Simple Solutions

19 de maio de 2012

Prefácio do Professor Salvador Raza para a Metodologia APICE da Simple Solutions

O Professor Salvador, membro da equipe contratada pelo governo Barack Obama para propor uma reforma profunda na política e nos métodos utilizados pelos Estados Unidos, apresenta sua análise sobre a Metodologia APICE.

Recentemente o Professor Salvador Raza nos honrou com o prefácio do Manual de Prevenção e Investigação de Perdas: Metodologia APICE onde faz uma análise profunda e bastante interessante desta Metodologia.

Ter o endosso de um profissional de sua estatura nos enche de orgulho e de ainda mais confiança em nossos produtos.

Salvador Ghelfi Raza



De acordo com a revista Isto É, “Salvador Ghelfi Raza é o único brasileiro a integrar a equipe contratada pelo governo Barack Obama para propor uma reforma profunda na política e, também, nos métodos utilizados pelos Estados Unidos mundo afora. São 30 Ph.D.s, os melhores cérebros do mundo em análise de segurança, defesa e diplomacia. Raza é doutor em estudos estratégicos pela UFRJ com pós-doutorado em estudos de defesa na National Defense University, em Washington, onde leciona.” É Diretor Geral do CeTRIS – Centro de Tecnologia, Relações Internacionais e Segurança, Coordenador do Curso de Relações Internacionais da FACAMP e Professor Adjunto de National Security Affairs no Centro Hemisférico de Estudos de Defesa da Universidade de Defesa dos Estados Unidos (CHDS/NDU) em Washington, D.C, EUA.

Prefácio Conforme a tecnologia se expande, sistemas e sistemas de sistemas são criados ou (re) potencializados, aumentando os riscos para operadores, mantenedores, e, até mesmo, para transeuntes e pessoas em suas residências e locais de trabalho ou lazer. Alguns desses riscos projetam apenas uns poucos danos materiais, quase que inconsequentes, enquanto que outros possuem potencial de catástrofe, ameaçando ceifar centenas de vidas de uma só vez. Quanto mais entendermos a estrutura das causas desses riscos, mais podemos atuar para reduzir a probabilidade de seus efeitos, bem como as possibilidades de sua propagação.

Se por um lado essa afirmativa sintetiza e justifica o propósito da Prevenção e Investigação de Perdas, por outro evidencia a existência de três incertezas críticas subjacentes ao escopo de competências dessa área operacional: incertezas sobre critérios de corte, incertezas sobre as correlações, e incertezas sobre a escalabilidade.

A ordem de apresentação dessas três incertezas críticas não gera prioridade de uma sobre as outras, já que a realidade que a prevenção e investigação de danos enfrentam será sempre uma manifestação combinada das três, embora com graus variáveis de contribuições de uma ou das outras.

A primeira incerteza, sobre os critérios de corte, esta alojada na correlação entre a curva de aumento das complexidades tecnológicas de sistemas e a curva de riscos, que não é nem direta nem simples, dificultando enormemente a formulação de métricas capazes de instruir decisões de projeto sobre a necessidade de mais e melhores dispositivos de segurança, ou de recomendar modificações em normas reguladoras e protocolos operacionais.

Isso tem a ver com as possibilidades de rotas de interação de falhas em função da arquitetura do sistema. Se conseguirmos mapear essas rotas, podemos entender porque os acidentes tendem a ocorrer nesses sistemas, quais tecnologias devem ser abandonadas, e quais não podem, devendo ser modificadas. Quando as rotas são lineares, o modelo (IPS) “indicação de falha, problema-tipo, solução-padronizada” funciona bem. A prevenção de perdas tem como objeto assegurar que todas as muitas rotas críticas sejam devidamente verificadas e validadas quanto ao seu funcionamento lógico.

Os sistemas aeronáuticos, por exemplo, possuem uma enorme quantidade dessas rotas, todas elas associadas a protocolos operacionais que buscam assegurar a correção ou compensação tempestiva das falhas dentro dos mínimos limites de segurança previstos. Mas em função dos tempos de resposta de trabalho muito curtos dos sistemas aeronáuticos atuais e do grau de interação entre esses sistemas, a moderna investigação de acidentes deve ir além, assegurando também que potenciais rotas capilares sejam identificadas, verificadas, e então qualificadas.

Outros sistemas complexos, além dos aeronáuticos, também possuem rotas capilares. A investigação do acidente na usina nuclear americana de Three Mile Island foi rastreada às avarias em rotas capilares, que provocaram a interação de múltiplas falhas com alarmes (de “sintomas”) defasados das sequências operacionais padronizadas. Uma válvula de segurança do sistema de resfriamento do reator travada aberta – quando deveria estar fechada, com seu indicador de funcionamento em painel secundário, distante do painel do sistema de controle principal – e a parada das bombas de circulação do condensador por um sensor de temperatura no sistema de drenagem, levaram a eminência de uma catástrofe nuclear. As bombas pararam porque os sensores indicavam corretamente a possibilidade de alagamento do condensador; sem circulação, a pressão no núcleo do reator aumentou, fazendo com que a vazão se desse pelo sistema de escape para procurar reduzir essa pressão.

Os indicadores mostravam corretamente exatamente o oposto do que realmente ocorria, fazendo com que a atuação dos operadores, mesmo estando de acordo com os protocolos operacionais, agravasse o problema, em uma retroalimentação positiva que levou à parada automática de emergência da planta. Mas aí os danos no sistema primário já eram irreversíveis. Com os sistemas de controle da reação nuclear travado, o núcleo continuava a produzir energia; sem resfriamento, o processo avançava para o pior, criando uma enorme “bolha” de hidrogênio que poderia explodir com risco de contaminação para milhões de pessoas na costa leste americana.

Com a troca de turno, os novos operadores, sem um quadro da situação induzido pelos sintomas iniciais, que havia modelado a capacidade de interpretação e resposta da equipe anterior, criaram novas hipóteses, identificaram a falha e, ativaram duas bombas de circulação de sistemas secundários, que não haviam sido desenhadas para isso, para resfriar o núcleo do reator, procurando abaixar a pressão no núcleo. Uma das bombas falhou imediatamente, devido à intensa reação; a outra, por sorte, conseguiu resfriar o núcleo, evitando a catástrofe.

Nos sistemas com capilaridades, a falha não pode ser isolada dentro de uma única cadeia de consequências, fazendo com que a tentativa de recuperação de uma perda inicial de condições de segurança pelo operador não seja exequível ou mesmo não desejável, dado que a ação pelo operador pode agravar as perdas consequentes, já que no pequeno intervalo de tempo de resposta disponível ele não tem como saber qual é o problema real. Isso faz com que a prevenção e investigação de danos detenham muito maior sofisticação para dar conta da complexidade das falhas sistêmicas. Prevenção e investigação se complementam, criando suas próprias condições de efetividade.

Enquanto a prevenção de perdas aumenta a capacidade do sistema (aí incluindo o operador) de evitar a propagação de danos pela interrupção das cadeias lineares de efeitos, antes que seus impactos ganhem capilaridades não antecipadas em sistemas críticos; a investigação de perdas busca entender a estrutura das causas que levaram ao acidente, vasculhando os efeitos para identificar aonde e como a prevenção falhou para, a partir dai, aperfeiçoar seus procedimentos, processos e técnicas.

A segunda incerteza condiciona a correlação entre o aumento ou diminuição de gravidade dos danos projetados nos acidentes possíveis, e o aumento ou diminuição da intensidade das causas prováveis, criando enormes dificuldades para a construção de sistemas de alerta antecipados e, dentro deles, para a fixação de parâmetros de corte, indicadores do atingimento do limite de segurança.

Riscos são inerentes à definição de sistemas complexos, tal como uma aeronave moderna, impondo uma premissa estrutural na prevenção e investigação de acidentes: riscos de perdas estarão sempre presentes nos sistemas e sistemas de sistemas aeronáuticos, não podendo ser nunca total e precisamente eliminados.

Isso não quer dizer que as modernas aeronaves são inseguras, mas sim que, com o aumento da complexidade das plataformas aéreas e de seus sistemas embarcados (civis e militares), o esforço de prevenção deve aumentar exponencialmente para continuar assegurando taxas de incidentes e acidentes cada vez menores, mesmo quando os sistemas aeronáuticos estão sendo, cada vez mais, rotineiramente operados em condições limites. Para se ter uma perspectiva histórica da importância dos mecanismos de prevenção de perdas na redução dessas taxas, basta lembrar que a expectativa de vida dos pilotos do Serviço de Correio Aéreo dos EUA, na década de 1920, era de não mais do que quatro anos. Trinta e um dos primeiros quarenta pilotos morreram tentando cumprir prazos em condições adversas de tempo, com um pouso forçado a cada vinte horas de voo. Atualmente, os pilotos pagam basicamente o mesmo valor de seguro de vida que qualquer outro cidadão.

A aceleração desses avanços, nos anos 1950, pode ser facilmente referenciada ao esforço inicial de Jerome Lederer – “Mister Segurança” – considerado o “pai” da segurança da aviação civil. A partir dai, as práticas de prevenção e investigação de danos ganharam institucionalidade e se enraizaram em praticamente todas as áreas de aplicação de tecnologias instrumentais, como a indústria de defesa, a petroquímica, farmacêutica, espacial, e mecatrônica. Essa fronteira em continua expansão avança agora para a área de interseção dos domínios da tecnologia, das relações internacionais e da segurança, instruindo a elaboração de critérios de avaliação de políticas públicas de elevado grau de abrangência e importância.

Esse avanço é impulsionado pela contínua geração de novos conhecimentos por meio de práticas recorrentes de coleta, análise, processamento, arquivo, e recuperação de informações sistemáticas e consistentes das práticas de prevenção e investigação, visando dar consecução a dois propósitos mutuamente complementares: (1) entender a dinâmica de funcionamento dos novos sistemas aeronáuticos para identificar quais pontos dos processos e das interfaces de processos devem ser monitorados e qual o valor de corte para ativação de sinais de precaução, alerta ou alarme, e (2) aumentar o tempo de recuperação a acidentes ou incidentes para além dos limites críticos por meio de protocolos operacionais padronizados facilmente realizáveis.

Isso implica que na construção desses protocolos se tenha que combinar lições do passado desdobradas de falhas em tecnologias demonstradas, com possibilidades de falhas futuras ainda não realizadas, mas que sejam plausíveis de emergir na aplicação de tecnologias inovadoras, sendo a transição entre passado e futuro sempre mediada pelo fator humano.

Essa condição transporta a atividade de Prevenção e Investigação de Perdas desde o domínio dos simples “check list” técnicos elaborados para aplicação em sistemas isoladamente considerados, para o domínio das métricas de complexos sistemas de sistemas, aonde a interface humana continua essencial na integração de suas funcionalidades.

A terceira incerteza diz respeito aos limites da capacidade das escalas de medida das perdas acompanharem a progressão da abrangência dos sistemas, criando indesejáveis plasticidades na construção dos critérios de aplicação das conclusões das investigações.

Isso ocorre em todos os sistemas complexos, conforme ampliamos o sistema objeto da investigação. Um módulo de injeção de combustível e seus dispositivos de segurança são aferidos por critérios específicos de estanqueidade e pressão, fazem parte de um conjunto de potência que são aferidos por unidades de torque e tempo médio entre falhas, o qual faz parte de uma plataforma de combate que é inspecionada por critérios de velocidade máxima mantida, que contribui para um determinado efeito tático desejado avaliado por protocolos operacionais. E assim por diante, até chegarmos às implicações políticas e grau de impactos sociais nos sistemas que integram cadeias de consequências orientadas para produzir bens públicos ou considerações sobre lucratividade, imagem pública e responsabilidade social em cadeias de consequências privadas.

Se maximizarmos os requisitos de desempenho em um elo específico da cadeia, podemos estar comprometendo o desempenho de outros. Um sistema de potência que otimize vibração, resistência a impacto, estanqueidade, facilidade de manutenção, condiciona a forma e função da estrutura da plataforma, com impacto no seu desempenho operacional. Ou vice-versa, quando as funções táticas de projeto impõem requisitos de desempenho técnico.

Essas três incertezas, também denominadas respectivamente de incertezas sobre indicadores, correlações, e escalas, são estudadas sob o domínio das métricas, em uma disciplina extremamente importante, de extensa aplicação prática, mas de teorização bastante difícil.

Esse Manual de Prevenção e Investigação de Perdas trabalha a metodologia APICE no domínio das métricas complexas, enfrentando com responsabilidade e competência os desafios práticos dessa área do conhecimento. Alberto e Marcia tem competência para isso. São experts no tema!

Por isso, quando Alberto me pediu para escrever essa introdução, não fiquei preocupado. Sabia, de longa data, que ele era genial, e que junto com Marcia só poderiam ter desenvolvido um produto de excelência. Suas realizações, para além de palavras vazias, atestam suas efetivas capacidades transformadoras da realidade.

No final de 1992, durante o jogo de guerra final do Curso de Comando e Estado Maior da Marinha, cujo resultado teria impacto em nossas colocações e em nossas carreiras, Alberto era o Chefe-do-Estado-Maior da Equipe Brasil. Jogávamos contra outra força naval mais forte e em condições de desvantagem. Historicamente, o Brasil sempre perdia, apesar dos juízes do jogo nunca confirmarem isso, alegando que o jogo tinha um caráter didático.

Novamente, naquele ano, o Brasil vinha perdendo. Por mais que fizéssemos, nossos navios de escolta iam sendo gradativamente destruídos, com o inimigo avançando para o litoral sudeste aonde sabíamos poderia bloquear o fluxo de petróleo que abastece a economia nacional. Nossos poucos meios de esclarecimento estavam espalhados e desgastados, nossos submarinos neutralizados, nosso navio-aeródromo avariado e navegando com baixa velocidade para um porto seguro com os poucos escoltas que ainda tínhamos e, pior, não sabíamos onde estava o navio-aeródromo inimigo. Na véspera do ultimo dia de jogo, Alberto me chamou e propôs um plano ambicioso, repetindo em larga escala o que havia sido executado em uma batalha da Segunda Guerra Mundial no Pacifico. Seria muito arriscado, mas podia funcionar!

Redesenhamos nossa estratégia, concentrando e lançando todas as nossas aeronaves em um leque de busca ampliado até o limite de suas autonomias. Após cerca de 12 horas localizamos o inimigo e desfechamos um ataque aéreo tão intenso que não havia como os juízes do jogo não reconhecerem que em 92 o Brasil tinha ganho o Jogo de Guerra.

Somente uma pessoa com profundo conhecimento profissional sobre as capacidades dos meios aéreos, com capacidade analítica extremamente sofisticada, e coragem para romper padrões doutrinários, poderia ter feito o que Alberto fez. A ele devo a última nota que faltava para a colocação no Curso, e que me levaria à carreira acadêmica.

Depois de estudar o Manual vi que seu valor suplantava em muito minhas mais ambiciosas expectativas. O método APICE dá respaldo teórico para a prática da Prevenção e Investigação de Perdas, resolvendo, de forma inovadora, as três incertezas que trazem complexidade às métricas instrumentais dessa área e, mais ainda, traduzindo essa mecânica em passos simples apresentados de forma direta e objetiva.

Isso somente ocorre porque o Manual do APICE conseguiu desenvolver nos ciclos de Antecipação, Prevenção, Investigação, Correção e Evolução – que define os passos lógicos que conduzem a análise crítica de desempenhos técnicos e humanos de sistemas de sistemas complexos – enquanto orienta o usuário a alojar os resultados encontrados em categorias pré-definidas de conclusões que respondem a uma taxonomia consistente.

Em apoio a esse duplo e simultâneo processo de análise e catalogação de resultados, o Manual oferece ainda uma extensa e detalhada definição operacional dos termos que a prática da Prevenção e Investigação de Perdas necessita. Com isso, integra a base conceitual às regras metodológicas que instruem a ação prática consistente, permitindo que o APICE conquiste o reconhecimento que merece como uma das melhores metodologias instrumentais de métricas de segurança do mundo.

Salvador Raza