O documento discute a análise de acidentes e riscos em sistemas complexos. Argumenta-se que abordagens tradicionais como árvores de eventos são limitadas e propõe-se o uso do Functional Resonance Analysis Method (FRAM) para melhor representar a natureza sistêmica dos riscos. A engenharia de resiliência deve focar na capacidade dos sistemas se ajustarem dinamicamente às variações do ambiente de forma a permanecerem estáveis.
2. Um sistema seguro
• Impenetrável
• Resistente a perturbações
• Os riscos a que ele está sujeito são conhecidos e tratados
Hollnagel
3. Charles Perrow argumenta que a abordagem da
engenharia convencional para garantir a construção
da segurança por mais avisos e salvaguardas e não
por causa da complexidade de sistemas faz com
que as falhas sejam inevitáveis. Ele afirma que as
precauções normais, adicionadas a complexidade,
podem ajudar a criar novas categorias de
acidentes. (Em Chernobyl, os testes de um novo
sistema de segurança ajudou a produzir o colapso e
o incêndio subsequente).
Normal Accidents: Living with High Risk Technologies,1999
5. A segurança é a soma dos acidentes que não ocorreram...
Erik Hollnagel
• Concentra-se nos
acidentes que
ocorreram e tenta
entender o porquê
ACCIDENT
RESEARCH
• Concentra-se nos
acidentes que não
ocorreram e tenta
entender o porquê
SAFETY
RESEARCH
7. Muito estudo
sobre como os
acidentes
acontecem
Pouco estudo
sobre avaliação
e redução de
riscos
Comparativamente
8. Então...
Assim como temos a etiologia (estudo das causas) dos acidentes...
... é necessário também termos a etiologia da segurança (safety)...
É aqui que entra a Engenharia de Resiliência.
9. Resiliência é a capacidade do sistema absorver ou se
adaptar à mudança
10. Mas, como todos os sistemas se adaptam, a Engenharia de
Resiliência não deve ficar atada a essa definição
O foco aqui deve ser o quanto um sistema pode suportar
rupturas e variações.
11. “A resiliência pode ser definida como a
habilidade do sistema ou organização de reagir
e recuperar-se de distúrbios nos seus estágios
iniciais”.
(Hollnagel)
12. Na Análise do Acidente
Ele não pode ser visto como o resultado de uma única ação.
13. Modelo do Dominó
É um modelo linear de causa e efeito proposto por
Heinrich em 1931
Define que o evento (incidente) como uma sequência de
ações de causa e efeito.
14. Modelo do Dominó
"Por causa do ferreiro, perdeu-se o prego;
por causa do prego, perdeu-se a ferradura;
por causa da ferradura, perdeu-se o cavalo;
por causa do cavalo, perdeu-se o mensageiro;
por causa do mensageiro, perdeu-se a carta;
por causa da carta, perdeu-se a guerra”.
(Provérbio Chinês)
16. Modelo do Dominó
Nem todo o problema tem uma causa raiz exata e determinável.
Olhando para o provérbio do mensageiro, não sabemos :
• O que aconteceu antes com o ferreiro.
• Se o problema do prego é determinante à ocorrência do incidente.
• Se o caminho escolhido pelo mensageiro estava correto.
• Se um único mensageiro era suficiente.
• Etc.
17. Modelo do Queijo Suíço
Dada a complexidade de estudo de um
acidente, Reason propôs em 1990 o modelo do queijo
suíço.
Acidentes são a inter-relação, em tempo real, de
“ações inseguras” por parte dos operadores do sistema
e condições latentes (que não pode ser vista) como
barreiras e defesas enfraquecidas, representados
pelos buracos do queijo.
18. Modelo do Queijo Suíço
As barreiras do sistema contra os incidentes são representados pelas fatias do
queijo.
Os buracos representam as fraquezas do sistema.
Caso os buracos se alinhem, o sistema fica exposto e vulnerável à trajetória do
acidente .
19. Modelo do Queijo Suíço
É um sistema mais complexo do que o Modelo
do Dominó, porém o foco permanece na
estrutura ou nos componentes e funções
deste...
... ao invés do sistema como um todo.
20. Um acidente pode ser visto como...
A inesperada combinação ou
agregação de condições ou eventos
que resultam no incidente
21. Concurrence
Cooperation, as of agents, circumstances, or events.
Simultaneous occurrence; coincidence.
(The Free Dictionary)
Eventos que acontecem simultaneamente e afetam-se.
22. Uma nova visão
Acidentes são:
• Fenômenos não lineares
• Nascem em sistemas complexos
• Precisam de modelos sistêmicos para serem analisados
Essa visão reconhece que sistemas complexos têm
performance variável
A variabilidade pode ser advinda de causas
• Endógenas
• Exógenas
24. Visão Sistêmica
• O resultado das ações podem ser diferentes
do que é esperado, pretendido ou requerido.
– Essa diferença é mais causada por mudanças no
ambiente.
25. Visão Sistêmica
• Indivíduos realizam ajustes e otimizações na
performance normativa (Criam a performance
normal).
– Antecipação e Pro atividade
26. Visão Sistêmica
• As adaptações e flexibilidade feitas pelo
indivíduo são normalmente a razão para
causa dos acidentes.
– Dificilmente elas são a causa do incidente.
– O sistema pode não estar preparado para elas.
27. Análise de Acidente X Análise de Risco
O que aconteceu.
X
O que pode colocar a segurança do sistema em risco.
29. Então a avaliação de riscos, assim como a análise
de acidentes, tem modelos para tal.
A Análise do Trabalho cognitivo requer
representação da informação.
30. Árvore de Eventos (Predição Linear)
Evento Raiz
Evento A
Evento A1
Consequência
A1
Evento A2
Consequência
A2
Evento B
Consequência
B
Evento C
Evento C1
Consequência
C1
Evento C2
Consequência
C2
Similar ao Modelo Dominó da análise de acidentes.
31. Árvore de Falhas (Predição
condicional)
Similar ao Modelo Queijo Suíço da análise de acidentes.
32. Árvores de Eventos ou de falhas são bastante utilizadas para
análise de riscos...
... Porém são incapazes de descrever a natureza sistêmica
desses riscos
34. Desafio da Engenharia de Resiliência
• Ambientes complexos são dinâmicos.
• A estabilidade dessa dinâmica pode variar.
• Essas variações podem ser abruptas ou lentas.
• Os sistemas devem ser capazes de se ajustar.
• Esses ajustes não podem ser pré-programados
porque não podem ser antecipados no tempo
de desenvolvimento.
36. Desafio da Engenharia de Resiliência
• Sistemas complexos devem no entanto ter a
capacidade de permanecer “dinamicamente”
estáveis.
• Ajustes não devem sair de controle.
• Ao invés de buscar as causas deve buscar a
concorrência de eventos
• E ao invés de ver essa concorrência de eventos
como exceção, deve ver como o procedimento
normal e portanto inevitável.