CA 121-110-03 1/2 www.mtc.gob.pe Jirón Zorritos 1203 Lima, Lima 01 Perú

(511) 615-7800

“Decenio de las Personas con Discapacidad en el Perú” “Año de la Integración Nacional y el Reconocimiento de Nuestra Diversidad”

CIRCULAR DE ASESORAMIENTO

C A : 121-110- 03 FECHA : 29/02/2012 REVISIÓN : ORIGINAL ORIGINADO POR : CTSO / DGAC

TEMA: METODOLOGIA PARA EVALUACION DE RIESGO OPERACIONAL 1. PROPOSITO

Esta Circular de Asesoramiento (CA) proporciona una metodología para realizar la Gestión de Riegos de un Sistema de Gestión de la Seguridad Operacional (SMS) en un Explotador Aéreo de RAP 121 ó135 y en un Centro de Instrucción de RAP 141 y las correspondientes Normas Técnicas Complementarias.

2. REVISIÓN/CANCELACION Esta publicación es Original.

3. APLICABILIDAD Esta Circular de Asesoramiento es aplicable a todo Explotador Aéreo que este implementando un SMS. Sin embargo, la metodología sugerida es lo suficientemente flexible para que pueda ser adaptada por otros proveedores de servicios aeronauticos, tales como las organizaciones de mantenimiento aprobadas, proveedores de servicios de tránsito aéreo o explotadores de aeródromos.

4. REGULACIONES RELACIONADAS (a) RAP 121 - “Requisitos de Operación: Operaciones nacionales e internacionales ,

regulares y no regulares” (b) RAP 135 - “Requisitos de Operación: Operaciones nacionales e internacionales ,

regulares y no regulares” (c) RAP 141- “Centros de instrucción de aeronáutica civil para formación de tripulantes

de vuelo y despachadores de vuelo” 5. DEFINICIONES (a) Accidente: Un evento no deseado que causa la muerte, lesiones, daños materiales o al

medio ambiente. Accidente (OACI, Anexo 13): Todo suceso, relacionado con la utilización de una aeronave, que ocurre dentro del período comprendido entre el momento en que una persona entra a bordo de la aeronave, con intención de realizar un vuelo, y el momento en que todas las personas han desembarcado, durante el cual:

i) cualquier persona sufre lesiones mortales o graves a consecuencia de: — hallarse en la aeronave, o — por contacto directo con cualquier parte de la aeronave, incluso las partes que se

hayan desprendido de la aeronave, o — por exposición directa al chorro de un reactor, excepto cuando las lesiones obedezcan

a causas naturales, se las haya causado una persona a sí misma o hayan sido causadas por otras personas o se trate de lesiones sufridas por pasajeros

CA 121-110-03 2/71

clandestinos escondidos fuera de las áreas destinadas normalmente a los pasajeros y la tripulación; o

ii) la aeronave sufre daños o roturas estructurales que: — afectan adversamente su resistencia estructural, su performance o sus características

de vuelo; y — que normalmente exigen una reparación importante o el recambio del componente

afectado, excepto por falla o daños del motor, cuando el daño se limita al motor, su capó o sus accesorios; o por daños limitados en las hélices, extremos de ala, antenas, neumáticos, frenos o carenas, pequeñas abolladuras o perforaciones en el revestimiento de la aeronave; o

iii) la aeronave desaparece o es totalmente inaccesible. (b) Accidente resultante Un resultado que consiste en daños físicos o daños materiales.

Incluye los resultados que no cumplen con la definición de un "accidente" del Anexo 13 de la OACI, pero implican lesiones o daños reales.

(c) Analista de Seguridad: Una persona con la experiencia, formación, responsabilidad y autoridad para llevar a cabo las evaluaciones de riesgo y analizar la base de datos de seguridad para problemas de Seguridad.

(d) Caso de seguridad: Una evaluación de la seguridad en una parte ya existente de la operación con el fin de demostrar que el riesgo de seguridad se encuentra en un nivel aceptable.

(e) Clasificación de riesgo de eventos (ERC): La clasificación inicial de riesgo de eventos de seguridad operacional, utilizando la matriz ERC.

(f) Controles de riesgo: Medidas para evitar o limitar un mal resultado, a través de la prevención, recuperación, mitigación. (SHELL) Medidas para hacer frente a los posibles riesgos o para reducir la probabilidad de riesgo

o severidad (OACI). Uso preferente por ARMS: Sinónimos:

• Control de riesgo • Barrera • Protección • Defensa

Utilizados por ARMS: • Control de Riesgo • Barrera

No se utiliza por ARMS: • Barrera de seguridad (engañosa) • Protección, defensa (por razones de armonización)

No se utiliza por ARMS, debido a los múltiples significados: Amenaza Otro significado en el contexto de Threat and Error Management (TEM) En la mayoría de los casos, la palabra "escenario" se puede utilizar en su lugar.

(g) Escenario de accidente: La progresión de imaginar el resultado o manifestación de un evento real (de ERC) en un evento o peligro que desencadena un resultado de accidente (en el SIRA). Un problema de seguridad puede estar relacionado con varios escenarios de accidentes. Por ejemplo, la cuestión de seguridad "aproximación exigente en el aeropuerto X" puede contener dos escenarios, uno que lleva a un CFIT y otro a un aterrizaje muy duro (crash). Por lo general, los problemas de seguridad no se pueden evaluar los riesgos directamente, pero se pueden evaluar los escenarios relacionados con el accidente.

(h) Estado Operacional no deseables (UOS): Etapa en un escenario de accidente en el que el escenario se ha agravado hasta tal punto que (con exclusión de la providencia) el accidente sólo puede evitarse a través de una medida exitosa de recuperación. Los

CA 121-110-03 3/71

controles de riesgo antes del UOS son parte de la eficacia para evitar las barreras y post UOS son parte de la recuperación. (ARMS)

(i) Evaluación de la seguridad: Una evaluación de riesgos se centra en un cambio previsto o planificado de una parte específica de una operación.

(j) Evaluación de Riesgo Operacional (ORA): Evaluación de los riesgos operativos de una manera sistemática, cohesiva, e intelectualmente sólida.

(k) Evaluación de Riesgos de Problema de seguridad (SIRA): La evaluación del riesgo de problemas de seguridad, incluyen los controles de riesgo (barreras) en la evaluación. El marco conceptual de esta evaluación de riesgos es uno donde el riesgo es calculado como el producto de cuatro factores, (prevención, elusión, recuperación y minimización de pérdidas) en lugar de utilizar la fórmula probabilidad x severidad.

(l) Evento activador: En la evaluación de riesgos de problemas de Seguridad operacional (SIRA), el primero de los cuatro factores, evento o condición que activa el escenario del accidente, por la introducción del factor de riesgo inicial. Si la secuencia se va a derivar en una UOS o accidente dependerá de la prevención y recuperación de las barreras. (ARMS)

(m) Evento (Seguridad operacional): Cualquier suceso que ha tenido o podrían haber tenido un impacto en la seguridad, independientemente de severidad reales o percibida (ARMS)

(n) Gestión del cambio: La evaluación del riesgo como resultado de un cambio previsto o planificado de una operación junto con las acciones emergentes tomadas, garantizando la seguridad de la operación debido al cambio.

(o) Indicadores de Desempeño en Seguridad: Determinada métrica, utilizado para medir el desempeño de seguridad de una operación u organización.

(p) Mitigación Clásico = control de riesgos post- accidente OACI = todos los controles de riesgo (prevención, recuperación y mitigación) Utilizados por ARMS: controlar riesgos o reducir riesgos (verbos) Utilizados por ARMS: Control de riesgo, Barreras (sustantivos)

(q) Peligro: Condición, objeto o actividad con el potencial de causar lesiones al personal, daños al equipo o estructuras, pérdida de material, o reducción de la capacidad de realizar una función determinada. (OACI).

(r) Problema de seguridad: Una manifestación de un peligro o una combinación de varios peligros en un contexto específico. El problema de seguridad se ha identificado a través de un proceso sistemático de identificación de peligros de la organización. Un problema de seguridad puede ser una implicación local de un peligro (por ejemplo, los problemas de deshielo de un tipo de aeronave en particular) o una combinación de riesgos en una parte de la operación (por ejemplo, la operación un aeropuerto exigente). (ARMS)

(s) Registrar: Registro documentado de toda la información relativa a problemas de seguridad, evaluación de los niveles de riesgo, las acciones acordadas para reducir los niveles de riesgo y la información sobre su progreso.

(t) Riesgo: Un estado de incertidumbre, donde algunas de las posibilidades suponen una pérdida, catástrofe u otro resultado no deseado (Doug Hubbard). Probabilidad de un accidente x pérdidas por accidente (la definición clásica de ingeniería). La predicción de probabilidad y la severidad de la consecuencia (s) de peligro (s), tomando como referencia a los resultados posibles. (adaptado de la OACI por ARMS).

(u) Sistema de Gestión de Seguridad Operacional (SMS): Un sistema de gestión de seguridad operacional es un proceso sistemático, explícito y proactivo para gestionar la seguridad operacional que integra los sistemas técnicos y operacionales, con la gestión de recursos humanos y financieros para lograr operaciones seguras con un riesgo tan bajo como sea razonablemente practicable. (OACI).

CA 121-110-03 4/71

(v) Supervisión del desempeño de la seguridad: El proceso por el cual se verifica el nivel de seguridad operacional de la organización por comparación con la política de seguridad y los objetivos de seguridad aprobadas. (OACI).

(w) Valor de Riesgo (valor del índice de riesgo): Una ponderación numérica dada a cada cuadrado de una matriz de riesgo para permitir la diferenciación de riesgo con el objeto de un análisis cuantitativo.

6. ANTECEDENTES La Organización de Aviación Civil Internacional (OACI) ha publicado un marco para el SMS con la típica gestión de riesgos de seguridad operacional como componente principal. La Gestión del Riesgo de Seguridad operacional se puede dividir en tres elementos: (i) Identificación del peligro, (ii) Evaluación de riesgos, y (iii) Mitigación del riesgo. La evaluación de riesgos ha sido siempre la parte más difícil del proceso de gestión de riesgos para las operaciones de la aviación. Esto debido a la subjetividad involucrada en la determinación de la gravedad (severidad) de las consecuencias cuando se reconoce un peligro y la falta de información cuantitativa sobre la probabilidad de que esto ocurra. Otro componente clave del marco de SMS de la OACI es "Garantía de la seguridad", siendo uno de los elementos importantes la "Gestión del Cambio". Esto introduce la necesidad de otro tipo de evaluación de riesgos formal de la "evaluación de la seguridad", por lo general relacionados con de cambios planificados en la operación. Por todas estas consideraciones y ante la falta de material en idioma español sobre evaluación de riesgos en el entorno aeronáutico, nos motivaron a traducir el documento “The ARMS Methodology for Operational Risk Assement in Aviation Organisations” para suplir en parte la carencia de métodos y procedimientos aceptables en español, para efectuar evaluaciones de riesgo operacional. Esta metodología ha sido desarrollada por el grupo ARMS (Aviation Risk Management Solutions) integrado por profesionales de líneas aéreas en seguridad operacional. La metodología define un proceso global de evaluación de riesgos operacionales y se describe cada paso. El proceso de evaluación se inicia con la Clasificación de Riesgo de Eventos (Event Risk Classification ERC), la cual es la primera revisión de los acontecimientos en términos de urgencia y necesidades de seguir la investigación. Este paso también atribuye un valor de riesgo para cada evento, lo cual es necesario para la creación de estadísticas de seguridad en función del riesgo. El siguiente paso es el análisis de datos con el fin de identificar los problemas actuales de seguridad operacional. Estos problemas de seguridad son entonces el riesgo evaluado en detalle a través de Evaluación de Riesgos de problemas de Seguridad Operacional (Safety Issue Risk Assessment SIRA). Todo el proceso se asegura de que se identifican todas las medidas necesarias de seguridad operacional, se crea un registro para el seguimiento de los riesgos y acciones mitigadoras y se proporciona un indicador de rendimiento de la vigilancia de la seguridad operacional. El SIRA también se puede utilizar para efectuar evaluaciones de seguridad operacional, que es un requisito de la gestión de cambio, un elemento del SMS. Tanto el ERC y como el SIRA se basan en nuevos conceptos que hacen que las evaluaciones sean conceptualmente más robustas, mientras se mantienen a un nivel simple y pragmático.

CA 121-110-03 5/71

7. PROCEDIMIENTOS La presente circular describe una metodología aceptable para la DGAC respecto a la Gestión de riesgo establecido en los párrafos de las Regulaciones Aeronáuticas del Perú: RAP 121.110 (b)(2) y apéndice K (e)(1) y (e)(2); RAP 135.055 (b)(2) y apéndice B (d)(1) y (d)(2); RAP 141.275 (d)(2) y apéndice J (c)(1) y (c)(2). Aquí se presenta una nueva metodología para la Evaluación de Riesgo Operacional (ORA) que intenta superar las dificultades clásicas y apoyar los nuevos requisitos del SMS de una manera eficaz. El enfoque principal está en función de los riesgos de seguridad de operacional, es decir, los peligros que podrían lesionar a los ocupantes de la aeronave (pasajeros y tripulación), sin embargo, este nuevo método se pueden aplicar a todos los riesgos en las operaciones de aviación. Este documento tiene como objetivo ofrecer una descripción completa de la metodología: el qué, por qué y cómo. El marco conceptual se explica detalladamente junto con el proceso de gestión de riesgo y cada uno de sus pasos. Se proporcionan ejemplos prácticos para todos los las partes del proceso, junto con una explicación de cómo se puede adaptar a la medida la metodología para una organización en particular.

La traducción completa se encuentra en el ANEXO A de la presente Circular de Asesoramiento.

8. CONTACTOS PARA MAYOR INFORMACION Para cualquier consulta técnica adicional referida a esta CA, dirigirse a la Coordinación Técnica de Seguridad Operacional, Dirección General de Aeronáutica Civil Teléfono: 511-6157800 Anexo 1195 Correo electrónico: seguridad.operacional@mintc.gob.pe.

CA 121-110-03 6/71

ANEXO A

La Metodología ARMS para

Evaluación de Riesgo Operacional

en Organizaciones de Aviación

Desarrollado por ARMS Working Group 2007-2010

CA 121-110-03 7/71

Resumen Ejecutivo1

La OACI ha creado nuevos estándares para los Sistemas de Gestión de Seguridad Operacional (SMS) en diferentes organizaciones de aviación, incluyendo entre otros las líneas aéreas, organizaciones de mantenimiento, Servicios de Tránsito Aéreo y Aeródromos. La evaluación de riesgos tiene un papel central en los Sistemas de gestión de seguridad operacional.

Por muchas razones, la evaluación de riesgos es una tarea difícil. Los métodos más antiguos se han caracterizado por altos niveles de subjetividad y otras dificultades.

El grupo de trabajo ARMS (Aviation Risk Management Solutions) de la industria de Aviación, fue creado en el año 2007 con el fin de desarrollar una nueva y mejor metodología para el Evaluación del Riesgo Operacional (Operational Risk Assessment ORA). El grupo objetivo primario de esta metodología son las líneas aéreas, sin embargo también se aplica plenamente a otras organizaciones de aviación.

El grupo de trabajo consistía principalmente de profesionales de seguridad operacional de las líneas aéreas. Esto debe garantizar que la metodología propuesta es aplicable a la configuración de la vida real de una línea aérea u organización de aviación.

La metodología define un proceso global de evaluación de riesgos operacionales y describe cada paso. El proceso de evaluación se inicia con la Clasificación de Riesgo de Eventos (Event Risk Classification ERC), la cual es la primera revisión de los acontecimientos en términos de urgencia y necesidades de seguir la investigación. Este paso también atribuye un valor de riesgo para cada evento, lo cual es necesario para la creación de estadísticas de seguridad en función del riesgo. El siguiente paso es el análisis de datos con el fin de identificar los problemas actuales de seguridad operacional. Estos problemas de seguridad son entonces el riesgo evaluado en detalle a través de Evaluación de Riesgos de Problemas de Seguridad Operacional (Safety Issue Risk Assessment SIRA). Todo el proceso se asegura de que se identifican todas las medidas necesarias de seguridad operacional, se crea un registro para el seguimiento de los riesgos y acciones mitigadoras y se proporciona un indicador de rendimiento de la vigilancia de la seguridad operacional. El SIRA también se puede utilizar para efectuar evaluaciones de seguridad operacional, que es un requisito de la gestión de cambio, un elemento del SMS.

Tanto el ERC y como el SIRA se basan en nuevos conceptos que hacen que las evaluaciones sean conceptualmente más robustas, mientras se mantienen a un nivel simple y pragmático.

Este informe explica la metodología en detalle. Su objetivo principal es proporcionar orientación y ejemplos para los profesionales de la seguridad operacional sobre la manera de aplicar este método. Además del método en sí mismo, el informe revisa las dificultades en el uso de los métodos antiguos y describe el grupo de trabajo ARMS.

1 Traducción libre efectuada por la Coordinación Técnica de Seguridad Operacional de la Dirección General de Aeronáutica Civil, para cualquier consulta dirigirse a la fuente original en : http://www.skybrary.aero/index.php/ARMS_Methodology_for_Risk_Assessment

CA 121-110-03 8/71

Aviso legal

Todas las organizaciones siguen siendo plenamente responsables de su propio desempeño de seguridad operacional. Por lo tanto, el Grupo de Trabajo ARMS, sus miembros y organizaciones de apoyo no asumen ninguna responsabilidad por cualquier daño o perjuicio de ningún tipo, relacionados con el uso de la metodología ARMS o sus partes.

CA 121-110-03 9/71

Índice 1.0 Introducción………………………………………………………………………………… 11 1.1 ¿De qué trata este documento? …………………………………………………………. 11 1.2 ¿Quién puede utilizar este método? ………………………………………………… 12 1.3 ¿Qué se entrega? ……………………………………………………………………… 12 1.4 Acerca del grupo de trabajo ARMS. …………………………………………………… 12 2.0 ¿Por qué una nueva metodología para la Evaluación del Riesgo Operacional? ……. 14 2.1 Objetivos para la Evaluación de Riesgo Operacional …………………………………… 14 2.2 Los métodos actuales de evaluación de riesgos operativos………………………… 15 2.3 La nueva metodología…………………………………………………………………… 17 3.0 Descripción de la Metodología ARMS……………………………………………............ 18 3.1 Alcance y aplicación..................................................................................................... 18 3.2 Relación con los viejos métodos y referencias clave................................................... 19 3.3 Puntos clave de la metodología ARMS........................................................................ 19 3.4 El proceso de evaluación de riesgos............................................................................ 21 4.0 Metodología ARMS de evaluación de riesgos explicada paso a paso………............. 24 4.1 El punto de partida: datos de identificación de riesgos................................................ 24 4.2 Clasificación de Eventos de Riesgo (ERC).................................................................. 25 4.3 Investigaciones…………………………………………………………………………… 28 4.4 Acciones para reducir los riesgos................................................................................. 29 4.5 Base de datos de Seguridad operacional……………………………………………. 29 4.6 Análisis de Datos…………………………………………………………………………. 30 4.7 Vigilancia del rendimiento de seguridad........................................................................ 32 4.8 Evaluación de Riesgos de problemas de seguridad Operacional (SIRA)…................ 33 4.9 Registro de Riesgos……………………………………………………………………… 35 4.10 Evaluación de la seguridad......................................................................................... 36 4.11 Análisis de Peligros…………………………………………………………………….. 37 4.12 Utilizando SIRA para evaluaciones de seguridad....................................................... 37 5.0 Temas de personalización para diferentes tipos de organizaciones............................ 39 5.1 Organizaciones sin operaciones de vuelo................................................................... 39 5.2 Grandes organizaciones.............................................................................................. 40 5.3 Pequeñas organizaciones........................................................................................... 41 5.4 Personalización de las matrices de riesgo................................................................... 42 6.0 Apéndices……………………………………………………………………………… 45 6.1 Declaración de Misión de ARMS…............................................................................ 45 6.3 Métodos de trabajo ARMS........................................................................................... 46 6.4 Miembros ARMS…………………………………………………………………………… 47 6.5 Limitaciones de los métodos actuales........................................................................... 48 6.6 Limitaciones de los métodos actuales – ejemplo…..................................................... 49 6.7 Eventos basados en riesgo y el ERC........................................................................... 49 6.8 Justificación de la propuesta de los valores de índice de riesgo de ERC................... 52 6.9 Método Evaluación de Riesgos de problemas de seguridad (SIRA)........................... 50 6.10 Casos Ejemplo de evaluación de los riesgos............................................................... 52 6.10.1 Ejemplos de Clasificación de eventos de riesgo (ERC)............................................ 52 6.10.2 Ejemplos de Evaluación de Riesgos de problemas de Seguridad (SIRA).............. 62 6.10.3 Ejemplos de Evaluaciones de la seguridad (gestión del cambio)……………………68 6.10.4 Ejemplos que cubren el proceso completo de evaluación de riesgos……......... 68

CA 121-110-03 10/71

7.0 Glosario…………………………………………………………………………….…. 70 8.0 Agradecimientos………………………………………………………………………........ 73 9.0 Guía de Referencia Rápida ARMS………………………………………………………… 74

CA 121-110-03 11/71

1.0 Introducción 1.1 ¿De qué trata este documento? La mayoría de las organizaciones de aviación son requeridas por su autoridad aeronáutica nacional para implementar un Sistema de Gestión de Seguridad Operacional (SMS). La Organización de Aviación Civil Internacional (OACI) ha publicado un marco para el SMS con la típica gestión de riesgos de seguridad operacional como componente principal. La Gestión del Riesgo de Seguridad operacional se puede dividir en tres elementos: (i) Identificación del peligro, (ii) Evaluación de riesgos, y (iii) Mitigación del riesgo. La evaluación de riesgos ha sido siempre la parte más difícil del proceso de gestión de riesgos para las operaciones de la aviación. Esto debido a la subjetividad involucrada en la determinación de la gravedad (severidad) de las consecuencias cuando se reconoce un peligro y la falta de información cuantitativa sobre la probabilidad de que esto ocurra. Otro componente clave del marco de SMS de la OACI es "Garantía de la seguridad", siendo uno de los elementos importantes la "Gestión del Cambio". Esto introduce la necesidad de otro tipo de evaluación de riesgos formal de la "Evaluación de la seguridad", por lo general relacionados con de cambios planificados en la operación. Este documento presenta una nueva metodología para la Evaluación de Riesgo Operacional (ORA) que intenta superar las dificultades clásicas y apoyar los nuevos requisitos del SMS de una manera eficaz. El enfoque principal está en función de los riesgos de Seguridad de Operacional del Vuelo, es decir, los peligros que podrían lesionar a los ocupantes de la aeronave (pasajeros y tripulación), sin embargo, este nuevo método se pueden aplicar a todos los riesgos en las operaciones de aviación. Este documento tiene como objetivo ofrecer una descripción completa de la metodología: el qué, por qué y cómo. El marco conceptual se explica detalladamente junto con el proceso de gestión de riesgo y cada uno de sus pasos. Se proporcionan ejemplos prácticos para todos los las partes del proceso, junto con una explicación de cómo se puede adaptar a la medida la metodología para una organización en particular. El lector no debe interpretar erróneamente el volumen de este documento como una indicación de la complejidad de la metodología. El resumen de una página (capítulo 9) es suficiente para el uso diario de esta metodología. La mayoría de los usuarios nunca tendrán que estudiar este documento en su totalidad. Está diseñado para los encargados de la ejecución del SMS que necesitan entender mejor las razones detrás de este enfoque. Los capítulos 4 y 5, así como los ejemplos resueltos en el capítulo 6 contienen una explicación detallada del proceso ARMS. El documento sirve también como registro de la obra completa del grupo de trabajo para las personas que no pudieron ser parte de las discusiones que hicieron en lo que es hoy la metodología ARMS.

CA 121-110-03 12/71

1.2 ¿Quién puede utilizar este método? El método está pensado, no sólo para las líneas aéreas y otros operadores aéreos, sino que también puede ser utilizado por otros organizaciones de aviación (directa o indirectamente) relacionados con las operaciones de vuelo, por ejemplo organizaciones de mantenimiento y organismo de control de tránsito aéreo. Se cree que esta metodología no sólo mejorará la calidad de la evaluación de riesgo en las organizaciones de aviación sino que también permitirá una mayor cooperación entre ellas. Esto es porque el enfoque presentado se basa en la idea de "Global" del riesgo, es decir, el riesgo total producido por todas las organizaciones involucradas y "entregado" a la organización, que es en realidad la que opera la aeronave. El capítulo 5 se refiere a la personalización de la metodología para distintos tipos de organizaciones de aviación. La metodología descrita puede ser útil también para organizaciones fuera de la aviación, a pesar de que este no era un objetivo original del diseño. El material está disponible gratuitamente para cualquier persona, pero cuando se use en cualquier publicación, presentación, software o algo parecido, debe hacerse una referencia completa del trabajo original del grupo ARMS. 1.3 ¿Qué se entrega? A nivel conceptual, el documento presenta los principios generales de cómo debe llevarse a cabo las evaluaciones de riesgo operacional y por qué. En esta sección se presentan varios conceptos nuevos y prácticas recomendadas. A nivel práctico, el documento contiene un método completo y detallado con matrices, códigos de colores, números y guía de usuario. Esto provee un ejemplo de cómo la metodología conceptual se puede transformar en aplicaciones prácticas. Hay que recordar que las organizaciones pueden necesitar o querer personalizar la aplicación práctica para satisfacer sus necesidades específicas. El capítulo 5 está dedicado a la personalización. Los detalles también están obligados a evolucionar con el tiempo. Es importante reconocer la diferencia entre estos dos niveles. Las recomendaciones en el plano conceptual pretenden que sean de aplicación universal, mientras que las aplicaciones prácticas sólo es una manera de aplicar la metodología. Cuando el contenido se refiere a la aplicación práctica se destaca por un sombreado de fondo claro. 1.4 Acerca del grupo de trabajo ARMS. ARMS es un grupo de trabajo formado por individuos de la industria de aviación que apoyan el trabajo base en forma voluntaria. La Declaración de Misión de ARMS se presenta en Apéndice 6.1.

CA 121-110-03 13/71

ARMS es una organización apolítica, sin fines de lucro grupo de trabajo, con la misión de producir una buena metodología de evaluación de riesgo para la industria. Los resultados son de libre acceso a la industria en su conjunto y para cualquier persona interesada en el concepto. ARMS nació por iniciativa de algunas personas con el punto de partida es una taller en junio de 2007. Más detalles sobre el inicio del grupo de trabajo y sus métodos de trabajo se explican en los apéndices 6.2 y 6.3, respectivamente. Los miembros del ARMS figuran en el apéndice 6.4. El Grupo de Trabajo ECAST SMS se creó en abril de 2008 identificando inmediatamente que uno de sus más resultados más importantes sería desarrollar una guía práctica sobre la evaluación de riesgos. Una vez que había sido informada la actividad de la Sección, se decidió en no duplicar los esfuerzos de desarrollo, sino a tomar el trabajo de las ARMS como la referencia para la gestión de riesgo operacional. El grupo ECAST ha seguido desde entonces el trabajo de ARMS en estrecha colaboración y las prestaciones ARMS son también los resultados del Grupo de Trabajo ECAST SMS sobre este tema.

Las personas claves que ejecutan la actividad de SMS en la OACI también se han mantenido al día con el trabajo ARMS a través de correos electrónicos y presentaciones.

CA 121-110-03 14/71

2.0 ¿Por qué una nueva metodología para la Evaluación del Riesgo Operacional? 2.1 Objetivos para la Evaluación de Riesgo Operacional La Gestión del Riesgo Operacional se compone de tres elementos: Identificación de peligros, Evaluación de riesgos y reducción de riesgos (mitigación, en terminología de la OACI). El principal objetivo de la gestión de riesgos es asegurarse de que todos los riesgos se mantienen en un nivel aceptable. Contribuir al monitoreo del desempeño de la seguridad operacional mediante el establecimiento de indicadores de desempeño de Seguridad operacional puede ser considerado como un objetivo secundario. La información de Riesgo también puede ser utilizada por las autoridades nacionales en la vigilancia de la seguridad. La identificación de peligros es acerca de la recopilación y análisis de datos de seguridad operacional, a través de la identificación de los problemas de seguridad operacional (véase el Glosario para la definición de problemas de seguridad operacional). Tales datos de seguridad operacional por lo general incluyen los reportes de seguridad operacional, reportes obligatorios sobre sucesos (MOR), datos de eventos de vuelo, y los resultados de las encuestas y auditorías de seguridad operacional. La Identificación de peligros proporciona la entrada para la evaluación de riesgos. El objetivo para la Evaluación del Riesgo Operacional (ORA) es la evaluación de los riesgos operativos de manera sistemática, sólida e intelectualmente coherente. Evaluación de Riesgo Operacional es necesaria en tres contextos diferentes: 1. Eventos individuales de seguridad operacional pueden reflejar un alto nivel de riesgo y en consecuencia requieren una acción urgente. Por lo tanto todos los eventos entrantes necesitan de un análisis de riesgo. Este paso se llama Clasificación de Riesgo de eventos (ERC). 2. El proceso de identificación de peligros puede conducir a la identificación de problemas de seguridad operacional, que necesitan un análisis de riesgo para determinar en su caso, qué medidas son necesarias. Este paso se llama Evaluación de Riesgos de Problemas de Seguridad Operacional (SIRA). 3. De vez en cuando habrá la necesidad de llevar a cabo evaluaciones de seguridad, suelen estar relacionados con una nuevas o revisadas actividades de explotación (nuevo destino, por ejemplo). La actividad necesita de un análisis de riesgo en la etapa de planificación, de acuerdo con el proceso "Gestión del Cambio" de la empresa. En los dos primeros casos, la evaluación se basa en los datos de identificación de peligros. El resultado es un perfil de riesgo operacional, es decir, una visión general de todos los riesgos operacionales. En el tercer caso, es posible que no haya datos disponibles si la actividad prevista es nueva para la organización. En los tres casos, la evaluación del riesgo debe tener en cuenta las posibles consecuencias, además de a las consecuencias observadas de los acontecimientos. Los métodos utilizados en los tres casos deben ser compatibles para que las salidas de uno se puedan utilizar en la entrada de la otra.

CA 121-110-03 15/71

Además de los objetivos generales, se puede listar una serie de requisitos prácticos para la ORA:

• El método ORA debería ser capaz de utilizar todos los datos típicos de seguridad operacional como entradas (reportes de seguridad operacional, datos de vuelo, las observaciones tipo LOSA, hallazgos de auditoría, etc.) y ser diseñado para utilizar fuentes que producen grandes cantidades de datos de seguridad importantes. Estas fuentes pueden ser tanto internas y/o externas.

• El método no debería requerir de datos que no son fácilmente disponibles o que no puedan ser estimados razonablemente.

• El método debe ser fácil de usar y crear una carga de trabajo razonable. Las grandes líneas aéreas pueden tener cientos de reportes mensuales sobre la seguridad para procesar. Por lo tanto el proceso de ERC debe ser rápido y fácil de seguir.

• La subjetividad debe ser minimizada. • Los resultados deben ser comprensibles por los no expertos y ayudar a identificar

cualquiera de las acciones necesarias. 2.2 Los métodos actuales de evaluación de riesgos operativos Hay un problema conceptual fundamental en la evaluación de riesgos de eventos (históricos) que se debe reconocer. Para entender el problema, es necesario ir de nuevo a un nivel muy básico, la definición elemental de riesgo: "El riesgo es un estado de incertidumbre, donde algunas de las posibilidades suponen una pérdida, catástrofe, o el resultado indeseable. " (Douglas W. Hubbard2

)

Por lo tanto, la incertidumbre es un elemento clave de riesgo. Por lo tanto si el resultado es un conocido hecho histórico, podemos hacer referencia a la pérdida, daño, etc., pero no el riesgo. El Riesgo técnicamente se refiere a algo en el futuro, donde el resultado es incierto. ¿Cómo se puede entonces evaluar el riesgo de un evento histórico? Esta cuestión plantea algunas preocupación sobre cualquier intento de evaluación de riesgo, reportes de eventos de seguridad, eventos de datos de vuelo, etc. Con la aparición de grandes cantidades de datos de seguridad de vuelo, los Gerentes de seguridad operacional quieren aplicar el concepto de riesgo a los datos recogidos, pero este dilema fundamental, debe ser direccionado. A pesar que un acontecimiento histórico no contiene ningún riesgo ahora, sí conllevó a un riesgo cuando ocurrió. Es sólo que el riesgo no se materializó necesariamente. Por lo tanto, queremos capturar el riesgo que el evento llevaba tal como ocurrió para que podamos reconocer el riesgo de este evento demuestra dentro de nuestra operación. El método más común para la evaluación de riesgos en la aviación ha sido la utilización de la fórmula clásica de riesgo, es decir crear una matriz bidimensional de probabilidad x severidad 2 Director de Economía de la Información Aplicada (AIE). Autor del bestseller # 1 en Matemáticas de Negocios en Amazon: "Cómo medir cualquier cosa: Encontrar el valor de los intangibles en la empresa"

CA 121-110-03 16/71

(gravedad) que guía el juicio de tolerancia al riesgo. Al tratar de asignar valores a la probabilidad y severidad, el analista tiene que responder a las preguntas: "la severidad de qué?" y "la probabilidad de qué?". Desafortunadamente diferentes analistas tienden a responder a estas preguntas de otras maneras:

• Algunos se refieren a la severidad de un suceso actual y su resultado como un producto real.

• Otros piensan en la severidad como un resultado potencial, un producto “imaginario pero no realista”, “el tipo de accidente más probable", o el resultado del "Peor escenario".

• La "probabilidad de recurrencia" es igualmente subjetiva de como se debe evaluar la probabilidad de que algo similar vuelva a ocurrir, pero no está clara la similitud.

Esta confusión conceptual se ilustra en los apéndices 6.5 y 6.6. Por lo tanto, en lugar de tratar de evaluar el riesgo presente del evento a medida que se desarrollaba, los analistas suelen evaluar el riesgo de un evento similar que tendrá lugar en el futuro, pero, "un evento similar" es un objeto de vago para la evaluación del riesgo, provocando una aumento significativo en la subjetividad de los resultados. La eficacia de los controles de riesgo existente son de extrema consideración al tratar de medir el riesgo. La fórmula simplista de probabilidad x severidad no toma en cuenta la existencia (no potencialidad) de controles de riesgo de manera adecuada. Es principalmente debido a la falta de un marco conceptual sólido que ha dado lugar a este y otros problemas inherentes a los métodos actuales que están siendo subestimados. Todos los métodos de evaluación de riesgos deben proporcionar orientación al analista para ayudarlo en la selección "correcta" de la columna o fila de la matriz de riesgos. Palabras como "ocasional" y "raro" para la probabilidad o "mayor" / "menores" de la severidad ayudan poco a lograr evaluaciones coherentes y consistentes. A veces se proporcionan definiciones muy detalladas para cada columna / fila. Esto puede crear fácilmente la trampa de considerar sólo los resultados reales de un evento, incluso tratando de que coincida con las definiciones escritas. Los métodos actuales de evaluación de los riesgos tienden a ser de aplicación universal para todo el riesgo en los tres contextos de evaluación que se describe en la sección 2.1. y, en general no pueden hacer la diferenciación crucial entre sucesos, problemas y evaluaciones de seguridad operacional. Sin embargo, como la discusión anterior ilustra que un evento histórico no es un tema ideal para una "búsqueda en el futuro" de evaluación de riesgos. Los problemas de seguridad operacional son típicamente identificados debido al número de eventos y puede ser definida con precisión (¡como lo es hasta que el analista los define!). Son problemas de seguridad que podría potencialmente llevar a un accidente y por lo tanto, ser sujetos muy adecuados para una evaluación de riesgos con miras al futuro. Las Evaluaciones de Seguridad sirven para evaluar cambios futuros y por lo general se puede subdividir en varios problemas (potenciales) de Seguridad.

CA 121-110-03 17/71

En contraste a los métodos simplistas basadas en la fórmula probabilidad x severidad, se han desarrollado algunos métodos complejos basados en el sistema de aviación y el uso de las matemáticas avanzadas para representar las relaciones entre ciertos factores, tratando de calcular su impacto en la seguridad. Aún no se ha demostrado si estos modelos pueden reproducir las complejas formas y a veces caótica, en que los diversos factores interactúan en la creación de un accidente. Han sido abandonados en el pasado varios emprendimientos sobre la base de este enfoque, cuando se hizo evidente que la construcción y el mantenimiento de este modelo sería introducir una carga de trabajo inaceptable debido a los constantes cambios en los procedimientos, programas de entrenamiento, modificaciones del estado de las aeronaves y la tecnología prevaleciente en todo el sistema de aviación. Una nueva metodología debe subsanar las deficiencias de los métodos existentes, así como el cumplimiento de los objetivos descritos en la sección 2.1. 2.3 La nueva metodología La nueva metodología pretende ser tanto conceptualmente sólida y útil en la práctica en un contexto operacional real.

• Todos los conceptos y los términos están definidos (ver Glosario). Hay una clara diferenciación entre los eventos de seguridad operacional y problemas de seguridad operacional, que están direccionadas con diferentes pero compatibles evaluaciones de riesgo.

• El proceso de evaluación de riesgos de problemas de seguridad operacional (SIRA) también es aplicable a las Evaluaciones de seguridad operacional.

• Se ha tenido un especial cuidado para asegurar que los pasos iniciales de la Clasificación de Riesgo de Eventos (ERC) son fáciles y rápidos de ejecutar, ya que tendrán que ser ejecutados en todos los eventos entrantes.

• Se ha diseñado un marco conceptual claro, junto con una guía detallada para ofrecer plena claridad sobre cómo se evalúa el riesgo y ayudar a reducir la subjetividad de la evaluación en sí misma. El impacto de los controles de riesgo está integrado a la evaluación del riesgo, y por lo tanto, ya no es un hecho aislado o una tarea desatendida. De cómo lograr esto, se explica más adelante en este documento.

• El resultado de cada evaluación está diseñada para ser claro y entendible por los gerentes de la línea operativa.

La metodología puede ser personalizada a las necesidades concretas de determinadas organización y preferencias. También es aplicable a las organizaciones que no tiene operaciones de vuelo como por ejemplo las Organizaciones de Mantenimiento Aprobadas autorizadas (OMA), Control de Tránsito Aéreo y Explotadores de aeródromos. Mientras que la nueva metodología no elimina toda subjetividad de la evaluación del riesgo de los eventos de la aviación, se cree que es mucho más objetivo que los otros métodos actualmente en uso en la aviación.

CA 121-110-03 18/71

3.0 Descripción de la Metodología ARMS Este capítulo presenta una breve descripción de la metodología ARMS a fin de dar al lector una imagen global de la metodología, incluyendo su alcance y aspectos claves. En el capítulo 4 se explicará cada uno de los aspectos en detalle. 3.1 Alcance y aplicación Al hablar de la evaluación de riesgos en la aviación, especialmente en el contexto de una línea aérea no es una tendencia natural a centrarse en el riesgo de la seguridad en vuelo, y en particular, el riesgo de un accidente con víctimas múltiples y pérdida del casco. En la práctica, un solo evento puede estar relacionado con más de un tipo de riesgo y las aerolíneas tienen que administrar diferentes tipos de riesgos en paralelo. Estos riesgos adicionales incluyen:

• Riesgo Financiero - el riesgo de pérdidas financieras significativas. • Riesgo Ambiental - el riesgo de daños al medio ambiente. • Riesgo de reputación - el riesgo de daño a la reputación de las compañías aéreas -

por ejemplo, problemas con los anuncios no controlados de seguridad durante el vuelo de la aeronave no suponen ningún riesgo a la seguridad durante el vuelo, sino que atraen importante atención y preocupación a los pasajeros.

• El riesgo operativo (Vuelo) - el riesgo de demoras operacionales resultantes de la puesta a tierra de una aeronave o de la flota. Esto también podría ser considerado como parte del riesgo financiero.

• Riesgo de Mantenimiento de la aeronavegabilidad- el riesgo de que la aeronave no puede estar en condiciones de aeronavegabilidad, debido a problemas de mantenimiento o de asistencia en tierra.

• Los riesgos de seguridad en tierra - por ejemplo, riesgos de pérdida debido a acciones deliberadas que pongan en peligro a la aeronave.

La metodología ARMS ha sido desarrollada para los riesgos de seguridad operacional, por lo que en este documento, el enfoque principal está basado en los riesgos de seguridad en vuelo, es decir, los riesgos que podría perjudicar a los ocupantes de una aeronave (pasajeros y tripulación). Sin embargo, el grupo de trabajo cree que la metodología puede ser fácilmente adaptada para otros tipos de riesgos. Como se indica en la sección 2.1, en la evaluación del riesgo operacional se necesita en tres diferentes contextos:

1. Eventos de seguridad individual puede reflejar un alto nivel de riesgo y en consecuencia requieren una acción urgente. Por lo tanto todos los eventos entrantes necesitan de un análisis de riesgo. Este paso se llama Clasificación de Riesgo de Eventos (ERC).

2. El proceso de identificación de peligros puede conducir a la identificación de

problemas de seguridad operacional, que necesitan un análisis de riesgo para determinar qué medidas serán necesarias, si fuera el caso. Este paso se llama

CA 121-110-03 19/71

Evaluación de Riesgos de problemas de seguridad operacional (SIRA). Los problemas de Seguridad operacional pueden ser reevaluadas de manera regular para asegurarse de que el riesgo es mantenido a o por debajo del nivel aceptable.

3. De vez en cuando habrá una necesidad de llevar a cabo evaluaciones de seguridad

operacional, estas suelen estar relacionados con una nueva o revisada actividad de explotación (nuevo destino, por ejemplo). Estas actividades necesitan de un análisis de riesgo en la etapa de planificación, de acuerdo con el proceso de "Gestión del Cambio" la empresa.

El grupo objetivo primario de la metodología ARMS son las líneas aéreas y otros operadores de aeronaves. El grupo objetivo secundario consiste en las organizaciones de aviación, que tienen un enlace directo con la operación de aeronaves, pero no operan aeronaves por sí mismos. 3.2 Relación con los viejos métodos y referencias claves La metodología ARMS se enlaza con los siguientes elementos del marco del SMS de la OACI:

• Evaluación de riesgo (y mitigación) • Monitoreo y supervisión de la seguridad operacional • Gestión del Cambio

La metodología ARMS puede ser vista como una mayor elaboración de los principios que se encuentran tras el método más genérico que se da en el material del curso SMS y el Manual del Sistema de Gestión de Seguridad Operacional (SMM) de la OACI. Ambos enfoques comparten los mismos objetivos3

.

Hay que tener en cuenta que los métodos que figuran en el material de instrucción sobre el SMS de la OACI y que otros documentos sobre los medios aceptables de cumplimiento (AMC), no son necesariamente restrictivos, es decir, que presentan una forma de cumplir, sin descartar otras métodos aceptables. 3.3 Puntos clave de la metodología ARMS La metodología de la Sección puede resumirse en los siguientes puntos:

• El final del proceso total de evaluación de riesgos, empieza en la Identificación de peligros que conducen a las acciones de seguridad operacional que han sido definidas y actúa como la columna vertebral de la metodología.

• Todos los nuevos datos de entrada de eventos de seguridad deben ser revisados

dentro de un período de tiempo aceptable para que exista una reacción inmediata

3 En 2008, cuando la metodología ARMS se presentó en la OACI, la respuesta fue que los métodos presentados en el material de instrucción del SMS de la OACI no son las únicas formas aceptables para llevar a cabo dichas actividades y se observó que no existía ningún conflicto entre la metodología ARMS y el material de orientación de la OACI.

CA 121-110-03 20/71

ante cualquier tema urgente. Esta tarea es la Clasificación de riesgo de eventos (ERC), y es el primer paso de la metodología ARMS para el proceso de evaluación de riesgos. El ERC hace una rápida estimación inicial del riesgo inherente al evento. El nuevo concepto de " Riesgo en función de eventos" utilizados para estimar el riesgo. El resultado es a la vez una clase de riesgo (color) que indica lo que hay que hacer con el evento y un valor numérico de riesgo (ERC valor del índice de riesgo) que pueden ser utilizados en el análisis de riesgo cuantitativo. Una vez que el riesgo es evaluado, todos los eventos se almacenan en una base de datos de eventos de seguridad.

• Dado que, como se explicó anteriormente, un acontecimiento histórico, no tiene

ningún riesgo hoy en día, el caso real se extrapola como que resultado creíble de accidente podría haber ocurrido. Este es entonces la clasificación de riesgo teniendo en cuenta las barreras que evitaron que este evento resulte en un accidente. La pregunta es: ¿cuál fue el riesgo, en el momento cuando ocurrió el suceso.

• Cuando se analiza los datos de seguridad operacional en la base de datos (Análisis

de Datos), la principal atención se centra en la identificación de cualquier problema de seguridad operacional que afectan a las operaciones actuales.

• Se evalúan los riesgos de todos los problemas identificados de seguridad operacional

utilizando la técnica de Evaluación de Riesgos de Problemas de Seguridad Operacional (SIRA). El marco conceptual de esta evaluación de riesgo es nuevo: el riesgo se calcula como el producto de cuatro factores, (Prevenir, evitar, recuperar y minimizar pérdidas) en lugar de la antigua formula probabilidad x severidad. Este nuevo marco incluye los controles de riesgo (Barreras) en la evaluación del riesgo. El producto del SIRA es un valor de riesgo para cada problema de seguridad operacional.

Una prioridad clave de la metodología ARMS es reducir la subjetividad inherente a los actuales métodos de evaluación de riesgos. Los tres pasos que ayudan a lograr este objetivo son:

• En la Clasificación de riesgo de eventos (ERC), todas las circunstancias que conspiraron para producir el evento se conocen y son considerados como eran, por lo que la subjetividad asociada con la determinación de la probabilidad de que ocurra el evento se ha reducido considerablemente.

• El ERC intenta identificar la probabilidad de un evento mediante la evaluación de las

barreras que evitaron que este evento se convierta en un accidente. La consideración de estas barreras es todavía subjetiva, pero esta subjetividad puede ser reducida mediante una buena comprensión de las barreras disponibles en escenarios típicos.

• En la realización de la Evaluación de Riesgos de un Problema de Seguridad

Operacional (SIRA), el/la analista debe definir en primer lugar y el alcance del problema de seguridad antes de la evaluación de riesgo. Un problema de seguridad definido con precisión es mucho más fácil de evaluar cuantitativamente. Por ejemplo, un problema de seguridad como la cizalladura del viento que se refiere únicamente a

CA 121-110-03 21/71

un tipo de aeronave y a un aeropuerto es más fácil de examinar que uno que cubra a toda la flota aérea y la red de rutas. Una cuidadosa definición asegurará que la evaluación del riesgo es más probable si está basada en hechos reales y no en la imaginación y adivinación.

3.4 El proceso de evaluación de riesgos En la figura 1 se presenta un esquema simplificado del proceso de evaluación de riesgos desarrollada por el grupo ARMS. La identificación de peligros es acerca de recopilar y analizar datos de seguridad operacional, para identificar problemas de seguridad operacional. Estos datos de seguridad por lo general incluyen los reportes de seguridad, los datos de vuelo, eventos, y los resultados de encuestas y auditorías de seguridad. La identificación de peligros proporciona la información de entrada del proceso de evaluación de riesgos. Una persona calificada tiene que revisar estos datos de forma relativamente rápida para que cualquier asunto urgente se pueda abordar de manera oportuna. Estos pasos son direccionados a través del proceso de Clasificación de Riesgos de Eventos (ERC). La posibilidad de tomar acciones sobre la base de eventos individuales constituye el primer paso en el proceso (flecha roja "¿acciones urgentes?”). Todos los datos de entrada de seguridad también se almacenan en una base de datos. La base de datos debe ser analizada rutinariamente con el fin de detectar cualquier tendencia adversa y para supervisar la eficacia de las medidas previas de reducción de riesgos. Este análisis puede conducir a la identificación de un posible problema de seguridad que debe ser formalmente evaluado para determinar el nivel de riesgo y diseñar las acciones de reducción de riesgos. Esta es la flecha color amarillo en la figura 1. Además, el análisis de la base de datos, impulsados por un evento o problema que puede revelar riesgos que deben ser atendidas de inmediato antes que se lleve a cabo un SIRA más formal; es decir, algunas cuestiones que son, obviamente, "malas" se arreglan sin una evaluación de riesgos. Por ejemplo un aumento repentino de aproximaciones desestabilizadas en el aeropuerto X puede conducir a la acción sin una evaluación de riesgos formal. Esta "respuesta rápida" está representada en la flecha del medio (azul). Estos problemas con el tiempo deben llevar a cabo un SIRA de manera oficial para que pueda medirse adecuadamente y efectuar el seguimiento en el Registro de Riesgos.

CA 121-110-03 22/71

Figura 1. Esquema simplificado de presentar el proceso de Evaluación de riesgo. La figura 2 presenta el mismo concepto con más detalle y con una entrada adicional, Evaluaciones de Seguridad operacional. Cabe señalar que por razones de claridad se han eliminado algunas de las flechas secundarias.

Figura 2. Flujo del proceso de Evaluación de Riesgos.

CA 121-110-03 23/71

Aún se puede observar en la diagrama los mismos tres pasos que conducen a las acciones de reducción de riesgo. La propuesta de aplicación práctica del la ERC es una matriz de 4x4 y el resultado será de color rojo, amarillo o verde. La organización requerirá que los eventos en color rojo se investiguen inmediatamente y los amarillos deben ser investigado, pero con menos urgencia. Los de color verde significan que "Archive el caso en la base de datos y úselo para efectuar análisis estadístico y para mejora continua". De esta manera, los acontecimientos en color amarillo y rojo pueden dar lugar a acciones directas, basada sólo en un caso individual. (Véase el capítulo 4, Figura 4). Todas las acciones deben ser manejadas a través del Registro de riesgos, los que contiene toda la información relativa a problemas de seguridad y evaluación de los niveles de riesgo. El registro también puede usarse para controlar el progreso de las "acciones". La otra entrada al proceso general de gestión del riesgo es a través de la decisión de efectuar una Evaluación de seguridad operacional. Cuando se ha previsto un cambio operativo, debería ponerse en marcha una evaluación de seguridad operacional para evaluar los riesgos de seguridad asociados. El primer paso es el Análisis del Peligro, que consiste en enumerar todos los riesgos potenciales relacionados con el cambio. En base a estos peligros, la mayoría de los escenarios relacionados más críticos son desarrollados, y se pueden evaluar mediante el método SIRA. En algunos casos, puede haber poca o ninguna información para ayudar a la evaluación que tendrá que hacerse con juicios más subjetivos. (Vea la sección 4.10)

CA 121-110-03 24/71

4.0 ARMS metodología de evaluación de riesgos explicada paso a paso La descripción de la metodología en este capítulo es apoyada con varios ejemplos documentados en la sección 6.10. 4.1 El punto de partida: datos de identificación de peligros Hay varias fuentes y tipos de datos de seguridad operacional provenientes de proceso de identificación de Peligros. Se presenta en la figura 3 una lista de las fuentes típicas de una aerolínea. Para otros tipos de organizaciones de aviación habrá otras fuentes de datos disponibles que habrá que considerar igualmente.

Figura 3. Fuentes de datos típicos de seguridad operacional La metodología ARMS maneja varios tipos de datos de identificación de peligros. La regla principal es la ERC que se utiliza para eventos (incluso cuando no hay ninguna consecuencia real) y la SIRA se utiliza para problemas de seguridad operacional (incluyendo los riesgos y las condiciones latentes). He aquí algunos ejemplos:

• Eventos observados se pueden introducir y evaluar de la misma manera como la reportes de seguridad con el ERC.

• Los hallazgos observados (amenazas, peligros, condiciones latentes) son mejor analizadas con la SIRA. En este caso, el primer factor de SIRA, el "evento activador" por lo general es el peligro.

• Conclusiones de auditorías pueden ser evaluadas con la SIRA. Los resultados de los cuestionarios siguen la misma lógica.

CA 121-110-03 25/71

• La fatiga es uno de los peligros en factores humanos (HF) que actualmente recibe cada vez más atención y en muchas organizaciones se están implementando un Sistema de Gestión de Riesgo de Fatiga (FRMS) como un elemento de su SMS. La ERC ofrece una buena herramienta para evaluar el riesgo de seguridad operacional con la fatiga relacionada con eventos reportados (por ejemplo, errores de navegación). Por otro lado, muchos problemas de seguridad relacionados con la fatiga debe evaluar el riesgo utilizando la metodología SIRA (por ejemplo consideraciones de fatiga específicos de vuelos de ultra-larga distancia).

La personalización de la metodología ARMS se discute en el capítulo 5 4.2 Clasificación de riesgo de eventos (ERC) El principal objetivo de la clasificación de riesgo de eventos es el de actuar como la primera selección de todos los datos de entrada de seguridad operacional y determinar el momento de adoptar medidas necesarias urgentes. Este tipo de detección es necesario para cualquier metodología que se utiliza para la evaluación de riesgos. Por lo general, la clasificación de riesgo de eventos debe llevarse a cabo preferentemente dentro de uno o dos días de producido el evento y se llevará a cabo por una persona con experiencia operacional que ha sido entrenado en la evaluación de riesgos, en adelante, el analista de seguridad.| La Sección 2.2 y los anexos 6.5 y 6.6 ilustran los problemas cuando se trata de analizar un caso de evaluación de riesgos con los métodos clásicos. Para evitar estos problemas, la ERC dentro de la metodología ARMS está basada en el nuevo concepto "Riesgo en función del evento"4

, que es una evaluación de los riesgos asociados a este evento y no el riesgo asociado con todos los eventos similares. Hay que tener en cuenta que la ERC sólo puede ser el primero paso en el proceso de evaluación de riesgos y puede ser revisado como resultado de cualquier investigación.

El valor de ERC se basa en dos preguntas: • Si este evento habría escalado a un accidente, ¿Cual habría sido el escenario de

accidente más creíble? • ¿Cuál fue la eficacia de las barreras remanentes entre este evento y el resultado de

accidente más creíbles? Vale la pena señalar que:

• La primera pregunta está tratando de identificar el resultado del accidente que la mayoría de veces preocupa cuando este tipo de incidente ocurre, o dicho de otro modo ¿cuál es la accidente que estoy tratando de evitar al tener este incidente? Esta cuestión no está pidiendo el resultado más probable, ya que es por lo general es "Nada" y por lo tanto hace caso omiso de cualquier riesgo que el caso lleva, tampoco necesariamente busca el peor resultado posible en el peor de los casos, no suele ser el accidente más obvio que se pueda esperar. Por ejemplo, un despiste en una pista de baja la velocidad o una colisión en tierra durante el rodaje sería un accidente, pero rara vez con 100% de las muertes.

4 Descrita previamente en el capítulo 2

CA 121-110-03 26/71

• Es probable que exista cierta subjetividad entre los usuarios que responden a la primera cuestión en función de cómo consideran ellos los factores que causan el evento. Sin embargo, esta variación se trata en la pregunta dos a través de tomar en consideración las barreras remanentes, y por lo tanto la probabilidad del accidente resultante. Los colores y valores de riesgo de la ERC están destinadas a garantizar que cualquier variación en enfoque produce resultados similares en términos de riesgo (véase el apéndice 6.8).

• En el largo plazo, es probable que las organizaciones identificarán los resultados asociados con los tipos de eventos y por lo tanto, se eliminará la subjetividad asociada con la primera pregunta para la mayoría de los incidentes. Por otra parte, algunos usuarios pueden desear tener en cuenta múltiples resultados, pero esto, sin embargo está fuera del alcance del trabajo de ARMS en esta etapa.

• La segunda pregunta sólo toma en cuenta las barreras remanentes para estimar la probabilidad de accidentes si se diera como el resultado más creíble (de la pregunta 1). Se contarán las barreras, que contuvieron el accidente (porque todavía estaban en su lugar), junto con cualquiera otra que se crea que todavía permanece. Las barreras que fallaron ya no se tomarán en cuenta.

• Se reconoce que todavía existe subjetividad en la respuesta a la segunda pregunta y que el conocimiento de los expertos seguirá siendo necesario para hacer una correcta categorización. Es probable que algunas organizaciones opten por desarrollar métodos para reducir esta subjetividad.

• La referencia en este análisis tiene que ser un accidente, porque la evaluación de riesgos sólo tiene sentido en relación con un accidente. No cambia el hecho que nosotros gestionamos incidentes, que en realidad no son accidentes, sólo se reconoce el hecho de que para medir el riesgo asociado con los incidentes, tenemos que hacer referencia a ellos al accidente resultante. En algunos casos, el accidente de referencia podría ser tan leve que no califica como un accidente de acuerdo con la definición de la OACI. Esto explica el uso del término "accidente resultante".

La propuesta de aplicación práctica de la ERC es una matriz 4x4, que se ilustra en la figura 4.

Figura 4. Matriz ERC La siguiente guía le ayuda en la realización de evaluaciones de riesgos coherentes.

CA 121-110-03 27/71

Pregunta 1: "Si este evento hubiese escalado en un accidente, ¿Cuál habría sido el accidente resultante más creíble?"

• En su mente, tratar de escalar el evento en un accidente resultante. • Si es prácticamente imposible que el evento pudiera haber derivado en un accidente

resultante, entonces usted se encuentra en la fila final cuyo valor de ERC es 1. • Si usted puede imaginar un escenario de accidente creíble (¡inclusive si es

improbable!), entonces considerar el escenario más creíble, juzgando su consecuencia típica y recogiendo la fila correspondiente en la matriz. Puede ser de ayuda la lista de "escenarios de accidentes típicos" en el lado derecho de la matriz.

Pregunta 2: "¿Cuál fue la eficacia de las barreras remanentes entre este evento y accidente resultante más creíble?"

• Para acceder al resto del "margen de seguridad", tenga en cuenta tanto el número como la robustez de los obstáculos restantes entre este caso y el escenario del accidente en la pregunta 1.

• Las barreras que fallaron ya no se tienen en cuenta. Sólo se tienen en cuenta la barrera que trabajó y las barreras posteriores que todavía están en su lugar.

• Para la selección de la columna vertical, usted debe escoger: La columna de la extrema derecha, si lo único que separa el caso de un accidente

fue pura suerte o habilidad excepcional, para lo cual no se requiere entrenamiento. La tercera columna de la izquierda, si algún tipo de barrera (s) todavía estaban en

su lugar, pero su efectividad total fue "mínima", por ejemplo, esta podría ser una advertencia GPWS justo antes de un inminente CFIT.

La segunda, si la columna de la eficacia de la(s) barrera (s) era "limitada". Por lo general, esta es una situación anormal, más exigente de manejar, pero todavía con un margen considerable de seguridad remanente, por ejemplo, un error en la hoja de peso y balance o estiba versus ligeros problemas de rotación en el despegue.

La columna de la extrema izquierda, si el margen de seguridad era "efectivo", por lo general consta de varias barreras buena, por ejemplo, pasajeros fumando en el baño frente a accidente por incendio en vuelo.

Es bueno tener en cuenta que la información disponible sobre el evento en esta etapa puede ser limitada y la ERC se lleva a cabo sobre la base de esta información limitada. El apéndice 6.10 contiene ejemplos prácticos sobre la Clasificación de Riesgo de Eventos. El ERC tiene dos salidas. El primer resultado es una recomendación sobre lo que se debe hacer sobre el evento. Por ejemplo, utilizando para ello la matriz de ERC, los resultados deben ser interpretados de la siguiente manera:

Investigue de inmediato y tome acción Investigue y lleve a cabo una Evaluación de Riesgo Úselo para la mejora continua (Fluye en la base de datos)

CA 121-110-03 28/71

En el caso de un resultado de color rojo, el evento puede ser considerado como un problema de seguridad por derecho propio. En el caso de un resultado de color amarillo que pueden ser investigadas y / o evaluación de riesgo con más refinamiento. Esto se puede hacer con el SIRA, en primer lugar la creación de un problema de seguridad basado en el evento o algún aspecto del evento (por ejemplo, un peligro). Por ejemplo, un GPWS caso puede revelar pobres rutas ATC en un lugar determinado, que se toma como una Problema de seguridad y riesgo evaluado utilizando el SIRA. El analista de seguridad pueden, con base a su juicio, decidir a veces sobre un mayor riesgo que lo que indica la ERC. El segundo resultado de la ERC es un número, llamado índice de riesgo ERC. Este índice da un valor cuantitativo del riesgo relativo y es muy útil en la recopilación de estadísticas (ver sección 4.6 sobre el análisis de datos). En la matriz propuesta de ERC, los índices de riesgo van desde el 1 al 2,500 y cada cuadrado de la matriz tiene un valor único. La justificación de la elección de los valores de estos índices de riesgo se presenta en el apéndice 6.8. Si hay varios escenarios posibles de "accidente resultante" que se pueda imaginar, usted debe ejecutar el proceso de ERC en cada uno y escoger el que le da el mayor índice de riesgo. 4.3 Investigaciones

El propósito de una investigación local es averiguar más sobre el evento y sus causas. Su alcance puede ir desde una llamada telefónica a la creación de un equipo de investigación multi- departamental que podría tomar varios meses para presentar un informe final. No se consideran aquí las investigaciones que involucran a organismos externos. La investigación puede incluir:

• Llamadas telefónicas o reuniones para obtener información de personas involucradas o especialistas

• Estudio de las condiciones meteorológicas y otros • Estudio de los expedientes técnicos • Analizar la base de datos de seguridad y análisis de datos históricos sobre eventos o

condiciones similares • Escribir los resultados en un informe, que puede ser colocado en el software de

seguridad, relacionado con el evento.

Por lo general, la investigación identifica las causas, los factores contribuyentes y las condiciones. Lo puede dar lugar a acciones y recomendaciones. 4.4 Acciones para reducir los riesgos La Evaluación de riesgos, como tal, no reduce el riesgo. El SMS de la empresa especificará los grupos funcionales que son necesarios para identificar las acciones necesarias y dar seguimiento a su aplicación y eficacia. Por lo general, el Grupo de Acción para la Seguridad (s) se centrará en estos dos. La organización también puede tener una Junta de Revisión de

CA 121-110-03 29/71

seguridad operacional de alto nivel, que se centrará en el seguimiento del nivel general de riesgo y la finalización de la las acciones claves y las recomendaciones en el Registro de Riesgos. El Registro (de riesgo) es de gran ayuda en el seguimiento de las recomendaciones, tanto para aplicación y eficacia. (Ver sección 4.9). 4.5 Base de datos Seguridad de Operacional Además de la ERC, todos los datos de seguridad se deben introducir en la base de datos de seguridad. Es necesario tener una "estructura" de base de datos, que pueden ser utilizados para el análisis de datos y en donde se pueden encontrar fácilmente los eventos individuales. La secuencia de las tareas, i) Clasificación de riesgo de eventos (ERC) y ii) la entrada del evento en la base de datos de seguridad pueden variar en función del software del operador individual y los procedimientos. La base de datos de seguridad facilita diferentes tipos de análisis estadísticos, incluidos los gráficos sobre el número de casos, los niveles de riesgo y las tasas, ordenados por diversos criterios. Este tipo de análisis puede conducir algún tipo de acción, incluso antes de que un problema de seguridad sea formalmente planteado y se ha hecho una evaluación más formal de riesgos (En la figura 1, flecha (azul) en el centro). El análisis de base de datos la seguridad también proporcionan algunas medidas para controlar el rendimiento de la seguridad. Para crear una base de datos "estructural”, es necesario clasificar los datos en función de varios criterios. Los elementos típicos relacionados con cada caso, por ejemplo:

• Fecha • Tipo de aeronave • Registro o matricula de aeronave • Punto de salida y destino • Fase de vuelo • Ubicación del evento • Evento descriptor o tipo • Los sistemas de las aeronaves involucradas (lista de palabras clave) • Aspectos operacionales involucrados (lista de palabras clave) • Valor del incide de Clasificación de eventos de riesgos

Además de estos elementos de hecho, es muy conveniente crear otra estructura datos tales como el caso de "tipo o descriptor", "factores causales", etc. Esto será extremadamente valioso en futuros análisis de bases de datos. A menudo la base de datos está contenida en la herramienta de software de seguridad utilizado por la aerolínea. Todas las herramientas comerciales incluyen las taxonomías palabra clave o descriptor de clasificación de los eventos. El nivel necesario de sofisticación de la base de datos está en función tamaño y complejidad de la línea aérea.

CA 121-110-03 30/71

Una descripción más detallada de las herramientas de software va más allá del alcance de este documento. 4.6 Análisis de Datos El objetivo principal de análisis de datos es identificar los problemas de seguridad que afectan a la operación actual. En el análisis de los datos se trata de examinar la base de datos de seguridad para identificar las tendencias y grupos de eventos relacionados. Es un proceso de aprendizaje y descubrimiento de datos existentes. Cuadros, gráficos y filtros que se producen acontecimientos por diferentes combinaciones tales como:

• Periodos de tiempo • Tipo de aeronave • Aeropuerto / aproximación • Tipos de eventos • Palabras claves • Los sistemas de las aeronaves involucradas • Aspectos operacionales involucrados

A veces los resultados revelan inmediatamente problemas que obviamente deben ser abordados, incluso antes de una evaluación formal de riesgos. Por ejemplo, si una aproximación a un aeropuerto tiene una tasa muy alta de aproximaciones no estabilizadas, el asunto, obviamente, debe ser abordado. Los resultados pueden ser presentados como "el número de eventos" o como "tasa de eventos", que son con frecuencia más significativo. Por ejemplo, el número de aproximaciones no estabilizadas por aeropuerto de destino será guiado por los diferentes números de vuelos realizados en estos aeropuertos. La base puede revelar un alto número de eventos, simplemente debido a la gran cantidad de vuelos. El cálculo de la tasa de aproximaciones no estabilizadas por todas las aproximaciones voladas a ese destino le dará una idea más clara de la situación. Es importante darse cuenta de que ni el "número de eventos", ni "tasa de eventos" tiene en cuenta la severidad (potencial) de los acontecimientos. Por lo tanto, mirar estas estadísticas puede ser engañoso. El índice de valores de riesgo ERC puede ofrecer una valiosa oportunidad de pasar de un enfoque en el "número" a un enfoque en el "riesgo", dando una mucha mejor base para la toma de decisiones. Los valores de ERC pueden ser utilizados para cualquier tipo de análisis estadístico. ¿Cómo se puede hacer esto? Los siguientes ejemplos ilustran dos maneras posibles. Ejemplo 1. Riesgo total acumulado Suma juntos los valores ERC de un lote de eventos y declarar el valor del riesgo acumulativo ya que el riesgo total para ese lote de eventos.

CA 121-110-03 31/71

Figura 5 Ejemplo ficticio del uso del índice ERC de riesgo acumulado La Figura 5 presenta un ejemplo ficticio de un gráfico sobre eventos de tierra ordenado por el aeropuerto. Este ejemplo ilustra la importancia de considerar el riesgo en lugar del sólo las cifras y tasas de eventos. Los resultados se presentan como un recuento de eventos, la tasa de eventos y el riesgo total por el aeropuerto (ERC acumulado de todos los eventos de tierra en ese aeropuerto). Para el aeropuerto DDD el riesgo es alto a pesar de una baja cifra y tasa de eventos, es decir, la gravedad de los resultados (potencial) ha sido alta en los acontecimientos que tienen lugar en este aeropuerto. Por lo tanto, el análisis clásico basado sólo en el número/frecuencia o eventos que conducen a subestimar la importancia de los eventos de tierra en DDD. De hecho, la "los eventos en tierra de DDD" normalmente podría convertirse en un problema de seguridad. Ejemplo 2: Informes de tasas anuales Este es un ejemplo de la adición de los colores de ERC a las tasas de eventos por año.

Reporte de eventos en tierra por aeropuerto

Aeropuerto

Núm

ero

de e

vent

os y

por

cent

aje

Indi

ces E

RC

Acu

mul

ado

CA 121-110-03 32/71

Figura 6. Ejemplo ficticio de un resultado ERC relativo al número de vuelos a lo largo de 4 años. En este ejemplo, todos los eventos de la base de datos se agrupan por el resultado de ERC (rojo, amarillo, verde) por cada 1.000 vuelos. Esto da por resultado tasas de eventos ERC y pueden ser monitoreados en el tiempo (por año o por mes, por ejemplo). Otras opciones incluyen el cálculo de la media y / o la desviación estándar del índice de valores de riesgo ERC. Estos pueden ser usados para evaluar el riesgo relativo de los factores, tales como tipo de aeronaves, ubicación, tipo de evento de seguridad, etc. La incorporación de estos valores en las tendencias en el tiempo es muy útil para la supervisión del desempeño de seguridad operacional. Véase la sección siguiente. Recuerde que los valores de índice de riesgo ERC son del riesgo relativo, es decir, que se utilizan para comparar los diferentes riesgos, y no como valores absolutos.

4.7 Monitoreo del desempeño de la Seguridad Operacional Un requisito fundamental en el SMS es el monitoreo del desempeño de seguridad operacional de la organización. El propósito es asegurar que se consigue el nivel aceptable de seguridad operacional (y por lo menos un mínimo nivel aceptable de desempeño de seguridad). En la práctica, los datos utilizados para la Supervisión del rendimiento es prácticamente la misma información que se utiliza para Identificación peligros y Evaluación de Riesgos. El Monitoreo del desempeño de la Seguridad Operacional puede estar basada tanto en:

CA 121-110-03 33/71

• Medidas que vienen directamente de alguna fuente de identificación de peligros (por ejemplo, reportes de seguridad o datos de vuelo)

• Riesgo basado en las medidas. Los primeros tienden a dar información sobre un aspecto muy específico y limitado de la operación y generalmente se limitan a un número o una tasa, no así la integración de la dimensión potencial de la severidad. Los parámetros basados en el riesgo pueden dar una imagen más completa del desempeño de Seguridad. Estos pueden ser utilizados en diferentes niveles: 1. Normal, identificación de peligros, basados en indicadores de desempeño de seguridad (SPI), puede ser transformado en medidas contra el riesgo mediante la sustitución del número de eventos con el valor acumulado ERC. Tales indicadores de desempeño de seguridad pueden ser creados para vigilar, por ejemplo:

• Riesgo total asociado a los eventos de mantenimiento • Riesgo total de aproximaciones no estabilizadas • Riesgo total de fatiga inducida

2. Los valores resultantes de la Evaluación de riesgos de problemas de seguridad operacional (SIRA) se pueden utilizar en la creación de más indicadores globales de seguridad operacional, las cuales hacen seguimiento a los riesgos de los problemas de seguridad identificados. Por ejemplo:

• Riesgo de "volar en espacio aéreo no controlado" • Riesgo de "operación en el aeropuerto XXX"

3. Usando las medidas de 1 y 2 anteriores, es posible construir un indicador que vigile el riesgo total operacional. Los indicadores se pueden establecer, por ejemplo:

• Como un valor absoluto o valor mínimo • En un plazo fijado por encima o por debajo de cierto límite • Como una variación del rango permitido (por ejemplo, dos desviaciones estándar de la

media) • Como una tendencia de riesgo

4.8 Evaluación de Riesgos de problemas de seguridad operacional (SIRA) Como resultado del análisis de datos, la organización permitirá ir conociendo una serie de problemas de seguridad operacional que afectan a su funcionamiento. Estos riesgos deben ser evaluados utilizando la Evaluación de Riesgos de Problemas de Seguridad operacional (SIRA). El primer paso es definir correctamente el alcance y el problema de seguridad. Los aspectos típicos a definir son los siguientes:

CA 121-110-03 34/71

• Título del problema de seguridad operacional • Descripción del Peligro (s) • Descripción de los escenarios relacionados con el accidente (s) • Tipos de aeronaves considerados • Lugares considerados • Periodo de tiempo bajo estudio • Departamentos cuya participación en la evaluación es necesaria • Otros

Definir el problema de seguridad correctamente hace que la evaluación sea más objetiva. Por ejemplo, una vez que los aeropuertos se han establecido, la longitud exacta de la pista es conocida, una vez que se ha establecido el período de tiempo, la frecuencia de vuelos a diversos destinos y el estado actual de la aeronave (modificaciones, etc.) se convierten en fijos. A veces, antes de hacer la evaluación cuantitativa del SIRA, el problema de seguridad podría ser dividido en dos o más sub-temas. Por ejemplo, si el problema de seguridad es "Las aproximaciones para el aeropuerto Z", donde el aeropuerto Z es un aeropuerto de gran altura con una pista corta, el problema de seguridad puede ser dividida en dos sub-temas: uno para cubrir el riesgo de aterrizajes duros y otro para cubrir el riesgo de excederse de pista. La razón de la división es que la aplicación de barreras, lo que activó los acontecimientos para los sub-temas pueden ser diferentes, por lo tanto requieren de un análisis separado para cada uno de ellas. El SIRA evalúa el riesgo mediante una fórmula en que el riesgo consiste en cuatro aspectos.

• Frecuencia / probabilidad del denominado evento de Activación • Eficacia de las barreras preventivas. • Eficacia de las barreras de recuperación. • La severidad del resultado del accidentes (más probable)

Los antecedentes de este método se explican en el apéndice 6.9. La ARMS ha desarrollado una aplicación basada en Excel para ilustrar cómo el SIRA puede ser llevado a la práctica. Esta herramienta va a través del proceso de SIRA paso a paso, empezando con la definición del problema de seguridad, a continuación, describiendo el evento activador, todas las barreras y el accidente resultante. Por último, se efectúa una estimación numérica de los tres primeros factores y se estima la severidad de los resultados potenciales de accidentes, al igual que el ERC. Un factor de 10 de diferencia se utiliza para evaluar fácilmente la efectividad de las clases de barreras (por ejemplo, la barrera podría fallar "una vez de cada 100 veces", o "una vez de cada 10 veces "). Esta herramienta basada en Excel está disponible en www.skybrary.aero. Se utilizan los límites de las JAR/FAR 1309 para producir los resultados en una escala de cinco niveles de de riesgo: Niveles inaceptables de riesgo:

CA 121-110-03 35/71

• Parar • Mejorar

Los niveles tolerables de riesgo: • Seguro • Vigilar • Aceptar

El significado exacto de cada uno de los resultados tiene que ser definida a nivel de empresa. Aquí se da un ejemplo de lo que podrían significar los resultados:

• Parar: la parte afectada de la operación (por ejemplo, destino, tipo de aeronave, procedimiento) debe ser suspendido inmediatamente hasta que se ha aplicado una medida aceptable de reducción de riesgo. La materia recibe una atención inmediata por parte de la administración.

• Mejorar: El problema debe ser planteado y accionada en el Grupo de Acción de Seguridad operacional (SAG) y controlado por la Junta de Revisión de Seguridad. Es necesario identificar las medidas de reducción de riesgos y empezarlas dentro del marco de tiempo acordado. Si la no se alcanza dentro del plazo acordado la reducción del riesgo a un nivel aceptable, se requiere que la alta dirección decida acerca de la tolerancia al riesgo del nivel de seguridad de la Junta de Revisión de seguridad operacional (SRB).

• Seguro: El nivel de riesgo y su tendencia debe ser vigilada en forma continua (por lo menos a nivel de SAG) con el fin de prevenir la escalada hasta un nivel inaceptable. Deben ser discutidos refuerzos de las medidas existentes en la próxima oportunidad conveniente (por ejemplo, en la próxima reunión programada del SAG) y deben ser consideradas nuevas medidas de reducción.

• Vigilar: El problema es seguido regularmente a través de la práctica rutinaria análisis de base de datos y del seguimiento de los valores SIRA para todos los problemas de seguridad en el Registro de Riesgos, es decir, se mantiene en la lista de problemas de seguridad actuales o previstos.

• Aceptar: No se requiere acción específica ya que el riesgo está dentro del nivel aceptable.

• Deben ser definidos el significado exacto de cada nivel de riesgo y las medidas necesarias de acuerdo con los directivos de la empresa. ¿Qué es tolerable y por cuánto tiempo? ¿Cómo se controlan los problemas de alto riesgo, y como se controlan las acciones relacionadas? Este debe estar documentado en el Manual del SMS de la organización.

La herramienta en Excel cuenta con un campo reservado para que el resultado pueda ser comentado por el Analista de Seguridad. Para muchas organizaciones la herramienta en Excel puede ser una manera suficiente de seguimiento de los problemas de seguridad. Se pueden clonar fácilmente nuevas hojas de cálculo a partir de los ya existentes y utilizarlas como plantillas para las actualizaciones de SIRA. EL método SIRA es también aplicable a las evaluaciones de seguridad como parte de proceso de la gestión del cambio. Este aspecto se trata en las secciones 4.10 y 4.12.

CA 121-110-03 36/71

4.9 Registro de Riesgos El registro de riesgos contiene información sobre los riesgos identificados que es necesario para su gestión. Los contenidos típicos son los siguientes:

• Problemas de Seguridad operacional • Sus valores de riesgo • Las acciones acordadas • Las personas responsables y fechas límite para las acciones • El avance en las acciones y el impacto en los niveles de riesgo

El Registro es una buena herramienta para las personas en la línea de operaciones y de la Oficina de Seguridad que trabaja en la gestión de la seguridad operacional. Algunas organizaciones pueden optar por seguimiento de los riesgos a un nivel más refinado e incluir en el Registro:

• Eventos activadores • Eventos de Estados Operacionales no deseados (UOE) • Barreras y seguimiento de su eficacia5

• Las decisiones de seguridad (que tienen que ser registrados en algún lugar, de todos modos).

4.10 Evaluación de la seguridad Una evaluación de la seguridad operacional es una evaluación de riesgos centrada en una parte específica de la operación. El objetivo es valorar si esa parte de la operación es lo suficientemente segura, es decir, si el nivel de riesgo es aceptable. Por lo general, la atención se centrará en una nueva parte o cambio de la operación y el objetivo es asegurar que la operación prevista estará a salvo. En este caso, la evaluación debe hacerse antes de la tomar la decisión en la nueva operación, pero en cualquier caso antes de que se haya iniciado la nueva operación. El origen de la evaluación también podría ser un cambio en el entorno operativo, como frente a una decisión interna de la empresa. En los dos casos anteriores, la evaluación de la seguridad es parte de la Gestión del Cambio del SMS. No habrá que completar los datos de la empresa que podrían ser utilizados en la evaluación del riesgo debido a que la atención se centra en una futura operación. A veces, las evaluaciones de seguridad se hacen para las partes ya existentes de la operación. En este contexto, son llamados a menudo casos de seguridad y el objetivo es asegurar que el nivel de seguridad es (todavía) es aceptable. En este caso, los datos de la empresa de seguridad deben estar disponibles para apoyar la evaluación. Además del objetivo principal de evaluar el nivel de riesgo de la operación bajo enfoque, por lo general es conveniente evaluar: 5 El seguimiento de las barreras y su eficacia es un tema muy amplio en sí mismo y puede convertirse en un aspecto importante de un sistema de gestión de la seguridad operacional. Sin embargo, a pesar de que el grupo de trabajo ARMS identificó muchos desafíos en esta área y discutió el tema, el problema está fuera del alcance de este documento.

CA 121-110-03 37/71

• ¿Si el nivel de riesgo es demasiado alto, podría ser reducido a un nivel aceptable? • En caso afirmativo, ¿cómo? • ¿Qué tan difícil y costoso sería?

Las respuestas a estas preguntas son esenciales para la alta dirección cuando se evaluar la fiabilidad y rentabilidad de una nueva operación. Es importante darse cuenta de que las evaluaciones de seguridad no son simplemente una medida del procedimiento del proceso de Gestión del Cambio. Su utilidad deriva en las consecuentes acciones que se toman para reducir los riesgos identificados. Se deben vigilar las acciones para asegurar que los riesgos se reducen a lo previsto. El método propuesto para llevar a cabo la evaluación de la seguridad es el primero en identificar y analizar los peligros asociados y luego usar la técnica de Evaluación de Riesgos de problemas de seguridad operacional (SIRA) para evaluar los riesgos relacionados con los riesgos identificados. Este método funciona cuando hay un número suficiente de hechos, elementos cuantificables para alimentar el SIRA (por ejemplo, nuevas Procedimiento de recuperación de GPWS). Cabe señalar que por razones puramente cualitativas, los cambios “soft” (cambio de estructura de administración, la externalización de un servicio) puede ser imposible de cuantificar el riesgo utilizando la metodología ARMS o cualquier otro método, y por lo tanto no se pueden utilizar la técnica SIRA. En estos casos la evaluación tiene que ser de carácter cualitativo, basado en juicios realizados por personas con experiencia. Debe hacerse una estimación mediante un proceso definido totalmente cualitativo "lo más objetivo posible", generalmente por un grupo de evaluación. Para todas las evaluaciones de seguridad, un problema clave es: ¿cómo se activan estas evaluaciones? Se necesita un mecanismo sistemático de activación. Esto podría ser un ítem permanente en la agenda del SAG y discutir en la SRB si nada "en el radar" requiere de una evaluación de la seguridad. El SAG y SRB también tendrán que revisar y decidir si el resultado de una evaluación de la seguridad es aceptable. Ejemplos de evaluaciones de seguridad se desarrollan en el apéndice 6.10. 4.11 Análisis de Peligros Una vez que el área de la evaluación de la seguridad ha sido definida con precisión, será posible establecer una lista de los peligros relacionados. Esto se puede hacer de manera sistemática mediante el uso de una método reconocido, como FMEA (Failure Mode and Effect Analysis), o a través de una evaluación efectuada por un grupo de gente con conocimientos. La lista de los peligros identificados en sí mismo no siempre proporciona el material necesario para el SIRA. Los riesgos tienden a combinarse entre sí con otros factores tales como condiciones de visibilidad. Por lo tanto, el siguiente paso es la construcción de escenarios en los que se identificaron peligros creados por Estados Operacionales no deseados (UOS) que podrían resultar en un accidente. 4.12 Utilizando el SIRA para evaluaciones de seguridad

CA 121-110-03 38/71

El paso de análisis de riesgos por lo general produce varios peligros potenciales y varios resultados potenciales de accidentes, en uno o más UOS. A continuación, podría ser posible limitar el estudio a los resultados más importantes. Se debe introducir ahora el(los) escenario (s) en el marco de SIRA. Esto significa que la identificación de los UOS y los resultados relacionados con el accidente más probable, el evento activador y las barreras. El método SIRA se aplicaría entonces como se explica en sección 4.8 y se ilustra con los ejemplos en el apéndice 6.10. En la etapa de análisis del peligro se producen la mayor parte de los datos necesarios para el SIRA. En el caso de varios escenarios, el que produce el mayor riesgo direccionará el nivel global del riesgo de la evaluación de la seguridad, pero podría llevar a todos los escenarios la resultante de las acciones de reducción de riesgos.

CA 121-110-03 39/71

5.0 Temas de personalización para los diferentes tipos de organizaciones Al igual que en el SMS, en general, uno de los aspectos más difíciles en la creación de un Proceso de gestión de riesgos es que se necesita adaptar a las especificidades de la organización en cuestión. A lo largo de este documento, se establece una distinción clara entre la metodología conceptual, que debe ser universal, y la aplicación práctica de la metodología (impreso sobre un fondo gris), que puede ser más o menos personalizado a nivel de empresa. Además en este capítulo se abordan algunas de personalización de temas específicos. 5.1 Organizaciones sin operaciones de vuelo Como se indica en el apartado 3.1, el foco principal de la metodología ARMS está en los riesgos de la seguridad de vuelo, es decir, los riesgos que podrían dañar a los ocupantes de una aeronave (pasajeros y tripulación). Sólo las organizaciones que ejecutan operaciones de vuelo están expuestas directamente a los riesgos de la seguridad de vuelo. Es importante darse cuenta de que la gestión del riesgo de seguridad de vuelo es también el principal objetivo de seguridad del sistema de aviación en su conjunto. Por lo tanto, de ser posible, cualquier evaluación de riesgo realizado en cualquier parte del sistema de aviación debe estar relacionada con los riesgos de seguridad de vuelo. El sistema de aviación se compone de un gran número de diversos proveedores de servicios, la mayoría no ejercen una operación de vuelo y por lo tanto no tendrán accidentes de aviación pero pueden contribuir positiva o negativamente a la seguridad de vuelo como fuente de los peligros y mediante el control de algunas de las barreras. Es fácil ilustrar esto pensando en las organizaciones de mantenimiento o los centros de control de tránsito aéreo. ¿Cómo deben llevar a cabo evaluaciones de riesgo las organizaciones sin operaciones de vuelo? A veces, su elección ha sido el de evaluar el riesgo en relación con un resultado intermedio negativo, que ha sido por lo general;

• Liberación de la aeronave no aeronavegable – por una organización de mantenimiento, y,

• Pérdida total de la capacidad de servicios de tránsito aéreo - para una organización ATC.

El problema con este enfoque es que ninguno de los resultados intermedios mencionados es en realidad un accidente. El estado de "aeronave no aeronavegable" puede ser alcanzado en cientos de formas diferentes, algunas de las cuales inducen un riesgo extremadamente alto de seguridad operacional mientras que otras no inducen en absoluto a un riesgo de seguridad operacional. Por lo tanto, las evaluaciones de riesgos deben asegurar de que existe una fuerte relación entre la evaluación de "riesgo de aeronavegabilidad" y el riesgo para la seguridad en vuelo. Es deseable que la OMA deba evaluar tanto el riesgo de

CA 121-110-03 40/71

aeronavegabilidad como el de seguridad operacional. Hay que reconocer que el SMS de una OMA tenga un proceso de identificación de peligros y de gestión de riesgos para identificar problemas de seguridad operacional y asegurar que se tomen las medidas correctivas. Algunos eventos que tienen un bajo o nulo riesgo para la seguridad operacional puede ser el resultado de una falla sistémica que podría manifestarse en una forma mucho más grave. El proceso de gestión de riesgos debe garantizar que se toman acciones y que los hechos que no caen en la zona "verde" categoría "no se requiere acción", porque no fue un real "accidente resultante". Una de las conclusiones del grupo de trabajo ARMS es que las evaluaciones de riesgos, de tales organizaciones de aviación deberían, si es posible, relacionarse con el riesgo de la seguridad del vuelo, además de con el riesgo de aeronavegabilidad. En la mayoría de los casos, esto requerirá de trabajo conjunto con otras organizaciones, especialmente, la que ejecuta la operación de vuelo6

. El proveedor de servicios necesita saber cuál es el riesgo real para las operaciones de vuelo creado por varios los peligros que ellos producen. Los explotadores aéreos tiene que saber cuál es la frecuencia esperada eventos activadores (en el proveedor de servicios) y cuan efectivas son las barreras en el lado del proveedor de servicios. El SIRA es una herramienta muy útil para un trabajo estructurado y el diálogo hacia el riesgo de la seguridad de vuelo real.

La metodología de ARMS es plenamente aplicable a diversos tipos de organizaciones de aviación y no sólo a las organizaciones con operaciones de vuelo. Son un desafío los riesgos relativos de seguridad en vuelo, pero el uso de la metodología ARMS puede ayudar a cumplir ese desafío. Tanto ERC y SIRA suponen que se utiliza en relación con el posible resultado de la operación en vuelo. El apéndice 6. 10 contiene ejemplos para ilustrar este punto. La idea conceptual de la metodología ARMS puede ser usada para hacer versiones adicionales de ERC y SIRA para una OMA por ejemplo. Cada evento se pudo evaluar en paralelo con diferentes ERC y proporcionar diferentes valores del índice. De esta manera, los diferentes tipos de riesgos podrían ser gestionados de forma paralela. El riesgo de la Salud y Seguridad en el trabajo (OSH) también podría ser evaluado a través de los conceptos ARMS. Tal "personalización", sin embargo, está más allá de la alcance de este documento y se deja el trabajo a las organizaciones individuales o futuros grupos de trabajo. 5.2 Organizaciones grandes En las grandes organizaciones con altas cantidades de datos necesitan de un proceso sistemático, coherente y robusto para minimizar el tiempo necesario para el análisis por informe y se vuelven muy importantes los requisitos. Una buena herramienta y la automatización son elementos críticos para el éxito. El alto número de datos es a la vez una bendición y un problema: la carga de trabajo es mayor, pero por otro lado, muchas cosas son cuantificables. Una cosa que puede resultar útil cuando se enfrentan a altas cantidades de reportes es el uso de formatos, que guía al analista en la clasificación de eventos similares repetitivos de una

6 Ver la excelente presentación de Jean- Marc Cluzeau, presentada en el Seminario de EASA sobre SMS, del 15 al 16 de enero de 2008. La presentación se puede acceder en el siguiente link: http//www.easa.eu.int/ws_prod/g/g_events_archiv.php

CA 121-110-03 41/71

manera coherente. Por ejemplo, los siguientes tipos de eventos pueden presentarse en grandes cantidades de contenido casi idéntico:

• Choque con aves • Alertas TCAS • Fallos técnicos menores • Pasajeros fumando en los baños

Además, puede haber períodos de tiempo en donde se repite un problema específico con una muy alta frecuencia (condiciones técnicas, los fenómenos meteorológicos, trabajos en curso en un aeropuerto, etc.) En estos casos, es bueno tener una bien documentada y coherente forma para clasificar los acontecimientos, sobre la base de unas cuantas reglas sencillas. Naturalmente, el formato sólo dará resultados predeterminados - si cualquier otro factor adicional estuviera presente, el analista tendría que corregir el resultado. Otra función potencialmente útil puede ser una detección semiautomática de problemas de Seguridad Operacional. Una herramienta de minería de datos (data mining) puede escanear la base de datos de seguridad y detectar algunos patrones como posibles problemas de seguridad. La detección se basa en la frecuencia o la tendencia al aumento de valor en la base de datos (por matricula de la aeronave, tipo de aeronave, sistemas de la aeronave, época del año, aeropuerto, fase de vuelo, etc.). De esta manera, los patrones fácilmente detectables por lo menos pueden ser detectados en forma semiautomática, dejando más recursos de análisis para encontrar los patrones de seguridad más difíciles de detección. Además, las herramientas de minería de datos han demostrado ser una buena herramienta en la detección de asociaciones que son fácilmente perdidas con una exploración analítica normal. En una gran organización, con más datos, será posible medir diferentes fenómenos. Por ejemplo, en el SIRA, es posible utilizar los datos históricos de fábrica para estimar la frecuencia de un "evento activador" o la solidez de una barrera. Desde el punto de vista organizativo, no solo puede haber más recursos disponibles, sino que también habrá más datos para analizar. Una buena herramienta de software es vital para la gestión de los datos y estar a disposición de todos los grupos de usuarios. En grandes organizaciones es probable que varias personas realicen evaluaciones de riesgo. Esto puede dar lugar a incoherencias. Por lo tanto, es necesaria la coherencia de las evaluaciones para ser controlados en el Sistema de Gestión de la Seguridad Operacional. 5.3 Organizaciones pequeñas Utilizando la metodología de ARMS una organización pequeña no es diferente de lo que ha se ha descrito en este documento. Normalmente, el tamaño pequeño debería ser reflejado en la cantidad de datos, herramientas, recursos humanos disponibles, experiencia y el nivel de apoyo de la infraestructura de la empresa. Estos factores, que pueden ser percibidas como las dificultades, se pueden compensar con más canales de comunicación directa, baja burocracia y una mayor capacidad de actuación y adaptación a los cambios condiciones. Tanto ERC y SIRA pueden y deben ser utilizado como se ha descrito. La pequeña cantidad de datos puede ser un desafío para la detección de problemas de seguridad, evaluaciones

CA 121-110-03 42/71

con SIRA y el establecimiento de un sistema de monitoreo de seguridad de rendimiento fiable. Esto aumenta la conveniencia de canalizar los diferentes tipos de datos de seguridad a una sola base de datos, o si es posible, evaluarlos a través de la misma ERC. En cuanto a la solución de base de datos por sí misma, puede ser a la vez aceptable y puede haber restricciones por los costos impuestos por utilizar una simple solución de bajo costo, aunque el costo de las herramientas disponibles en el mercado, es por lo general en función del número de usuarios, haciendo que sean más asequibles a las organizaciones pequeñas. Las evaluaciones de seguridad deben llevarse a cabo, al igual que para cualquier otro tipo de organización. Una vez más, los datos externos puede ser muy útiles para la cuantificación de diversos factores en el análisis. Debido a una baja cantidades de datos, las organizaciones más pequeñas pueden tener la tendencia de atestiguar los siguientes efectos:

• Cada evento categoría/palabra clave, etc. recibe un número de bajo de "hits" por lo tanto hacer estadísticas sobre la base de "contar" se hace difícil

• Esto aumenta el valor de las estadísticas y análisis de riesgo basado en ERC, lo cual permite facilita la priorización de los temas.

• El uso de datos externos se convierte en crucial, tanto para el estudio de temas de seguridad con SIRA y para cualquier evaluación de la seguridad. El lema es: "¿Si le sucedió otra persona con el mismo tipo de aeronave/destino/motor/ etc., nos podría pasar a nosotros también?"

5.4 Personalización de las matrices de riesgo El ERC y SIRA son definitivamente las áreas en las que muchos usuarios se verán tentados a personalizar. Hay varias áreas potenciales para la personalización:

• matriz de colores ERC • valores de índice de riesgo ERC • Orientación de texto alrededor de la matriz ERC (para columnas y filas) • Forma de gestionar el proceso de cálculo SIRA (Excel, matrices múltiples, etc.) • Enunciado de las cuatro dimensiones SIRA (las preguntas) • Enunciado de las respuestas SIRA • Concepto de los posibles resultados diferentes, tanto para ERC y como el SIRA

Aunque la personalización a menudo supone un valor añadido y a veces es necesario, esto puede llevar a grandes cambios de lo que realmente se requiere. Un cambio aparentemente pequeño puede ser en realidad un cambio fundamental en el método, y esto puede pasar desapercibido. Además, los beneficios de la personalización deben ser sopesados contra los beneficios de los métodos armonizados con resultados comparables de un usuario a otro. Personalizado para cada matriz de riesgo, el significado exacto de cada nivel de riesgo requiere de la acción y debe ser definido y acordado con los directivos de la organización. ¿Qué es tolerable y por cuánto tiempo? ¿Cómo son relacionados los problemas de seguridad de alto riesgo y sus correspondientes acciones de seguimiento? (Ver sección 4.8). Aquí hay un resumen de que hacer y no hacer para la personalización del ERC y SIRA.

CA 121-110-03 43/71

Que hacer al personalizar el ERC:

• Si es necesario evaluar los eventos entrantes con múltiples "dimensiones de riesgo" tales como aeronavegabilidad, costo o imagen la empresa, se puede crear un ERC adicional para que cada evento se clasifique por separado para cada tipo de riesgo y por lo tanto cada resultado puede conducir a diferentes tipos de acción. Esto puede estar no relacionado con el riesgo real de seguridad de vuelo, pero se puede adaptarse a la práctica real en el medio ambiente operacional, cuando es necesario tomar en cuenta otras dimensiones de riesgo.

• Adaptar el ERC para organizaciones de mantenimiento o para una organización ATC involucra cambiar parte del texto. Sin embargo, es crucial que, en donde se utilice el ERC para clasificar el riesgo de la seguridad del vuelo, el eje vertical todavía se refiere al resultado de accidente verdadero en seguridad de vuelo y no a los resultados intermedios, tales como "aeronaves no aeronavegable" o "pérdida de la separación". Un enfoque tipo ERC es deseable para evaluar el riesgo de estos "resultados intermedios", esto sólo debería ser considerado como un subconjunto del enfoque ERC ARMS.

• Dejar la decisión final de clasificación de riesgo para el analista de seguridad. • Si desea proponer algunas directrices para los casos más frecuentes, pero

destacando que es solamente una guía básica y que el analista de seguridad tiene la última palabra.

• En caso de cualquier cambio en la ERC, asegúrese de que está correctamente calibrado, p.e. eventos que deben recibir una clasificación de riesgo, en realidad lo reciben, y viceversa.

Que no hacer al personalizar la ERC:

• No tratar de dar una orientación muy precisa para cada columna / fila. En la práctica, dicha orientación sólo funciona correctamente con algunos de los datos, pero no con todos. Por ejemplo "Emergencia" puede ser una buena guía de muchos casos de "mínimas" eficiencia de barreras, pero no para todos ellos.

• Por la misma razón, no sobre analice las condiciones existentes (por ejemplo, "limitada"). Considere que usted tiene cuatro clases que van desde "margen de seguridad muy alto” hasta "sin margen" y trate de posicionar el evento a la clase en la que cree que mejor encaja.

• Un error típico en tratar de crear una guía para el eje horizontal es empezar refiriéndose a "lo que detuvo la secuencia del accidente", que no es lo mismo del concepto correcto de "lo que quedaba".

• No trate de desarmar el pensamiento y el juicio lejos del analista de seguridad operacional. Es el único que puede evaluar el evento de una forma integral, teniendo en cuenta todos los factores conocidos, el contexto y el medio ambiente.

• No cambie los valores del índice de riesgo ERC a menos que pueda justificar la revisión del número a otra persona.

Al personalizar el SIRA:

• La aplicación de ejemplo de Excel es sólo una forma de implementar el SIRA. Siéntase libre para poner en práctica de otra manera, respetando el principio de creación de resultados sobre la base de los cuatro factores indicados.

CA 121-110-03 44/71

• Asegúrese de que el SIRA está correctamente calibrado, es decir, los problemas que deben producir un resultado de "riesgo inaceptable", no lo producen, y que los problemas de bajo riesgo no se asigna un riesgo demasiado alto. Puede ser una buena idea usar una referencia reconocida como la JAR/FAR-1309 para establecer los límites de tolerabilidad.

• En la construcción del método de SIRA, definir el problema de seguridad con la mayor precisión posible, por lo que dicha evaluación será los más objetiva posible - minimizando la subjetividad.

• Asegúrese de que el rango de los parámetros de entrada es lo suficientemente grande, que abarca, por ejemplo, muy frecuente "factores activadores".

• Utilizar las horas de vuelo en lugar de fases de vuelo cuando sea más adecuado y en consecuencia adoptar el método.

• Sea claro cuando la evaluación se hace para toda la operación y cuando se hizo sólo para una parte de la operación. Por ejemplo, el nivel de riesgo de un problema presente en un destino de seguridad puede ser "compensado" por el relativamente bajo porcentaje de vuelos a ese destino, mientras que el riesgo podría ser inaceptablemente alto para todos los vuelos a ese destino. En tales casos, el riesgo debe evaluarse exclusivamente para los vuelos hacia el destino afectado.

• Siempre que sea posible trate de usar los datos actuales como insumos para el SIRA. No hacer con SIRA:

• No trate de aplicar una SIRA detallado y cuantificado de los problemas que no son cuantificables (cambiar la alta dirección) o demasiado grande (fusión con otra líneas aéreas). En tales casos, puede ser utilizado un método simple más subjetivo por un grupo calificado de personas.

CA 121-110-03 45/71

6 Apéndices 6.1 La Misión del grupo ARMS La misión del Grupo de Trabajo ARMS es la producción de metodología útil y coherente de evaluación de riesgos operacionales para las aerolíneas y otras organizaciones de aviación y para aclarar los procesos relacionados de gestión de riesgos. Es necesaria la producción de métodos para satisfacer las necesidades de los usuarios en el dominio de la aviación en términos de la integridad de resultados y sencillez de uso, y por lo tanto, apoyar efectivamente el importante papel que la gestión de riesgos tiene en la aviación los sistemas de gestión de la seguridad de seguridad operacional. A través de estos resultados, el Grupo de Trabajo tiene como objetivo la mejora de la uniformidad de las metodologías de gestión de riesgos a través de las organizaciones en la industria de la aviación, permitiendo un mayor intercambio y aprendizaje. En su trabajo, el Grupo de Trabajo ARMS recabó las contribuciones de expertos en seguridad aérea con conocimientos sobre las necesidades de los usuarios y las aplicaciones prácticas de gestión de riesgos en el entorno operativo. Los resultados del Grupo de Trabajo son las definiciones metodológicas y no las herramientas de software. Los resultados del Grupo de Trabajo están disponibles para toda la industria. 6.2 Nacimiento del Grupo de Trabajo ARMS La necesidad de un buen método de evaluación del riesgo operacional ha existido por mucho tiempo. La aparición de los Sistemas de Gestión de la Seguridad operacional y la correspondiente norma de la OACI le dio relieve esta necesidad. El saque de inicio de ARMS llegó cuando Andrew Rose (entonces BA, después NATS) y Jari Nisula (Airbus) se reunieron en la "Conferencia sobre Análisis de Riesgos y desempeño de la seguridad operacional en la aviación de la FAA 2006" en Atlantic City, Nueva Jersey, donde ambos fueron los oradores. Ellos compartieron una visión común de los problemas en la evaluación de riesgos y acordaron tratar de iniciar un trabajo hacia una metodología mejorada. Después de algunos meses de desarrollar una lista inicial de objetivos y enunciados de los problemas, ambos co-presidieron un taller de trabajo, acogido por Airbus en Toulouse, Francia, en junio del 2007. ARMS nació como resultado de ese primer taller, donde las personas demostraron el compromiso para trabajar juntos en este tema. El nombre ARMS (propuesto por Ivan Sikora, Emiratos) sólo fue el nombre para el espacio de trabajo virtual al principio, (Airline Risk Management Sharepoint). El grupo poco a poco llegó a ser conocido bajo el nombre ARMS, lo cual dio pie para después llamarse Airline Risk Management Solutions. 6.3 Métodos de trabajo ARMS

CA 121-110-03 46/71

El trabajo desarrollado en ARMS fue una cooperación equilibrada de más de 10 personas, donde las diferentes partes de la solución obtuvieron importantes contribuciones de varios subgrupos a través de la innovación valiosa de manera individual por los diferentes miembros de ARMS. Se realizaron los siguientes talleres de dos días:

Toulouse (organizada por Airbus), jun-07 Las áreas de enfoque principal: la comprensión común de los problemas, establecer el ámbito del trabajo, aprendizaje sobre las actuales prácticas y las soluciones propuestas. Amsterdam (organizada por NLR), Mar-08 Área de enfoque principal: método para evaluar el riesgo de un evento único. Lisboa (organizada por TAP), May-08 Las áreas de enfoque principal: gestión de varios riesgos, el contexto organizativo de la gestión del riesgo. Ginebra (organizada por easyJet), Sep-08 Las áreas de enfoque principal: el perfeccionamiento de la metodología, la documentación. Toulouse (organizada por Airbus), Nov-08 Las áreas de enfoque principal: Finalizando el desarrollo, se centran en los resultados finales.

Hubo un trabajo de desarrollo significativo entre los talleres. Se organizaron las siguientes teleconferencias:

• Teleconferencia 18-Jun-08 + WebEx • Teleconferencia el 24-Jul-08 + WebEx • Teleconferencia el 09-Oct-08 • teleconferencia el 04-Nov-08 + WebEx

Durante los talleres, se trabajó tanto en un gran grupo como en sub-grupos. Los talleres fueron preparados y presidido por Jari Nisula, excepto el primero, donde el papel fue compartido con Andrew Rose. En el año 2009 y los dos primeros meses de 2010 se dedicaron a dos tareas relacionadas: Probar la metodología en la vida real y documentarla para su comprensión. La creación de este documento principal, junto con algunos otros documentos (por ejemplo, presentaciones PowerPoint) fue la tarea principal de este periodo. Su objetivo es proporcionar un conjunto útil de herramientas para la comunicación de la metodología. El contenido de estos documentos fue guiado y enriquecidos por las experiencias de la vida real de las líneas aéreas y otras organizaciones de aviación que habían empezado a utilizar la metodología. Se organizaron muchas teleconferencias en 2009 y 2010 para discutir el proyecto y obtener acuerdo colectivo sobre el contenido de la documentación. 6.4 Miembros ARMS Los participantes en el primer taller (junio de 2007) eran una mezcla de gente que:

• Tenía experiencia práctica sobre evaluación del riesgo operacional en las líneas aéreas y las necesidades y desafíos relacionados.

CA 121-110-03 47/71

• Vino a presentar propuestas de solución a algunas partes del desafío de la evaluación de riesgos, incluyendo los métodos y herramientas de software.

Luego del primer taller del Grupo de Trabajo comenzó a desarrollar la nueva metodología. Los miembros proceden principalmente de las líneas aéreas - algunos de otras organizaciones de la aviación. En la práctica, se formó un equipo central, que fue fundamental en el trabajo, mientras que algunos otras personas / organizaciones contribuyeron en cierta medida, durante el período de desarrollo, o se ha mantenido en comunicación con el grupo ARMS. Inicialmente se dio la bienvenida a toda la gente interesada a unirse al grupo, hasta que el tamaño del grupo limitó el crecimiento. Se incorporaron algunos nuevos miembros hacia el final del desarrollo, que era un buen momento de poner ojos nuevos y tener otro enfoque de la realidad en las entregas. Los miembros del Grupo ARMS y colaboradores: Capitán Charles Barbknecht Air Berlin Capitán Andreas Beaujean Air Berlin Harard Hendel Airbus Jari Nisula Airbus Jean-Marc Cluzeau Air France Industries (reemplazado por Franck Danthez) Tom O'Kane Consultor de Seguridad de Aviación (ex-BA) Dr. Kwok Chan Dragonair Gavin Staines DHL Capitán David Antes EasyJet Capitán Philippe Pilloud EasyJet Suiza Ivan Sikora Emiratos David Stobie Emiratos Harri Koskinen Finnair Capitán Mika Pyyhtiä Finnair Capitán Kristjof Tritschler Germanwings Martin Nijhof KLM Capitán Ruud Wittebol KLM Simon Gill Mirce Akademy Andrew Rose NATS (ex-BA) Joao Brites Netjets Claudia Cabaco Netjets Gerard van Es NLR Michel muelles NLR Filip Denoulet PrivatAir Jan Peeters PrivatAir Bob Dodd Qantas Airways Nancy Harmer Shell Aircraft International Liam Sisk SR Technics, Dublin Marie Ward, SR Technics Capitán Carlos Nunes TAP Capitán Martin Fleidl Tyrolean Airways 6.5 Limitaciones de los métodos actuales

CA 121-110-03 48/71

Como se discutió en la sección 2.2, hay dificultades conceptuales en la evaluación de riesgos de los acontecimientos históricos. La primera pregunta fundamental que hay que responder es: ¿Cuál es el riesgo evaluado. En teoría, hay cuatro opciones: 1. ¿Cuál es el riesgo de un accidente? (ZERO - no hubo ningún accidente) 2. "¿Cuál fue el riesgo de que el evento se habría incrementado hasta un accidente, ayer, dado que ya había sucedido”? 3. "¿Cuál es el riesgo de que exactamente ocurra lo mismo de nuevo y termine en un accidente "? 4. "¿Cuál es el riesgo de que un evento similar ocurrirá en el futuro y termine en un accidente "? Por lo general, sin plantear esta cuestión conscientemente, los analistas tienden a tratar de evaluar el riesgo 4, es decir, el riesgo de un evento similar que tendrá lugar en el futuro. El problema es que "un evento similar" no está del todo definido. Lo único que se dice es que no es exactamente el mismo7

. Esto se traduce en una cantidad significativa de la subjetividad en la evaluación.

Este planteamiento llevó a los siguientes problemas: • Hay una confusión sobre "gravedad de que". Algunos analistas califican basándose

en la gravedad del resultado real del evento, algunos en los posibles resultados y algunos en lo que se considera un resultado creíble. Todo esto es muy subjetivo.

• "La probabilidad de recurrencia de qué" - confuso. El evento no vuelva a ocurrir exactamente igual, por lo que en realidad la pregunta es acerca de la recurrencia de algo similar, lo cual es muy subjetivo. Por ejemplo, si el evento fue un choque con ave en el despegue desde el aeropuerto JFK que afecta a un A320, se debe considerar la frecuencia típica de estos eventos en ¿solo A320?, ¿todos los eventos de aeronave de similar tamaño en el flota o todo tipo de aeronave?, ¿Se debe considerar sólo JFK, todos los aeropuertos de Nueva York o la totalidad aeropuertos de la red actual?, ¿se debe considerar sólo los despegues o también las aproximaciones?

• Una vez que se ha hecho la evaluación del riesgo, cada evento tiene un valor de riesgo, que depende de la probabilidad (en la práctica de la frecuencia) de los mismos. Por lo tanto, si la frecuencia de los cambios del tipo de evento, en teoría, el analista debe volver a evaluar los acontecimientos del pasado, porque el valor de "probabilidad de recurrencia" debe ser actualizado. Si esto se hace, se introduce una enorme carga de trabajo y gestión de tareas adicionales. Si no se hace, la evaluación del riesgo ya no es correcta.

• Cuando las organizaciones quieren tener una idea del riesgo total, es posible que quieran sumar juntos los valores de riesgo de los eventos individuales. Por ejemplo, pueden seguir la tendencia del riesgo operacional total en el tiempo o comparar el riesgo total de eventos de choque con aves del riesgo al total de eventos de turbulencia. En este caso, por ejemplo valores acumulados de riesgo no son correctas porque la probabilidad / frecuencia ya se han tomado en cuenta cuando el riesgo para cada evento fue evaluado. El resultado podría reflejar más o menos (severidad de probabilidad) x probabilidad, que esta sesgado demasiado hacia probabilidad a expensas de la gravedad

7 Es como definir la nacionalidad de alguien diciendo que “no es italiano”

CA 121-110-03 49/71

6.6 Limitaciones de los métodos actuales - ejemplo Usted aprende acerca de un evento, que ayer tuvo lugar: Una aeronave de pasillo único, con casi 110 pasajeros invadió el extremo de la pista en el aterrizaje debido a un error de mantenimiento que afectan a la capacidad de frenado. Resultado real: unos pocos neumáticos quemados. Si usted trata de aplicar la fórmula clásica de gravedad x probabilidad (en línea con lo que se ha explica en la sección 7.5) que se enfrentan ahora a las siguientes preguntas: ¿La gravedad de qué?

• Resultado real: ¿neumáticos quemados? • Escenario potencial de accidentes más probable: despiste con algunas lesiones y

daños principal a la aeronave? • El peor escenario: ¿despiste con 100% de muerte? • ¿se tiene en cuenta aeronaves más grandes? ¿Más pasajeros? ¿Aeropuerto crítico? • Etc.

¿Probabilidad de qué?

• ¿El mismo error de mantenimiento? • ¿eventos cercanos de despiste? • ¿eventos de despiste real? • ¿Cualquier tipo de aeronave? ¿en cualquier lugar? • Etc.

Estas opciones ilustran la subjetividad significativa de los métodos más antiguos, principalmente causadas por el objeto mal definido de la evaluación del riesgo. 6.7 Riesgo basado en eventos y el ERC Riesgo basados en eventos se refiere al riesgo que está presente en el evento experimentado, sin considerar todos los acontecimientos”similares". En lugar de tratar de evaluar el riesgo "de un evento similar en el futuro", se evalúa el riesgo que está presente en ese evento, ese mismo día. Para determinar el riesgo basado en eventos, la pregunta guía es: "¿Qué tan preocupante fue el evento como experiencia?". Cuando uno efectúa un análisis de lo que hace que algunos eventos sean más preocupantes que otros, se pueden identificar dos dimensiones claves:

• ¿Qué tan cerca estuvo de llegar a un posible accidente? • ¿Cuán malo podría ser el accidente?

La refinación de estas preguntas, la primera es: "¿Cuál fue la eficacia de las barreras restantes? (entre este caso y el resultado de accidentes de mayor credibilidad) " y el segundo: "Si el evento habría escalado en un accidente, cuál sería el resultados más creíble? "Estas dos dimensiones enlazan a la perfección con la definición de riesgo: el primero con "probabilidad" y el segundo con "gravedad". Por lo tanto, el valor resultante no es la "gravedad", sino "riesgo".

CA 121-110-03 50/71

A cada valor de riesgo ahora le corresponde y depende de un evento singular, estos valores de riesgo se pueden utilizar para obtener los valores correctos de riesgo acumulado con la suma de valores individuales. De esta manera, se podría obtener un valor de riesgo total de un aeropuerto, de una ruta en particular, de una aproximación, todos los eventos de choque de ave o de un mes en particular, etc. 6.8 Justificación de la propuesta de los valores de índice de riesgo de ERC La elección de la propuesta de los valores de índice de riesgo de ERC se basa en las siguientes consideraciones: • Se acordó que la escala horizontal y vertical debe ser exponencial. A escala lineal no

reflejaría la diferencia necesaria de "peso" entre las clases. • Investigando los eventos reales reportados, la diferencia de riesgo entre los menores y la

mayoría de los eventos de riesgo es de hecho muy significativa. Por lo tanto, se acordó que la diferencia en el orden de magnitud entre el índice de menor a mayor deberían estar en el rango de 1 a 1 000.

• Se han estudiado datos reales de accidentes y se clasifican en función de la Pregunta 1 del ERC. Se observó que la relación entre las pérdidas cuantificadas en cada una de ellas fue 1:5:25. Esto fue utilizado para la escala vertical. Por simetría la misma relación se utilizó para la escala horizontal.

• La última fila es un solo bloque en lugar de cuatro plazas. Esto se debe a la fila inferior se corresponde con el caso "Sin la posibilidad de daños o lesiones que podrían ocurrir " y por lo tanto no tiene sentido estimar la "eficacia de la los obstáculos que subsisten".

• En la primera versión de la matriz de ERC algunos recuadros figuran con idéntico riesgo a los valores del índice. Se decidió que cada cuadro debería tener un número único, por lo que el valor del índice debería indicar de inmediato su lugar en la matriz. Además, desde la perspectiva del software, un campo numérico único es ahora suficiente para capturar el resultado de la clasificación de eventos de riesgo. Por lo tanto, los índices de 20, 100 y 500, que apareció en varios recuadros en la primera versión, fueron ajustados mediante la adición de un pequeño incremento para que sean diferentes. Los valores de la parte superior de la fila se incrementaron por 2 y los valores de segunda fila por 1. Este el ajuste es tan pequeño que su impacto en los valores de ERC es insignificante. El único objetivo es la diferenciación.

6.9 El método de Evaluación de Riesgo de problemas de seguridad operacional (SIRA) Una de las principales limitaciones de la fórmula clásica de probabilidad x gravedad es que lo hace sin tener en cuenta el apoyo de las barreras (es decir, los controles de riesgo). Por lo general, el analista tiene que evaluar primero el riesgo teniendo en cuenta las barreras actuales (sin una manera específica de cuantificar su efectividad) y luego hacer otra evaluación, teniendo en cuenta nuevas barreras adicionales. SIRA introduce una fórmula mejorada de evaluación de riesgos. Cuenta con cuatro factores:

CA 121-110-03 51/71

• Frecuencia/probabilidad del evento desencadenante • Eficacia de las barreras evitar • Eficacia de las barreras de recuperación • La gravedad del accidente resultante

El modelo detrás de SIRA se presenta en la figura 7. Una vez que el problema de seguridad ha sido definido, el analista tiene que crear el escenario del accidente aplicable. Se puede evaluar estos escenarios utilizando el análisis de riesgo SIRA. Por lo general, el riesgo más alto producido por un escenario se convierte en el valor de riesgo en cuestión.

El evento activador puede ser de diversos orígenes (se dan algunos ejemplos en la figura). El primer factor es una estimación de la exposición a este evento. A menudo puede ser expresado en términos de X veces / Y vuelos. El Estado Operacional no deseable (UOS) se define por ARMS como: "La etapa en un escenario de accidente en el que el escenario se ha agravado hasta tal punto que (con exclusión de la providencia) el accidente sólo puede evitarse a través de una medida exitosa de recuperación”. Los controles de riesgo antes del UOS son parte de la eficacia para evitar las barreras y post UOS son parte de la recuperación. " Por ejemplo, el UOS podría "terminar en un curso de colisión con otra aeronave”. Una medida de la recuperación sería, por ejemplo, una alerta TCAS combinado con una reacción correcta del piloto (o aeronave).

CA 121-110-03 52/71

El segundo y tercer factor de la fórmula SIRA se estima que alrededor de la eficacia de la prevención y recuperación de las barreras. Por último, el cuarto factor es la gravedad del accidente resultante, de acuerdo con la escala vertical del ERC. Los valores de estos cuatro factores pueden ser clases (por ejemplo A, B, C, D) o valores numéricos. En efecto, los tres primeros factores comúnmente definen la "principal frecuencia del accidente debido a este problema de seguridad", mientras que el último factor indica la gravedad del accidente. Para construir una metodología adecuada, es necesario decidir qué combinaciones de frecuencia y gravedad son tolerables. La JAR/FAR-1309 establece límites de tolerabilidad para el diseño de aeronaves y es una fuente de tales límites. Es importante recordar que el SIRA se lleva a cabo sobre problemas de seguridad, mientras que ERC es se utiliza para eventos. 6.10 Ejemplo de casos de evaluación de riesgos 6.10.1 Ejemplos de Clasificación de riesgo de eventos (ERC) Hay que tener en cuenta que en el momento en que se lleva a cabo un ERC, la persona que efectúa la clasificación a menudo tendrá que depender únicamente de la información del informe. A veces esta información es muy limitada. Esta es una de las razones por las cuales la ERC no se debe considerar una evaluación refinada del riesgo final, sino más bien de una primera clasificación de eventos por el riesgo estimado. Los siguientes ejemplos reflejan también la realidad de tener en cuanta cuando se tiene una baja cantidad de información disponible para la ERC. Cuando estudie estos ejemplos, el lector no siempre podrá pensar que el resultado obtenido de la evaluación es el más apropiado. El resultado exacto de la evaluación real no es el punto principal aquí, el objetivo principal es ilustrar la metodología y los procesos de razonamiento utilizados para hacer las evaluaciones. Es normal que diferentes personas no puedan ver algunas cosas de la misma manera. Cada persona por lo general se refiere a la operación que está acostumbrado y esto solo puede crear diferencias en los resultados. Aun más, si se elige un "accidentes resultante" más severo, esto suele ir acompañado de más barreras de prevención, con el resultado final en el mismo color de "acción". El texto del informe original que describe el acontecimiento, está en cursiva. El modelo de asesoramiento paso a paso para la efectuar la ERC, que ha sido extraído de "ARMS en pocas palabras” del capítulo 9, se presenta en bullets y en cursiva. ERC Ejemplo 1 Informe de Seguridad Aérea (ASR): TCAS "Climb" RA en espacio aéreo no controlado de bajo densidad. Autorización del ATC para el tránsito de bajo nivel fue "RWY 01, salida VFR, gire a la izquierda de retornando a XX NDB, a continuación, rumbo 115° durante 20 NM, prosiguiendo a YYY, altitud inicial de 2.300 ft" la tripulación deseaba unirse a espacio aéreo controlado pero, se ofreció esta salida por el ATC.

CA 121-110-03 53/71

Después del despegue se les dio servicio de radar y de asesoramiento. La velocidad era de 180 kt, el rumbo fue de 105°, entre 15 y 20 millas náuticas de XX NDB. La tripulación recibía constantemente avisos de tránsito y rumbos de separación del servicio de radar para evitar tráfico. El espacio aéreo estaba repleto de aeronaves VFR y el TCAS mostraba constantemente 5 ó más aeronaves en un rango del 5 NM. La tripulación fue alertada en gran medida a vigilar e identificar y el tráfico solicitado de nuevo para unirse al espacio aéreo controlado. A pesar de haberse proporcionado rumbos para evitar conflictos, se activó un aviso de resolución TCAS RA con 2000ft/min o más. Después de estar libre del conflicto la tripulación descendió de nuevo a 2300 ft e informó al servicio radar. Responda la Pregunta 1:

• Piense en cómo el evento podría haber derivado en un accidente resultante (ver ejemplos a la derecha de la matriz de ERC). Por lo general, la escalada puede ser debido a las acciones de las personas involucradas, la forma en que el peligro interfiere con el vuelo, y la conducta de las barreras.

• No filtre escenarios improbables. La pregunta 2 tomara en cuenta la (baja) probabilidad.

• Entre los escenarios con un accidente resultante, escoja el más creíble, y seleccione la fila correspondiente en la matriz.

La maniobra de resolución fue bastante agresiva, por lo que es razonable suponer una pérdida significativa de separación. Teniendo en cuenta la cantidad de tráfico en las cercanías de todos los escenarios posibles de accidentes, un escenario de colisión en el aire es el más creíble. Esto puede parecer un escenario muy improbable, pero en línea con el segundo punto arriba, la "probabilidad" los aspectos de riesgo se tendrán en cuenta en la pregunta 2 a continuación. Aquí, lo importante es centrarse en la identificación del escenario del accidente. Esto nos lleva a seleccionar la primera fila de la matriz ERC:

Responda la Pregunta 2:

CA 121-110-03 54/71

• Para evaluar el margen de seguridad restante, tenga en cuenta tanto el número y la solidez de las barreras restantes entre este evento y el escenario del accidente identificados en la pregunta 1.

• Barreras las que ya no se tienen en cuenta • Seleccione la columna de la elección. Ver sección 4.2 para una orientación detallada.

El escenario elegido es un accidente de colisión en el aire. Esta segunda pregunta ahora tiene que ser respondidas en relación con ese escenario. La barrera que detiene la escalada fue el TCAS. Detección visual de la otra aeronave habría sido otro potencial barrera y una advertencia de ATC una tercera. ¿Cuál es la eficacia combinada de estas barreras restantes? El TCAS es generalmente eficaz, pero requiere que el sistema esté operativo en al menos una aeronave. No es raro que el tráfico VFR funcione sin un transpondedor, haciendo que el sistema TCAS inútil. Del mismo modo, la capacidad del ATC para detectar el trafico VFR y advertir de ello podría verse seriamente comprometida. La detección visual y evitar a otras aeronaves (pequeñas) no es confiable. Por lo tanto, las barreras remanentes se consideran de eficacia mínima.

Esto se traduce en el recuadro con un índice de riesgo de 502 y de color rojo: Por lo general, esto significaría paralizar la operación en la zona (s) donde ocurrió el evento, hasta que haya garantías y buenas razones para creer que el nivel de riesgo se ha reducido significativamente. Se debe llevar a cabo normalmente una investigación (interna) y una nueva evaluación de riesgos. ERC Ejemplo 2 Informe de Seguridad Aérea (ASR): Los Flaps no se replegaron después de aterrizar bajo una lluvia moderada. Mensaje " FCTL Flaps bloqueado". Responda Pregunta 1:

CA 121-110-03 55/71

• Piense en cómo el evento podría haber derivado en un resultado de accidentes (ver ejemplos a la derecha de la matriz de ERC). Por lo general, la escalada puede ser debido a las acciones por las personas involucradas, la forma en que el riesgo de interferir con el vuelo, y la barrera comportamiento.

El evento es un simple fracaso después del aterrizaje. La situación resultante puede ser una molestia, pero no tiene un impacto en la seguridad del vuelo. Por lo tanto, estamos en el caso "Sin daños potenciales o podrían ocurrir daños menores". El índice de riesgo es 1 la pregunta 2 ya no aplica

ERC Ejemplo 3 Informe de Seguridad Aérea (ASR): Durante el vuelo en crucero, la alerta ECAM “Sistema hidráulico Low Press”, seguido por baja cantidad. Se declaro urgencia (PAN), continuando a XXX. Procedimientos que se llevan a cabo de acuerdo con ECAM \ QRH. Comunicaciones con el ATC, compañía y servicios de bomberos. Llegada a YYY para completar los procedimientos + información. 15 millas finales, FMS gear extensión. Fuego total / cubierta de emergencia. Aeropuerto XXX parecía reacio a aceptarnos, sin embargo, después de la explicación de la necesidad de una pista larga, estuvo de acuerdo. Responda la pregunta 1:

• Piense en cómo el evento podría haber derivado en un accidente resultante (ver ejemplos a la derecha de la matriz ERC). Por lo general, la escalada puede ser debido a las acciones de las personas involucradas, la forma en que el peligro interfiere con el vuelo, y las barreras de conducta.

Los factores que podrían haber hecho de este evento escale a un accidente están relacionados principalmente con la capacidad de la tripulación para manejar la situación. Lo normal sería que diferentes aerolíneas lleguen a conclusiones diferentes acerca de si un

CA 121-110-03 56/71

escenario con un accidente resultante podría ser asociado con esta falla. Estas diferencias se deben al nivel de confianza en el entrenamiento actual de los pilotos, en su habilidad, experiencia, y en cierta medida debido a la subjetividad individual del analista. En este caso, se podría considerar la falla afectando al vuelo de dos maneras: directamente debido a la degradación de la performance de la aeronave degradados (2 de 4 inversores de empuje inoperante, algunos spoilers inoperante) e indirectamente debido a la sobrecarga de trabajo y la situación inusual. Imaginemos que el analista tiene mucha confianza en las tripulaciones de vuelo. Teniendo en cuenta el contexto (tiempo del día, el aeropuerto con pista larga, etc.), es razonable concluir que las consecuencias de la falta de alterar el normal funcionamiento muy poco. Por lo tanto, la analista selecciona el índice de riesgo 1 (fila inferior) y también la pregunta 2 ya no aplica

ERC Ejemplo 4 Informe de Seguridad Aérea (ASR): Encuentro con un cometa durante una aproximación ILS. Al pasar a 1,800 pies sobre la aproximación ILS a la pista 33, la trayectoria de la aeronave fue atravesada por una cometa, a una distancia estimada de 5 a 15 metros. La Torre de control fue informado del evento. El avión es un jet de negocios sin tripulación de cabina. Ningún otro avión informó haber visto el cometa. Responda la Pregunta 1:

• Piense en cómo el evento podría haber derivado en un accidente resultante (ver ejemplos a la derecha de la matriz ERC). Por lo general, la escalada puede ser debido a las acciones de las personas involucradas, la forma en que el peligro interfiere con el vuelo, y las barreras de conducta.

El primer juicio es sobre si se puede imaginar los escenarios que conducen a un accidente resultante (incluyendo los improbables). Aquí el analista debe tener en cuenta que el accidente resultante puede ser un accidente real (según la OACI) o un "accidente menor", con participación de heridas leves o daños.

CA 121-110-03 57/71

Podemos considerar que el peligro en sí (el cometa) pudo haber chocado a la aeronave, y podemos considerar las posibles reacciones de la tripulación a la situación. Por lo tanto, al menos tres escenarios se puede imaginar (incluso si los tres son más o menos probables):

1. La tripulación de vuelo hace maniobras bruscas tratando de evitar que la cometa y esto conduce a lesiones menores en la cabina.

2. La cometa golpea la aeronave (por ejemplo, motores) y causa un accidente conocido como pérdida de control (LOC).

3. La cometa golpea la aeronave y de las consecuencias distraen a la tripulación de vuelo la medida en que el aterrizaje no está totalmente bajo control, lo que lleva a una muy difícil o un accidente de aterrizaje, con los daños y / o lesiones.

El punto importante aquí es que estos escenarios no se han descuidado, ya que parecen bastantes improbables:

• No filtrar los escenarios improbables. La Pregunta 2 tomará en cuenta a la (baja) probabilidad.

La ERC consiste en dos preguntas, la primera sólo se refiere a la posibilidad de consecuencias y la segunda se refiere a la probabilidad, considerando las barreras que subsisten. Estos dos pasos no deben ser mezclados!

• Entre los escenarios con un resultado de accidentes, escoja el más creíble, y seleccione la fila correspondiente en la matriz.

Elegir el más creíble de los escenarios de la lista es un juicio subjetivo. Cuando existen diferentes escenarios las diferencias son la magnitud de la forma del accidente mismo, es relativamente fácil de tomar "el más creíble" resultado de accidente. Por ejemplo, por lo general no muy difícil decidir entre un despiste de alta velocidad (--> catastrófico) y un despiste de baja velocidad (---> mayor). Aquí, sin embargo, hay tres escenarios muy diferentes. Imaginemos que el analista toma en cuenta tanto el escenario creíble primero y segundo. Por lo tanto, clasificará a los dos con la ERC. El resultado será el más alto de los dos índices de riesgo. El primer escenario daría lugar a lesiones menores y por lo tanto, correspondería a la segunda fila de la parte inferior de la matriz de ERC ("lesiones leves o daños"). El resultado de accidentes de mayor credibilidad de la segunda hipótesis (LOC), sería un "Accidente catastrófico" (fila superior de la matriz). Responda la Pregunta 2:

• Para evaluar el margen de seguridad restante, tenga en cuenta tanto el número y la solidez de las barreras remanentes entre este evento y el accidente resultante identificados en la pregunta 1.

• Barreras la que ya fallaron no se tienen en cuenta. En el primer caso, las lesiones serían causadas por la maniobra de evasión repentina de la tripulación de vuelo. Tal maniobra es totalmente plausible en el contexto dado. ¿Hay barreras para proteger a los ocupantes si tal maniobra se utiliza? Más importante, los pasajeros deben tener sus cinturones de seguridad abrochados. No debe haber objetos peligrosos sueltos en la cabina. Sin embargo, la experiencia de esta operación (sin tripulación), muestra que estas

CA 121-110-03 58/71

defensas primarias no son de forma rutinaria. Por lo tanto, el analista de seguridad considera que la eficacia de estas barreras "mínimo".

Escenario1 1. En el segundo escenario (LOC), hay más margen de seguridad:

• Barreras técnicas: es poco probable que el cometa podría eliminar sistemas vitales redundantes, al igual que los dos motores, hasta el punto que se pierda por completo.

• Si la cometa causó daños limitados en el fuselaje o de algunos sistemas de la aeronave, las aeronaves pueden seguir volando.

• Potencial incremento de carga de trabajo/ reducción de disponibilidad de instrumentos de vuelo que ser menos crítica debido a cabina con 2 tripulantes.

En base a este razonamiento, el analista de seguridad considera que la eficacia era la barrera "Efectivo"

Escenario2 2. Los resultados son los siguientes:

• Escenario 1: índice de amarillo, riesgo del 20 • Escenario 2: índice de amarillo, riesgo del 50

El mayor de los dos (50) se tomará como el resultado global

CA 121-110-03 59/71

Como se puede observar, el resultado principal (= el color) de los dos escenarios es el mismo. Por lo tanto, la urgencia y la forma de la acción del elemento sería la misma. Esto es típico, cuando dos escenarios se construyen a partir del mismo evento, como los resultados más graves tienden quedar "detrás" de las más barreras. No debería ser habitual tener que tratar con más de un escenario por accidente para cada evento de ERC. ERC Ejemplo 5 Informe de Seguridad Aérea (ASR): AIRPROX informado por el piloto de aeronave comercial en la aproximación al aeropuerto AAA siguiendo observación visual del paso de ultraligeros a 1 kilómetro de la trayectoria de aproximación final, no fue necesario tomar medidas evasivas. La aeronave estaba en una aproximación ILS a pesar de existir una buena visibilidad. El ultraligero se mostraba de forma fiable en la pantalla radar del controlador. Responda a la Pregunta 1: La razón de separar aviones es para evitar una colisión entre ellos y por lo tanto, los resultados potenciales de accidentes en este caso es un accidente catastrófico. A pesar que se podría argumentar una colisión con el ultraligero, esta no puede causar la pérdida de la aeronave comercial, si se considera que el resultado más probable de una colisión sería catastrófico y por lo tanto, se selecciona la línea superior. Responda la pregunta 2: El ultraligero no fue visto en el radar por lo que las barreras ATC no fueron eficaces en este caso y no necesitan ser considerados. El ultraligero, no parece haber estado operando un transpondedor por lo que cualquier barrera terrestres o de barrera de aeronaves basadas en TCAS sería también ineficaz. En este caso, las aeronaves no chocan porque el ultraligero en realidad no estaba cruzando la trayectoria de las aeronaves comerciales y, además, el piloto comercial advirtió

CA 121-110-03 60/71

visualmente al ultraligero debido a la buena visibilidad y una efectiva vigilancia visual. Ambos barreras estaban actuado para evitar la colisión, pero su eficacia necesita ha de ser plenamente considerada. A medida que el avión comercial volaba una aproximación ILS bajo control de ATC en un espacio aéreo controlado, combinado con la dificultad de detectar a un avión pequeño, como un ultraligero, no se considera que la vigilancia visual del piloto comercial sea una barrera segura para evitar una colisión. Además, hay que señalar que las condiciones visuales no eran un requisito para esta aproximación. Como los detalles del piloto del ultraligero no están disponibles, es difícil evaluar la fiabilidad de esta trayectoria como barrera a la colisión. Sin embargo, sí tienen que tener en cuenta que el piloto del ultraligero ya estaba extraviado en el espacio aéreo controlado por lo que no sería razonable sugerir que la capacidad del piloto de ultraligero para evitar una colisión, pueda ser alta. Por lo tanto, entre la situación de la vida real y el escenario considerado, no estaban mejor las barreras "mínima", pero lo más probable es que podríamos considerar que no había barreras efectivas. Esto corresponde la columna de la derecha ("no efectiva")

El color resultante es de color rojo y el índice de riesgo es de 2500. Por lo general, el estado de color rojo sugiere que se debe tomar una acción inmediata para reducir el riesgo asociado con este caso - o si una mejora inminente no es posible, entonces la parte más arriesgada de la operación debe ser suspendida. ERC Ejemplo 6 Informe de Seguridad Aérea (ASR): La condición de las marcas de pista / calles de rodaje y luces, la falta de señalización vertical y frecuentes fallas de los radares de tierra hacen que la operación en tierra en el aeropuerto XXX muy peligrosa. El informe describe los peligros (o las condiciones latentes) en un aeropuerto concreto y no realmente un evento en el que algo hubiera sucedido. Si bien es posible ejecutar esto a

CA 121-110-03 61/71

través de la ERC, a menudo es más apropiado utilizar SIRA para estos casos. Este ejemplo, se trata en el ejemplo 3 del SIRA. ERC Ejemplo 7 Reporte Mantenimiento de seguridad (MSR): Aeronave rodando hacia estacionamiento después del mantenimiento. El Mecánico al salir de la cabina después del rodaje se percató que se había perdido completamente la puerta de la cabina. Responda la Pregunta 1: Por lo general, en este tipo de situaciones, el evento tiende a obtener una clasificación de alto riesgo a nivel local en la organización de mantenimiento, porque administrativamente la aeronave no estaba en condiciones de vuelo debido a una tarea de mantenimiento sin terminar, y debido al alto efecto de la vergüenza porque algo tan visible se haya perdido. Sin embargo, desde el punto de vista de la seguridad de vuelo, la falta de la puerta no introduce un riesgo. En primer lugar, el hecho es que la puerta perdida sin duda se notaría antes del vuelo por la tripulación de vuelo / de cabina, incluso si el mecánico la haya perdido. En segundo lugar, la puerta no lleva a una función vital para la seguridad operacional (mientras tiene una función de seguridad aérea). Por lo tanto, la clasificación ERC sería el siguiente:

Este ejemplo pone de relieve la importancia de relacionarse con el riesgo real de seguridad de vuelo, y no con el impacto local de la organización de mantenimiento. Sin embargo, este último puede ser una importante consideración adicional local desde la perspectiva de la calidad, y obtener una alta importancia en la calificación del mismo.

CA 121-110-03 62/71

6.10.2 Ejemplos de Evaluación de Riesgos de Problema de seguridad (SIRA): Los ejemplos aquí presentados han sido evaluados con la herramienta Excel SIRA. Los archivos de Excel contiene una evaluación completa, mientras que el texto de abajo da más explicaciones sobre el por qué y el cómo de la evaluación. SIRA Ejemplo 1 Anomalías en la energía eléctrica en el vuelo de aeronave grande de AAA a BBB requirió que la tripulación seleccionara el bus de la batería, el cual puede suministrar energía limitada a un período de hasta 90 minutos. La tripulación decidió continuar con BBB. Una hora y 40 minutos más tarde, la energía de la batería se agotó y se perdieron los sistemas de cabina restantes. Se decidió entonces desviarse a CCC y se detuvo la aeronave en la pista principal debido a la que no había inversores de empuje y a frenado pobre. No hubo heridos en la tripulación o los pasajeros. La investigación reveló que una falla en relé ("XYZ") causó un encendido de la luz de "Stanby bus off" y que el cargador de la batería principal no estaba recibiendo alimentación.

Paso 1. Defina el problema de seguridad con precisión

El problema de seguridad es la pérdida total de la energía eléctrica debido a la falla en el relé XYZ de la aeronave tipo C, período de tiempo de estudio en los próximos 12 meses.

Paso 2. Desarrollo los escenarios de accidentes relacionados

El escenario del accidente es la pérdida total de la aeronave debido a la perdida de todos los sistemas de cabina, reducción/incapacidad de frenado, etc.

Paso 3. Analice el escenario usando el modelo SIRA

El evento activador es la falla del relé. La probabilidad de que esto ocurra puede se calculada utilizando los informes técnicos y es relativamente baja. El Estado operacional no deseable (UOS) en este caso es volar sin potencia o con "solo batería". Las barreras para evitar que esto ocurra son los múltiples sistemas de energía eléctrica redundantes en la aeronave, que en conjunto forman las "barreras de prevención". La combinación de su fiabilidad dará el valor del segundo factores de SIRA. Una vez que el UOS existe entonces la posibilidad de recuperar será el aislamiento de los sistemas para recuperar la energía eléctrica y tal vez iniciar el APU para crear otra fuente de energía eléctrica generada. Si estos esfuerzos no tienen éxito el siguiente paso es aterrizar en el aeropuerto más cercano, mientras que la batería está aún disponible. Estos dan el valor al tercer factor en el SIRA. En este caso particular, la tripulación continuó volando hasta que la energía de la batería se había agotado. Paso 4. Determine/ estime los valores de los cuatro factores de SIRA Por ejemplo:

• El evento desencadenante es la falla del relé y de informes técnicos esta se calcula que falla relativamente baja -10-5 (aproximadamente una vez cada 100 000 vuelos).

• El Estado operacionales no deseable es estar volando sin potencia o con "sólo batería" y las barreras para evitar que esto ocurra son los múltiples sistemas

CA 121-110-03 63/71

redundantes de energía eléctrica de las aeronaves. Estos se estima que falla aproximadamente una vez por cada 1 000 veces - 10-3

• Recuperabilidad desde el UOS será el aislamiento de la falla de los sistemas para recuperar la energía eléctrica y tal vez encender la APU, o en su defecto aterrizar en el aeropuerto más cercano, mientras que la batería está aún disponible. Esto se estima que es fiable cerca de una vez por 10 veces – 10-1

• El accidentes resultante se considera "catastrófico" Con estas cifras el resultado es "seguro". Esto podría significar una nueva evaluación de los procedimientos en el QRH, la reevaluación de la formación de la tripulación y haciendo hincapié en la necesidad de una derivación inmediata en caso de volar en energía de reserva. SIRA Ejemplo 2 Un incidente sucede a otra empresa lo que motiva un reporte de Mantenimiento ( MRO) "MyMx" para estudiar el problema de seguridad del la conexión-cruzada de los controles de vuelo (de izquierda a derecha o push-pull). MyMx no tiene idea de cuan improbable de que tenga lugar es que este error de mantenimiento. Paso 1. Defina el problema de seguridad con precisión

El problema de seguridad es un accidente (en el despegue) debido a la conexión cruzada de los controles de vuelo del piloto que vuela (PF). MyMx en la actualidad efectúa mantenimiento sólo a aeronaves Airbus fly-by-wire , por lo que estos tipos de aeronaves serán materia de estudio.

Extraído del la herramienta Excel SIRA (definiendo el problema de seguridad) Paso 2. Desarrollo los escenarios de accidentes relacionados

EL Escenario es la pérdida total de la aeronave debido a problemas de maniobrabilidad después de la rotación (pérdida de control, LOC). Paso 3. Analice el escenario usando el modelo SIRA

• El evento desencadenante es el error de mantenimiento de conexión cruzada de los cables de uno o ambos lados (Capitan / Primer oficial). Para ello será necesaria la conexión cruzada tanto de los canales de control y vigilancia, de lo contrario la propia aeronave detectaría el problema.

CA 121-110-03 64/71

• El Estado operacionales no deseable se puede definir como "despegue de aeronave con el error de mantenimiento" . (nótese que el UOS siempre tiene lugar dentro de la Operación de Vuelo)

• El accidente es una pérdida de control (LOC) en el despegue. • Con las definiciones anteriores, las barreras de Prevención son: cualquier acción post

mantenimiento que permita a cualquier personal de MyMx o la tripulación de vuelo detectar el problema antes de (o por último en) la carrera de despegue.

• Las barreras de recuperación son las acciones de la tripulación de vuelo que permite un vuelo seguro a pesar que la aeronave despega con los controles cruzados conectados.

Extracto del la herramienta Excel del SIRA(análisis del escenario).

Paso 4. Determine/ estime los valores de los cuatro factores de SIRA • Evento desencadenante: No hay información sobre que tan frecuente o poco

frecuente, podría darse este error de mantenimiento. Nunca ha tenido lugar en MyMx en sus 8 años de existencia. Por lo tanto, esta evaluación de riesgos SIRA se lleva a cabo "al revés", dejando a este valor inicialmente abierto.

• Eficacia de las Barreras: se supone que el equipo de mantenimiento debe hacer un chequeo operacional después de la tarea de mantenimiento. Esta barrera puede fracasar porque el chequeo se omite o no se hace con suficiente cuidado ("se mueve" no es suficiente, la dirección tiene que ser correcta). Tasa estimada de fracaso conservadora es: 1/100 veces. Durante el rodaje de salida, los pilotos deben realizar una prueba de controles de vuelo. Esto puede fallar por las mismas razones que para

CA 121-110-03 65/71

el equipo de mantenimiento. La tasa de fracaso estimado es la misma 1/100. Por tanto de fallar, tenemos una tasa de eficacia para evitar la falla: 1 / 10, 000 veces.

• La barreras de la recuperación consiste en dos cosas: o bien sólo una parte se ve afectada y por suerte no el lado del piloto que vuela (PNF), o el PIC se las arregla para controlar la aeronave a pesar de la conexión cruzada. Esto se considera muy difícil y sujeta a los efectos del viento justo después del despegue. Por lo tanto, se considera que un conservador "no casi siempre" nivel de eficacia de la barrera debe ser utilizado.

• Una pérdida de control en el despegue se considera un accidente catastrófico A medida que la frecuencia de activación de eventos es desconocida, se trabaja hacia atrás apuntando a una clase de riesgo resultante, que es "seguro" o mejor. Mediante la fijación de los valores de la barrera y el tipo de accidente y la variación de la frecuencia de activación de eventos, se puede observar que la frecuencia máxima permitida es: "una por cada 100 000 fases".

Extracto del la herramienta Excel del SIRA(Calculando el nivel de riesgo).

En este caso, la frecuencia tiene que ser interpretado "por cada 100.000 veces que el cableado de comando es vuelto a instalar". Esto le da al MRO una idea de cuan eficaces deben ser sus procedimientos de trabajo para que puedan estar seguros que esta frecuencia de error no se alcanza nunca. Cabe señalar que la MRO también deberá trabajará en fortalecer las barreras, permitiendo que el segundo factor mejore.

Este ejemplo ilustra cómo las organizaciones de aviación que no vuelan pueden y deben referir a sus evaluaciones de riesgo para un accidente que tiene lugar en una operación de vuelo. Esto es más fácil si hay una buena cooperación entre el MRO y los equipos de seguridad dentro de los operadores de sus clientes, lo que permite el intercambio de información y un proceso de aprendizaje común.

SIRA EJEMPLO3

Informe de Seguridad Aérea (ASR): Las condiciones de las marcas de pista / calles de rodaje y luces, la falta de señalización vertical y las averías frecuentes del radar de tierra hacen que la operación de tierra en el aeropuerto XXX sea muy peligrosa.

CA 121-110-03 66/71

El informe describe los riesgos (o las condiciones latentes) en un aeropuerto concreto y no realmente un evento en el que habría sucedido algo. Si bien es posible ejecutar una evaluación a través de la ERC, a menudo es más apropiado utilizar SIRA para estos casos.

Paso 1. Defina el problema de seguridad con precisión

El problema de seguridad es el pobre guía visual durante el rodaje en el aeropuerto XXX, en combinación con las fallas frecuentes de los radares en tierra. El período de tiempo es para los próximos 12 meses y el tipo de aeronave en cuenta es el único tipo Y que este operador vuela a este destino.

Paso 2. Desarrollo los escenarios de accidentes relacionados

El escenario del accidente en cuestión es una colisión en tierra (con otra aeronave o vehículo debido a estar en un lugar equivocado). Este es un escenario viable en condiciones de baja visibilidad.

Paso 3. Analice el escenario usando el modelo SIRA

• Evento activador: La frecuencia de los vuelos a/desde este destino. (ver nota abajo). • Como es habitual, el UOS podría ser elegido en varias formas diferentes. Se podría

definir como "perderse en el aeropuerto XXX en condiciones de baja visibilidad debido a los peligros anotados" o "Encontrarse en un curso de colisión (de tierra) en el aeropuerto XXX por condiciones de baja visibilidad debido a los peligros anotados". La experiencia demuestra que es mejor escoger una UOS que ya está muy cerca del accidente, ya que esto hará que las "barreras de recuperación" sean en realidad barreras de recuperación. En este caso, la última elección UOS (en cursiva) está seleccionado.

• El accidente sería una colisión en tierra, que pueden ser considerados catastróficos, como por lo general más de 3 vidas podrían perderse.

• La eficacia de las Barreras incluye a todo lo que tienen los pilotos para que les ayuden a orientarse correctamente en tierra en el aeropuerto XXX: cartas del terminal, mapas de movimiento proporcionado por la aeronave, etc. Vamos a suponer que dentro de la aeronave de tipo Y, la única disponible es el mapa clásico de la zona del terminal.

• Las barreras de recuperación incluyen todo lo que pueda resolver la situación del rumbo de colisión sin una colisión. Las principales barreras sería la tripulación de vuelo y los controladores (de superficie) puedan detectar el conflicto y tomar/solicitar una acción evasiva. La ventana de tiempo para esto después de la UOS se limita generalmente a menos de un minuto.

Paso 4. Determine/ estime los valores de los cuatro factores de SIRA

• Frecuencia del evento activador: Vamos a utilizar inicialmente el valor de activación de eventos correspondiente a la frecuencia de vuelos a este destino. Que sería de 1 en 10.000 fases. Véase la nota a continuación para la elaboración posterior.

• Eficacia de las barreras: Tener un curso de colisión requiere de condiciones de baja visibilidad, perderse (debido a las deficientes marcas) y la presencia de otra aeronave o vehículo en el área donde se pierde el avión. Estadísticamente, las condiciones de baja visibilidad están presentes en este aeropuerto el 4% del tiempo. Perderse en estas condiciones se estima que ocurra 1/1 000 veces. La presencia de otras aeronaves o vehículos es constante. Esto da una tasa de 4 / 100, 000 veces.

CA 121-110-03 67/71

• Recuperación: La recuperación exitosa dentro de la ventana de tiempo es muy inseguro. Vamos a utilizar el nivel de "falla casi siempre".

• El accidente de colisión podría ser catastrófico

Extracto del la herramienta Excel del SIRA(Calculando el nivel de riesgo).

El resultado "seguro" que indican que el nivel de riesgo, como tal, es aceptable. Sin embargo, esto fue evaluado en el contexto de toda la operación de la aerolínea, influenciado por el hecho de que los vuelos a este destino son muy poco frecuentes (1/10, 000 fases). Si la evaluación se realiza exclusivamente para el vuelo a/desde XXX, el resultado sería el siguiente:

Extracto del la herramienta Excel del SIRA (Operación solo en el Aeropuerto XXX).

Esto demuestra que el riesgo es aceptable gracias a la baja frecuencia de vuelos a XXX, pero que en cada vuelo a / desde XXX, el nivel de riesgo es inaceptablemente alto.

Irónicamente, cuanto más vuela a otros destinos, este riesgo se convierte en más aceptable, incluso si el riesgo real de "colisión en tierra en XXX" no se ve afectada por los vuelos a otros destinos! (e incluso si el aumento total del riesgo operacional con el aumento del tráfico).

CA 121-110-03 68/71

Por lo tanto, es razonable decir que este problema de seguridad debe ser evaluada exclusivamente para los vuelos a / desde XXX. No tiene sentido que una compañía aérea tenga en su red de rutas en un destino que induce un riesgo operacional inaceptable.

NOTA: Es importante tener en cuenta que la evaluación del riesgo debería limitarse a sólo la parte de la operación en cuestión, es decir, para evaluar el riesgo "local" en lugar del riesgo "global". De lo contrario, se puede mantener elementos de alto riesgo inaceptable dentro de la operación con la excusa de que la exposición a los elementos dentro de la operación global es muy limitada.

6.10.3 Ejemplos de Evaluaciones de Seguridad Operacional (Gestión de cambio)

Evaluación de seguridad operacional Ejemplo 1

Procedimientos para la conexión de energía en tierra después de llegada a la plataforma.

La práctica actual consiste en iniciar el APU después del aterrizaje y después de apagado tanto motores antes de la unidad de potencia baja (GPU) está conectado. Esto se percibe como actividad normal, convencional y segura. El cambio propuesto es mantener el motor número 2 en marcha hasta que la GPU sea conectada. Esto reduciría los ciclos de APU y ahorrar combustible.

El tema de seguridad es el riesgo de la ingesta de personal que se acercan a la aeronave con el motor en funcionamiento.

Evento activador: Arribo de aeronave con el procedimiento en efecto ( cada vuelo)

UOS: Un motor operando con personal de tierra dentro de la zona de peligro de ingestión.

Accidente resultante: Ingesta de personal en el motor (Fatal). Mayor

Eficacia de las barreras: Procedimientos para mantener a todo el personal fuera de la aeronave hasta la que la GPU se ha conectado y los motores se han apagado. El procedimiento revisado tanto con personal y equipos para acercarse a la aeronave para conectar la GPU. (Se estima que falla en 1 / 1 000 veces)

Las barreras de recuperación. Las barreras que mantienen lejos de la zona de peligro del motor a la gente que se acerca a la aeronave a pesar del motor en marcha. Depende de la ubicación de los motores, el tamaño de la zona de peligro de ingestión, etc. Si alguien accidentalmente va a la aeronave, podría darse cuenta de que el motor está funcionando o simplemente no necesita ir tan cerca del motor, pero no hay una protección real en el lugar (se estima que no 1/1 000 veces).

Utilizando la herramienta Excel del SIRA resulta en Mejorar (riesgo muy alto) Esto significa que el cambio propuesto va más allá del nivel de riesgo aceptable y no puede ser implementado a menos que se creen nuevas barreras para evitarlas o para su recuperación.

6.10.4 Ejemplos de todo el Proceso de evaluación de riesgo

CA 121-110-03 69/71

La evaluación completa del proceso de gestión de riesgo ARMS se explica de forma esquemática en la Guía de Referencia Rápida "ARMS en pocas palabras" (Sección 9). Los siguientes ejemplos deben considerarse en conjunto con la hoja de referencia.

Ejemplo 1:

Considere el ejemplo uno de ERC (TCAS). El resultado de color rojo significa varias cosas:

• Por lo general, debe ser posible la reducción del riesgo inmediato o se debe suspender volar hacia esas zonas.

• Incluso un solo evento con una calificación ERC de color rojo se convierte en un "problema de seguridad" en sí mismo. Tiene que ser juzgado si el problema de seguridad será válida únicamente para la zona en particular donde el evento tuvo lugar, o también en otros / todas las áreas similares.

Como único evento, el evento contribuye a las estadísticas del ERC. Como un problema de seguridad, se evaluó mediante el SIRA. La evaluación del SIRA se debe repetir de vez en cuando para asegurarse que el nivel de riesgo se convierte en / sigue siendo aceptable.

Ejemplo 2:

Considere el ejemplo de 4 del ERC 4 (Cometa). El resultado amarillo generalmente conduce a una mayor investigación y / o a una evaluación más detallada de los riesgos. Una vez más, como en un solo evento, el evento está en la base de datos con todos los otros eventos y contribuye a todas las estadísticas y análisis de tendencias. Pero además de eso, la investigación se lanza ahora a comprender más en detalle lo que sucedió y por qué.

Los resultados de la investigación por lo general pueden llevar a acciones de reducción de riesgo. Si el caso no puede considerarse un hecho aislado, entonces se abrió un problema de seguridad para cubrir los temas. Podría estar al alcance "cometa se encuentra en el aeropuerto de vuelos a X" o " encuentros con cometa " o "encuentros con cometa en el país Y", etc. El tema de seguridad tendría su propia evaluación de riesgos, y como resultado el valor del riesgo, con la SIRA. Bien podría ser que la SIRA muestra el potencial de catástrofe total del problema de seguridad, que hasta ahora sólo se materializó en forma de eventos con consecuencias menores o no. En otras palabras, el hecho de que los pocos eventos relacionados terminaron bien, no es garantía de que la cuestión observada no sea de "muy alto riesgo"

CA 121-110-03 70/71

7 Glosario (Ver DEFINICIONES página 1 de la CA )

8.0 Agradecimientos El grupo de trabajo ARMS desea agradecer a las organizaciones que apoyaron este esfuerzo por dejar que su gente participe en los trabajos de desarrollo y en la organización de talleres. ARMS agradece a ECAST y al Grupo de Trabajo ECAST SMS por haber incluido la metodología en las entregas ECAST. ARMS, agradece a las empresas de software de seguridad para su interés en este nuevo metodología y la incorporación en sus productos de software, acelerando así de manera significativa el cambio de los métodos más antiguos hacia la metodología ARMS. ARMS agradece a la Ciudad Universitaria de Londres, por haber auspiciado una reunión.

9.0 Guía de Referencia Rápida ARMS La Guía de Referencia Rápida ARMS (QRG) es un resumen del flujo de proceso ARMS y de los dos procedimientos fundamentales: la Clasificación de Riesgo de Eventos (ERC) y Evaluación de Riesgos de Problemas de seguridad operacional. El propósito de esta guía es ser una diaria referencia rápida para el Analista de Seguridad. La Guía de Referencia Rápida se presenta en una única hoja A3 y por lo tanto es adecuada para imprimirse y colgarse en la pared como referencia continua. La versión imprimible está disponible en Skybrary8

.

El QRG no es un sustituto para el documento ARMS completo, sino más bien un resumen para alguien que ya ha leído el documento. La sección central de la QRG ilustra el proceso de gestión de riesgos como una tabla de flujos. Se utiliza un código de colores, por ejemplo, los eventos que se clasifican en color verde ERC, se envía directamente a la base de datos (flecha verde). Los eventos que se clasifican de color rojo o amarillo, puede tener que ser investigados (flecha roja / amarilla). Todos los resultados de la ERC y el SIRA contribuyen al monitoreo del rendimiento de seguridad (flechas azules).

8 http://www.skybrary.aero/bookshelf/books/1142.ppt

CA 121-110-03 71/71