, sobre como criar
uma Cultura Justa). Sistemas resilientes são construídos nesta função em níveis
organizacionais significativos, que se relacionam com o próximo ponto.
A capacidade de trazer novas perspectivas. Sistemas que aplicam novas
perspectivas (por exemplo, pessoas de outras origens, diversos pontos de vista) em
atividades de resolução de problemas parecem ser mais eficazes: eles geram mais
hipóteses, cobrem mais contingências, debatem abertamente os fundamentos da
tomada de decisão, revelam suposições ocultas (Watts-Perotti). & Woods, 2009). Em
estudos de HRO de algumas organizações, a rotação constante de pessoal revelou-se
valiosa em parte porque ajudou a introduzir novos pontos de vista de uma forma
organizacional e hierarquicamente legítima (Rochlin, 1999). Crucialmente importante
aqui também é o papel dos pontos de vista minoritários, aqueles que podem ser
facilmente descartados porque representam a dissidência de um grupo menor. Os
pontos de vista minoritários podem ser bloqueados porque se desviam da
interpretação dominante, o que poderá gerar muitas razões pelas quais a visão
minoritária não compreende as condições atuais e retarda os planos formais das
organizações (Woods, 2006b). As leituras alternativas que os pontos de vista das
minorias representam, no entanto, podem oferecer um novo ângulo que revela
aspectos da prática que foram obscurecidos da perspectiva dominante (Starbuck e
Farjoun, 2005). Historicamente, os “denunciantes” podem vir de escalões mais baixos,
onde a quantidade de conhecimento sobre a extensão do problema não é igualada
pela autoridade ou recursos para fazer algo a respeito ou fazer com que o sistema
mude de rumo (Vaughan, 1996). No entanto, em julgamentos arriscados, temos que
nos submeter àqueles com experiência técnica (e temos que estabelecer um processo
de resolução de problemas que envolva aqueles que têm experiência em reconhecer
anomalias no evento).
Tudo isso pode servir para manter viva a discussão sobre o risco mesmo (ou
especialmente) quando tudo parece seguro. Uma maneira é ver se as atividades
associadas à recalibração dos modelos de segurança e risco estão acontecendo.
Incentivar esse comportamento normalmente cria fóruns onde as partes interessadas
podem discutir riscos mesmo quando não há evidência de risco presente em termos de
estatísticas de segurança atuais. Como Weick (1993) ilustra, a confiança extrema e a
cautela extrema podem paralisar pessoas e organizações porque patrocinam uma
mente fechada que evita a curiosidade ou aprofunda as incertezas (ver também
DeKeyser e Woods, 1990). Mas se as discussões sobre risco estão acontecendo
mesmo na ausência de ameaças óbvias à segurança, pode-se ter alguma confiança de
que uma organização está investindo em uma análise, e possivelmente em uma crítica
e atualização subsequente, de seus modelos de como ela cria segurança.
Conhecer a lacuna entre o trabalho como imaginado e o trabalho como
praticado. Um marcador de resiliência é a distância entre as operações como a
administração imagina que elas acontecem e como elas realmente acontecem. Uma
grande distância indica que a liderança organizacional pode estar mal calibrada para
os desafios e riscos encontrados nas operações reais. Além disso, eles também
podem perder como a segurança é realmente criada à medida que as pessoas
realizam o trabalho, constroem o discurso e a racionalidade em torno dele e obtêm
significado a partir dele (Weick et al., 1999; Dekker, 2006).
Monitoramento do monitoramento de segurança (ou meta monitoramento). Ao
desenvolver suas estratégias de segurança e contra medidas de risco, as
organizações devem investir na conscientização dos modelos de risco em que
acreditam e aplicam. Isso é importante se as organizações desejam evitar mecanismos
de enfrentamento obsoletos, confiança equivocada em como regulam ou verificam a
segurança e se não desejam perder novos caminhos possíveis para o fracasso. Esse
meta monitoramento obviamente representaria uma nova tarefa interessante para os
reguladores da aviação em todo o mundo, mas também se aplica reflexivamente a eles
mesmos. O ingrediente mais importante da engenharia de um sistema resiliente é
testar constantemente se as ideias sobre risco ainda correspondem à realidade; se o
modelo de operações (e o que as torna seguras ou inseguras) ainda está atualizado –
em todos os níveis da hierarquia operacional, gerencial e regulatória.

Organizações de alta resiliência

Nas últimas duas décadas, pesquisas de alta confiabilidade começaram a

mostrar como as organizações podem gerenciar pressões agudas de desempenho e
produção em um equilíbrio constantemente dinâmico com preocupação crônica com a
segurança. Segurança não é algo que essas organizações têm, é algo que as
organizações fazem. Profissionais e organizações, como sistemas adaptativos,
avaliam e revisam continuamente seu trabalho para permanecerem sensíveis à
possibilidade de falha. Esforços para criar segurança estão em andamento, mas nem
sempre com sucesso. Uma organização geralmente é incapaz de mudar seu modelo
de si mesma, a menos e até que se acumulem evidências esmagadoras que exija a
revisão do modelo. Essa é uma garantia de que a organização tenderá a aprender
tarde, ou seja, revisar seu modelo de risco somente após a ocorrência de eventos
graves. O cerne é perceber as informações que alteram os modelos de risco anteriores
e questionam a eficácia das ações anteriores de redução de risco, sem ter que esperar
por evidências claras e completas. Se a revisão ocorrer apenas quando as evidências
forem esmagadoras, há um grave risco de uma organização agir de forma muito
arriscada e descobrir apenas por quase acidentes, incidentes graves ou até mesmo
danos reais. A prática de revisar avaliações de risco precisa ser contínua.

A pesquisa organizacional de alta confiabilidade é, e sempre será, um trabalho

em andamento, pois sua linguagem para acomodar os resultados e as persuasões
metodológicas para encontrá-los e defendê-los evolui o tempo todo. Já é óbvio, porém,
que as noções tradicionais de engenharia de confiabilidade (que a segurança pode ser
mantida mantendo o desempenho dos componentes do sistema dentro de larguras de
banda aceitáveis e pré-especificadas) têm muito pouco a ver com o que torna as
organizações altamente confiáveis (ou melhor, resilientes). À medida que o progresso
em segurança na aviação se tornou assintótico, a otimização dessa abordagem de
confiabilidade provavelmente não gerará retornos de segurança significativos. Na
verdade, aderir a ela pode tornar-se parcialmente constitutivo de novos tipos de
acidentes do sistema, como ilustrado pelo caso Helios 522 neste capítulo. A falha na
aviação hoje não é realmente, ou não é de nenhuma maneira interessante ou
preditivamente poderosa, o resultado da quebra de componentes individuais ou
compostos. Em vez disso, está relacionado à capacidade da indústria de se adaptar e
absorver efetivamente variações, mudanças, distúrbios, interrupções e surpresas.
A Engenharia de Resiliência é construída com base em insights derivados, em
parte, do trabalho da HRO descrito aqui (Weick et al., 1999; Sutcliffe & Vogus, 2003).
Preocupa-se com a avaliação do risco organizacional, ou seja, o risco de que falhas na
tomada de decisão organizacional produzam desvios não reconhecidos em direção
aos limites do fracasso. Embora a avaliação de riscos técnicos seja um tipo de entrada
na Engenharia de Resiliência, o objetivo é monitorar a tomada de decisão
organizacional. Por exemplo, a Engenharia de Resiliência monitoraria evidências de
que verificações cruzadas eficazes estão bem integradas quando decisões arriscadas
são tomadas ou que a organização está fornecendo prática suficiente para lidar com
anomalias simuladas (e que tipo de anomalias são praticadas).
Outras dimensões do risco organizacional incluem o compromisso da
administração em equilibrar as pressões agudas de produção com as pressões
crônicas de proteção. Sua disposição de investir em segurança e alocar recursos para
a melhoria da segurança de maneira oportuna e proativa, apesar das pressões sobre a
produção e a eficiência, são fatores-chave para garantir uma organização resiliente. O
grau em que o relato de preocupações e problemas de segurança é verdadeiramente
aberto e incentivado fornece outra fonte significativa de resiliência dentro da
organização. Avaliar a resposta da organização a incidentes indica se existe uma
cultura de aprendizado ou uma cultura de negação. Outras dimensões das
organizações que podem ser monitoradas incluem:
Preparação/Antecipação: a organização é proativa em pegar evidências de
problemas em desenvolvimento versus apenas reagir depois que os problemas se
tornam significativos?
Opacidade/Observabilidade – a organização monitora os limites de segurança e
reconhece o quão perto está do “limite” em termos de defesas e barreiras degradadas?
Até que ponto as informações sobre questões de segurança são amplamente
distribuídas por toda a organização em todos os níveis versus mantidas de perto por
alguns indivíduos?
Flexibilidade/rigidez – como a organização se adapta a mudanças, interrupções
e oportunidades?
No futuro, organizações de aviação bem-sucedidas e altamente confiáveis se
tornarão habilidosas nos três fundamentos da Engenharia de Resiliência:

(1) detectar sinais de aumento do risco organizacional, especialmente quando as

pressões de produção são intensas ou crescentes;
(2) ter os recursos e autoridade para fazer investimentos extras em segurança
precisamente nos momentos em que parece menos acessível;
(3) ter um meio de reconhecer quando e onde fazer investimentos direcionados para
controlar os sinais crescentes de risco organizacional e reequilibrar a segurança e a
troca de produção.

Esses mecanismos produzirão uma organização que prevê a mudança de riscos antes
que ocorram falhas e danos.

Referências

Air Accident Investigation and Aviation Safety Board (AAIASB). (2006). Aircraft accident
report (11/2006): Helios Airways flight HCY522, Boeing 737–31S at Grammatiko, Hellas
on 14 August 2005. Athens, Greece: Helenic Republic Ministry of Transport and
Communications.

Amalberti, R. (2001). The paradoxes of almost totally safe transportation systems.

Safety science, 37, 109–126.

Cook, R. I., Woods, D. D. (2006). Distancing through Differencing: An Obstacle to

Learning Following Accidents. In E. Hollnagel, D. D. Woods, and N. Leveson (Eds.),
Resilience engineering: concepts and precepts (pp. 329–338). Aldershot, UK: Ashgate.

De Keyser , V., & Woods, D. D. (1990). Fixation errors: Failures to revise situation
assessment in dynamic and risky systems. In A. G. Colombo and A. Saiz de
Bustamante (Eds.), System reliability assessment (pp. 231–251). The Netherlands:
Kluwer Academic.
Dekker , S. W. A. (2005). Ten questions about human error: A new view of human
factors and system safety. Mahwah, NJ: Lawrence Erlbaum Associates.

Dekker , S. W. A. (2006 ). Resilience Engineering: Chronicling the emergence of a

confused consensus. In E. Hollnagel, D. D. Woods, & N. Leveson (Eds.), Resilience
engineering: concepts and precepts (pp. 77–92). Aldershot, UK: Ashgate.

Dekker , S. W. A. (2007). Just Culture: Balancing safety and accountability . Aldershot,

UK: Ashgate.

Gras, A., Moricot, C., Poirot-Delpech, S. L., & Scardigli, V. (1994). Faced with
automation: The pilot, the controller, and the engineer (trans. J. Lundsten). Paris:
Publications de la Sorbonne.

Hollnagel, E. (2009). The ETTO principle, efficiency-thoroughness tradeoff: Why things

that go right sometimes go wrong. Aldershot, UK: Ashgate.

Hollnagel, E., Leveson, N., & Woods, D. D. (Eds.), (2006). Resilience engineering:
Concepts and precepts. Aldershot, UK: Ashgate.

LaPorte, T. R., & Consolini, P. M. (1991). Working in Practice but not in Theory:
Theoretical Challenges of High-Reliability Organizations. Journal of public
administration research and theory, 1, 19–47.

Leveson, N. (2006). A new approach to system safety engineering. Cambridge, MA:

Aeronautics and Astronautics, Massachusetts Institute of Technology .

Patterson, E. S., Roth, E. M., Woods, D. D., Chow , R., & Gomez, J. O. (2004). Handoff
strategies in settings with high consequences for failure: Lessons for health care
operations. International journal for quality in health care, 16(2), 125–132.

Reason, J. T. (1990). Human error. Cambridge, UK: Cambridge University Press.

Rochlin, G. I., LaPorte, T. R., & Roberts, K. H. (1987). The self-designing high-
reliability organization: aircraft carrier flight operations at sea. Naval War College
Review Autumn 1987.

Rochlin, G. I. (1993). Defining high-reliability organizations in practice: A taxonomic

prolegomenon. In K. H. Roberts (Ed.), New challenges to understanding organizations
(pp. 11–32). New York: Macmillan.

Rochlin, G. I. (1999). Safe operation as a social construct. Ergonomics, 42, 1549–1560.

Snook, S. A. (2000). Friendly fire: the accidental shootdown of us black hawks over
northern Iraq. Princeton, NJ: Princeton University Press.

Starbuck, W. H., & Farjoun, M. (Eds.), (2005). Organization at the limit: lessons from
the columbia disaster. London: Blackwell Publishing.

Sutcliffe, K., & Vogus, T. (2003). Organizing for resilience. In K. S. Cameron, I. E.

Dutton, & R. E. Quinn (Eds.), Positive organizational scholarship (pp. 94–110). San
Francisco: Berrett-Koehler .

Vaughan, D. (1996). The challenger launch decision: risky technology, culture and
deviance at NASA. Chicago: University of Chicago Press.

Watts-Perotti , J., & Woods, D. D. (2009). Cooperative Advocacy: A Strategy for

Integrating Diverse Perspectives in Anomaly Response. Computer supported
cooperative work: the journal of collaborative computing, 18(2), 175–198.

Weick, K. E. (1988). Enacted sensemaking in crisis situations . Journal of management

studies, 25(4), 305–317.

Weick, K. E. (1993). The collapse of sensemaking in organizations: The Mann Gulch

disaster . Administrative science quarterly, 38(4), 628–652.

Weick, K. E., Sutcliffe, K. M., & Obstfeld, D. (1999). Organizing for high reliability:
Processes of collective mindfulness. Research in organizational behavior, 21, 13–81.
Woods, D.D (2003). Creating foresight: How resilience engineering can transform
NASA’s approach to risky decision making. US Senate Testimony for the Committee on
Commerce, Science and Transportation, John McCain, chair. Washington, DC, October
29 2003. http://csel.eng.ohio-state.edu/podcasts/woods/.

Woods, D. D. (2005). Creating foresight: Lessons for resilience from Columbia. In W. H.

Starbuck & M. Farjoun (Eds.), Organization at the limit: NASA and the columbia
disaster (pp. 289–308). Malden, MA: Blackwell.

Woods, D. D. (2006a). Essential characteristics of resilience for organizations. In E.

Hollnagel, D. D. Woods, & N. Leveson (Eds.), Resilience engineering: Concepts and
precepts. Aldershot, UK: Ashgate.

Woods, D. D. (2006b). How to design a safety organization: Test case for resilience
engineering. In E. Hollnagel, D. D. Woods, & N. Leveson (Eds.), Resilience
engineering: concepts and precepts (pp. 315–324). Aldershot, UK: Ashgate.

Woods, D. D. (2009). Escaping failures of foresight. Safety science, 47(4), 498–501.

Woods, D. D., & Cook, R. I. (2003). Mistaking error . In M. J. Hatlie & B. J. Youngberg
(Eds.), Patient safety handbook (pp. 95–108). Sudbury, MA: Jones and Bartlett.

Woods, D. D., Dekker, S. W. A., Cook, R. I., Johannesen, L., & Sarter, N. (in press).
Behind Human Error (2nd ed). Aldershot, UK: Ashgate.