Gestão de risco no setor aéreo

vem ser avaliadas independentemente da severidade.

• Severidade, identificando as áreas que têm alta severidade – elas devem ser avaliadas independentemente da probabilidade de ocorrência.

• Confiança, identificando as áreas com erro epistemológico considerável.

O levantamento de medidas dos riscos que não estão suficientemente controlados pelas me- didas existentes deve, de maneira geral, objetivar um ou mais dos seguintes fatores: (i) reduzir a frequência de falha por meio de melhores projetos, procedimentos, políticas organizacionais, treinamento, etc.; (ii) mitigar os efeitos das falhas, a fim de prevenir o incidente; (iii) abrandar as circunstâncias em que a falha pode ocorrer; e (iv) mitigar as consequências do incidente.

As medidas de controle devem, então, ser avaliadas quanto à eficácia da redução do risco, conforme Etapa 2, para posteriormente serem grupadas em opções de regulamentações práticas. Na avaliação do custo-benefício, por sua vez, deve-ser identificar e comparar os benefícios e os custos associados com a implementação das opções de controle do risco.

Esse processo deve ser conduzido para situações genéricas e, posteriormente, para as partes afetadas que são mais influenciadas, direta ou indiretamente, pelos efeitos do incidente ou pelas novas medidas reguladoras propostas.

As opções de controle devem, então, ser expressas utilizando algum índice de eficácia, por exemplo: “custo bruto para evitar uma fatalidade” (Gross CAF – Gross cost of averting a fatality) e “custo líquido para evitar uma fatalidade” (NetCAF – Net cost of averting a fatality) (SKJONG, 2002).

Assim, baseadas na comparação de opções alternativas, na potencial redução dos riscos e nos custos para implementar as alternativas é possível definir as recomendações para a tomada de decisão.

3.3

Gestão de risco no setor aéreo

Metas de segurança numéricas para definição de condições de operação foram propostas pela International Civil Aviation Organization (ICAO) na década de 1950 (LEDERMAN F. NI- EHAUS, 1996). No entanto, somente no início dos anos 60, com o aumento da complexidade do projeto das aeronaves, a indústria aeronáutica buscou o desenvolvimento estruturado de teorias de probabilidade, em relação ao projeto e à análise / avaliação de segurança (SILVA, 2006).

Foi nesta época, por exemplo, que H. A. Watson, do Bells Laboratory, em parceria com a força aérea norte-americana, concebeu a FTA (fault tree analysis) para estudar o sistema de

3.3 Gestão de risco no setor aéreo 59

controle de lançamento do míssil Minuteman. Técnica que, posteriormente, a Boeing começou a usar durante o projeto de aeronaves comerciais (ERICSON II, 1999).

Atualmente, existem inúmeras organizações – tais como: SAE (Society of Automotive En- gineers), FAA (Federal Aviation Administration / United States of America), JAA (European Joint Aviation Authorities) e Eurocontrol (European Organization for the Safety of Air Na- vigation) – trabalhando para desenvolver regulamentações, recomendações e metodologias na perspectiva de garantir a segurança.

No caso da Eurocontrol, ela propõe a EATMP SAM (European air traffic management programme safety assessment methodology), ilustrada na Figura 3.3. A SAM é similar à meto- dologia proposta pela SAE nas recomendações práticas ARP 47619, mas seu escopo é expan- dido para todo o sistema de navegação – cobre os serviços de informação aeronáutica; busca e resgate; e gerenciamento do tráfego aéreo –, enquanto a ARP 4761 restringe-se à aeronave (EVERDIJ; BLOM, 2008).

DEFINIÇÃO

DO SISTEMA sistema deve ser Quão seguro o

para atingir o nível de risco aceitável? PROJETO DO SISTEMA A arquitetura proposta é capaz de atingir o nível de risco aceitável? IMPLEMENTAÇÃO E INTEGRAÇÃO DO SISTEMA O sistema implementado atinge o nível de risco aceitável? OPERAÇÃO E MANUTENÇÃO DESCOMISSIO- NAMENTO FHA PSSA SSA

Figura 3.3: Processo de análise / avaliação da segurança e o ciclo de vida do sistema Fonte: EUROCONTROL (2006, Level 1 / SAM / p. 4, tradução nossa)

A verificação da execução da metodologia apresentada na ARP 4761 é feita utilizando-se a ARP 4754, que foi elaborada para ser um guia para a equipe de certificadores e para a equipe

9_{Vide: SAE (Society of Automotive Engineers). ARP 4761: Guidelines and methods for conducting the safety} assessment process on civil airborne systems and equipment. Warrendale, 1996.

3.3 Gestão de risco no setor aéreo 60

de desenvolvedores dos sistemas, particularmente sistemas complexos e altamente integrados, com significativa importância de softwares. A ARP 4754 foi desenvolvida no contexto da FAR (federal aviation regulations) e da JAR (joint airworthiness requirements) parte 25 – também pode ser aplicada a outras regulamentações, como as partes 23, 27, 29 e 33. (SAE, 1996).

A Figura 3.3 ilustra como a metodologia utilizada para a avaliação da segurança abrange todo o ciclo de vida de um sistema de navegação aéreo, das definições iniciais do sistema até seu descomissionamento, passando pelo projeto, implementação, integração, transferência para operações, operações e manutenção.

A metodologia envolve basicamente três fases principais (EUROCONTROL, 2006):

• Na análise / avaliação do perigo funcional (functional hazard assessment – FHA) identificam- se os modos de falha, os perigos e suas consequências para a segurança das operações dentro de um ambiente específico. Utilizando-se a experiência e o julgamento operacio- nal e de engenharia, a severidade de cada efeito é determinada e classificada em 5 níveis. Podem-se, então, especificar os objetivos de segurança, i.e., especificar o nível de segu- rança que o sistema deve atingir. Objetivo de segurança é uma declaração, quantitativa ou qualitativa, que define a máxima frequência (ou probabilidade) na qual um risco pode ser aceito.

• Análise / avaliação preliminar de segurança do sistema (preliminary system safety as- sessment – PSSA) é fundamentalmente um processo top-down iterativo que se inicia no começo do projeto (ou do re-projeto) e objetiva demonstrar se o sistema analisado atende aos objetivos de segurança estabelecidos. A PSSA examina a arquitetura do sistema pro- posto e determina como as falhas dos componentes e/ou eventos externos podem causar ou contribuir para os riscos identificados na FHA. Na PSSA, os objetivos de segurança são desdobrados em requisitos de segurança alocados em cada componente do sistema, i.e., especifica-se o nível de risco a ser alcançado por cada elemento do sistema. Requi- sitos de segurança são medidas de redução de risco definidas para alcançar um objetivo de segurança particular. Uma arquitetura de sistema somente alcançará os objetivos de segurança estabelecidos na FHA se os elementos do sistema cumprirem os requisitos de segurança.

• A análise / avaliação de segurança do sistema (system safety assessment – SSA) se inicia com a implementação do sistema de navegação aérea. A SSA objetiva demonstrar que o sistema, como implementado, tem um nível de risco aceitável (ou pelo menos tolerável) e consequentemente atende aos objetivos de segurança estipulados na FHA. Os elementos do sistema, por sua vez, também devem atender aos requisitos de segurança especifica-

3.3 Gestão de risco no setor aéreo 61

dos na PSSA. Demonstra-se que todos os riscos foram eliminados ou minimizados tanto quanto praticável razoavelmente (as low as reasonably practicable – ALARP) e, poste- riormente, monitora-se o desempenho de segurança do sistema durante sua operação. A Figura 3.4 ilustra o processo da SSA.

Fase de implementação Transferência para a operação Operação, manutenção e descomissionamento

Verificação se o sistema atende aos objetivos de segurança e se os elementos

atendem aos requisitos de segurança

 _{Verificação (veja acima).}

 _{Validação dos objetivos de segurança}

no ambiente operacional.

 Risco em um nível aceitável.

Coleta de dados e monitoramento do desempenho da segurança (objetivos de segurança, requisitos de segurança, risco)

na análise de segurança em andamento.

Objetivos de segurança

Requisitos de segurança

Risco aceitável

Figura 3.4: Processo de análise / avaliação de segurança do sistema (SSA) Fonte: EUROCONTROL (2006, Level 1 / SSA / p. III-6, tradução nossa)

É interessante destacar que a FHA – normalmente – é implementada antes de o sistema existir, durante a fase de projeto, no entanto o documento RVSM 697 traz uma análise feita em um estágio avançado do programa de redução da distância vertical mínima (reduced vertical separation minimum– RVSM10) entre aeronaves de 2.000ft (609,6m) para 1.000ft (304,8m), para aeronaves voando entre 29.000ft (8.839,2m) e 41.000ft (12.496,8m). O programa RVSM estava tão adiantado, que seria difícil mudar muitos (ou algum) procedimentos de operação ou requisitos do sistema. No entanto, a análise foi feita na perspectiva de que, se algum problema fosse identificado, isto seria levado em consideração pelo programa RVSM. (EUROCONTROL, 2006).

No total, foram identificados e analisados 73 perigos. Para cada um deles, foi estabele- cido um objetivo de segurança. Estes objetivos foram, então, confrontados com o resultado da análise após as medidas de redução de risco, a fim de verificar se o programa RVSM atingiu o especificado. (EUROCONTROL, 2006).