Acidente de sistema - System accident

Um acidente de sistema (ou acidente normal ) é uma "interação imprevista de várias falhas" em um sistema complexo . Essa complexidade pode ser de tecnologia ou de organizações humanas, e freqüentemente é ambas. Um acidente de sistema pode ser fácil de ver em retrospectiva, mas extremamente difícil em previsões porque simplesmente existem muitos caminhos de ação para considerar seriamente todos eles. Charles Perrow desenvolveu essas ideias pela primeira vez em meados da década de 1980. William Langewiesche, no final da década de 1990, escreveu: "o controle e a operação de algumas das tecnologias mais arriscadas exigem organizações tão complexas que é virtualmente garantido que ocorram falhas graves".

Os próprios sistemas de segurança às vezes são a complexidade adicional que leva a este tipo de acidente.

Depois que uma empresa passa de um certo ponto de tamanho, com muitos funcionários, especialização, sistemas de backup, verificação dupla, manuais detalhados e comunicação formal, os funcionários podem facilmente recorrer ao protocolo, hábito e "estar certo". Em vez de tentar assistir a um filme complicado em um idioma com o qual não estamos familiarizados, o fio narrativo do que está acontecendo pode ser perdido. E como os acidentes do mundo real quase sempre têm causas múltiplas, outros fenômenos, como o pensamento de grupo, também podem estar ocorrendo ao mesmo tempo. Em particular, é uma marca de uma organização disfuncional simplesmente culpar a última pessoa que tocou em algo.

Em 2012, Charles Perrow escreveu: "Um acidente normal [acidente de sistema] é quando todos tentam arduamente para jogar pelo seguro, mas a interação inesperada de duas ou mais falhas (por causa da complexidade interativa), causa uma cascata de falhas (por causa do acoplamento forte) . " Charles Perrow usa o termo acidente normal para enfatizar que, dado o nível atual da tecnologia, esses acidentes são altamente prováveis ​​ao longo de vários anos ou décadas.

James T. Reason estendeu essa abordagem com a confiabilidade humana e o modelo do queijo suíço , agora amplamente aceito na segurança da aviação e na saúde.

Há um aspecto de um animal devorando sua própria cauda, ​​em que mais formalidade e esforço para acertar exatamente pode realmente piorar a situação. Por exemplo, quanto mais riga-ma-função organizacional envolvida no ajuste às condições de mudança, mais funcionários provavelmente irão atrasar o relato de tais mudanças, "problemas" e condições inesperadas.

Esses acidentes muitas vezes se assemelham aos dispositivos de Rube Goldberg na forma em que pequenos erros de julgamento, falhas de tecnologia e danos insignificantes se combinam para formar um desastre emergente .

William Langewiesche escreve sobre "toda uma realidade fingida que inclui cadeias de comando inexequíveis, programas de treinamento indescritíveis, manuais ilegíveis e a ficção de regulamentações, verificações e controles".

Uma ideia oposta é a da organização de alta confiabilidade .

Scott Sagan

Scott Sagan tem várias publicações discutindo a confiabilidade de sistemas complexos, especialmente em relação a armas nucleares. The Limits of Safety (1993) forneceu uma extensa revisão de situações difíceis durante a Guerra Fria que poderiam ter resultado em uma guerra nuclear por acidente.

Possíveis acidentes de sistema

Voo espacial Apollo 13 , 1970

Apollo 13 Review Board:


"[Introdução]... Foi descoberto que o acidente não foi o resultado de um mau funcionamento casual em um sentido estatístico, mas sim resultou de uma combinação incomum de erros, juntamente com um design um tanto deficiente e implacável [Grifo nosso]. .

" g. Ao revisar esses procedimentos antes do voo, os funcionários da NASA, ER e Beech não reconheceram a possibilidade de danos devido ao superaquecimento. Muitos desses funcionários não estavam cientes da operação prolongada do aquecedor. Em qualquer caso, interruptores termostáticos adequados poderia ser esperado para proteger o tanque. "

Three Mile Island , 1979

Charles Perrow:

"Parecia outros acidentes em usinas nucleares e em outros sistemas operador-máquina de alto risco, complexos e altamente interdependentes; nenhum dos acidentes foi causado por inaptidão do gerenciamento ou operador ou por regulamentação governamental deficiente, embora essas características existissem e devessem ser esperadas. Afirmei que o acidente era normal, porque em sistemas complexos existem várias falhas que não podem ser evitadas por planejamento e que os operadores não podem compreender imediatamente. "

ValuJet (AirTran) 592 , Everglades, 1996

William Langewiesche:

Ele ressalta que no "enorme manual de manutenção do MD-80... Ao buscar diligentemente suas opções, o mecânico poderia ter encontrado uma parte diferente do manual e aprendido que ... [geradores de oxigênio] devem ser descartados de acordo com as conformidades regulatórias locais e usando procedimentos autorizados. "

Ou seja, a maioria dos procedimentos de segurança escritos são "corretos" em certo sentido, mas não são úteis nem informativos.

Brian Stimpson:

Etapa 2. As caixas de papelão não marcadas, armazenadas por semanas em um rack de peças, foram levadas para o departamento de envio e recebimento da SabreTech e deixadas no chão em uma área atribuída à propriedade ValuJet.

Etapa 3. A Continental Airlines, um cliente potencial da SabreTech, estava planejando uma inspeção das instalações, então um funcionário da remessa da SabreTech foi instruído a limpar o local de trabalho. Ele decidiu enviar os geradores de oxigênio para a sede da ValuJet em Atlanta e etiquetou as caixas como "peças de aeronaves". Ele havia enviado material ValuJet para Atlanta antes, sem aprovação formal. Além disso, ele interpretou mal as etiquetas verdes para indicar "inutilizável" ou "fora de serviço" e concluiu que os geradores estavam vazios.

Etapa 4. O funcionário de transporte preparou uma carga para o porão de carga dianteiro das cinco caixas, mais dois pneus principais grandes e um pneu de nariz menor. Ele instruiu um colega de trabalho a preparar um bilhete de embarque declarando "vasilhas de oxigênio - vazias". O colega escreveu, "Oxy Canisters" seguido de "Empty" entre aspas. Os pneus também foram listados.

Etapa 5. Um ou dois dias depois, as caixas foram entregues ao agente de rampa ValuJet para aceitação no vôo 592. A lista de pneus e cilindros de oxigênio deveria ter chamado sua atenção, mas não o fez. Os canisters foram carregados contra os regulamentos federais, já que ValuJet não foi registrado para transportar materiais perigosos. É possível que, na cabeça do agente da rampa, a possibilidade de os trabalhadores da SabreTech mandarem cargas perigosas para ele fosse inconcebível.

Instituição financeira de 2008 quase colapso

Em uma monografia de 2014, o economista Alan Blinder afirmou que instrumentos financeiros complicados dificultavam para os investidores potenciais julgar se o preço era razoável. Em uma seção intitulada "Lição nº 6: A complexidade excessiva não é apenas anticompetitiva, é perigosa", ele afirmou ainda: "Mas o maior perigo pode vir da opacidade. Quando os investidores não entendem os riscos inerentes aos títulos, eles comprar (exemplos: a tranche mezanino de um CDO-Quadrado  ; um CDS em um CDO sintético , ...), grandes erros podem ser cometidos - especialmente se as agências de classificação disserem que eles são AAA, a saber, seguros o suficiente para vovó. Quando o crash vier, as perdas podem, portanto, ser muito maiores do que os investidores sonharam. Os mercados podem secar, pois ninguém sabe o que esses títulos realmente valem. O pânico pode se instalar. Portanto, a complexidade em si é uma fonte de risco. "

Afundamento de MV Sewol

Possíveis aplicações futuras do conceito

Aumento de cinco vezes na segurança de aviões desde 1980, mas os sistemas de voo às vezes mudam para "modos" inesperados por conta própria

Em um artigo intitulado "The Human Factor", William Langewiesche fala sobre a queda do vôo 447 da Air France em 2009 no meio do Atlântico. Ele ressalta que, desde a década de 1980, quando começou a transição para os sistemas de cockpit automatizados, a segurança quintuplicou. Langwiesche escreve: "Na privacidade da cabine e além da vista do público, os pilotos foram relegados a funções mundanas como gerentes de sistema." Ele cita o engenheiro Earl Wiener, que segue a declaração humorística atribuída à Duquesa de Windsor de que nunca se pode ser muito rico ou muito magro, e acrescenta "ou muito cuidadoso com o que você coloca em um sistema digital de orientação de voo". Wiener diz que o efeito da automação normalmente é reduzir a carga de trabalho quando está leve, mas aumentá-la quando está pesada.

O engenheiro da Boeing, Delmar Fadden, disse que, uma vez que as capacidades são adicionadas aos sistemas de gerenciamento de voo, elas se tornam impossivelmente caras de remover devido aos requisitos de certificação. Mas, se não for usado, pode, em certo sentido, espreitar nas profundezas invisíveis.

Langewiesche cita a engenheira industrial Nadine Sarter, que escreve sobre "surpresas de automação", muitas vezes relacionadas a modos de sistema que o piloto não entende totalmente ou para os quais o sistema muda por conta própria. Na verdade, uma das perguntas mais comuns feitas nos cockpits de hoje é: "O que ele está fazendo agora?" Em resposta a isso, Langewiesche aponta novamente para o aumento de cinco vezes na segurança e escreve: "Ninguém pode defender racionalmente um retorno ao glamour do passado."

Uma interação mais saudável entre teoria e prática em que as regras de segurança às vezes são alteradas?

Do artigo "Um novo modelo de acidente para sistemas mais seguros de engenharia", de Nancy Leveson, em Safety Science , abril de 2004:
"No entanto, as instruções e os procedimentos escritos quase nunca são seguidos exatamente enquanto os operadores se esforçam para se tornar mais eficientes e produtivos e para lidar com pressões de tempo ... mesmo em ambientes altamente restritos e de alto risco como usinas nucleares, a modificação das instruções é repetidamente encontrada e a violação das regras parece ser bastante racional, dada a carga de trabalho real e as restrições de tempo sob as quais os operadores devem fazer seu trabalho. Nessas situações, existe um conflito básico entre o erro visto como um desvio do procedimento normativo e o erro visto como um desvio do procedimento racional e eficaz normalmente usado (Rasmussen e Pejtersen, 1994). "

Veja também

Referências

Notas

Leitura adicional