Traducido del inglés al español - www.onlinedoctranslator.

com

Gerente de Redes
nominado por
La Comisión Europea
EUROCONTROL

De Safety-I a Safety-II: un
libro blanco
Seguridad DNM
RESUMEN EJECUTIVO
En 2012, la industria de la aviación experimentó el año
más seguro registrado, según IATA, con una tasa de
accidentes muy baja. Este logro es a pesar de la constante
expansión en el tráfico aéreo, que se espera que continúe
en el futuro. Con esta expansión viene una demanda de
mejoras paralelas en la seguridad, para que no aumente el
número de accidentes.
La mayoría de la gente piensa en la seguridad como la ausencia de
accidentes e incidentes (o como un nivel de riesgo aceptable). En
esta perspectiva, que se denomina Seguridad-I, la seguridad se
define como un estado en el que la menor cantidad posible de
cosas sale mal. Según Safety-I, las cosas salen mal debido a causas
técnicas, humanas y organizativas: fallas y mal funcionamiento. Por
lo tanto, los humanos son vistos predominantemente como una
responsabilidad o un peligro. El principio de gestión de la
seguridad es responder cuando algo sucede o se clasifica como un
riesgo inaceptable. En consecuencia, el propósito de la
investigación de accidentes es identificar las causas y los factores
que contribuyen a los resultados adversos, mientras que la
evaluación de riesgos tiene como objetivo determinar su
probabilidad. Ambos enfoques intentan eliminar las causas o
mejorar las barreras, o ambas cosas.
Esta visión de la seguridad se desarrolló entre las décadas de
1960 y 1980, cuando las demandas de rendimiento eran
significativamente más bajas y los sistemas eran más simples
e independientes. Se asumió que los sistemas podían
descomponerse y que los componentes del sistema
funcionaban de manera bimodal, ya sea trabajando
correctamente o trabajando incorrectamente. Estas
suposiciones permitieron descripciones detalladas y estables
del sistema y permitieron una búsqueda de causas y
soluciones para fallas. Estos supuestos no encajan en el
mundo actual, donde los sistemas como ATM no se pueden
descomponer de manera significativa, donde las funciones del
sistema no son bimodales, sino donde el desempeño diario es
(y debe ser) variable y flexible.
Fundamentalmente, el punto de vista de Seguridad-I no explica por qué
el desempeño humano prácticamente siempre sale bien. La razón por la
que las cosas van bien no es que las personas se comporten como se les
dice, sino que las personas pueden ajustar su trabajo para que coincida
con las condiciones. A medida que los sistemas continúan
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
Para desarrollarse, estos ajustes se vuelven cada vez más
importantes para un desempeño exitoso. Por lo tanto, el
desafío para la mejora de la seguridad es comprender estos
ajustes, comenzando por comprender cómo el desempeño
generalmente funciona bien. A pesar de la importancia obvia
de que las cosas salgan bien, hasta ahora la gestión de la
seguridad ha prestado relativamente poca atención a esto.
Por lo tanto, la gestión de la seguridad debería
pasar de garantizar que "menos cosas salgan mal" a
garantizar que "tantas cosas como sea posible
salgan bien". Esta perspectiva se denomina
Seguridad-II y se relaciona con la capacidad del
sistema para tener éxito en diversas condiciones. De
acuerdo con Safety-II, la variabilidad del desempeño
diario necesario para responder a condiciones
cambiantes es la razón por la cual las cosas salen
bien. En consecuencia, los humanos son vistos
como un recurso necesario para la flexibilidad y
resiliencia del sistema. El principio de gestión de la
seguridad es anticiparse continuamente a los
desarrollos y eventos. El propósito de una
investigación cambia a comprender cómo las cosas
generalmente salen bien como base para explicar
cómo las cosas ocasionalmente salen mal.
A la luz de las crecientes demandas y la complejidad
del sistema, debemos adaptar nuestro enfoque a la
seguridad. Si bien muchos eventos adversos aún
pueden tratarse con un enfoque basado en la
seguridad I sin consecuencias graves, hay un número
creciente de casos en los que este enfoque no
funcionará y nos dejará sin saber cómo las acciones
cotidianas logran la seguridad. Por lo tanto, el camino
a seguir radica en avanzar hacia Safety-II mientras se
combinan las dos formas de pensar. La mayoría de los
métodos y técnicas existentes pueden seguir
utilizándose, aunque posiblemente con un énfasis
diferente. Pero la transición hacia una vista de
seguridad II también incluirá algunas prácticas nuevas
para buscar lo que funciona bien, centrarse en eventos
frecuentes, permanecer sensible a la posibilidad de
fallas, ser minucioso y eficiente y ver una inversión en
seguridad. como una inversión en productividad.
3
3
 PRÓLOGO: EL MUNDO HA CAMBIADO
Decir que el mundo ha cambiado no es solo una frase; explica
la intención de este Libro Blanco y también es un adelanto
para los pensamientos del lector.
Es una perogrullada que el mundo en el que vivimos se ha vuelto
más complejo e interactivo y que este cambio continúa a un ritmo
cada vez mayor. Esto quizás se vea más fácilmente en las formas
en que nos comunicamos, tanto en el desarrollo de los teléfonos
móviles como en el cambio de las llamadas de persona a persona a
las redes sociales. Con respecto a esto, Wikipedia dice:
“Motorola fue la primera compañía en producir una computadora de mano
teléfono móvil. El 3 de abril de 1973, Martin Cooper, un
ingeniero y ejecutivo de Motorola, realizó la primera llamada de
teléfono móvil desde un equipo de suscriptor portátil frente a
los reporteros, llamando al Dr. Joel S. Engel de Bell Labs. El
prototipo de teléfono de mano utilizado por el Dr. Martin
Cooper pesó 2,5 libras y midió 9 pulgadas de largo, 5 pulgadas de
profundidad y 1,75 pulgadas de ancho. El prototipo ofreció un tiempo
de conversación de solo 30 minutos y tomó 10 horas.
recargar."
De hecho, la situación actual es que varios países tienen
más teléfonos móviles que personas (Irlanda, por ejemplo,
o América Latina). Y según un informe de una agencia de
la ONU, habrá más suscripciones móviles que personas en
el mundo a finales de 2014.
4
Se han producido cambios similares en la aviación y
la ATM. Una indicación es que el número de vuelos
ha aumentado dramáticamente en los últimos 40
años. Según la OACI (2013), el tráfico aéreo regular
mundial de pasajeros alcanzó los 5,4 billones de
pasajeros-kilómetro realizados (PKP) en 2012, una
cifra que proviene de un crecimiento anual de
alrededor del 5 % durante varias décadas. Se prevé
un crecimiento similar en los próximos años; Airbus
(2012) predice que el tráfico se duplicará en los
próximos 15 años, como lo ha hecho cada 15 años
desde 1980. Así como el uso de los teléfonos
móviles ha pasado de ser un privilegio de unos
pocos a convertirse en una necesidad para casi
todos, volar como medio de viaje se ha convertido
en un bien común. Hace cuarenta años el número
de vuelos era escaso, el espacio aéreo no estaba
abarrotado y el nivel de automatización en el aire y
en tierra era bajo.
Hoy volar se ha convertido en la forma normal de viajar
– para fines comerciales y privados, para la mayoría de las
personas, al menos en las partes industrializadas del mundo.
El aumento de la demanda de vuelos ha introducido una
mayor competencia entre las aerolíneas y ha llevado al
desarrollo de aeropuertos más grandes, muchos del tamaño
de ciudades pequeñas. En el aire, las crecientes demandas han
llevado a un espacio aéreo abarrotado y un flujo de tráfico
denso, lo que a su vez significa más personal y una
automatización más amplia.
En los primeros días de los vuelos comerciales, el foco de atención
y de seguridad, por así decirlo, estaba casi exclusivamente en las
fallas tecnológicas. Los componentes en el aire o en el suelo
podrían romperse o no funcionar según lo previsto. La
comprensión de cómo funcionaba la tecnología se basaba en
relaciones causa-efecto simples y los modelos utilizados para
explicar accidentes o incidentes eran lineales, por ejemplo, el
modelo Domino de Heinrich (Heinrich, 1931).
que las explicaciones de los resultados no deseados del
rendimiento del sistema ya no pueden limitarse a una
comprensión de las relaciones causa-efecto descritas por
modelos lineales. La importancia de la ingeniería de resiliencia
para ATM se ha explorado en un libro blanco anterior
(EUROCONTROL, 2009). Este informe técnico analiza más de
cerca las consecuencias de los conceptos de ingeniería de
resiliencia para el pensamiento y la gestión de la seguridad.

Durante la segunda mitad del siglo XX, el entorno técnico

cambió y el foco de atención pasó de los problemas
tecnológicos a los problemas de factores humanos y,
finalmente, a los problemas con las organizaciones y la cultura
de la seguridad. Desafortunadamente, la mayoría de los
modelos utilizados para analizar y explicar accidentes y fallas
no se desarrollaron de manera similar. El resultado es que el
pensamiento y las prácticas de seguridad en muchos sentidos
han llegado a un callejón sin salida. Este fue el principal
impulsor del desarrollo de la ingeniería de resiliencia en la
primera década de este siglo (p. ej., Hollnagel, Woods &
Leveson, 2006). La ingeniería de resiliencia reconoce que el
mundo se ha vuelto más complejo y

Figura 1: Modelo Domino de Heinrich (Heinrich, 1931)

 SEGURIDAD-I
La seguridad es un término utilizado y reconocido por casi todo el
mundo. Debido a que lo reconocemos de inmediato y lo
encontramos significativo, damos por sentado que otros hacen lo
mismo y, por lo tanto, rara vez nos molestamos en definirlo con
mayor precisión. El propósito de este White Paper es precisamente
eso y explorar las implicaciones de dos interpretaciones diferentes
de la seguridad.
Seguridad-I: Evitar que las cosas salgan mal
Para la mayoría de las personas, la seguridad significa la ausencia de
resultados no deseados, como incidentes o accidentes. La seguridad se
define genéricamente como la calidad del sistema que es necesaria y
suficiente para asegurar que el número de eventos que pueden ser
perjudiciales para los trabajadores, el público o el medio ambiente sea
aceptablemente bajo. La OACI, por ejemplo, define la seguridad como:
El estado en el que la posibilidad de daño a las personas o a
la propiedad se reduce y se mantiene en un nivel aceptable
o por debajo de él a través de un proceso continuo.
de identificación de peligros y gestión de riesgos de seguridad operacional.
Históricamente hablando, el punto de partida para las
preocupaciones de seguridad ha sido la ocurrencia de
accidentes (resultados adversos reales) o riesgos
reconocidos (resultados adversos potenciales). Los
resultados adversos, cosas que salen mal, generalmente
se han explicado señalando sus causas, y la respuesta ha
sido eliminarlas o contenerlas. De manera similar, se han
tenido en cuenta nuevos tipos de accidentes mediante la
introducción de nuevos tipos de causas, ya sea
relacionadas con la tecnología (p. ej., fatiga del metal), con
factores humanos (p. ej., carga de trabajo, 'error humano')
o con la organización (p. ej., cultura de seguridad). ).
Debido a que esto ha sido efectivo para proporcionar
soluciones a corto plazo, a lo largo de los siglos nos hemos
acostumbrado tanto a explicar los accidentes en términos
de relaciones de causa-efecto, que ya no lo notamos. Y nos
aferramos tenazmente a esta tradición,
6
Para ilustrar las consecuencias de definir la seguridad por
lo que sale mal, considere la Figura 2. Aquí la delgada línea
roja representa el caso donde la probabilidad (estadística)
de una falla es 1 de 10,000. Pero esto también significa
que se debe esperar que las cosas salgan bien 9999 veces
de 10 000, lo que corresponde al área verde en la Figura 2.
(En aviación, la probabilidad de tener un accidente fatal en
un vuelo comercial es 1.4 * 10-7. )
10-⁴: = 1 falla en
10.000 eventos
1 - 10-⁴: = 9.999 no fallo
en 10.000 eventos
Figura 2: El desequilibrio entre las cosas que salen
bien y las que salen mal
Los esfuerzos de seguridad se enfocan en lo que
sale mal, es decir, el único evento entre 10.000, y
este enfoque se refuerza de muchas maneras. Los
reguladores y las autoridades requieren informes
detallados sobre accidentes, incidentes e incluso los
llamados eventos no deseados, y las agencias,
departamentos y roles organizacionales especiales
se dedican a examinar los resultados adversos.
Numerosos modelos afirman que pueden explicar
por qué las cosas van mal y se ofrece una cantidad
considerable de métodos para encontrar y abordar
las causas. Los datos de accidentes e incidentes se
recopilan en grandes bases de datos. Los accidentes
e incidentes se describen y explican en miles de
artículos, libros y se debaten en congresos
especializados nacionales e internacionales. El
resultado neto es una avalancha de información
sobre cómo van mal las cosas y qué se debe hacer
para evitar que esto suceda.
La situación es bastante diferente para los 9.999 eventos que
salen bien. A pesar de su importancia crucial, por lo general
reciben poca atención en las actividades de gestión de la
seguridad, como la gestión de riesgos de seguridad, la
garantía de la seguridad y la promoción de la seguridad. No
existen requisitos por parte de las autoridades y los
reguladores para observar lo que funciona bien y, por lo tanto,
son pocas las agencias y departamentos que lo hacen. Las
posibles excepciones son las auditorías y las encuestas, que
pueden incluir un enfoque en las fortalezas. Sin embargo, en
general, los datos son difíciles de encontrar, hay pocos
modelos, incluso menos métodos, y el vocabulario es escaso
en comparación con lo que sale mal. Hay pocos libros y
papeles, y prácticamente ninguna reunión. Ver cómo las cosas
van bien también choca con el enfoque tradicional en los
fracasos y, por lo tanto, recibe poco estímulo. Esto crea un
problema grave porque no podemos asegurarnos de que las
cosas salgan bien simplemente evitando que salgan mal.
También necesitamos saber cómo van bien.
Figura 3: Las cosas que van bien y las cosas que van mal suceden de diferentes maneras
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
El estado actual de las cosas representa un entendimiento común
de la seguridad, que llamaremos Seguridad-I. Esto define la
seguridad como una condición en la que el número de resultados
adversos es lo más bajo posible. Dado que el propósito de la
gestión de la seguridad es lograr y mantener esa condición, los
objetivos de seguridad se definen en términos de una reducción de
los resultados medidos durante un período de tiempo
determinado.
Safety-I promueve una visión bimodal del trabajo y las
actividades, según la cual los resultados aceptables e
inaceptables se deben a diferentes modos de
funcionamiento. Cuando las cosas van bien es porque el
sistema funciona como debe y porque la gente trabaja
como se imagina; cuando las cosas salen mal es porque
algo no funcionó o falló. Se supone que los dos modos son
claramente diferentes, y el propósito de la gestión de la
seguridad es, naturalmente, garantizar que el sistema
permanezca en el primer modo y nunca se aventure al
segundo (consulte la Figura 3).
7
 En Safety-I, el punto de partida para la gestión de la
seguridad es que algo salió mal o que algo se identificó
como un riesgo. Ambos casos utilizan el enfoque de
'buscar y corregir' mencionado anteriormente. En el
primer caso, encontrando las causas y luego
desarrollando una respuesta adecuada, en el segundo,
identificando los peligros para eliminarlos o
contenerlos. Otra solución es evitar una transición de
un estado 'normal' a uno 'anormal' (o mal
funcionamiento), independientemente de si esto se
debe a una transición repentina o a una 'desviación
gradual hacia la falla'. Esto se logra restringiendo el
desempeño en el estado 'normal', reforzando el
cumplimiento y eliminando la variabilidad (ver Figura
4). Un paso final es verificar si el número de resultados
adversos (airproxes, incursiones en la pista, etc.)
disminuye. Si no pasa nada por un tiempo,

A continuación, Safety-I se caracterizará al observar

susmanifestaciones, su subyacentemecanismos, y
su teoríacimientos.

Figura 4: Seguridad por eliminación y prevención

8
Las Manifestaciones de la Seguridad-
I: Mirando lo que sale mal
La definición de Seguridad-I significa que las manifestaciones son
resultados adversos. Se considera que un sistema (ATM) no es
seguro si se producen resultados adversos o si el riesgo se
considera inaceptable, y seguro si no se producen tales resultados
o si el riesgo se considera aceptable. Esta es, sin embargo, una
definición indirecta porque la seguridad se define por su opuesto,
por lo que sucede cuando está ausente en lugar de cuando está
presente.
La curiosa consecuencia de esta definición es que el nivel de
seguridad está inversamente relacionado con el número de
resultados adversos. Si muchas cosas van mal, se dice que el nivel
de seguridad es bajo; pero si pocas cosas salen mal, se dice que el
nivel de seguridad es alto. En otras palabras, cuantas más
manifestaciones hay, menos seguridad hay y viceversa. Un nivel
perfecto de seguridad significa que no hay resultados adversos,
por lo tanto, no hay nada que medir. Desafortunadamente, esto
hace que sea imposible demostrar que los esfuerzos para mejorar
la seguridad han funcionado, por lo que es muy difícil argumentar
a favor de recursos continuos.
Para ayudar a describir las manifestaciones, se dispone de
varias tipologías de error, que van desde las simples (omisión-
comisión) hasta las elaboradas (diversas formas de 'error
cognitivo' y violaciones o incumplimiento). Tenga en cuenta
que estas tipologías a menudo conducen a una confusión
problemática entre el error como resultado (manifestación) y
el error como causa.
Los 'Mecanismos' de Safety-I
Los mecanismos de Seguridad-I son los supuestos sobre cómo
suceden las cosas que se utilizan para explicar o dar sentido a
las manifestaciones. El mecanismo genérico de Safety-I es el
credo de la causalidad–una creencia predominante a nivel
mundial de que los resultados adversos (accidentes,
incidentes) ocurren porque algo sale mal, por lo tanto, tienen
causas que se pueden encontrar y tratar. Aunque obviamente
es razonable suponer que las consecuencias
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
están precedidos por causas, es un error suponer que las
causas son triviales o que siempre se pueden encontrar.
Élcredo de la causalidada lo largo de los años se ha expresado
en muchos modelos diferentes de accidentes. La versión
fuerte de lacredo de la causalidades la suposición sobre las
causas fundamentales, expresada por el análisis de las causas
fundamentales. Esto corresponde al pensamiento lineal simple
representado por el modelo Domino (Heinrich, 1931). Si bien
esto probablemente fue adecuado para la primera mitad de
los 20elsiglo, los entornos sociotécnicos cada vez más
complicados e incomprensibles que se desarrollaron en la
última mitad, y especialmente a partir de la década de 1970,
requirieron mecanismos más intrincados y más poderosos. El
modelo de accidente más conocido es el modelo del queso
suizo, que explica los resultados adversos como resultado de
una combinación de fallas activas y condiciones latentes. Otros
ejemplos son enfoques como TRIPOD (Reason et al., 1989),
AcciMap (Rasmussen & Svedung, 2000) y STAMP (Leveson,
2004). Sin embargo, en todos los casos el mecanismo incluye
alguna forma de causalidad que permite que el análisis
retroceda desde las consecuencias hasta las causas
subyacentes.
La base de la seguridad-I:
O funciona o no funciona
La base de Safety-I representa los supuestos sobre la
naturaleza del mundo, por así decirlo, que son
necesarios y suficientes para que los mecanismos
funcionen. La base de Safety-I implica dos supuestos
importantes.
- Los sistemas son descomponibles.
Sabemos que podemos construir sistemas (incluidos
aviones y aeropuertos) juntando cosas y combinando y
organizando cuidadosamente los componentes. La
primera suposición es que este proceso puede
revertirse y que podemos entender los sistemas por
9
 descomponiéndolos en constituyentes significativos (ver Figura
5). Tenemos cierto éxito con la descomposición de los sistemas
tecnológicos para encontrar las causas de los accidentes, a
pesar del reciente estancamiento de los problemas de la
batería del Boeing 787. También asumimos que podemos
descomponer los 'sistemas blandos' (organizaciones) en sus
o degradarse. Si bien este razonamiento es válido para los
sistemas tecnológicos y sus componentes, no es válido
para los sistemas sociotécnicos, y definitivamente no lo es
para los componentes humanos y organizacionales, hasta
el punto de que incluso no tiene sentido usarlo.

constituyentes (departamentos, agentes, roles, partes Si bien las dos suposiciones (descomponibilidad y
interesadas). Y finalmente asumimos que se puede hacer lo bimodalidad) hacen que sea conveniente buscar causas y
mismo para tareas y eventos, en parte debido a la seductora responder "arreglándolas", también conducen a
simplicidad de la línea de tiempo. Pero nos equivocamos en descripciones y escenarios de sistemas con manejabilidad
todos los casos. y especificidad ilusorias, y cuantificación con precisión
ilusoria. Por lo tanto, son insuficientes como base para la
- El funcionamiento es bimodal. gestión de la seguridad en el mundo de hoy.
También se supone que los 'componentes' de un sistema
pueden estar en uno de dos modos, ya sea funcionando
correctamente o fallando (mal funcionamiento),
posiblemente embellecidos al incluir varios modos
degradados de operación. Los componentes del sistema
generalmente están diseñados o diseñados para
proporcionar una función específica y cuando eso no
sucede, se dice que fallaron, funcionaron mal o fallaron.

Figura 5: Un sistema descomponible

10
EL MUNDO CAMBIANTE DE LOS CAJEROS AUTOMÁTICOS

Las demandas siempre cambiantes en el trabajo, la seguridad y la productividad

Safety-I se basa en una visión de la seguridad que se desarrolló aproximadamente entre 1965 y 1985. Las demandas y
condiciones de trabajo, en ATM y en otros lugares, eran muy diferentes a las de ahora. Considere el crecimiento del tráfico en 15
estados de la UE, que se muestra en la Figura 6.

16000000
Crecimiento del tráfico de aeródromos EU15 1978-2008
14000000

12000000

10000000

8000000

6000000

4000000

2000000

0
1978 1983 1988 1993 1998 2003 2008
UE15
Figura 6: Tráfico de
aeródromo EU15 por año Año 1978 1983 1988 1993 1998 2003 2008
(1978 - 2008)
4874379 5210819 5916008 6362527 8804091 12044932 13338594
(Datos cortesía de la OACI)

Las condiciones de trabajo de los controladores, así como de los - Los procedimientos son amplios, completos y
pilotos, también eran bastante diferentes a las de hoy. La evolución correctos.
del entrenamiento ATC, por ejemplo, se puede ver en las Figuras 7

a 9. - Las personas en el extremo afilado (operadores) se comportan

como se espera que lo hagan y como han sido entrenados para

Los sistemas industriales de la década de 1970 eran hacerlo. (Funcionan como se supone o se imagina que lo hacen).

relativamente simples en comparación con el mundo actual.

La dependencia de la tecnología de la información era limitada
(principalmente debido al tamaño y la inmadurez de la propia
TI), lo que significaba que las funciones de soporte eran
relativamente pocas, relativamente simples y, en su mayoría,
independientes entre sí. El nivel de integración (p. ej., entre
sectores) era bajo, en general era posible comprender y seguir
lo que sucedía, el sistema de tráfico era menos vulnerable a
las interrupciones y los sistemas de apoyo estaban poco
acoplados (independientes) en lugar de estrechamente
acoplados (interdependientes). . Por lo tanto, el pensamiento
de seguridad se desarrolló con los siguientes supuestos:
- Los sistemas y lugares de trabajo están bien diseñados
- Los diseñadores han previsto todas las contingencias y
han dotado al sistema de las capacidades de respuesta
adecuadas. Si las cosas salen completamente mal, los
sistemas pueden degradarse con gracia porque los
operadores pueden comprender y manejar las
contingencias.
Si bien estas suposiciones probablemente nunca fueron
completamente correctas, se consideraron razonables en la
década de 1970. Pero hoy no son razonables, y la seguridad
basada en estas premisas es inapropiada para el mundo tal
como es en la década de 2010.

y mantenidos correctamente.

DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO 11

 Figura 7: Entrenamiento ATC año 1970 (Foto: DFS) Figura 8: Entrenamiento ATC año 1993 (Foto: DFS)

Figura 9: Capacitación ATC año 2013 (Foto: DFS)

12
Desarrollos tecnológicos desenfrenados
Como la mayoría de las industrias, ATC está sujeta a un flujo cada
vez mayor de diversos cambios y mejoras. Algunos cambios surgen
como respuesta a una tecnología más potente, pero otros son una
respuesta a las mayores demandas de rendimiento. La Comisión
Europea, por ejemplo, ha establecido objetivos ambiciosos para los
desarrollos durante la próxima década en relación con cuatro
direcciones: seguridad, impacto ambiental, capacidad y
rentabilidad. (SESAR se ha fijado más concretamente los siguientes
objetivos: permitir triplicar la capacidad, mejorar la seguridad en
un factor de 10, reducir los costos de los cajeros automáticos a la
mitad y reducir el impacto ambiental en un 10 %. El objetivo de
seguridad por sí solo plantea la interesante cuestión de cómo se
puede medir un aumento de diez veces en la seguridad contando
cuántas cosas menos salen mal).
Cambiar para
por el bien del cambio
Sistema
funcionalidad
Creciente
demandas de rendimiento
Figura 10: Ciclo de autorreforzamiento de la innovación tecnológica
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
Los desarrollos de los sistemas industriales desde 1960 han
estado marcados por una serie de fuerzas mutuamente
dependientes. El primero es el desarrollo de la tecnología en
sí, sobre todo la TI y el software 'inteligente'. Luego está el
aumento de las necesidades y demandas de los usuarios. Esto
parece seguir la llamada 'Ley de los sistemas estirados', que
dice que cada sistema se estira para operar a su máxima
capacidad y que cualquier mejora, siempre que se realice y por
cualquier motivo, se utilizará para lograr una nueva
intensidad. y ritmo de actividad. Y finalmente, dado que hace
mucho que pasamos el punto en que los humanos sin ayuda
podían controlar los procesos, existe la atracción irónica de las
soluciones tecnológicas, como la automatización, para
resolver los problemas. Todo esto se ilustra en la Figura 10 a
continuación.
Mas poderoso
tecnología
Compensación
automatización
"Elegante"
tecnología
Complejidad de la tarea Estable (constante)
capacidades humanas
13
 Una tendencia diferente es el aumento de los casos en los que
los problemas se seleccionan en función de un solo criterio: si
son 'solubles' con una solución tecnológica agradable y limpia
a nuestra disposición. Esto tiene dos consecuencias
importantes. Una es que los problemas se atacan y resuelven
uno por uno, como si pudieran tratarse de forma aislada. La
otra es que la solución preferida es tecnológica en lugar de
sociotécnica, probablemente porque las soluciones no
técnicas rara vez son 'agradables' y 'limpias'.
El resultado final de estos desarrollos es que el mundo tal
como lo conocemos, y como será dentro de unos años en
la aviación y en otros lugares, es un mundo donde pocas
cosas o problemas son independientes entre sí. Las
funciones, los propósitos y los servicios ya están
estrechamente acoplados y los acoplamientos solo se
volverán más estrechos. Considere, por ejemplo, los
cuatro objetivos de la CE mencionados anteriormente
relacionados con la mejora de la seguridad, la reducción
del impacto ambiental, el aumento de la capacidad y una
mejor rentabilidad. Si bien cada objetivo puede parecer
plausible por sí solo, perseguirlos de forma aislada tendrá
consecuencias no deseadas (Shorrock y Licu, 2013). Un
cambio en cualquiera de ellos afectará a los demás de
maneras que no son triviales y, por lo tanto, difíciles de
comprender. Esto choca con los supuestos de Safety-I,
Como consecuencia de los desarrollos tecnológicos desenfrenados,
de la fe generalizada en soluciones tecnológicas agradables y
limpias, y de la falta de voluntad general de ser lo suficientemente
minuciosos desde el principio para ser eficientes más tarde,
nuestras ideas sobre la naturaleza del trabajo y la naturaleza de la
seguridad deben ser revisado Debemos aceptar que los sistemas
actuales son cada vez más intratables. Esto significa que los
principios de funcionamiento solo se conocen parcialmente (o, en
un número cada vez mayor de casos, se desconocen por
completo), que las descripciones se elaboran con muchos detalles
y que es probable que los sistemas cambien antes de que se
puedan completar las descripciones, lo que significa que las
descripciones siempre estará incompleto.
14
Las consecuencias son que la previsibilidad es limitada tanto
durante el diseño como durante la operación, y que es imposible
prescribir con precisión o incluso describir cómo se debe realizar el
trabajo. Los sistemas tecnológicos pueden funcionar de forma
autónoma siempre y cuando su entorno esté completamente
especificado y siempre que no haya una variabilidad inesperada.
Pero estas condiciones no pueden establecerse para los sistemas
sociotécnicos. De hecho, para que la tecnología funcione, los seres
humanos (y las organizaciones) deben proporcionar una
funcionalidad de amortiguación para absorber la variabilidad
excesiva.
Las razones por las que las cosas funcionan, de nuevo
Debido a que los sistemas de hoy en día son cada vez más
tratables, es imposible brindar una descripción completa de
ellos o especificar qué debe hacer un operador, incluso en
situaciones que ocurren comúnmente. Dado que el
rendimiento no se puede prescribir por completo, se requiere
cierto grado de variabilidad, flexibilidad o adaptabilidad para
que el sistema funcione. Las personas son, por tanto, un bien
sin el cual sería imposible su correcto funcionamiento.
Los ajustes de desempeño y la variabilidad del desempeño
son, por lo tanto, normales y necesarios, y son la razón de los
resultados tanto positivos como negativos.Tratar de lograr la
seguridad restringiendo la variabilidad del desempeño
inevitablemente afectará también la capacidad de lograr
los resultados deseados y, por lo tanto, será
contraproducente.Por lo tanto, en lugar de buscar formas en
las que algo puede fallar o funcionar mal, debemos tratar de
comprender las características de la variabilidad del
desempeño diario.
Trabajo como se imaginó y trabajo como se hizo
Si la suposición de que el trabajo se puede analizar y prescribir
por completo es correcta, entonces el trabajo imaginado se
corresponderá con el trabajo realizado. Work-As-Imagined es
una visión idealista de la tarea formal que no tiene en cuenta
cómo se debe ajustar el desempeño de la tarea para que
coincida con las condiciones cambiantes del trabajo y del
mundo. Work-As-Imagined describe lo que debería suceder en
condiciones nominales de trabajo. Work-As-Done, por otro
lado, describe lo que realmente sucede, cómo se desarrolla el
trabajo a lo largo del tiempo en una situación concreta.
Una de las razones de la popularidad del concepto de trabajo
imaginado es el éxito indiscutible de la teoría de la gestión
científica (Taylor, 1911). Introducida a principios del siglo XX, la
gestión científica había establecido en la década de 1930 los
estudios de tiempo y movimiento como una técnica práctica y
demostró cómo se podía utilizar un desglose de tareas y
actividades para mejorar la eficiencia del trabajo. La gestión
científica proporcionó así la base teórica y práctica para la
noción de que el trabajo imaginado era una base necesaria y
suficiente para el trabajo realizado. (Sin embargo, la seguridad
no fue un tema considerado por Scientific Management). Esto
tuvo consecuencias tanto en la forma en que se estudiaron los
eventos adversos como en la forma en que se pudo mejorar la
seguridad. Los eventos adversos podrían entenderse
observando los componentes, para encontrar aquellos que
fallaron, como en el análisis de causa raíz. Y la seguridad
podría mejorarse planificando cuidadosamente el trabajo en
combinación con instrucciones detalladas y capacitación. Esto
es reconocible en la creencia generalizada en la eficacia de los
procedimientos y el énfasis en el cumplimiento. En resumen, la
seguridad podría lograrse asegurándose de que Work-As-
Done se hiciera idéntico a Work-As-Imagined.
Pero los entornos más intratables que tenemos hoy significan
que Work-As-Done difiere significativamente de Work-As-
Imagined. Dado que Work-As-Done, por definición, refleja la
realidad con la que las personas tienen que lidiar, la
conclusión inevitable es que nuestras nociones sobre Work-As-
Imagined son inadecuadas, si no directamente.
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
equivocado. Esto constituye un desafío para los modelos y
métodos que comprenden la corriente principal de la
ingeniería de seguridad, los factores humanos y la ergonomía.
Una implicación práctica de esto es que solo podemos
comprender los riesgos si salimos de nuestro escritorio, de las
reuniones y entramos en entornos operativos con personas
operativas.
Los ambientes de trabajo de hoy en día requieren que miremos el
trabajo tal como se hizo en lugar del trabajo imaginado, por lo
tanto, los sistemas que son reales en lugar de ideales. Cuando
tales sistemas funcionan de manera confiable, es porque las
personas son flexibles y adaptables, y no porque los sistemas
estén perfectamente pensados y diseñados. Por lo tanto, los seres
humanos ya no son una responsabilidad y la variabilidad del
rendimiento no es una amenaza. Por el contrario, la variabilidad
del desempeño cotidiano es necesaria para el funcionamiento del
sistema y es fuente tanto de éxitos como de fracasos. Dado que
tanto los éxitos como los fracasos dependen de la variabilidad del
rendimiento, los fracasos no se pueden prevenir eliminándolos; en
otras palabras, la seguridad no puede gestionarse imponiendo
restricciones al trabajo normal.
La forma en que pensamos en la seguridad debe corresponder al
trabajo tal como se hizo y no depender del trabajo imaginado.
Safety-I comienza preguntando por qué las cosas van mal y luego
trata de encontrar las causas supuestas para asegurarse de que no
vuelva a suceder: intenta restablecer el trabajo como se imaginó.
La alternativa es preguntar por qué las cosas van bien (o por qué
nada salió mal) y luego tratar de asegurarse de que esto vuelva a
suceder.
15
 SEGURIDAD-II
Según IATA (2013), cerca de 3.000 millones de personas volaron de
forma segura en 37,5 millones de vuelos en 2012. Esto significa
que cada día, aproximadamente 100.000 vuelos llegaron a salvo a
su destino. Lamentablemente, también hubo 75 accidentes en
2012, con quince de ellos con consecuencias fatales (414 muertes).
Sin embargo, las cifras muestran que un accidente es un evento
poco frecuente: el equivalente a un accidente por cada 500.000
vuelos en 2012. Para los jets de fabricación occidental, la tasa de
accidentes es aún más baja, con seis accidentes con pérdida de
casco en 2012, lo que equivale a uno accidente por cada 5 millones
de vuelos.
Los pilotos, controladores, ingenieros y otros pueden lograr estos
resultados porque pueden ajustar su trabajo para que coincida con
las condiciones. (Lo mismo, por supuesto, se aplica a todos los
demás dominios industriales, aunque las tasas de accidentes
pueden ser diferentes). Sin embargo, cuando tratamos de
administrar la seguridad, nos enfocamos en los pocos casos que
salen mal en lugar de en los muchos que salen bien. Pero centrarse
en casos raros de fallas atribuidas a 'errores humanos' no explica
por qué el desempeño humano prácticamente siempre sale bien y
cómo ayuda a cumplir los objetivos de ATM. Centrarse en la falta
de seguridad no nos muestra qué dirección tomar para mejorar la
seguridad.
Figura 11: Las cosas que van bien y las cosas que van mal suceden de la misma manera
dieciséis
La solución a esto es sorprendentemente simple: en lugar
de solo mirar el caso de cada 10,000 en los que las cosas
salen mal, también deberíamos mirar los 9,999 casos en
los que las cosas salen bien para entender cómo sucede
eso. Debemos reconocer que las cosas van bien porque las
personas son capaces de ajustar su trabajo a las
condiciones y no porque trabajan como se imaginan. La
ingeniería de resiliencia reconoce que los resultados
aceptables y los resultados inaceptables tienen una base
común, a saber, los ajustes de desempeño diarios
(consulte la Figura 11).
Debido a que el cajero automático de hoy en día es intratable,
es imposible prescribir lo que se debe hacer en detalle,
excepto en las situaciones más triviales. No obstante, la razón
por la que las personas pueden trabajar con eficacia y éxito es
que ajustan continuamente su trabajo a las condiciones
actuales, incluido lo que otros hacen o es probable que hagan.
A medida que los sistemas se vuelven cada vez más
complicados y se expanden tanto vertical como
horizontalmente, estos ajustes se vuelven cada vez más
importantes para un desempeño exitoso y, por lo tanto,
presentan tanto un desafío como una oportunidad para la
gestión de la seguridad.
De acuerdo con este punto de vista, deberíamos evitar
tratar las fallas como eventos únicos e individuales, y más
bien verlas como una expresión de la variabilidad del
desempeño cotidiano. Con la excepción de los grandes
desastres, es una apuesta segura que algo que sale mal
habrá salido bien muchas veces antes y volverá a salir bien
muchas veces en el futuro. Comprender cómo se
producen los resultados aceptables es la base necesaria
para comprender cómo se producen los resultados
inaceptables. En otras palabras, cuando algo sale mal,
debemos comenzar por entender cómo (si no) suele salir
bien, en lugar de buscar causas específicas que solo
explican la falla (ver Figura 12).
Las situaciones laborales son cada vez más intratables, a pesar de
nuestra mejor intención de evitarlo. Una de las razones de esto es,
irónicamente, nuestra capacidad limitada para anticipar las
consecuencias de los cambios de diseño u otras intervenciones.
– tanto las consecuencias previstas como los efectos secundarios
no previstos. Este problema se abordó hace muchos años en una
discusión sobre automatización, donde Bainbridge (1983) señaló
que “el diseñador que trata de eliminar al operador aún deja que el
operador haga las tareas que el diseñador no puede pensar en
cómo automatizar”. Este argumento se aplica no solo al diseño de
la automatización, sino también a la especificación del trabajo y al
diseño del lugar de trabajo en general. Cuanto más complicada sea
una situación laboral, mayor será la incertidumbre sobre los
detalles.
Figura 12: La base de la seguridad es comprender la variabilidad del desempeño diario
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
Las premisas para la gestión de la seguridad en el mundo
industrial actual se pueden resumir en las siguientes:
- Los sistemas no pueden descomponerse de manera
significativa (no hay 'elementos' o 'componentes' naturales).
- Las funciones del sistema no son bimodales, pero el
desempeño diario es, y debe ser, flexible y variable.
- Los resultados surgen de la variabilidad del
desempeño humano, que es la fuente de éxitos y
fracasos.
- Si bien algunos resultados adversos pueden atribuirse
a fallas y mal funcionamiento, otros se entienden
mejor como resultado de la variabilidad del
rendimiento acoplado.
En consecuencia, la definición de seguridad debería
cambiarse de 'evitar que algo salga mal' a 'garantizar que
todo salga bien'.Safety-II es la capacidad del sistema
para tener éxito en diversas condiciones, de modo que
el número de resultados previstos y aceptables (en
otras palabras, actividades cotidianas) sea el mayor
posible.Por lo tanto, la base para la seguridad y la gestión
de la seguridad debe ser la comprensión de por qué las
cosas van bien, lo que significa la comprensión de las
actividades cotidianas.
17
 Asegurarse de que en lo posible salga bien, en el sentido de
que el trabajo cotidiano logre los propósitos planteados, no se
puede hacer respondiendo solo, ya que eso solo corregirá lo
sucedido. En cambio, la gestión de la seguridad debe ser
proactiva, de modo que las intervenciones se realicen antes de
que suceda algo y puedan afectar cómo sucederá o incluso
evitar que algo suceda. Una ventaja principal es que las
respuestas tempranas, en general, requieren un esfuerzo
menor porque las consecuencias del evento habrán tenido
menos tiempo para desarrollarse y propagarse. Y las
respuestas tempranas obviamente pueden ahorrar un tiempo
valioso.
A continuación, Safety-II se caracteriza por observar
primero su teoríacimientos, entonces su subyacente
mecanismos, y finalmente sumanifestaciones.
La base de la seguridad-II: Variabilidad del
rendimiento en lugar de bimodalidad
En contraste con el principio de bimodalidad, la base de
Safety-II es que los ajustes de rendimiento son ubicuos y
que, por lo tanto, el rendimiento siempre es variable. Esto
significa que es imposible y carece de sentido caracterizar
los componentes en términos de si tienen éxito o fallan,
funcionan o funcionan mal, etc. Sin embargo, la
variabilidad no debe interpretarse negativamente, como
en 'desviaciones de rendimiento', 'violaciones', e
'incumplimiento'. Por el contrario, la capacidad de realizar
ajustes de rendimiento es una contribución humana
esencial al trabajo, sin la cual solo sería posible la actividad
más trivial.
La
s
Los sistemas tecnológicos están diseñados para tener poca o
ninguna variabilidad en el desempeño. Para funcionar de
forma fiable, su entorno debe ser muy estable. ¡Y para que
este sea el caso, los humanos deben ajustar irónicamente su
trabajo para satisfacer las demandas de las máquinas!
Los 'Mecanismos' de Seguridad-II: Emergencia en
lugar de causalidad
Dado que los ajustes de rendimiento y la variabilidad del
rendimiento constituyen la base de Safety-II, se deduce
que los mecanismos no pueden basarse en la causalidad y
las propagaciones lineales de causas y efectos. Aunque
todavía es común atribuir la mayoría de los resultados
adversos a una falla o mal funcionamiento de los
componentes y las funciones normales del sistema, hay un
número creciente de casos en los que no es así. En tales
casos, se dice que el resultado es emergente en lugar de
resultante. Esto no impide explicar lo sucedido, pero la
explicación será de otra naturaleza. El significado de
emergencia no es que algo suceda 'mágicamente', sino
que sucede de una manera que no puede explicarse
utilizando los principios de descomposición y causalidad.
Este suele ser el caso de los sistemas que, en parte o en su
totalidad, son intratables.
La forma en que generalmente explicamos cómo sucedió algo es
retrocediendo desde el efecto hasta la causa, hasta que llegamos a
la causa raíz, o nos quedamos sin tiempo y dinero. Esto se puede
ilustrar mediante una representación como el diagrama de espina
de pescado que se muestra en la Figura 13.

Co
co

nd
nd

ic

camino sin asfaltar

ic

io
io

n
ne

es
s

de
cl

lc
im

am

Lloviendo fuerte
át

in
ic

o
as

Accidente automovilistico

Somnoliento
o
ul
íc

or
eh

ad
ol
lv

tr
on
de

lc

Neumáticos desgastados
de
do

do
ta

ta
Es

Es

Figura 13: Diagrama de espina de pescado

18
Esta representación, y esta forma de pensar, parte del hecho
de que los efectos finales son cambios (relativamente)
estables en alguna parte del sistema, que son 'reales'.
También se supone que las causas son estables, lo que
significa que se pueden encontrar retrocediendo desde el
resultado. Las causas son 'reales' en el sentido de que pueden
estar asociadas con componentes o funciones que de alguna
manera han 'fallado', donde la 'falla' es visible después del
hecho o puede deducirse de los hechos.
Cuando algo sale mal, habrá un cambio observable de
algo. (De lo contrario, no podríamos saber que sucedió
algo). El resultado puede ser una incursión en la pista,
un barco volcado o una crisis financiera. Seguridad-I
asume que las causas son reales y el propósito de la
investigación de accidentes e incidentes es rastrear los
desarrollos hacia atrás desde el resultado observable
hasta la causa eficiente.
2 9
3
1
5 11
Figura 14: Fenómenos transitorios y emergencia
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
De manera similar, la evaluación de riesgos proyecta los
desarrollos desde la(s) causa(s) eficiente(s) hasta los posibles
resultados.
En el caso de la emergencia, los resultados observados
(finales) también son observables o 'reales', pero lo mismo
no es necesariamente cierto para lo que los produjo. Los
resultados pueden, por ejemplo, deberse a fenómenos
transitorios o condiciones que solo existieron en un punto
particular en el tiempo y el espacio. Estas condiciones
pueden, a su vez, haber surgido de otros fenómenos
transitorios, etc. (ver Figura 14). Las "causas" se
reconstruyen (o infieren) más que se encuentran. Por lo
tanto, pueden ser imposibles de eliminar o contener de la
manera habitual, pero aún es posible controlar las
condiciones que los hicieron existir, siempre que
entendamos cómo se hace el trabajo normalmente.
12
8
10
19
 Las Manifestaciones de la Seguridad-
II: Cosas que van bien

La definición de Seguridad-II significa que las manifestaciones son
todos los resultados posibles, como se ilustra en la Figura 15, y
especialmente los resultados típicos o de alta frecuencia que
generalmente son ignorados por la gestión de la seguridad. Aún se
considera que un sistema (ATM) no es seguro si se producen
resultados adversos; sin embargo, es más importante comprender
cómo es seguro cuando las cosas van bien: la seguridad se define,
en consecuencia, por lo que sucede cuando está presente, en lugar
de por lo que sucede cuando está presente. está ausente y, por lo
tanto, está directamente relacionado con los resultados aceptables
de alta frecuencia. En otras palabras, cuantas más manifestaciones
haya, mayor será el nivel de seguridad y viceversa. Esto hace
posible demostrar que los esfuerzos para mejorar la seguridad han
funcionado, por lo que es más fácil argumentar a favor de recursos
Para ayudar a describir las manifestaciones de Safety-II,
actualmente hay pocas tipologías disponibles. Aunque las
cosas van bien todo el tiempo, no nos damos cuenta porque
nos acostumbramos. Pero dado que el desempeño diario no
es excepcional, se puede explicar en términos relativamente
simples. Por ejemplo, el desempeño cotidiano puede
describirse como ajustes de desempeño que sirven para crear
o mantener las condiciones de trabajo requeridas, que
compensan la falta de tiempo, materiales, información, etc., y
que tratan de evitar condiciones que se sabe que son
perjudiciales para el trabajo. Y debido a que la variabilidad del
desempeño diario es omnipresente, es más fácil de
monitorear y administrar.

continuos. (También resuelve el posible conflicto entre seguridad y

productividad,

Enfoque de seguridad: Desempeño normal, rutinario, Rendimiento excepcional:

accidentes y desastres cotidiano: desconocido y aceptado con gratitud
generalmente ignorado

19,1% 19,1%

15,0% 15,0%

9,2% 9,2%

0,1% 0,5% 4,4% 4,4% 0,5% 0,1%

1,7% 1,7%
- 3 -2.5 -2 -1.5 -1 - 0.5 0 0.5 1 1.5 2 2.5 3

Figura 15: Probabilidad de eventos y enfoque de seguridad

20
IV: EL CAMINO POR DELANTE

La principal razón para yuxtaponer Safety-I y Safety-II es

llamar la atención sobre las consecuencias de basar la
gestión de la seguridad en uno u otro. Las diferencias
básicas se resumen en la siguiente tabla.

Seguridad-I Seguridad-II

Definición de seguridad Que la menor cantidad de cosas posibles Que la mayor cantidad de cosas posibles salgan
salgan mal. bien.

Principio de gestión de la seguridad Reactivo, responde cuando algo Proactivo, tratando continuamente de
sucede o se categoriza como un anticipar desarrollos y eventos.
riesgo inaceptable.

Visión del factor humano en la Los seres humanos son vistos predominantemente Los seres humanos son vistos como un recurso
gestión de la seguridad como una responsabilidad o un peligro. necesario para la flexibilidad y resiliencia del
sistema.

Investigacion del accidente
Los accidentes son causados por fallas
y mal funcionamiento. El propósito de
una investigación es identificar las
causas.
Básicamente, las cosas suceden de la misma
manera, independientemente del resultado. El
propósito de una investigación es comprender
cómo suelen salir bien las cosas como base
para explicar cómo las cosas salen mal
ocasionalmente.

Evaluación de riesgos Los accidentes son causados por fallas y Comprender las condiciones en las que la
mal funcionamiento. El propósito de una variabilidad del rendimiento puede volverse
investigación es identificar las causas y difícil o imposible de monitorear y controlar.
los factores contribuyentes.

Tabla 1: Descripción general de Safety-I y Safety-II

Lo que la gente hace en situaciones de trabajo cotidianas suele ser
una combinación de Seguridad-I y Seguridad-II. El equilibrio
específico depende de muchas cosas, como la naturaleza del
trabajo, la experiencia de las personas, el clima organizacional, las
presiones de la gerencia y del cliente, etc. Todo el mundo sabe que
es mejor prevenir que curar, pero las condiciones no siempre
permiten que la prevención desempeñe el papel que le
corresponde.
Es un asunto diferente cuando se trata de los niveles de
gestión y actividades regulatorias. Aquí domina el punto
de vista Seguridad-I. Una de las razones es que la principal
Históricamente, el objetivo de la administración y los
reguladores ha sido asegurarse de que los clientes o el público
no estén sujetos a daños. Otra razón es que estos niveles
están alejados en el tiempo y el espacio de la operación real de
los sistemas y servicios (p. ej., ATM) y, por lo tanto, tienen una
oportunidad limitada de observar o experimentar cómo se
realiza realmente el trabajo. Una tercera razón es que es
mucho más sencillo contar los pocos eventos que fallan que
los muchos que no lo hacen; en otras palabras, una
compensación entre eficiencia y exhaustividad (Hollnagel,
2009). (También se supone, erróneamente, que es más fácil
dar cuenta de lo primero que de lo segundo).

DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO 21

 Si bien las actividades cotidianas en el extremo afilado rara vez son
solo reactivas, la presión en la mayoría de las situaciones de
trabajo es ser eficiente en lugar de exhaustivo. Esto hace que sea
menos legítimo dedicar tiempo y esfuerzos a digerir y comunicar
experiencias, ya que esto se considera no productivo, al menos a
corto plazo. No obstante, una gestión de la seguridad operacional
exitosa requiere que se realice un cierto esfuerzo por adelantado
para pensar en cómo se realiza el trabajo, proporcionar los
recursos necesarios y prepararse para lo inesperado. La presión
hacia la eficiencia, como el objetivo de SESAR de reducir los costos
de los cajeros automáticos a la mitad, hace que esto sea más difícil
de lograr.
Puede ser difícil gestionar la seguridad de manera proactiva
para la gran cantidad de eventos a pequeña escala que
constituyen las situaciones laborales cotidianas. Aquí, las cosas
pueden desarrollarse rápida e inesperadamente, hay pocos
indicadores principales y, a menudo, los recursos pueden
estirarse hasta el límite. El ritmo de trabajo deja pocas
oportunidades para reflexionar sobre lo que está sucediendo y
actuar estratégicamente. De hecho, las presiones laborales y
las demandas externas a menudo requieren soluciones
oportunistas que fuerzan al sistema a un modo reactivo. Salir
de esto, cambiar de un modo reactivo a uno proactivo,
requiere un esfuerzo deliberado. Si bien esto puede no
parecer asequible a corto plazo, sin duda es una buena
inversión a largo plazo.
Es algo más fácil gestionar la seguridad de manera proactiva para
eventos a gran escala porque se desarrollan con relativa lentitud.
– aunque pueden comenzar abruptamente. (Un ejemplo sería
la erupción de un volcán que puede conducir al cierre del
espacio aéreo. En otras palabras, perturbaciones en lugar de
desastres). A menudo, hay indicadores claros de cuándo se
necesita una respuesta. Además, se conoce la respuesta
apropiada, de modo que se pueden hacer los preparativos con
anticipación.
Es importante enfatizar que Seguridad-I y Seguridad-II
representan dos puntos de vista complementarios de la
seguridad en lugar de dos enfoques incompatibles o en
conflicto. Por lo tanto, muchas de las prácticas existentes
pueden seguir utilizándose, aunque posiblemente con un
énfasis diferente. Pero la transición a un
22
La vista Safety-II también incluirá algunos nuevos tipos de
prácticas, como se describe a continuación.
Busca lo que va bien
Mire lo que sale bien, así como lo que sale mal y aprenda de lo
que tiene éxito y de lo que falla. De hecho, no espere a que
suceda algo malo, sino que intente comprender lo que
realmente sucede en situaciones en las que parece que no
sucede nada fuera de lo común. Las cosas no salen bien
porque la gente simplemente sigue los procedimientos y
trabaja como se imagina. Las cosas van bien porque la gente
hace ajustes sensatos según las exigencias de la situación.
¡Descubrir cuáles son estos ajustes y tratar de aprender de
ellos es al menos tan importante como encontrar las causas
de los resultados adversos!
Cuando algo sale mal, como una incursión en la pista, es
poco probable que sea un evento único. Es más bien algo
que ha ido bien muchas veces antes y que irá bien muchas
veces de nuevo. Es necesario comprender cómo funcionan
bien estas actividades cotidianas, cómo tienen éxito, para
comprender cómo fracasan. Desde el punto de vista de
Safety-II, no fallan debido a algún tipo de error o mal
funcionamiento, sino debido a combinaciones inesperadas
de la variabilidad del desempeño diario.
La diferencia entre una vista de Seguridad-I y Seguridad-II
se ilustra en la Figura 16. Seguridad-I se centra en los
eventos en las colas de la distribución normal, y
especialmente en los eventos en la cola izquierda que
representan accidentes. Dichos eventos son fáciles de ver
porque son raros y porque los resultados difieren de los
habituales. Sin embargo, son difíciles de explicar, a pesar
del atractivo de las causas fundamentales y los modelos
lineales. Debido a que son raros y difíciles de entender,
también son difíciles de cambiar y administrar.
 Fácil de ver 'Difícil' de ver Fácil de ver
Etiología complicada Etiología no complicada Etiología complicada
di culto al cambio Fácil de cambiar di culto al cambio
di culto a administrar Fácil de administrar di culto a administrar

19,1% 19,1%

15,0% 15,0%

9,2% 9,2%

0,1% 0,5% 4,4% 4,4% 0,5% 0,1%

1,7% 1,7%
- 3 -2.5 -2 -1.5 -1 - 0.5 0 0.5 1 1.5 2 2.5 3

Figura 16: Relación entre probabilidad de evento y facilidad de percepción

Safety-II se enfoca en eventos en el medio de la
distribución. Estos son 'difíciles' de ver, pero solo
porque habitualmente los ignoramos en nuestras
actividades diarias. La 'lógica' parece ser que si algo
funciona, ¿por qué dedicarle más tiempo? Pero el
quid de la cuestión es que, por lo general, no
funcionan de la manera que asumimos, y que el
trabajo realizado es significativamente diferente del
trabajo imaginado. Los eventos intermedios pueden
entenderse y explicarse en términos de los ajustes
de desempeño mutuos que brindan la base para el
trabajo diario. Debido a que son frecuentes, porque
son de pequeña escala y porque podemos entender
por qué y cómo suceden, son fáciles de monitorear
y administrar. Las intervenciones están enfocadas y
tienen un alcance limitado (porque el tema no es
complicado),
Por supuesto, hay un beneficio evolutivo en no prestar
atención (o demasiada atención) a lo habitual siempre que no
nos perjudique y mientras el entorno sea estable. Pero en
nuestra sociedad, el medio ambiente ya no es estable.
El ambiente de trabajo, y por lo tanto también el propio
trabajo, es cada vez más impredecible. Esto significa que las
rutinas que funcionan bien hoy pueden no funcionar bien
mañana y, por lo tanto, es importante prestar atención a cómo
funcionan. Este es el tipo de minuciosidad que nos permite ser
eficientes cuando llega el momento de hacer cambios, y
hacerlos rápidamente.
Enfócate en eventos frecuentes
Busque lo que sucede regularmente y concéntrese en los
eventos en función de su frecuencia en lugar de su
gravedad. Muchas pequeñas mejoras del desempeño
diario pueden contar más que una gran mejora del
desempeño excepcional.
La investigación de incidentes a menudo está limitada por
el tiempo y los recursos. Por lo tanto, existe una tendencia
a mirar los incidentes que tienen consecuencias graves y
dejar el resto para otro momento, que nunca llega. La
suposición tácita es que el potencial de aprendizaje es
proporcional a la gravedad del incidente/accidente.

DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO 23

 Esto es obviamente un error. Si bien es cierto que se
ahorra más dinero al evitar un accidente a gran escala que
uno a pequeña escala, eso no significa que el potencial de
aprendizaje también sea mayor. Además, el costo
acumulado de incidentes frecuentes pero de pequeña
escala puede ser fácilmente mayor. Y dado que los eventos
pequeños pero frecuentes son más fáciles de entender y
manejar (cf., arriba), tiene más sentido mirar a esos que a
eventos raros con resultados severos.
Permanecer sensible a la posibilidad de
fracaso
Aunque Safety-II se enfoca en las cosas que van bien, aún es
necesario tener en cuenta que las cosas también pueden salir
mal y 'permanecer sensible a la posibilidad de fallar'. Pero el
'posible fracaso' no es sólo que algo pueda salir mal según la
visión de Seguridad-I, sino también que no se obtengan los
resultados esperados, es decir, que no podamos asegurarnos
de que las cosas salgan bien. Asegurarse de que las cosas
salgan bien requiere una preocupación constante por lo que
sea que funcione o tenga éxito, no solo para garantizar que
tenga éxito, sino también para contrarrestar las tendencias a
emplear un sesgo de confirmación o centrarse en la
perspectiva o los resultados más optimistas.
Para seguir siendo sensible a la posibilidad de fallar, es
necesario crear y mantener una visión general integral del
trabajo, tanto a corto como a largo plazo. Esto puede
anticipar y, por lo tanto, prevenir la acumulación de
pequeños problemas o fallas al señalar pequeños ajustes
que pueden amortiguar combinaciones potencialmente
dañinas de la variabilidad del rendimiento. Muchos
resultados adversos se derivan de la agregación
oportunista de atajos en combinación con una supervisión
de procesos o identificación de peligros inadecuada. Ser
sensible a lo que sucede, a las formas en que puede tener
éxito, así como a las formas en que puede fallar, es por lo
tanto importante para la práctica de Seguridad-II.
24
Sea minucioso y eficiente
Si la mayor parte o todo el tiempo se usa tratando de llegar a
fin de mes, habrá poco o ningún tiempo para consolidar
experiencias o comprender el trabajo tal como está. Debe ser
legítimo dentro de la cultura organizacional asignar recursos,
especialmente tiempo, para reflexionar, compartir
experiencias y aprender. Si ese no es el caso, entonces, ¿cómo
puede algo mejorar?
La eficiencia en el presente no puede lograrse sin la
minuciosidad en el pasado. Y de la misma manera, la
eficiencia en el futuro no puede lograrse sin minuciosidad
en el presente, es decir, sin planificación y preparación. Si
bien ser minucioso puede verse como una pérdida de
productividad (eficiencia) en el presente, es una condición
necesaria para la eficiencia en el futuro. Por lo tanto, para
sobrevivir a largo plazo es esencial lograr algún tipo de
equilibrio.
El costo de la seguridad, la ganancia de la seguridad
Dedicar más tiempo a aprender, pensar y comunicarse suele verse
como un costo. De hecho, la seguridad en sí misma es vista como
un costo. Esto refleja la visión de Seguridad-I, donde una inversión
en seguridad es una inversión en prevenir que algo suceda.
Conocemos los costos, al igual que cuando compramos un seguro.
Pero no sabemos de lo que nos salvamos, ya que es incierto y de
tamaño desconocido. En el negocio del riesgo, el adagio común es
'si crees que la seguridad es costosa, prueba con un accidente'. Y si
calculamos el coste de un accidente importante, como el 447 de Air
France o el vuelo 214 de Asiana, casi cualquier inversión en
seguridad es rentable. Sin embargo, dado que no podemos probar
que las precauciones de seguridad realmente son o fueron la
razón por la que no ocurrió un accidente, y dado que no podemos
decir cuándo es probable que ocurra un accidente, el cálculo está
sesgado a favor de reducir la inversión. (Esto es algo que se ve
típicamente en tiempos difíciles).
En Safety-I, las inversiones en seguridad se consideran
costosas o improductivas. Así si se hace una inversión y no
hay accidentes, se ve como un gasto innecesario. Si hay
accidentes, se ve como una inversión justificada. Si no se
hacen inversiones y no hay accidentes, se ve como un
ahorro justificado. Mientras que si ocurren accidentes, se
ve como mala suerte o mal juicio.
En Safety-II, una inversión en seguridad se ve como una
inversión en productividad, porque la definición y el
propósito de Safety-II es hacer que la mayor cantidad de
cosas salgan bien como sea posible. Por lo tanto, si se
realiza una inversión y no hay accidentes, el rendimiento
diario seguirá mejorando. Si hay accidentes, la inversión
volverá a verse justificada. Si no se realizan inversiones y
no hay accidentes, el desempeño puede seguir siendo
aceptable pero no mejorará. Mientras que si ocurren
accidentes, se ve como un mal juicio.
Enfoque de Seguridad-I:
accidentes y
incidentes
9,2%
0,1% 0,5% 4,4%
1,7%
- 3 -2.5 -2 -1.5 -1
Figura 17: Enfoque de Seguridad-I y Seguridad-II
DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO
Conclusión
Dado que los sistemas sociotécnicos de los que depende
nuestra existencia continúan volviéndose cada vez más
complicados, parece claro que mantener un enfoque de
Seguridad-I será inadecuado a largo plazo y probablemente
también a corto plazo. Por lo tanto, adoptar un enfoque de
seguridad II no debería ser una elección difícil. Sin embargo, el
camino a seguir no radica en reemplazar Safety-I por Safety-II,
sino más bien en una combinación de las dos formas de
pensar (consulte la Figura 17). Todavía se da el caso de que la
mayoría de los eventos adversos son relativamente simples
– o pueden tratarse como relativamente simples sin
consecuencias graves – y que, por lo tanto, pueden tratarse de
manera familiar. Pero hay un número creciente de casos en
los que este enfoque no funcionará. Para estos, es necesario
adoptar una visión de seguridad II, lo que esencialmente
significa adoptar una visión de ingeniería de resiliencia. Safety-
II es, ante todo, una forma diferente de ver la seguridad y, por
lo tanto, también una forma diferente de aplicar muchos de
los métodos y técnicas familiares. Además de eso, también
requerirá métodos por sí mismo, para ver las cosas que van
bien, para analizar cómo funcionan las cosas y para gestionar
la variabilidad del rendimiento en lugar de limitarla.
Enfoque de Seguridad-II:
acciones y resultados cotidianos:
riesgos y oportunidades
19,1% 19,1%
15,0% 15,0%
9,2%
4,4% 0,5% 0,1%
1,7%
- 0.5 0 0.5 1 1.5 2 2.5 3
25
 Epílogo

Introducir una comprensión diferente del mundo actual y de

los sistemas en los que trabajamos y de los que dependemos
puede requerir algo parecido a un cambio de paradigma. La
comunidad de seguridad ha desarrollado un consenso sobre
cómo funcionan las cosas y cómo se puede garantizar la
seguridad, pero el aumento del conocimiento se ha
estabilizado. Debemos enfrentar el hecho de que el mundo no
puede ser explicado por modelos de causa-efecto. Los
incidentes y accidentes no solo ocurren de forma lineal, sino
que incluyen fenómenos emergentes derivados de la
complejidad del sistema de aviación en general. Preguntar por
qué y porque no es suficiente para explicar el sistema en uso y
no conduce a una mejora en la seguridad.

Como consecuencia de un cambio de paradigma, los expertos

en seguridad y los gerentes de seguridad deben abandonar su
'zona de confort' y explorar nuevas oportunidades. En ese
cambio, tanto los gerentes como los profesionales buscan
modelos y métodos para utilizar. Algunos métodos ya están
disponibles y se han aplicado en diferentes entornos.

El nuevo paradigma también significa que las prioridades de la

gestión de la seguridad deben cambiar. En lugar de limitar las

investigaciones y el aprendizaje a los incidentes, un SMS debe

asignar algunos recursos para observar los eventos que van bien y

tratar de aprender de ellos. En lugar de aprender de los eventos en

función de su gravedad, el SMS debe intentar aprender de los

eventos en función de su frecuencia. Y en lugar de analizar eventos

graves únicos en profundidad, un SMS debe explorar la

regularidad de los muchos eventos frecuentes en profundidad,

para comprender los patrones en el rendimiento del sistema. Una

buena manera de comenzar sería reducir la dependencia del "error

humano" como una causa casi universal de incidentes y, en su

lugar, comprender la necesidad de la variabilidad del rendimiento.

26
REFERENCIAS

-------------------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - Airbus (2012).Navegando por el futuro: pronóstico del mercado mundial 2012-2031.

------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - - - - - Bainbridge, L. (1983). Ironías de la automatización.Automatica,19(6), 775-779.

-------------------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - EUROCONTROL (2009).Libro blanco sobre ingeniería de resiliencia para cajeros automáticos. Bruselas: EUROCONTROL.

------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - - - - - Heinrich, HW (1931).Prevención de accidentes laborales: un enfoque científico. McGraw-Hill.

---------------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - Hollnagel, E. (2009).El principio ETTO: equilibrio entre eficiencia y exhaustividad. Por qué las cosas que van bien a veces salen mal. Farnham, Reino

Unido: Ashgate.

---------------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - Hollnagel, E., Woods, DD y Leveson, NG (2006).Ingeniería de resiliencia: Conceptos y preceptos. Aldershot, Reino Unido: Ashgate.

------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - - - - - IATA (2012)2012 mejor en la historia de mejoras continuas de seguridad. Comunicado de prensa n. 8. 28 de febrero de 2013.

-------------------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - OACI (2013)La OACI pronostica un crecimiento continuo del tráfico hasta 2015. Comunicado de prensa 16 de julio de 2013. Montreal.

---------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - - Leveson, NG (2004). Un nuevo modelo de accidentes para diseñar sistemas más seguros.Ciencias de la seguridad,42(4), 237-270.

--------------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - Rasmussen, J. y Svedung, I. (2000).Gestión proactiva del riesgo en una sociedad dinámica. Karlstad, Suecia: Agencia Sueca de Servicios de Rescate.

------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - - - - - Reason, J., Shotton, R., Wagenaar, WA, Hudson, PTW y Groeneweg, J. (1989).Trípode: una base de principios para operaciones

más seguras. La Haya: Shell Internationale Petroleum Maatschappij.

----------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - Shorrock, S. y Licu, T. (2013). Cultura objetivo: lecciones sobre consecuencias no deseadas.Retrospectiva 17. Bruselas: EUROCONTROL.

------------------------------------------------------------------------------------------------------------------------------

- - - - - - - - - - - - - - - - - - - - - - - Taylor, FW (1911).Los principios de la administración científica.. Nueva York: Harper.

-----------------------------------------------------------------------------------------------------------------------------------------------------

DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO 27

 glosario
Ajustes (aproximados):Cuando las condiciones de trabajo no están
bien especificadas o cuando el tiempo o los recursos son limitados, es
necesario ajustar el desempeño para que coincida con las condiciones.
Esta es una de las principales razones de la variabilidad del rendimiento.
Pero las mismas condiciones que hacen que los ajustes de rendimiento
sean necesarios también significan que los ajustes serán aproximados
en lugar de perfectos. Sin embargo, las aproximaciones son lo
suficientemente buenas en la mayoría de las condiciones para
garantizar un desempeño exitoso.
Bimodalidad:Los componentes y sistemas tecnológicos
funcionan de manera bimodal. Estrictamente hablando, esto
significa que para cada elementomide un sistema, siendo el
elemento cualquier cosa desde un componente hasta el
propio sistema, el elemento funcionará o no funcionará. En
este último caso se dice que el elemento ha fallado. Sin
embargo, el principio bimodal no se aplica a los seres
humanos y las organizaciones. En cambio, los seres humanos
y las organizaciones son multimodales, en el sentido de que su
desempeño es variable, a veces mejor y a veces peor, pero
nunca fallando por completo. Un 'componente' humano no
puede dejar de funcionar y ser reemplazado de la misma
manera que un componente tecnológico.
Equilibrio entre eficiencia y exhaustividad:El trade-off de
eficiencia a fondo (ETTO) describe el hecho de que las
personas (y las organizaciones) como parte de sus actividades
prácticamente siempre deben hacer un trade-off entre los
recursos (tiempo y esfuerzo) que dedican a preparar una
actividad y los recursos (tiempo, esfuerzo y materiales) que
gastan en hacerlo.
Aparición:En un número creciente de casos es difícil o
imposible explicar lo que sucede como resultado de procesos
o desarrollos conocidos. Se dice que los resultados son
emergentes en lugar de resultantes. Resultados emergentes
como no aditivos, no predecibles a partir del conocimiento de
sus componentes y no descomponibles en esos componentes.
Sistemas intratables:Los sistemas se denominan intratables
si es difícil o imposible seguirlos y comprender cómo
funcionan. Esto normalmente significa que el rendimiento
28
es irregular, que las descripciones son complicadas en términos de
partes y relaciones, y que es difícil entender los detalles de cómo
funciona el sistema. Los sistemas intratables también están
subespecificados, lo que significa que es imposible proporcionar
una especificación completa de cómo se debe realizar el trabajo
para un conjunto suficientemente grande de situaciones.
Variabilidad del rendimiento:El enfoque contemporáneo
de la seguridad (Seguridad-II), se basa en el principio de
equivalencia de éxitos y fracasos y el principio de ajustes
aproximados. El rendimiento es, por lo tanto, en la práctica
siempre variable. La variabilidad del rendimiento puede
propagarse de una función a otra y, por lo tanto, dar lugar
a efectos emergentes o no lineales.
Resiliencia:Se dice que un sistema es resiliente si puede ajustar su
funcionamiento antes, durante o después de cambios y
perturbaciones y, por lo tanto, mantener las operaciones
requeridas en condiciones esperadas e inesperadas.
Ingeniería de resiliencia:La disciplina científica que se enfoca
en desarrollar los principios y prácticas que son necesarios
para permitir que los sistemas sean resilientes.
Seguridad-I:La seguridad es la condición en la que el número de
resultados adversos (accidentes/incidentes/casi accidentes) es el
menor posible. La seguridad-I se logra tratando de asegurarse de
que las cosas no salgan mal, ya sea eliminando las causas del mal
funcionamiento y los peligros, o conteniendo sus efectos.
Seguridad-II:La seguridad es una condición en la que el
número de resultados exitosos es lo más alto posible. Es la
capacidad de tener éxito en diversas condiciones. La
seguridad II se logra tratando de asegurarse de que las cosas
salgan bien, en lugar de evitar que salgan mal.
Sistemas manejables:Los sistemas se denominan tratables si
es posible seguirlos y comprender cómo funcionan. Esto
normalmente significa que el rendimiento es muy regular, que
las descripciones son relativamente simples en términos de
partes y relaciones, y que es fácil comprender los detalles de
cómo funciona el sistema.
AUTORES

erik hollnageles profesor en el Instituto de Investigación en Salud Regional de la Universidad del Sur de Dinamarca (DK),

consultor jefe en el Centro de Calidad de la Región del Sur de Dinamarca y profesor emérito en el Departamento de Ciencias

de la Computación de la Universidad de Linköping (S). A lo largo de su carrera, ha trabajado en universidades, centros de

investigación e industrias en varios países y con problemas de muchos dominios, incluida la generación de energía nuclear,

aeroespacial y aviación, ingeniería de software, tráfico terrestre y atención médica. Los intereses profesionales de Erik

incluyen la seguridad industrial, la ingeniería de resiliencia, la seguridad del paciente, la investigación de accidentes y el

modelado de sistemas sociotécnicos a gran escala. Ha publicado extensamente y es autor/editor de 20 libros, incluidos cinco

libros sobre ingeniería de resiliencia, así como una gran cantidad de artículos y capítulos de libros. Los títulos más recientes,

de Ashgate, son "Cuidado de la salud resiliente", "FRAM: el método de análisis de resonancia funcional", "Gobernanza y

control de los sistemas financieros" e "Ingeniería de resiliencia en la práctica: una guía". Erik también coordina el FRAMily

(www.funcionalresonance.com).sensei@funcionalresonance.com

•
Jörg Leonhardtes Jefe del Departamento de Factores Humanos en Gestión de la Seguridad en DFS - Deutsche Flugsicherung -

el proveedor alemán de servicios de navegación aérea. Tiene una Maestría en Factores Humanos y Seguridad Aérea de la

Universidad de Lund, Suecia. Copreside el Su-Group de Seguridad y Desempeño Humano de EUROCONTROL y es el líder del

proyecto DFS-EUROCONTROL "Señales Débiles".joerg.leonhardt@dfs.de

con

Tony Licúes Jefe de la Unidad de Seguridad dentro de la Dirección de Gestión de Redes de EUROCONTROL. Dirige el apoyo a

los programas de gestión de seguridad y despliegue de factores humanos de EUROCONTROL. Tiene una amplia experiencia

en ingeniería y operaciones ATC y tiene una maestría en aviónica. Tony copreside el Equipo de Seguridad de EUROCONTROL y

el Subgrupo de Desempeño Humano de Seguridad de EUROCONTROL.antonio.licu@eurocontrol.int

•
Steven Shorrockes líder de proyecto, desarrollo de seguridad en EUROCONTROL y profesor titular adjunto en la

Escuela de Aviación de la Universidad de Nueva Gales del Sur. Es un ergonomista registrado y un psicólogo

colegiado con experiencia en factores humanos y gestión de la seguridad en varias industrias, el gobierno y la

academia. Tiene un doctorado en factores humanos en el control del tráfico aéreo.steven.shorrock@eurocontrol.int

Agradecimientos
Los autores agradecen los comentarios y contribuciones de Christoph Peters (DFS), Shahram Etminam (DFS), Radu

Cioponea (EUROCONTROL) y Seppe Celis (EUROCONTROL), así como a los revisores del documento.

DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO 29

 UNA NOTA DE EUROCONTROL: CÓMO
SABER LO QUE ESTÁ CORRECTO

Una pregunta común sobre Safety-II se refiere a los métodos y enfoques que encuesta, que incluye cuestionarios, talleres, entrevistas y observaciones

se pueden utilizar en la práctica. Como se mencionó en la Conclusión, todavía informales. Las tarjetas de debate sobre la cultura de la seguridad de

se pueden aplicar muchos métodos familiares, pero es posible que deban EUROCONTROL también se pueden utilizar para comprender el trabajo diario

aplicarse de manera diferente. Es posible que sea necesario adaptarlos o e identificar lo que funciona bien, por ejemplo, mediante la narración de

ampliarlos para ampliar el enfoque e incluir lo que funciona bien. Además, se historias o el análisis de puntos fuertes y oportunidades.

necesitarán otros métodos. A continuación se ofrece una breve orientación

sobre los enfoques para descubrir qué funciona bien. Esto se ampliará en un Desarrollo de la seguridad.Se pueden usar varios enfoques de desarrollo

futuro documento de orientación. Tenga en cuenta que estos no son organizacional con un enfoque en la seguridad y lo que va bien.Investigación

'métodos de Seguridad-II', sino enfoques que pueden usarse para examinar lo para la Acciónes un enfoque participativo y colaborativo de la indagación para

que funciona bien. generar nuevos conocimientos y generar cambios en las organizaciones.

Indagación apreciativa(una forma particular de investigación-acción) analiza lo

Observación de seguridad.Varios métodos de observación se enfocan en que ya funciona bien en un sistema, en lugar de lo que no funciona.

observar el trabajo diario y pueden usarse para comprender mejor lo que Cuentacuentosyenfoques narrativos proporcionar una forma natural y

funciona bien. Los ejemplos incluyen el enfoque de 'Encuesta de seguridad memorable de compartir experiencias y conocimientos sobre seguridad. Las

diaria' (utilizado en NATS) y EUROSS (utilizado en MUAC). Dichos enfoques se experiencias cotidianas se pueden capturar a través de material escrito,

pueden utilizar para comprender la variabilidad del rendimiento y los ajustes entrevistas, talleres, etc.

en Work-As-Done. El tiempo dedicado a observar el trabajo diario (por

ejemplo, en áreas operativas), con o sin un método particular, es Gestión de recursos de equipo (TRM).TRM implica estrategias para el mejor

particularmente importante para que los especialistas en seguridad uso de todos los recursos disponibles (información, equipos y personas) para

comprendan cómo funcionan realmente las cosas. optimizar la seguridad y la eficiencia. Por lo tanto, debería ser una

oportunidad ideal para comprender cómo funcionan las cosas en las

Investigación de seguridad.La investigación de sucesos se enfoca en lo que operaciones. Parte del tiempo dedicado a TRM podría redirigirse para

salió mal, pero las investigaciones también pueden enfocarse en lo que salió comprender los ajustes, la variabilidad del rendimiento y las compensaciones

bien en el contexto de 1) eventos adversos (¿qué salió bien durante el entre eficiencia y minuciosidad en las operaciones.

evento?), 2) trabajo ordinario (¿cómo suelen salir bien las cosas?), y 3)

rendimiento excepcional (¿por qué a veces las cosas van excepcionalmente En términos más generales, se pueden usar muchos métodos de factores humanos

bien?). Por lo tanto, las habilidades del investigador pueden emplearse para para la recopilación de datos, el análisis de tareas y sistemas y el análisis de datos

comprender por qué las cosas van bien. Los métodos, las taxonomías y el para ver qué funciona bien. Algunos de estos están incluidos en el sitio web de

lenguaje deben modificarse para que estén menos orientados al fracaso y EUROCONTROL HIFA (Integración de factores humanos en futuros sistemas ATM).

descubran lo que funciona bien y lo que está mal. Consulte también los libros blancos de EUROCONTROL sobre 'Desempeño humano

en la seguridad de la gestión del tráfico aéreo', así como 'Ingeniería de resiliencia

Evaluación de la seguridad.Las evaluaciones de seguridad pueden (y deben) para ATM'.

centrarse también en el éxito y el fracaso. Algunas metodologías de

evaluación de la seguridad (como la 'Evaluación de la seguridad simplificada' Los ANSP sin duda ya estarán realizando algunas de las actividades y

de EUROCONTROL) tienen la capacidad de hacer esto, por ejemplo, con un utilizando algunos de los enfoques mencionados anteriormente. Sin embargo,

'enfoque de éxito' integrado. FRAM (método de análisis de resonancia la pregunta es si el objetivo es que la menor cantidad de cosas salga mal o

funcional) también se puede utilizar de forma proactiva para la evaluación de que la mayor cantidad de cosas salga bien. Para centrarse en que las cosas

la seguridad, utilizando la idea de resonancia que surge de la variabilidad del salgan bien, es necesario evolucionar nuestros enfoques de la seguridad.

rendimiento diario.

Cultura de seguridad.Las encuestas o evaluaciones de la cultura de seguridad, por cualquier Para más información contacte:

método, deben centrarse tanto en las fortalezas como en las debilidades. En términos más Steven Shorrocksteven.shorrock@eurocontrol.int

generales, deberían ayudar a comprender el trabajo como se ha hecho todos los días. Uno de Tony Licúantonio.licu@eurocontrol.int

estos enfoques es la cultura de seguridad de EUROCONTROL

30
NOTAS

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

DE LA SEGURIDAD-I A LA SEGURIDAD-II: UN LIBRO BLANCO 31

EUROCONTROL

© Septiembre 2013 – Organización Europea para la Seguridad de la Navegación Aérea

(EUROCONTROL)
Este documento es publicado por EUROCONTROL con fines informativos. Puede copiarse total o
parcialmente, siempre que se mencione EUROCONTROL como fuente y no se utilice con fines
comerciales (es decir, con fines de lucro). La información de este documento no puede
modificarse sin el permiso previo por escrito de EUROCONTROL.

www.eurocontrol.int