Escolar Documentos
Profissional Documentos
Cultura Documentos
COMANDO DA AERONÁUTICA
TEORIAS DA PREVENÇÃO
Para demonstrar sua teoria, desenvolveu uma relação de 300:29:1. Para cada grupo
de 330 acidentes do mesmo tipo, 300 resultariam em nenhum ferimento, 29 produziriam
ferimentos leves e 1 resultaria em ferimento grave.
Os acidentes resultam também em custos elevados para as empresas, trabalhadores
e a sociedade em geral. Afetam decisivamente a qualidade de vida e refletem-se na
economia nacional.
O custo dos acidentes também foi estudado por Heinrich que ensaiou um modelo a
partir dos custos e a sinistralidade laboral provocada.
1
Heinrich demonstrou que o custo dos acidentes é superior ao valor pago pela
seguradora ao sinistrado. Defendeu que os custos indiretos seriam quatro vezes superiores
aos custos diretos, ou seja, a empresa suporta diretamente um custo quatro vezes superior
ao valor pago pela seguradora ao sinistrado.
É importante ressaltar que a base teórica desenvolvida por Heinrich, embora seja
relevante historicamente por lançar as bases para a compreensão da relação entre as falhas
humanas e os acidentes, não deve ser considerada na precisão de suas proporções, uma
vez que o cenário por ele estudado não retratava a indústria da aviação, bem como estudos
posteriores contestaram sua metodologia e resultados.
A partir da teoria que atribuía os acidentes unicamente à falha humana, evoluiu-se
para as teorias sequenciais. A partir deste raciocínio, Heinrich desenvolveu a Teoria do
Dominó: segundo esta teoria, a causa era única, porém procedia como uma sequência de
dominós caindo sucessivamente. Uma falha leva a outra, posteriormente à outra, até ocorrer
o acidente.
2
Teoria do Dominó de Heinrich
3
A falta de controle ou de gerenciamento indica que há falta de um sistema de gestão
ou uma não conformidade a uma norma necessária.
Na visão da Teoria do Dominó, a maioria das falhas é humana: surgiu assim a
expressão “ato inseguro” e “condição insegura”. Segundo Heinrich, 88% dos acidentes eram
decorrentes de atos inseguros. Neste viés, a prevenção de acidentes passa basicamente
pela sensibilização, persuasão, conscientização, e controle hierárquico
A partir do estudo de Heinrich que mostrou que para cada 300 eventos de “quase
acidente”, ocorrem 29 com lesão leve e 1 com lesão incapacitante, Frank Bird Junior
aprimorou essa relação, analisando mais de 90 mil acidentes na siderúrgica Luckens Steel,
no intervalo entre 1959 e 1966. A proporção desenvolvida por Bird em seu estudo era de
500:100:1, ou seja, para cada 500 acidentes com danos à propriedade, ocorrem 100
acidentes com lesão leve e 1 com lesão incapacitante. Bird observou que além dos acidentes
com lesões pessoais da teoria de Heinrich, ocorriam também acidentes sem lesão, mas que
causavam perdas e danos à propriedade ou à empresa. O estudo de Bird foi denominado
“Controle de Perdas”.
Frank Bird realizou um estudo a partir da análise de 1.753.498 ocorrências, obtidas
do levantamento de 297 empresas, dando origem à Pirâmide de Frank Bird.
Nesse novo estudo foi acrescentado um novo dado estatístico denominado os “quase
acidentes”, obtendo uma nova proporção, a qual é possível observar na pirâmide:
600:30:10:1.
O processo pelo qual ocorre uma perda por acidente se dá por uma sequência de
causas e efeitos que levam a danos aos recursos humanos e materiais ou à descontinuidade
operacional. Tal processo é composto por três fases: condição potencial de perdas, acidente
e perda real ou potencial.
A condição potencial de perdas é determinada condição ou grupo de condições que
podem causar a perda. A perda real ou potencial é a consequência do acidente e pode
ocorrer como lesão ou morte de pessoas, danos a materiais, equipamentos, instalações ou
edificações ou descontinuidade do processo e a perda potencial é aquela que, em
circunstâncias um pouco diferentes, poderia ter sido transformada em perda real.
4
Relação de Frank Bird.
3. MODELO SHELL
5
Modelo SHELL.
Observa-se que o diagrama do modelo tem o ser humano como elemento central.
Desse modo, para sua correta aplicação no âmbito da aviação, deve-se considerar que toda
interação tem como ponto de partida o ser humano em sua relação com os demais
componentes, ou seja:
6
Trata-se, portanto, de um modelo pautado na perspectiva dos fatores humanos, no
qual o indivíduo é o elemento mais importante, sendo ele tanto o fator mais crítico quanto o
mais flexível do sistema. As principais características do Modelo SHELL são:
7
operacional e reduz as alternativas possíveis para prevenção de acidentes. Entre essas
limitações, podem ser citados:
O limitado escopo de análise, cuja ênfase recai nas ações próximas ao evento; e
A dependência da ocorrência do erro humano para que, posteriormente, possam ser
pensadas medidas corretivas.
8
abordagem não permite identificar os fatores que favoreceram a ação equivocada do
tratorista, o que limita as possibilidades de prevenção.
9
Nesse caso, a adoção de procedimento divergente do previsto em NPA reduziu a
margem de segurança da tarefa e contribuiu para a ocorrência, pois os riscos gerados seriam
neutralizados se o câmbio tivesse sido colocado na posição P, conforme o procedimento
previsto.
Apesar do modelo SHELL favorecer uma visão mais completa da ocorrência,
aspectos relevantes também deixam de ser abordados quando olhamos de forma isolada
para as interações entre os componentes. Nesse caso, um importante aspecto
organizacional foi relevante para a produção daquela ocorrência.
10
Essas suposições estão subjacentes a linha de base (ou ideal) de desempenho do
sistema, que pode ser apresentado graficamente como um linha reta desde o início do
desenvolvimento operacional.
Conceito da Deriva Prática de Scott A. Snook, professor associado da Harvard Business School, é um dos
principais especialistas em desenvolvimento de liderança. Possui MBA (Alta Distinção) da Harvard Business
School, e Ph.D. da Universidade de Harvard em Comportamento Organizacional. Entre seus livros, estão
Friendly Fire e Practical Intelligence in Everyday Life.
11
regulamentos que não estão atentos às limitações contextuais;
introdução de mudanças sutis em sistemas após sua concepção, sem a
correspondente reavaliação de seu impacto;
adição de novos componentes ao sistema sem uma avaliação de segurança
apropriada dos perigos que estes podem apresentar; interações entre sistemas,
dentre outros.
12
de navegação são baseados na identificação de riscos de segurança anterior à sua falha,
tomando-se ações necessárias para mitigar esses riscos. Sistemas de relatos obrigatórios e
voluntários e vistorias de segurança são exemplos de auxílios proativos à navegação.
Auxílios preditivos à navegação não exigem que um evento acionador indesejado ocorra
para iniciar o seu processo de captura. Esses, são baseados com a noção de que o
gerenciamento de segurança é melhor realizado tentando-se encontrar os riscos, não
apenas esperando que ele apareça. De uma forma geral, a identificação preditiva tem sido
resultado de um grande volume de dados que, soltos, não indicam riscos, mas quando
analisados e trabalhados juntamente, demonstram tais riscos potencias. Sistemas de
Monitoramento de dados utilizados em companhias aéreas exemplificam tais mecanismos
de auxílios preditivos.
13
equilibrar lucratividade e segurança tornou-se uma premissa importante na perspectiva dos
provedores de serviço.
James Reason: psicólogo britânico, especialista em comportamentos humanos, definiu o Modelo do Queijo
Suíço na década de 90, focando nos riscos atrelados aos processos que podem ocasionar um acidente.
14
James Reason propôs que a maioria dos acidentes tem origem em um ou mais de
quatro níveis de falha:
Influência organizacional;
Supervisão insegura;
Precondições para atos inseguros; e
Atos inseguros propriamente ditos.
As defesas contra falhas são estabelecidas como uma série de barreiras com pontos
de fragilidade individuais que mudam, continuamente, de tamanho e posição.
Segundo Reason, em um mundo ideal, as barreiras criadas pelas medidas de
proteção adotadas deveriam estar intactas, não sendo permitida nenhuma penetração por
possíveis acidentes. Porém, no mundo real cada barreira tem brechas e deficiências - os
buracos, que são as falhas ativas e as condições latentes.
Reason comparou esses buracos nas medidas de proteção a um “queijo suíço”. Em
uma organização todas as medidas de proteção são representadas por um conjunto de
camadas ligadas entre si, por ordem de prioridade, impossibilitando a passagem da
“trajetória” que “desenha” o acidente. Porém, numa situação real, estas camadas defensivas
apresentam buracos que se encontram num fluxo contínuo. Essas trajetórias, produzidas
devido às vulnerabilidades existentes no sistema, quando alinhadas, produzem uma janela
de oportunidade (Trajetória da Oportunidade).
15
As condições latentes existem a qualquer nível organizacional e ficam presentes
durante muito tempo na organização, adormecidas, antes de se combinarem com as
circunstâncias locais e falhas ativas e penetrarem nos “buracos” alinhados das camadas
defensivas existentes no sistema.
A ideia base do modelo de queijo suíço desenvolvido por Reason é de que os erros,
além de poderem ser desencadeados pelos operadores, também ocorrem em diferentes
níveis hierárquicos de uma organização. Identificar as falhas que ocorrem em vários níveis
hierárquicos auxilia na identificação das medidas corretivas adequadas.
De um modo geral, uma premissa comum a diversos modelos de análise na
causalidade de buracos é a distinção entre as falhas humanas, cujos efeitos se manifestam
quase imediatamente – falhas ativas ou humanas - e aquelas cujos efeitos podem
permanecer adormecidos no seio de uma organização, por períodos de tempo mais ou
menos longos – condições latentes.
16
dos fatores humanos nas circunstâncias imediatamente anteriores ao acidente, na medida
em que as condições latentes surgem a partir de falhas ao nível de tomada de decisões; das
deficiências ao nível das linhas de gestão; das condições preexistentes ou precursores
psicológicos.
17
Tarefa/Ambiente: Relacionada às condições de trabalho que são oferecidas e nas quais o
ser humano executa suas atividades, sendo considerados os aspectos que induzem ao ou
favorecem o cometimento de erros e de violações.
Pessoal: Relativa ao desempenho humano. Logo, inclui tanto a identificação de erros quanto
de violações.
Defesas: São constituídas por regulamentos, treinamentos e recursos tecnológicos que
auxiliam na manutenção de um desempenho seguro e eficiente no contexto operacional.
Nessa perspectiva, as organizações precisam manter um sistema de monitoramento em
diferentes níveis da organização, a fim de evitar as ocorrências aeronáuticas.
18
Nova Proposta de Análise de Acidentes focado na pessoa, local de trabalho e organização.
19
Para uma melhor compreensão de como os modelos organizacionais são utilizados
na análise e ocorrências aeronáuticas e na prevenção de ocorrências futuras, considere o
seguinte contexto...
Uma aeronave chegava a Rio Branco por volta das 2h15min da madrugada, em
péssimas condições de tempo, e quando aterrissou bateu numa árvore na cabeceira
da pista, perdendo o trem de pouso principal e deslizando de barriga por cerca de 80
metros no gramado ao lado da pista. Não houve registro de feridos.
A aeronave empregada nesse voo era do Modelo B 737-200 foi fabricado pela
BOEING em 1976. Seu Certificado de Matrícula fora expedido em 15 ABR 2002. Seu
Certificado de Aeronavegabilidade, expedido na mesma data, encontrava-se válido. A
manutenção da aeronave apresentava registros atualizados. A tripulação do voo era
composta por 2 pilotos. O comandante do voo possuía mais de 7 mil horas de voo e mais de
5 mil horas naquele modelo de aeronave. O copiloto possuía aproximadamente 1.300 horas
de voo, mas naquele modelo de aeronave, sua experiência era de aproximadamente 300
horas de voo.
De acordo com os requisitos exigidos em legislação, à época do acidente, ambos os
pilotos eram qualificados para o voo, porém, não possuíam suficiente experiência na rota
voada. Desde que havia sido promovido naquele modelo de aeronave, cerca de 5 meses
antes do acidente, o comandante nunca havia voado aquela rota.
O copiloto também não estava familiarizado com aquela rota e tinha uma experiência
bem menor que o comandante naquela aeronave. Durante a sua formação operacional, o
copiloto e fizera a transição para o B-737 a partir de uma aeronave bimotora leve, a pistão.
A tripulação executava uma programação de voo com várias etapas. A etapa começou
no dia anterior ao acidente, quando a tripulação decolou de Guarulhos, com destino a
Manaus e com escalas em Goiânia, Brasília, Porto Velho e Rio Branco.
20
Reclamações decorrentes de falta de informações aos passageiros
embarcados no dia anterior e que tinham por destino Rio Branco;
Passageiro embarcado por engano;
Atendimento deficiente do pessoal de terra feito por pessoa inexperiente no
despacho (estagiário); e
Falta de transporte para os tripulantes que assumiriam o voo.
A aeronave decolou de Porto Velho, a seguir, com destino a Rio Branco, pilotada pelo
comandante. Durante os procedimentos para pouso naquela localidade (SBRB), foram
realizados dois procedimentos de descida por instrumentos (IFR), sem sucesso.
A tripulação permaneceu orbitando sobre Rio Branco por aproximadamente uma hora,
aguardando melhoria das condições. Diante dessa impossibilidade, prosseguiram
para a alternativa, o Aeroporto Internacional Eduardo Gomes (SBEG), em Manaus.
21
Vamos analisar a ocorrência a partir das barreiras propostas
Análise do Acidente
Pessoal: podem ser citados os erros e violações cometidos pelos tripulantes. Nessa
ocorrência, o desempenho operacional havia sido comprometido por desvios operacionais
efetuados pela tripulação, na tentativa de realizar o pouso, apesar das condições existentes.
Defesas: as barreiras existentes em termos de tecnologia, regulamentos e treinamento
foram insuficientes para evitar a ocorrência.
22
Embora a análise da ocorrência não esgote os fatores que contribuíram para o
acidente, é possível identificar como a combinação entre condições latentes e falhas ativas
contribuiu para a ocorrência.
O acidente não resultou apenas da ação humana. Os erros e violações cometidos
pela tripulação não foram motivados por questões psicológicas individuais, como redução
no nível de atenção ou percepção prejudicada. De fato, foi um acidente organizacional,
sendo o desempenho humano apenas uma das barreiras que falhou em evitar o acidente.
Desta forma, a ampliação gerada pela perspectiva organizacional sinalizou a
relevância de uma visão integradora para a análise de acidentes em sistemas sociotécnicos
complexos como a aviação.
Prevenir: [...] dispor com antecipação (algo) de modo que se evite mal ou dano; tomar
medidas que evitem (algo), com antecipação.
Prevenção: Conjunto de medidas ou preparação antecipada de (algo) que visa prevenir (um
mal).
“Atividade que envolve todas as tarefas realizadas com o objetivo de evitar a perda de
vidas e de bens materiais em decorrência de acidentes aeronáuticos. A prevenção de
acidentes é realizada mediante a aplicação de mecanismos de gestão da segurança
de voo. ”
23
Processo de vigilância da segurança operacional:
24
Coleta de dados (informações)
Obtenção de informações relativas às condições em que as atividades aeronáuticas
são desenvolvidas. As informações podem ser obtidas por meio da comunicação voluntária
do próprio operador, nas seguintes condições:
25
b) Proativa. Essa metodologia envolve a coleta de dados de segurança de eventos de menor
consequência ou desempenho do processo e a análise das informações de segurança ou
frequência de ocorrência para determinar se um perigo poderia levar a um acidente ou
incidente. As informações de segurança para identificação proativa de perigos vêm,
principalmente, de programas de análise de dados de voo (Flight Data Analisys - FDA),
sistemas de relatos de segurança.
Cabe ressaltar, que os perigos também podem ser identificados através da análise
de dados de segurança, que identificam tendências adversas e fazem previsões sobre
perigos emergentes.
Análise
Estudo, por parte do especialista, de todas as informações obtidas,
independentemente do método empregado, seguida de sua classificação por áreas de
afinidade para que sejam estabelecidas suas origens comuns.
Medidas de Prevenção
Destinadas a corrigir distorções nas origens causais dos problemas identificados, as
medidas corretivas também podem ser chamadas de medidas mitigadoras. Uma medida
mitigadora deve ser fruto do trabalho de um elemento credenciado em prevenção, que
considerará sua adequabilidade, praticabilidade e aceitabilidade com a amplitude adequada
para alcançar todos os alvos necessários. Seu objetivo é garantir eficiência e eficácia
máximas.
Controle
É fundamental realizar uma verificação contínua da efetividade da medida de
mitigação na correção da condição desejada. Por ser contínuo, o controle pode confundir-
se com a primeira etapa do processo, que é a coleta de dados. Dessa forma, o conceito de
26
ciclo é estabelecido. Evidentemente, caso seja detectada a não efetividade da medida
mitigadora implementada, essa etapa do processo pode indicar a necessidade do
desenvolvimento de novas medidas. Isso levaria ao retorno à terceira etapa do ciclo.
8. GERENCIAMENTO DE RISCOS
Mitigação e Proposição de
Ações
Documentação do Processo
27
• IDENTIFICAÇÃO DOS PERIGOS
Esse potencial de dano pode aparecer de diferentes formas, por exemplo: ambiente
de trabalho com ruído elevado, falta de sinalização adequada, eventos meteorológicos, aves
próximas às áreas de pouso e decolagem etc.
Os perigos são uma parte inevitável das atividades da aviação, no entanto, suas
manifestações e possíveis consequências adversas podem e devem ser tratadas por meio
de estratégias de mitigação. A aviação pode coexistir com perigos, desde que sejam
controlados.
28
De maneira a explicitar o descrito acima, tomemos como exemplo um vento de trinta
nós. O vento com tal intensidade não é necessariamente uma condição de perigo. Na
verdade, o vento soprando na direção da pista aumenta a performance de decolagem e
pouso de uma aeronave. Entretanto, se um vento de mesma intensidade estiver soprando
em direção cruzada com a pista, essa condição pode ser perigosa para as operações. Como
consequências deste perigo poderemos ter uma desestabilização da aeronave na pista, uma
saída lateral da pista ou ainda, um dano ao trem de pouso.
Os perigos existem em todos os níveis da organização e são detectáveis por várias
fontes, incluindo reportes voluntários, relatórios de sistemas, inspeções, vistorias, sessões
de brainstorming, opinião de especialistas, etc. O objetivo é identificar proativamente os
perigos antes que causem acidentes, incidentes ou outras ocorrências relacionadas à
segurança. Um mecanismo importante para proatividade na identificação de perigos é um
sistema voluntário de reportes de segurança, sobre o qual falaremos no capítulo seguinte,
quando abordaremos o Relato de Prevenção (RELPREV) e o Relato ao CENIPA para
segurança de Voo (RCSV). As informações coletadas por meio desses sistemas de relatos
podem ser complementadas por observações, por registros de inspeções de rotina, ou por
auditorias organizacionais.
A identificação de perigos também pode considerar aqueles gerados fora da
governança da organização. Perigos relacionados a riscos emergentes também são uma
maneira importante de as organizações se prepararem para situações que possam
eventualmente ocorrer.
Veja alguns exemplos de processos que devem ser analisados ao se identificar os
perigos:
fatores de design, incluindo equipamentos e tarefas;
procedimentos e práticas operacionais, incluindo sua documentação e listas
de verificação, e sua validação sob condições operacionais reais;
comunicações, incluindo meios, terminologia e linguagem;
fatores de pessoal, como políticas da empresa para recrutamento,
treinamento, remuneração e alocação de recursos;
fatores organizacionais, como compatibilidade das metas de produção e
segurança, alocação de recursos, pressões operacionais e cultura de
segurança corporativa;
fatores do ambiente de trabalho, como ruído e vibração, temperatura,
iluminação e disponibilidade de equipamentos e roupas de proteção;
29
fatores de supervisão regulatória, incluindo a aplicabilidade e aplicabilidade
dos regulamentos; a certificação de equipamentos, pessoal e procedimentos;
e a adequação da supervisão;
defesas, incluindo fatores como o fornecimento de sistemas adequados de
detecção e alerta, a tolerância a erros do equipamento e a resiliência do
equipamento a erros e falhas; e
desempenho humano, restrito a condições médicas e limitações físicas.
30
Levar em consideração quaisquer fatores que possam estar por trás dessas
questões ajudará na avaliação da probabilidade das consequências do perigo em qualquer
cenário previsível.
Os prestadores de serviços devem exercer a devida diligência ao identificar perigos
significativos e razoavelmente previsíveis relacionados ao seu produto ou serviço.
A tabela abaixo apresenta uma típica classificação de probabilidade de risco. Ela
inclui cinco categorias para denotar a probabilidade relacionada a um evento ou condição
insegura, a descrição de cada categoria e a atribuição de seu valor. Este exemplo usa termos
qualitativos. Termos quantitativos poderiam ser definidos para fornecer uma avaliação mais
precisa, dependendo da disponibilidade de dados de segurança adequados e da sofisticação
da organização e operação.
Tabela para avaliação da probabilidade do risco. O nível de detalhamento das tabelas e matrizes devem ser
adaptados às necessidades e complexidades particulares de cada organização. Deve-se notar também que
as organizações podem incluir critérios qualitativos e quantitativos.
“...definida como a extensão do dano que poderia razoavelmente ser esperado para
ocorrer como consequência ou resultado do perigo identificado.”
31
estar na aeronave;
ter contato direto com qualquer parte da aeronave, incluindo peças que dela
se desprenderam; ou
ter exposição direta à descarga dos gases da combustão dos motores (jet
blast).
Danos:
dano ou falha estrutural sofrido pela aeronave que:
• afeta negativamente a resistência estrutural, o desempenho ou as
características de voo da aeronave;
• normalmente exigiria grande reparo ou substituição do componente
afetado;
danos sofridos pelo ATS ou equipamento de aeródromo que:
• afeta negativamente o gerenciamento de separação das aeronaves; ou
• afeta negativamente a capacidade de pouso.
32
• ANÁLISE DOS RISCOS
Matriz de Riscos.
O índice obtido da matriz de avaliação de riscos deve ser exportado para uma tabela
de tolerância, que descreva os critérios de aceitabilidade do risco em análise. Os riscos são
conceitualmente avaliados como aceitáveis, toleráveis ou intoleráveis.
33
O critério para o risco avaliado como 4B se enquadra na categoria "intolerável".
Nesse caso, a avaliação de risco da consequência é inaceitável. A organização deve,
portanto, interromper a operação ou agir imediatamente para mitigar o risco até um nível
tolerável.
Tabela de tolerância do risco. Para determinação da tolerância ao risco, deve-se levar em consideração a
qualidade e a confiabilidade dos dados utilizados para a identificação dos riscos e sua probabilidade.
No que diz respeito aos riscos, não existe uma segurança de voo absoluta. Os riscos têm de ser mantidos no
nível mais baixo possível.
34
• MITIGAÇÃO E PROPOSIÇÃO DE AÇÕES
Uma estratégia de mitigação de risco pode envolver uma das abordagens descritas
anteriormente ou pode incluir múltiplas abordagens. É importante considerar toda a gama
de possíveis medidas de controle para encontrar uma solução ideal. A eficácia de cada
estratégia alternativa deve ser avaliada antes que uma decisão seja tomada. Cada proposta
alternativa de mitigação do risco deve ser examinada conforme as seguintes perspectivas:
Eficácia: Até que ponto as alternativas reduzem ou eliminam os riscos à segurança. Eficácia
pode ser determinada em termos de defesas técnicas, de treinamento e regulamentares que
podem reduzir ou eliminar os riscos.
Custo / benefício: Até que ponto os benefícios percebidos da mitigação superam os custos.
Praticabilidade: Até que ponto a mitigação pode ser implementada e quão apropriada é em
termos de tecnologia disponível, recursos financeiros e administrativos, legislação, vontade
política, realidades operacionais, etc.
Aceitabilidade: Até que ponto a alternativa é aceitável para as pessoas que se espera que
a apliquem.
35
Capacidade de acompanhamento: Até que ponto a conformidade com novas regras,
regulamentos ou procedimentos operacionais podem ser monitorados.
Durabilidade: Até que ponto a mitigação será sustentável e eficaz.
Riscos residuais: O grau de risco que permanece após a implementação da mitigação
inicial e que podem exigir medidas adicionais de controle de risco.
Consequências não intencionais: A introdução de novos perigos e dos riscos relacionados
associados à implementação de qualquer alternativa de mitigação.
Tempo. Tempo necessário para a implementação da alternativa de mitigação de riscos.
• DOCUMENTAÇÃO DO PROCESSO
36
Exemplo de auxílio à decisão de riscos à segurança.
37