ENGENHARIA D

E

RESILIÊNCIA

CA

PÍ T

UL

O 1

RE

SI L

I ÊN

CI A

O D

ES

AF

I O D

O I N

ST

ÁV

EL

Avelino Ferreira Gomes FilhoJúlio Cezar Rodrigues dos Santos

Um sistema seguro

• Impenetrável• Resistente a perturbações• Os riscos a que ele está sujeito são conhecidos e tratados

Hollnagel

Charles Perrow argumenta que a abordagem da engenharia convencional para garantir a construção da segurança por mais avisos e salvaguardas e não por causa da complexidade de sistemas faz com que as falhas sejam inevitáveis. Ele afirma que as precauções normais, adicionadas a complexidade, podem ajudar a criar novas categorias de acidentes. (Em Chernobyl, os testes de um novo sistema de segurança ajudou a produzir o colapso e o incêndio subsequente).

Normal Accidents: Living with High Risk Technologies,1999

Acidente X Risco

A segurança é a soma dos acidentes que não ocorreram...Erik Hollnagel

• Concentra-se nos acidentes que ocorreram e tenta entender o porquê

ACCIDENT RESEARCH

• Concentra-se nos acidentes que não ocorreram e tenta entender o porquê

SAFETY RESEARCH

Dois lados da mesma moeda

Acidente

Riscos

Muito estudo sobre como os

acidentes acontecem

Pouco estudo sobre avaliação

e redução de riscos

Comparativamente

Então...

Assim como temos a etiologia (estudo das causas) dos acidentes...

... é necessário também termos a etiologia da segurança (safety)...

É aqui que entra a Engenharia de Resiliência.

Resiliência é a capacidade do sistema absorver ou se adaptar à mudança

Mas, como todos os sistemas se adaptam, a Engenharia de Resiliência não deve ficar atada a essa definição

O foco aqui deve ser o quanto um sistema pode suportar rupturas e variações.

“A resiliência pode ser definida como a habilidade do sistema ou organização de reagir e recuperar-se de distúrbios nos seus estágios iniciais”.

(Hollnagel)

Na Análise do Acidente

Ele não pode ser visto como o resultado de uma única ação.

Modelo do Dominó

É um modelo linear de causa e efeito proposto por Heinrich em 1931

Define que o evento (incidente) como uma sequência de ações de causa e efeito.

Modelo do Dominó

"Por causa do ferreiro, perdeu-se o prego;

por causa do prego, perdeu-se a ferradura;

por causa da ferradura, perdeu-se o cavalo;

por causa do cavalo, perdeu-se o mensageiro;

por causa do mensageiro, perdeu-se a carta;

por causa da carta, perdeu-se a guerra”.

(Provérbio Chinês)

Modelo do Dominó

Removendo 1 das peças ou aumentando o espaço entre as peças o problema é resolvido.

Modelo do Dominó

Nem todo o problema tem uma causa raiz exata e determinável.

Olhando para o provérbio do mensageiro, não sabemos :

• O que aconteceu antes com o ferreiro.• Se o problema do prego é determinante à ocorrência do incidente.• Se o caminho escolhido pelo mensageiro estava correto.• Se um único mensageiro era suficiente.• Etc.

Modelo do Queijo Suíço

Dada a complexidade de estudo de um acidente, Reason propôs em 1990 o modelo do queijo suíço.

Acidentes são a inter-relação, em tempo real, de “ações inseguras” por parte dos operadores do sistema e condições latentes (que não pode ser vista) como barreiras e defesas enfraquecidas, representados pelos buracos do queijo.

Modelo do Queijo SuíçoAs barreiras do sistema contra os incidentes são representados pelas fatias do queijo.

Os buracos representam as fraquezas do sistema.

Caso os buracos se alinhem, o sistema fica exposto e vulnerável à trajetória do acidente .

Modelo do Queijo Suíço

É um sistema mais complexo do que o Modelo do Dominó, porém o foco permanece na estrutura ou nos componentes e funções deste...

... ao invés do sistema como um todo.

Um acidente pode ser visto como...

A inesperada combinação ou agregação de condições ou eventos que resultam no incidente

Concurrence

Cooperation, as of agents, circumstances, or events.Simultaneous occurrence; coincidence.

(The Free Dictionary)

Eventos que acontecem simultaneamente e afetam-se.

Uma nova visãoAcidentes são:• Fenômenos não lineares• Nascem em sistemas complexos• Precisam de modelos sistêmicos para serem analisados

Essa visão reconhece que sistemas complexos têm performance variável

A variabilidade pode ser advinda de causas• Endógenas• Exógenas

Visão Sistêmica

• O desempenho normal, assim como as falhas, são fenômenos emergentes e portanto não podem ser explicados pelo funcionamento de partes específicas.

Performance Normal Performance Normativa

Visão Sistêmica

• O resultado das ações podem ser diferentes do que é esperado, pretendido ou requerido.– Essa diferença é mais causada por mudanças no

ambiente.

Visão Sistêmica

• Indivíduos realizam ajustes e otimizações na performance normativa (Criam a performance normal).– Antecipação e Pro atividade

Visão Sistêmica

• As adaptações e flexibilidade feitas pelo indivíduo são normalmente a razão para causa dos acidentes.– Dificilmente elas são a causa do incidente.– O sistema pode não estar preparado para elas.

Análise de Acidente X Análise de Risco

O que aconteceu.

X O que pode colocar a segurança do sistema em risco.

Foco da Engenharia de Resiliência

Então a avaliação de riscos, assim como a análise de acidentes, tem modelos para tal.

A Análise do Trabalho cognitivo requer representação da informação.

Árvore de Eventos (Predição Linear)

Evento Raiz

Evento A

Evento A1

Consequência A1

Evento A2

Consequência A2

Evento B

Consequência B

Evento C

Evento C1

Consequência C1

Evento C2

Consequência C2

Similar ao Modelo Dominó da análise de acidentes.

Árvore de Falhas (Predição condicional)Similar ao Modelo Queijo Suíço da análise de acidentes.

Árvores de Eventos ou de falhas são bastante utilizadas para análise de riscos...

... Porém são incapazes de descrever a natureza sistêmica desses riscos

Avaliação de RiscosFunctional Resonance Analysis Method (FRAM)

(HOLLNAGEL, 2005)

Desafio da Engenharia de Resiliência

• Ambientes complexos são dinâmicos.• A estabilidade dessa dinâmica pode variar.• Essas variações podem ser abruptas ou lentas.• Os sistemas devem ser capazes de se ajustar.• Esses ajustes não podem ser pré-programados

porque não podem ser antecipados no tempo de desenvolvimento.

Gráfico do Conhecimento

Desafio da Engenharia de Resiliência

• Sistemas complexos devem no entanto ter a capacidade de permanecer “dinamicamente” estáveis.

• Ajustes não devem sair de controle.• Ao invés de buscar as causas deve buscar a

concorrência de eventos• E ao invés de ver essa concorrência de eventos

como exceção, deve ver como o procedimento normal e portanto inevitável.