“Decenio de las Personas con Discapacidad en el Perú”

“Año de la Integración Nacional y el Reconocimiento de Nuestra Diversidad”

CIRCULAR DE ASESORAMIENTO

CA : 121-110- 03
FECHA : 29/02/2012
REVISIÓN : ORIGINAL
ORIGINADO POR : CTSO / DGAC

TEMA: METODOLOGIA PARA EVALUACION DE RIESGO OPERACIONAL

1. PROPOSITO
Esta Circular de Asesoramiento (CA) proporciona una metodología para realizar la
Gestión de Riegos de un Sistema de Gestión de la Seguridad Operacional (SMS) en un
Explotador Aéreo de RAP 121 ó135 y en un Centro de Instrucción de RAP 141 y las
correspondientes Normas Técnicas Complementarias.

2. REVISIÓN/CANCELACION
Esta publicación es Original.

3. APLICABILIDAD
Esta Circular de Asesoramiento es aplicable a todo Explotador Aéreo que este
implementando un SMS. Sin embargo, la metodología sugerida es lo suficientemente
flexible para que pueda ser adaptada por otros proveedores de servicios aeronauticos,
tales como las organizaciones de mantenimiento aprobadas, proveedores de servicios de
tránsito aéreo o explotadores de aeródromos.

4. REGULACIONES RELACIONADAS
(a) RAP 121 - “Requisitos de Operación: Operaciones nacionales e internacionales ,
regulares y no regulares”
(b) RAP 135 - “Requisitos de Operación: Operaciones nacionales e internacionales ,
regulares y no regulares”
(c) RAP 141- “Centros de instrucción de aeronáutica civil para formación de tripulantes
de vuelo y despachadores de vuelo”

5. DEFINICIONES
(a) Accidente: Un evento no deseado que causa la muerte, lesiones, daños materiales o al
medio ambiente. Accidente (OACI, Anexo 13): Todo suceso, relacionado con la
utilización de una aeronave, que ocurre dentro del período comprendido entre el momento
en que una persona entra a bordo de la aeronave, con intención de realizar un vuelo, y el
momento en que todas las personas han desembarcado, durante el cual:
i) cualquier persona sufre lesiones mortales o graves a consecuencia de:
— hallarse en la aeronave, o
— por contacto directo con cualquier parte de la aeronave, incluso las partes que se
hayan desprendido de la aeronave, o
— por exposición directa al chorro de un reactor, excepto cuando las lesiones obedezcan
a causas naturales, se las haya causado una persona a sí misma o hayan sido
causadas por otras personas o se trate de lesiones sufridas por pasajeros

Jirón Zorritos 1203

CA 121-110-03 1/2 www.mtc.gob.pe Lima, Lima 01 Perú
(511) 615-7800
 clandestinos escondidos fuera de las áreas destinadas normalmente a los pasajeros y
la tripulación; o
ii) la aeronave sufre daños o roturas estructurales que:
— afectan adversamente su resistencia estructural, su performance o sus características
de vuelo; y
— que normalmente exigen una reparación importante o el recambio del componente
afectado, excepto por falla o daños del motor, cuando el daño se limita al motor, su
capó o sus accesorios; o por daños limitados en las hélices, extremos de ala, antenas,
neumáticos, frenos o carenas, pequeñas abolladuras o perforaciones en el
revestimiento de la aeronave; o
iii) la aeronave desaparece o es totalmente inaccesible.
(b) Accidente resultante Un resultado que consiste en daños físicos o daños materiales.
Incluye los resultados que no cumplen con la definición de un "accidente" del Anexo 13
de la OACI, pero implican lesiones o daños reales.
(c) Analista de Seguridad: Una persona con la experiencia, formación, responsabilidad y
autoridad para llevar a cabo las evaluaciones de riesgo y analizar la base de datos de
seguridad para problemas de Seguridad.
(d) Caso de seguridad: Una evaluación de la seguridad en una parte ya existente de la
operación con el fin de demostrar que el riesgo de seguridad se encuentra en un nivel
aceptable.
(e) Clasificación de riesgo de eventos (ERC): La clasificación inicial de riesgo de eventos
de seguridad operacional, utilizando la matriz ERC.
(f) Controles de riesgo: Medidas para evitar o limitar un mal resultado, a través de la
prevención, recuperación, mitigación. (SHELL)
Medidas para hacer frente a los posibles riesgos o para reducir la probabilidad de riesgo
o severidad (OACI).
Uso preferente por ARMS:
Sinónimos:
• Control de riesgo
• Barrera
• Protección
• Defensa
Utilizados por ARMS:
• Control de Riesgo
• Barrera
No se utiliza por ARMS:
• Barrera de seguridad (engañosa)
• Protección, defensa (por razones de armonización)
No se utiliza por ARMS, debido a los múltiples significados:
Amenaza
Otro significado en el contexto de Threat and Error Management (TEM)
En la mayoría de los casos, la palabra "escenario" se puede utilizar en su lugar.

(g) Escenario de accidente: La progresión de imaginar el resultado o manifestación de un

evento real (de ERC) en un evento o peligro que desencadena un resultado de accidente
(en el SIRA). Un problema de seguridad puede estar relacionado con varios escenarios
de accidentes. Por ejemplo, la cuestión de seguridad "aproximación exigente en el
aeropuerto X" puede contener dos escenarios, uno que lleva a un CFIT y otro a un
aterrizaje muy duro (crash). Por lo general, los problemas de seguridad no se pueden
evaluar los riesgos directamente, pero se pueden evaluar los escenarios relacionados
con el accidente.
(h) Estado Operacional no deseables (UOS): Etapa en un escenario de accidente en el que
el escenario se ha agravado hasta tal punto que (con exclusión de la providencia) el
accidente sólo puede evitarse a través de una medida exitosa de recuperación. Los

CA 121-110-03 2/71
 controles de riesgo antes del UOS son parte de la eficacia para evitar las barreras y
post UOS son parte de la recuperación. (ARMS)
(i) Evaluación de la seguridad: Una evaluación de riesgos se centra en un cambio previsto
o planificado de una parte específica de una operación.
(j) Evaluación de Riesgo Operacional (ORA): Evaluación de los riesgos operativos de una
manera sistemática, cohesiva, e intelectualmente sólida.
(k) Evaluación de Riesgos de Problema de seguridad (SIRA): La evaluación del riesgo de
problemas de seguridad, incluyen los controles de riesgo (barreras) en la evaluación. El
marco conceptual de esta evaluación de riesgos es uno donde el riesgo es calculado
como el producto de cuatro factores, (prevención, elusión, recuperación y minimización
de pérdidas) en lugar de utilizar la fórmula probabilidad x severidad.
(l) Evento activador: En la evaluación de riesgos de problemas de Seguridad operacional
(SIRA), el primero de los cuatro factores, evento o condición que activa el escenario del
accidente, por la introducción del factor de riesgo inicial. Si la secuencia se va a derivar
en una UOS o accidente dependerá de la prevención y recuperación de las barreras.
(ARMS)
(m) Evento (Seguridad operacional): Cualquier suceso que ha tenido o podrían haber tenido
un impacto en la seguridad, independientemente de severidad reales o percibida (ARMS)
(n) Gestión del cambio: La evaluación del riesgo como resultado de un cambio previsto o
planificado de una operación junto con las acciones emergentes tomadas, garantizando
la seguridad de la operación debido al cambio.
(o) Indicadores de Desempeño en Seguridad: Determinada métrica, utilizado para medir el
desempeño de seguridad de una operación u organización.
(p) Mitigación
Clásico = control de riesgos post- accidente
OACI = todos los controles de riesgo (prevención, recuperación y mitigación)
Utilizados por ARMS: controlar riesgos o reducir riesgos (verbos)
Utilizados por ARMS: Control de riesgo, Barreras (sustantivos)
(q) Peligro: Condición, objeto o actividad con el potencial de causar lesiones al personal,
daños al equipo o estructuras, pérdida de material, o reducción de la capacidad de
realizar una función determinada. (OACI).
(r) Problema de seguridad: Una manifestación de un peligro o una combinación de varios
peligros en un contexto específico. El problema de seguridad se ha identificado a través
de un proceso sistemático de identificación de peligros de la organización. Un problema
de seguridad puede ser una implicación local de un peligro (por ejemplo, los problemas
de deshielo de un tipo de aeronave en particular) o una combinación de riesgos en una
parte de la operación (por ejemplo, la operación un aeropuerto exigente). (ARMS)
(s) Registrar: Registro documentado de toda la información relativa a problemas de
seguridad, evaluación de los niveles de riesgo, las acciones acordadas para reducir los
niveles de riesgo y la información sobre su progreso.
(t) Riesgo: Un estado de incertidumbre, donde algunas de las posibilidades suponen una
pérdida, catástrofe u otro resultado no deseado (Doug Hubbard).
Probabilidad de un accidente x pérdidas por accidente (la definición clásica de
ingeniería).
La predicción de probabilidad y la severidad de la consecuencia (s) de peligro (s),
tomando como referencia a los resultados posibles. (adaptado de la OACI por ARMS).
(u) Sistema de Gestión de Seguridad Operacional (SMS): Un sistema de gestión de
seguridad operacional es un proceso sistemático, explícito y proactivo para gestionar la
seguridad operacional que integra los sistemas técnicos y operacionales, con la gestión
de recursos humanos y financieros para lograr operaciones seguras con un riesgo tan
bajo como sea razonablemente practicable. (OACI).

CA 121-110-03 3/71
(v) Supervisión del desempeño de la seguridad: El proceso por el cual se verifica el nivel
de seguridad operacional de la organización por comparación con la política de
seguridad y los objetivos de seguridad aprobadas. (OACI).
(w) Valor de Riesgo (valor del índice de riesgo): Una ponderación numérica dada a cada
cuadrado de una matriz de riesgo para permitir la diferenciación de riesgo con el objeto
de un análisis cuantitativo.

6. ANTECEDENTES
La Organización de Aviación Civil Internacional (OACI) ha publicado un marco para el SMS
con la típica gestión de riesgos de seguridad operacional como componente principal. La
Gestión del Riesgo de Seguridad operacional se puede dividir en tres elementos:

(i) Identificación del peligro,

(ii) Evaluación de riesgos, y
(iii) Mitigación del riesgo.

La evaluación de riesgos ha sido siempre la parte más difícil del proceso de gestión de
riesgos para las operaciones de la aviación. Esto debido a la subjetividad involucrada en la
determinación de la gravedad (severidad) de las consecuencias cuando se reconoce un
peligro y la falta de información cuantitativa sobre la probabilidad de que esto ocurra.

Otro componente clave del marco de SMS de la OACI es "Garantía de la seguridad", siendo
uno de los elementos importantes la "Gestión del Cambio". Esto introduce la necesidad de
otro tipo de evaluación de riesgos formal de la "evaluación de la seguridad", por lo general
relacionados con de cambios planificados en la operación.

Por todas estas consideraciones y ante la falta de material en idioma español sobre
evaluación de riesgos en el entorno aeronáutico, nos motivaron a traducir el documento “The
ARMS Methodology for Operational Risk Assement in Aviation Organisations” para suplir en
parte la carencia de métodos y procedimientos aceptables en español, para efectuar
evaluaciones de riesgo operacional. Esta metodología ha sido desarrollada por el grupo
ARMS (Aviation Risk Management Solutions) integrado por profesionales de líneas aéreas en
seguridad operacional.

La metodología define un proceso global de evaluación de riesgos operacionales y se

describe cada paso. El proceso de evaluación se inicia con la Clasificación de Riesgo de
Eventos (Event Risk Classification ERC), la cual es la primera revisión de los acontecimientos
en términos de urgencia y necesidades de seguir la investigación. Este paso también atribuye
un valor de riesgo para cada evento, lo cual es necesario para la creación de estadísticas de
seguridad en función del riesgo. El siguiente paso es el análisis de datos con el fin de
identificar los problemas actuales de seguridad operacional. Estos problemas de seguridad
son entonces el riesgo evaluado en detalle a través de Evaluación de Riesgos de problemas
de Seguridad Operacional (Safety Issue Risk Assessment SIRA). Todo el proceso se asegura
de que se identifican todas las medidas necesarias de seguridad operacional, se crea un
registro para el seguimiento de los riesgos y acciones mitigadoras y se proporciona un
indicador de rendimiento de la vigilancia de la seguridad operacional. El SIRA también se
puede utilizar para efectuar evaluaciones de seguridad operacional, que es un requisito de la
gestión de cambio, un elemento del SMS.
Tanto el ERC y como el SIRA se basan en nuevos conceptos que hacen que las
evaluaciones sean conceptualmente más robustas, mientras se mantienen a un nivel simple
y pragmático.

CA 121-110-03 4/71
7. PROCEDIMIENTOS
La presente circular describe una metodología aceptable para la DGAC respecto a la Gestión
de riesgo establecido en los párrafos de las Regulaciones Aeronáuticas del Perú: RAP
121.110 (b)(2) y apéndice K (e)(1) y (e)(2); RAP 135.055 (b)(2) y apéndice B (d)(1) y (d)(2);
RAP 141.275 (d)(2) y apéndice J (c)(1) y (c)(2).

Aquí se presenta una nueva metodología para la Evaluación de Riesgo Operacional (ORA)
que intenta superar las dificultades clásicas y apoyar los nuevos requisitos del SMS de una
manera eficaz.

El enfoque principal está en función de los riesgos de seguridad de operacional, es decir, los
peligros que podrían lesionar a los ocupantes de la aeronave (pasajeros y tripulación), sin
embargo, este nuevo método se pueden aplicar a todos los riesgos en las operaciones de
aviación.

Este documento tiene como objetivo ofrecer una descripción completa de la metodología: el
qué, por qué y cómo. El marco conceptual se explica detalladamente junto con el proceso de
gestión de riesgo y cada uno de sus pasos. Se proporcionan ejemplos prácticos para todos
los las partes del proceso, junto con una explicación de cómo se puede adaptar a la medida
la metodología para una organización en particular.

La traducción completa se encuentra en el ANEXO A de la presente Circular de

Asesoramiento.

8. CONTACTOS PARA MAYOR INFORMACION

Para cualquier consulta técnica adicional referida a esta CA, dirigirse a la Coordinación
Técnica de Seguridad Operacional, Dirección General de Aeronáutica Civil Teléfono: 511-
6157800 Anexo 1195 Correo electrónico: seguridad.operacional@mintc.gob.pe.

CA 121-110-03 5/71
 ANEXO A

La Metodología ARMS para

Evaluación de Riesgo
Operacional
en Organizaciones de Aviación

Desarrollado por ARMS Working Group 2007-2010

CA 121-110-03 6/71
 Resumen Ejecutivo1
La OACI ha creado nuevos estándares para los Sistemas de Gestión de Seguridad
Operacional (SMS) en diferentes organizaciones de aviación, incluyendo entre otros las
líneas aéreas, organizaciones de mantenimiento, Servicios de Tránsito Aéreo y Aeródromos.
La evaluación de riesgos tiene un papel central en los Sistemas de gestión de seguridad
operacional.

Por muchas razones, la evaluación de riesgos es una tarea difícil. Los métodos más antiguos
se han caracterizado por altos niveles de subjetividad y otras dificultades.

El grupo de trabajo ARMS (Aviation Risk Management Solutions) de la industria de Aviación,

fue creado en el año 2007 con el fin de desarrollar una nueva y mejor metodología para el
Evaluación del Riesgo Operacional (Operational Risk Assessment ORA). El grupo objetivo
primario de esta metodología son las líneas aéreas, sin embargo también se aplica
plenamente a otras organizaciones de aviación.

El grupo de trabajo consistía principalmente de profesionales de seguridad operacional de las

líneas aéreas. Esto debe garantizar que la metodología propuesta es aplicable a la
configuración de la vida real de una línea aérea u organización de aviación.

La metodología define un proceso global de evaluación de riesgos operacionales y describe

cada paso. El proceso de evaluación se inicia con la Clasificación de Riesgo de Eventos
(Event Risk Classification ERC), la cual es la primera revisión de los acontecimientos en
términos de urgencia y necesidades de seguir la investigación. Este paso también atribuye
un valor de riesgo para cada evento, lo cual es necesario para la creación de estadísticas de
seguridad en función del riesgo. El siguiente paso es el análisis de datos con el fin de
identificar los problemas actuales de seguridad operacional. Estos problemas de seguridad
son entonces el riesgo evaluado en detalle a través de Evaluación de Riesgos de Problemas
de Seguridad Operacional (Safety Issue Risk Assessment SIRA). Todo el proceso se asegura
de que se identifican todas las medidas necesarias de seguridad operacional, se crea un
registro para el seguimiento de los riesgos y acciones mitigadoras y se proporciona un
indicador de rendimiento de la vigilancia de la seguridad operacional. El SIRA también se
puede utilizar para efectuar evaluaciones de seguridad operacional, que es un requisito de la
gestión de cambio, un elemento del SMS.

Tanto el ERC y como el SIRA se basan en nuevos conceptos que hacen que las
evaluaciones sean conceptualmente más robustas, mientras se mantienen a un nivel simple
y pragmático.

Este informe explica la metodología en detalle. Su objetivo principal es proporcionar

orientación y ejemplos para los profesionales de la seguridad operacional sobre la manera de
aplicar este método. Además del método en sí mismo, el informe revisa las dificultades en el
uso de los métodos antiguos y describe el grupo de trabajo ARMS.

1
Traducción libre efectuada por la Coordinación Técnica de Seguridad Operacional de la Dirección General de Aeronáutica
Civil, para cualquier consulta dirigirse a la fuente original en :
http://www.skybrary.aero/index.php/ARMS_Methodology_for_Risk_Assessment

CA 121-110-03 7/71
Aviso legal

Todas las organizaciones siguen siendo plenamente responsables de su propio desempeño

de seguridad operacional. Por lo tanto, el Grupo de Trabajo ARMS, sus miembros y
organizaciones de apoyo no asumen ninguna responsabilidad por cualquier daño o perjuicio
de ningún tipo, relacionados con el uso de la metodología ARMS o sus partes.

CA 121-110-03 8/71
Índice

1.0 Introducción………………………………………………………………………………… 11
1.1 ¿De qué trata este documento? …………………………………………………………. 11
1.2 ¿Quién puede utilizar este método? ………………………………………………… 12
1.3 ¿Qué se entrega? ……………………………………………………………………… 12
1.4 Acerca del grupo de trabajo ARMS. …………………………………………………… 12
2.0 ¿Por qué una nueva metodología para la Evaluación del Riesgo Operacional? ……. 14
2.1 Objetivos para la Evaluación de Riesgo Operacional …………………………………… 14
2.2 Los métodos actuales de evaluación de riesgos operativos………………………… 15
2.3 La nueva metodología…………………………………………………………………… 17
3.0 Descripción de la Metodología ARMS……………………………………………............ 18
3.1 Alcance y aplicación..................................................................................................... 18
3.2 Relación con los viejos métodos y referencias clave................................................... 19
3.3 Puntos clave de la metodología ARMS........................................................................ 19
3.4 El proceso de evaluación de riesgos............................................................................ 21
4.0 Metodología ARMS de evaluación de riesgos explicada paso a paso………............. 24
4.1 El punto de partida: datos de identificación de riesgos................................................ 24
4.2 Clasificación de Eventos de Riesgo (ERC).................................................................. 25
4.3 Investigaciones…………………………………………………………………………… 28
4.4 Acciones para reducir los riesgos................................................................................. 29
4.5 Base de datos de Seguridad operacional……………………………………………. 29
4.6 Análisis de Datos…………………………………………………………………………. 30
4.7 Vigilancia del rendimiento de seguridad........................................................................ 32
4.8 Evaluación de Riesgos de problemas de seguridad Operacional (SIRA)…................ 33
4.9 Registro de Riesgos……………………………………………………………………… 35
4.10 Evaluación de la seguridad......................................................................................... 36
4.11 Análisis de Peligros…………………………………………………………………….. 37
4.12 Utilizando SIRA para evaluaciones de seguridad....................................................... 37
5.0 Temas de personalización para diferentes tipos de organizaciones............................ 39
5.1 Organizaciones sin operaciones de vuelo................................................................... 39
5.2 Grandes organizaciones.............................................................................................. 40
5.3 Pequeñas organizaciones........................................................................................... 41
5.4 Personalización de las matrices de riesgo................................................................... 42
6.0 Apéndices……………………………………………………………………………… 45
6.1 Declaración de Misión de ARMS…............................................................................ 45
6.3 Métodos de trabajo ARMS........................................................................................... 46
6.4 Miembros ARMS…………………………………………………………………………… 47
6.5 Limitaciones de los métodos actuales........................................................................... 48
6.6 Limitaciones de los métodos actuales – ejemplo…..................................................... 49
6.7 Eventos basados en riesgo y el ERC........................................................................... 49
6.8 Justificación de la propuesta de los valores de índice de riesgo de ERC................... 52
6.9 Método Evaluación de Riesgos de problemas de seguridad (SIRA)........................... 50
6.10 Casos Ejemplo de evaluación de los riesgos............................................................... 52
6.10.1 Ejemplos de Clasificación de eventos de riesgo (ERC)............................................ 52
6.10.2 Ejemplos de Evaluación de Riesgos de problemas de Seguridad (SIRA).............. 62
6.10.3 Ejemplos de Evaluaciones de la seguridad (gestión del cambio)……………………68
6.10.4 Ejemplos que cubren el proceso completo de evaluación de riesgos……......... 68

CA 121-110-03 9/71
7.0 Glosario…………………………………………………………………………….…. 70
8.0 Agradecimientos………………………………………………………………………........ 73
9.0 Guía de Referencia Rápida ARMS………………………………………………………… 74

CA 121-110-03 10/71
1.0 Introducción
1.1 ¿De qué trata este documento?

La mayoría de las organizaciones de aviación son requeridas por su autoridad aeronáutica

nacional para implementar un Sistema de Gestión de Seguridad Operacional (SMS). La
Organización de Aviación Civil Internacional (OACI) ha publicado un marco para el SMS con
la típica gestión de riesgos de seguridad operacional como componente principal. La Gestión
del Riesgo de Seguridad operacional se puede dividir en tres elementos:

(i) Identificación del peligro,

(ii) Evaluación de riesgos, y
(iii) Mitigación del riesgo.

La evaluación de riesgos ha sido siempre la parte más difícil del proceso de gestión de
riesgos para las operaciones de la aviación. Esto debido a la subjetividad involucrada en la
determinación de la gravedad (severidad) de las consecuencias cuando se reconoce un
peligro y la falta de información cuantitativa sobre la probabilidad de que esto ocurra.

Otro componente clave del marco de SMS de la OACI es "Garantía de la seguridad", siendo
uno de los elementos importantes la "Gestión del Cambio". Esto introduce la necesidad de
otro tipo de evaluación de riesgos formal de la "Evaluación de la seguridad", por lo general
relacionados con de cambios planificados en la operación.

Este documento presenta una nueva metodología para la Evaluación de Riesgo Operacional
(ORA) que intenta superar las dificultades clásicas y apoyar los nuevos requisitos del SMS de
una manera eficaz.

El enfoque principal está en función de los riesgos de Seguridad de Operacional del Vuelo, es
decir, los peligros que podrían lesionar a los ocupantes de la aeronave (pasajeros y
tripulación), sin embargo, este nuevo método se pueden aplicar a todos los riesgos en las
operaciones de aviación.

Este documento tiene como objetivo ofrecer una descripción completa de la metodología: el
qué, por qué y cómo. El marco conceptual se explica detalladamente junto con el proceso de
gestión de riesgo y cada uno de sus pasos. Se proporcionan ejemplos prácticos para todos
los las partes del proceso, junto con una explicación de cómo se puede adaptar a la medida
la metodología para una organización en particular.

El lector no debe interpretar erróneamente el volumen de este documento como una

indicación de la complejidad de la metodología. El resumen de una página (capítulo 9) es
suficiente para el uso diario de esta metodología. La mayoría de los usuarios nunca tendrán
que estudiar este documento en su totalidad. Está diseñado para los encargados de la
ejecución del SMS que necesitan entender mejor las razones detrás de este enfoque. Los
capítulos 4 y 5, así como los ejemplos resueltos en el capítulo 6 contienen una explicación
detallada del proceso ARMS. El documento sirve también como registro de la obra completa
del grupo de trabajo para las personas que no pudieron ser parte de las discusiones que
hicieron en lo que es hoy la metodología ARMS.

CA 121-110-03 11/71
1.2 ¿Quién puede utilizar este método?

El método está pensado, no sólo para las líneas aéreas y otros operadores aéreos, sino que
también puede ser utilizado por otros organizaciones de aviación (directa o indirectamente)
relacionados con las operaciones de vuelo, por ejemplo organizaciones de mantenimiento y
organismo de control de tránsito aéreo.

Se cree que esta metodología no sólo mejorará la calidad de la evaluación de riesgo en las
organizaciones de aviación sino que también permitirá una mayor cooperación entre ellas.
Esto es porque el enfoque presentado se basa en la idea de "Global" del riesgo, es decir, el
riesgo total producido por todas las organizaciones involucradas y "entregado" a la
organización, que es en realidad la que opera la aeronave.

El capítulo 5 se refiere a la personalización de la metodología para distintos tipos de

organizaciones de aviación. La metodología descrita puede ser útil también para
organizaciones fuera de la aviación, a pesar de que este no era un objetivo original del
diseño.

El material está disponible gratuitamente para cualquier persona, pero cuando se use en
cualquier publicación, presentación, software o algo parecido, debe hacerse una referencia
completa del trabajo original del grupo ARMS.

1.3 ¿Qué se entrega?

A nivel conceptual, el documento presenta los principios generales de cómo debe llevarse a
cabo las evaluaciones de riesgo operacional y por qué. En esta sección se presentan varios
conceptos nuevos y prácticas recomendadas.

A nivel práctico, el documento contiene un método completo y detallado con matrices,

códigos de colores, números y guía de usuario. Esto provee un ejemplo de cómo la
metodología conceptual se puede transformar en aplicaciones prácticas. Hay que recordar
que las organizaciones pueden necesitar o querer personalizar la aplicación práctica para
satisfacer sus necesidades específicas. El capítulo 5 está dedicado a la personalización. Los
detalles también están obligados a evolucionar con el tiempo.

Es importante reconocer la diferencia entre estos dos niveles. Las recomendaciones en el

plano conceptual pretenden que sean de aplicación universal, mientras que las aplicaciones
prácticas sólo es una manera de aplicar la metodología. Cuando el contenido se refiere a la
aplicación práctica se destaca por un sombreado de fondo claro.

1.4 Acerca del grupo de trabajo ARMS.

ARMS es un grupo de trabajo formado por individuos de la industria de aviación que apoyan
el trabajo base en forma voluntaria. La Declaración de Misión de ARMS se presenta en
Apéndice 6.1.

CA 121-110-03 12/71
ARMS es una organización apolítica, sin fines de lucro grupo de trabajo, con la misión de
producir una buena metodología de evaluación de riesgo para la industria. Los resultados son
de libre acceso a la industria en su conjunto y para cualquier persona interesada en el
concepto.

ARMS nació por iniciativa de algunas personas con el punto de partida es una taller en junio
de 2007. Más detalles sobre el inicio del grupo de trabajo y sus métodos de trabajo se
explican en los apéndices 6.2 y 6.3, respectivamente. Los miembros del ARMS figuran en el
apéndice 6.4.

El Grupo de Trabajo ECAST SMS se creó en abril de 2008 identificando inmediatamente que
uno de sus más resultados más importantes sería desarrollar una guía práctica sobre la
evaluación de riesgos. Una vez que había sido informada la actividad de la Sección, se
decidió en no duplicar los esfuerzos de desarrollo, sino a tomar el trabajo de las ARMS como
la referencia para la gestión de riesgo operacional. El grupo ECAST ha seguido desde
entonces el trabajo de ARMS en estrecha colaboración y las prestaciones ARMS son
también los resultados del Grupo de Trabajo ECAST SMS sobre este tema.

Las personas claves que ejecutan la actividad de SMS en la OACI también se han mantenido
al día con el trabajo ARMS a través de correos electrónicos y presentaciones.

CA 121-110-03 13/71
2.0 ¿Por qué una nueva metodología para la Evaluación del
Riesgo Operacional?

2.1 Objetivos para la Evaluación de Riesgo Operacional

La Gestión del Riesgo Operacional se compone de tres elementos: Identificación de peligros,

Evaluación de riesgos y reducción de riesgos (mitigación, en terminología de la OACI). El
principal objetivo de la gestión de riesgos es asegurarse de que todos los riesgos se
mantienen en un nivel aceptable.

Contribuir al monitoreo del desempeño de la seguridad operacional mediante el

establecimiento de indicadores de desempeño de Seguridad operacional puede ser
considerado como un objetivo secundario. La información de Riesgo también puede ser
utilizada por las autoridades nacionales en la vigilancia de la seguridad.

La identificación de peligros es acerca de la recopilación y análisis de datos de seguridad

operacional, a través de la identificación de los problemas de seguridad operacional (véase el
Glosario para la definición de problemas de seguridad operacional). Tales datos de seguridad
operacional por lo general incluyen los reportes de seguridad operacional, reportes
obligatorios sobre sucesos (MOR), datos de eventos de vuelo, y los resultados de las
encuestas y auditorías de seguridad operacional. La Identificación de peligros proporciona la
entrada para la evaluación de riesgos.

El objetivo para la Evaluación del Riesgo Operacional (ORA) es la evaluación de los riesgos
operativos de manera sistemática, sólida e intelectualmente coherente.

Evaluación de Riesgo Operacional es necesaria en tres contextos diferentes:

1. Eventos individuales de seguridad operacional pueden reflejar un alto nivel de riesgo y en
consecuencia requieren una acción urgente. Por lo tanto todos los eventos entrantes
necesitan de un análisis de riesgo. Este paso se llama Clasificación de Riesgo de eventos
(ERC).
2. El proceso de identificación de peligros puede conducir a la identificación de problemas de
seguridad operacional, que necesitan un análisis de riesgo para determinar en su caso, qué
medidas son necesarias. Este paso se llama Evaluación de Riesgos de Problemas de
Seguridad Operacional (SIRA).
3. De vez en cuando habrá la necesidad de llevar a cabo evaluaciones de seguridad, suelen
estar relacionados con una nuevas o revisadas actividades de explotación (nuevo destino, por
ejemplo). La actividad necesita de un análisis de riesgo en la etapa de planificación, de
acuerdo con el proceso "Gestión del Cambio" de la empresa.

En los dos primeros casos, la evaluación se basa en los datos de identificación de peligros. El
resultado es un perfil de riesgo operacional, es decir, una visión general de todos los riesgos
operacionales. En el tercer caso, es posible que no haya datos disponibles si la actividad
prevista es nueva para la organización. En los tres casos, la evaluación del riesgo debe tener
en cuenta las posibles consecuencias, además de a las consecuencias observadas de los
acontecimientos. Los métodos utilizados en los tres casos deben ser compatibles para que
las salidas de uno se puedan utilizar en la entrada de la otra.

CA 121-110-03 14/71
Además de los objetivos generales, se puede listar una serie de requisitos prácticos para la
ORA:

• El método ORA debería ser capaz de utilizar todos los datos típicos de seguridad
operacional como entradas (reportes de seguridad operacional, datos de vuelo, las
observaciones tipo LOSA, hallazgos de auditoría, etc.) y ser diseñado para utilizar
fuentes que producen grandes cantidades de datos de seguridad importantes. Estas
fuentes pueden ser tanto internas y/o externas.
• El método no debería requerir de datos que no son fácilmente disponibles o que no
puedan ser estimados razonablemente.
• El método debe ser fácil de usar y crear una carga de trabajo razonable. Las grandes
líneas aéreas pueden tener cientos de reportes mensuales sobre la seguridad para
procesar. Por lo tanto el proceso de ERC debe ser rápido y fácil de seguir.
• La subjetividad debe ser minimizada.
• Los resultados deben ser comprensibles por los no expertos y ayudar a identificar
cualquiera de las acciones necesarias.

2.2 Los métodos actuales de evaluación de riesgos operativos

Hay un problema conceptual fundamental en la evaluación de riesgos de eventos (históricos)

que se debe reconocer. Para entender el problema, es necesario ir de nuevo a un nivel muy
básico, la definición elemental de riesgo:

"El riesgo es un estado de incertidumbre, donde algunas de las posibilidades suponen una
pérdida, catástrofe, o el resultado indeseable. " (Douglas W. Hubbard 2)

Por lo tanto, la incertidumbre es un elemento clave de riesgo. Por lo tanto si el resultado es un

conocido hecho histórico, podemos hacer referencia a la pérdida, daño, etc., pero no el
riesgo. El Riesgo técnicamente se refiere a algo en el futuro, donde el resultado es incierto.

¿Cómo se puede entonces evaluar el riesgo de un evento histórico? Esta cuestión plantea
algunas preocupación sobre cualquier intento de evaluación de riesgo, reportes de eventos
de seguridad, eventos de datos de vuelo, etc. Con la aparición de grandes cantidades de
datos de seguridad de vuelo, los Gerentes de seguridad operacional quieren aplicar el
concepto de riesgo a los datos recogidos, pero este dilema fundamental, debe ser
direccionado.

A pesar que un acontecimiento histórico no contiene ningún riesgo ahora, sí conllevó a un

riesgo cuando ocurrió. Es sólo que el riesgo no se materializó necesariamente. Por lo tanto,
queremos capturar el riesgo que el evento llevaba tal como ocurrió para que podamos
reconocer el riesgo de este evento demuestra dentro de nuestra operación.

El método más común para la evaluación de riesgos en la aviación ha sido la utilización de la

fórmula clásica de riesgo, es decir crear una matriz bidimensional de probabilidad x severidad
2
Director de Economía de la Información Aplicada (AIE). Autor del bestseller # 1 en Matemáticas de Negocios en Amazon:
"Cómo medir cualquier cosa: Encontrar el valor de los intangibles en la empresa"

CA 121-110-03 15/71
(gravedad) que guía el juicio de tolerancia al riesgo. Al tratar de asignar valores a la
probabilidad y severidad, el analista tiene que responder a las preguntas: "la severidad de
qué?" y "la probabilidad de qué?". Desafortunadamente diferentes analistas tienden a
responder a estas preguntas de otras maneras:

• Algunos se refieren a la severidad de un suceso actual y su resultado como un

producto real.
• Otros piensan en la severidad como un resultado potencial, un producto “imaginario
pero no realista”, “el tipo de accidente más probable", o el resultado del "Peor
escenario".
• La "probabilidad de recurrencia" es igualmente subjetiva de como se debe evaluar la
probabilidad de que algo similar vuelva a ocurrir, pero no está clara la similitud.

Esta confusión conceptual se ilustra en los apéndices 6.5 y 6.6.

Por lo tanto, en lugar de tratar de evaluar el riesgo presente del evento a medida que se
desarrollaba, los analistas suelen evaluar el riesgo de un evento similar que tendrá lugar en el
futuro, pero, "un evento similar" es un objeto de vago para la evaluación del riesgo,
provocando una aumento significativo en la subjetividad de los resultados.

La eficacia de los controles de riesgo existente son de extrema consideración al tratar de

medir el riesgo. La fórmula simplista de probabilidad x severidad no toma en cuenta la
existencia (no potencialidad) de controles de riesgo de manera adecuada. Es principalmente
debido a la falta de un marco conceptual sólido que ha dado lugar a este y otros problemas
inherentes a los métodos actuales que están siendo subestimados.

Todos los métodos de evaluación de riesgos deben proporcionar orientación al analista para
ayudarlo en la selección "correcta" de la columna o fila de la matriz de riesgos. Palabras
como "ocasional" y "raro" para la probabilidad o "mayor" / "menores" de la severidad ayudan
poco a lograr evaluaciones coherentes y consistentes. A veces se proporcionan definiciones
muy detalladas para cada columna / fila. Esto puede crear fácilmente la trampa de considerar
sólo los resultados reales de un evento, incluso tratando de que coincida con las definiciones
escritas.

Los métodos actuales de evaluación de los riesgos tienden a ser de aplicación universal para
todo el riesgo en los tres contextos de evaluación que se describe en la sección 2.1. y, en
general no pueden hacer la diferenciación crucial entre sucesos, problemas y evaluaciones
de seguridad operacional.
Sin embargo, como la discusión anterior ilustra que un evento histórico no es un tema ideal
para una "búsqueda en el futuro" de evaluación de riesgos. Los problemas de seguridad
operacional son típicamente identificados debido al número de eventos y puede ser definida
con precisión (¡como lo es hasta que el analista los define!). Son problemas de seguridad que
podría potencialmente llevar a un accidente y por lo tanto, ser sujetos muy adecuados para
una evaluación de riesgos con miras al futuro. Las Evaluaciones de Seguridad sirven para
evaluar cambios futuros y por lo general se puede subdividir en varios problemas
(potenciales) de Seguridad.

CA 121-110-03 16/71
En contraste a los métodos simplistas basadas en la fórmula probabilidad x severidad, se han
desarrollado algunos métodos complejos basados en el sistema de aviación y el uso de las
matemáticas avanzadas para representar las relaciones entre ciertos factores, tratando de
calcular su impacto en la seguridad. Aún no se ha demostrado si estos modelos pueden
reproducir las complejas formas y a veces caótica, en que los diversos factores interactúan en
la creación de un accidente. Han sido abandonados en el pasado varios emprendimientos
sobre la base de este enfoque, cuando se hizo evidente que la construcción y el
mantenimiento de este modelo sería introducir una carga de trabajo inaceptable debido a los
constantes cambios en los procedimientos, programas de entrenamiento, modificaciones del
estado de las aeronaves y la tecnología prevaleciente en todo el sistema de aviación.

Una nueva metodología debe subsanar las deficiencias de los métodos existentes, así como
el cumplimiento de los objetivos descritos en la sección 2.1.

2.3 La nueva metodología

La nueva metodología pretende ser tanto conceptualmente sólida y útil en la práctica en un

contexto operacional real.

• Todos los conceptos y los términos están definidos (ver Glosario). Hay una clara
diferenciación entre los eventos de seguridad operacional y problemas de seguridad
operacional, que están direccionadas con diferentes pero compatibles evaluaciones
de riesgo.
• El proceso de evaluación de riesgos de problemas de seguridad operacional (SIRA)
también es aplicable a las Evaluaciones de seguridad operacional.
• Se ha tenido un especial cuidado para asegurar que los pasos iniciales de la
Clasificación de Riesgo de Eventos (ERC) son fáciles y rápidos de ejecutar, ya que
tendrán que ser ejecutados en todos los eventos entrantes.
• Se ha diseñado un marco conceptual claro, junto con una guía detallada para ofrecer
plena claridad sobre cómo se evalúa el riesgo y ayudar a reducir la subjetividad de la
evaluación en sí misma. El impacto de los controles de riesgo está integrado a la
evaluación del riesgo, y por lo tanto, ya no es un hecho aislado o una tarea
desatendida. De cómo lograr esto, se explica más adelante en este documento.
• El resultado de cada evaluación está diseñada para ser claro y entendible por los
gerentes de la línea operativa.

La metodología puede ser personalizada a las necesidades concretas de determinadas

organización y preferencias. También es aplicable a las organizaciones que no tiene
operaciones de vuelo como por ejemplo las Organizaciones de Mantenimiento Aprobadas
autorizadas (OMA), Control de Tránsito Aéreo y Explotadores de aeródromos.

Mientras que la nueva metodología no elimina toda subjetividad de la evaluación del riesgo de
los eventos de la aviación, se cree que es mucho más objetivo que los otros métodos
actualmente en uso en la aviación.

CA 121-110-03 17/71
3.0 Descripción de la Metodología ARMS
Este capítulo presenta una breve descripción de la metodología ARMS a fin de dar al lector
una imagen global de la metodología, incluyendo su alcance y aspectos claves.

En el capítulo 4 se explicará cada uno de los aspectos en detalle.

3.1 Alcance y aplicación

Al hablar de la evaluación de riesgos en la aviación, especialmente en el contexto de una

línea aérea no es una tendencia natural a centrarse en el riesgo de la seguridad en vuelo, y
en particular, el riesgo de un accidente con víctimas múltiples y pérdida del casco. En la
práctica, un solo evento puede estar relacionado con más de un tipo de riesgo y las
aerolíneas tienen que administrar diferentes tipos de riesgos en paralelo. Estos riesgos
adicionales incluyen:

• Riesgo Financiero - el riesgo de pérdidas financieras significativas.

• Riesgo Ambiental - el riesgo de daños al medio ambiente.
• Riesgo de reputación - el riesgo de daño a la reputación de las compañías aéreas -
por ejemplo, problemas con los anuncios no controlados de seguridad durante el vuelo
de la aeronave no suponen ningún riesgo a la seguridad durante el vuelo, sino que
atraen importante atención y preocupación a los pasajeros.
• El riesgo operativo (Vuelo) - el riesgo de demoras operacionales resultantes de la
puesta a tierra de una aeronave o de la flota. Esto también podría ser considerado
como parte del riesgo financiero.
• Riesgo de Mantenimiento de la aeronavegabilidad- el riesgo de que la aeronave no
puede estar en condiciones de aeronavegabilidad, debido a problemas de
mantenimiento o de asistencia en tierra.
• Los riesgos de seguridad en tierra - por ejemplo, riesgos de pérdida debido a acciones
deliberadas que pongan en peligro a la aeronave.

La metodología ARMS ha sido desarrollada para los riesgos de seguridad operacional, por lo
que en este documento, el enfoque principal está basado en los riesgos de seguridad en
vuelo, es decir, los riesgos que podría perjudicar a los ocupantes de una aeronave (pasajeros
y tripulación). Sin embargo, el grupo de trabajo cree que la metodología puede ser fácilmente
adaptada para otros tipos de riesgos.
Como se indica en la sección 2.1, en la evaluación del riesgo operacional se necesita en tres
diferentes contextos:

1. Eventos de seguridad individual puede reflejar un alto nivel de riesgo y en

consecuencia requieren una acción urgente. Por lo tanto todos los eventos entrantes
necesitan de un análisis de riesgo. Este paso se llama Clasificación de Riesgo de
Eventos (ERC).

2. El proceso de identificación de peligros puede conducir a la identificación de

problemas de seguridad operacional, que necesitan un análisis de riesgo para
determinar qué medidas serán necesarias, si fuera el caso. Este paso se llama

CA 121-110-03 18/71
 Evaluación de Riesgos de problemas de seguridad operacional (SIRA). Los problemas
de Seguridad operacional pueden ser reevaluadas de manera regular para asegurarse
de que el riesgo es mantenido a o por debajo del nivel aceptable.

3. De vez en cuando habrá una necesidad de llevar a cabo evaluaciones de seguridad

operacional, estas suelen estar relacionados con una nueva o revisada actividad de
explotación (nuevo destino, por ejemplo). Estas actividades necesitan de un análisis
de riesgo en la etapa de planificación, de acuerdo con el proceso de "Gestión del
Cambio" la empresa.

El grupo objetivo primario de la metodología ARMS son las líneas aéreas y otros operadores
de aeronaves. El grupo objetivo secundario consiste en las organizaciones de aviación, que
tienen un enlace directo con la operación de aeronaves, pero no operan aeronaves por sí
mismos.

3.2 Relación con los viejos métodos y referencias claves

La metodología ARMS se enlaza con los siguientes elementos del marco del SMS de la
OACI:

• Evaluación de riesgo (y mitigación)

• Monitoreo y supervisión de la seguridad operacional
• Gestión del Cambio

La metodología ARMS puede ser vista como una mayor elaboración de los principios que se
encuentran tras el método más genérico que se da en el material del curso SMS y el Manual
del Sistema de Gestión de Seguridad Operacional (SMM) de la OACI. Ambos enfoques
comparten los mismos objetivos 3.

Hay que tener en cuenta que los métodos que figuran en el material de instrucción sobre el
SMS de la OACI y que otros documentos sobre los medios aceptables de cumplimiento
(AMC), no son necesariamente restrictivos, es decir, que presentan una forma de cumplir, sin
descartar otras métodos aceptables.

3.3 Puntos clave de la metodología ARMS

La metodología de la Sección puede resumirse en los siguientes puntos:

• El final del proceso total de evaluación de riesgos, empieza en la Identificación de

peligros que conducen a las acciones de seguridad operacional que han sido definidas
y actúa como la columna vertebral de la metodología.

• Todos los nuevos datos de entrada de eventos de seguridad deben ser revisados
dentro de un período de tiempo aceptable para que exista una reacción inmediata

3
En 2008, cuando la metodología ARMS se presentó en la OACI, la respuesta fue que los métodos presentados en el material
de instrucción del SMS de la OACI no son las únicas formas aceptables para llevar a cabo dichas actividades y se observó que
no existía ningún conflicto entre la metodología ARMS y el material de orientación de la OACI.

CA 121-110-03 19/71
 ante cualquier tema urgente. Esta tarea es la Clasificación de riesgo de eventos
(ERC), y es el primer paso de la metodología ARMS para el proceso de evaluación de
riesgos. El ERC hace una rápida estimación inicial del riesgo inherente al evento. El
nuevo concepto de " Riesgo en función de eventos" utilizados para estimar el riesgo.
El resultado es a la vez una clase de riesgo (color) que indica lo que hay que hacer
con el evento y un valor numérico de riesgo (ERC valor del índice de riesgo) que
pueden ser utilizados en el análisis de riesgo cuantitativo. Una vez que el riesgo es
evaluado, todos los eventos se almacenan en una base de datos de eventos de
seguridad.

• Dado que, como se explicó anteriormente, un acontecimiento histórico, no tiene

ningún riesgo hoy en día, el caso real se extrapola como que resultado creíble de
accidente podría haber ocurrido. Este es entonces la clasificación de riesgo teniendo
en cuenta las barreras que evitaron que este evento resulte en un accidente. La
pregunta es: ¿cuál fue el riesgo, en el momento cuando ocurrió el suceso.

• Cuando se analiza los datos de seguridad operacional en la base de datos (Análisis

de Datos), la principal atención se centra en la identificación de cualquier problema de
seguridad operacional que afectan a las operaciones actuales.

• Se evalúan los riesgos de todos los problemas identificados de seguridad operacional

utilizando la técnica de Evaluación de Riesgos de Problemas de Seguridad
Operacional (SIRA). El marco conceptual de esta evaluación de riesgo es nuevo: el
riesgo se calcula como el producto de cuatro factores, (Prevenir, evitar, recuperar y
minimizar pérdidas) en lugar de la antigua formula probabilidad x severidad. Este
nuevo marco incluye los controles de riesgo (Barreras) en la evaluación del riesgo. El
producto del SIRA es un valor de riesgo para cada problema de seguridad
operacional.

Una prioridad clave de la metodología ARMS es reducir la subjetividad inherente a los

actuales métodos de evaluación de riesgos. Los tres pasos que ayudan a lograr este objetivo
son:

• En la Clasificación de riesgo de eventos (ERC), todas las circunstancias que

conspiraron para producir el evento se conocen y son considerados como eran, por lo
que la subjetividad asociada con la determinación de la probabilidad de que ocurra el
evento se ha reducido considerablemente.

• El ERC intenta identificar la probabilidad de un evento mediante la evaluación de las

barreras que evitaron que este evento se convierta en un accidente. La consideración
de estas barreras es todavía subjetiva, pero esta subjetividad puede ser reducida
mediante una buena comprensión de las barreras disponibles en escenarios típicos.

• En la realización de la Evaluación de Riesgos de un Problema de Seguridad

Operacional (SIRA), el/la analista debe definir en primer lugar y el alcance del
problema de seguridad antes de la evaluación de riesgo. Un problema de seguridad
definido con precisión es mucho más fácil de evaluar cuantitativamente. Por ejemplo,
un problema de seguridad como la cizalladura del viento que se refiere únicamente a

CA 121-110-03 20/71
 un tipo de aeronave y a un aeropuerto es más fácil de examinar que uno que cubra a
toda la flota aérea y la red de rutas. Una cuidadosa definición asegurará que la
evaluación del riesgo es más probable si está basada en hechos reales y no en la
imaginación y adivinación.

3.4 El proceso de evaluación de riesgos

En la figura 1 se presenta un esquema simplificado del proceso de evaluación de riesgos

desarrollada por el grupo ARMS.

La identificación de peligros es acerca de recopilar y analizar datos de seguridad operacional,

para identificar problemas de seguridad operacional. Estos datos de seguridad por lo general
incluyen los reportes de seguridad, los datos de vuelo, eventos, y los resultados de encuestas
y auditorías de seguridad. La identificación de peligros proporciona la información de entrada
del proceso de evaluación de riesgos.
Una persona calificada tiene que revisar estos datos de forma relativamente rápida para que
cualquier asunto urgente se pueda abordar de manera oportuna. Estos pasos son
direccionados a través del proceso de Clasificación de Riesgos de Eventos (ERC).

La posibilidad de tomar acciones sobre la base de eventos individuales constituye el primer

paso en el proceso (flecha roja "¿acciones urgentes?”).

Todos los datos de entrada de seguridad también se almacenan en una base de datos. La
base de datos debe ser analizada rutinariamente con el fin de detectar cualquier tendencia
adversa y para supervisar la eficacia de las medidas previas de reducción de riesgos. Este
análisis puede conducir a la identificación de un posible problema de seguridad que debe ser
formalmente evaluado para determinar el nivel de riesgo y diseñar las acciones de reducción
de riesgos. Esta es la flecha color amarillo en la figura 1.

Además, el análisis de la base de datos, impulsados por un evento o problema que puede
revelar riesgos que deben ser atendidas de inmediato antes que se lleve a cabo un SIRA
más formal; es decir, algunas cuestiones que son, obviamente, "malas" se arreglan sin una
evaluación de riesgos. Por ejemplo un aumento repentino de aproximaciones
desestabilizadas en el aeropuerto X puede conducir a la acción sin una evaluación de riesgos
formal. Esta "respuesta rápida" está representada en la flecha del medio (azul). Estos
problemas con el tiempo deben llevar a cabo un SIRA de manera oficial para que pueda
medirse adecuadamente y efectuar el seguimiento en el Registro de Riesgos.

CA 121-110-03 21/71
Figura 1. Esquema simplificado de presentar el proceso de Evaluación de riesgo.

La figura 2 presenta el mismo concepto con más detalle y con una entrada adicional,
Evaluaciones de Seguridad operacional. Cabe señalar que por razones de claridad se han
eliminado algunas de las flechas secundarias.

Figura 2. Flujo del proceso de Evaluación de Riesgos.

CA 121-110-03 22/71
Aún se puede observar en la diagrama los mismos tres pasos que conducen a las acciones
de reducción de riesgo.

La propuesta de aplicación práctica del la ERC es una matriz de 4x4 y el resultado será de
color rojo, amarillo o verde. La organización requerirá que los eventos en color rojo se
investiguen inmediatamente y los amarillos deben ser investigado, pero con menos urgencia.
Los de color verde significan que "Archive el caso en la base de datos y úselo para efectuar
análisis estadístico y para mejora continua". De esta manera, los acontecimientos en color
amarillo y rojo pueden dar lugar a acciones directas, basada sólo en un caso individual.
(Véase el capítulo 4, Figura 4).

Todas las acciones deben ser manejadas a través del Registro de riesgos, los que contiene
toda la información relativa a problemas de seguridad y evaluación de los niveles de riesgo.
El registro también puede usarse para controlar el progreso de las "acciones".

La otra entrada al proceso general de gestión del riesgo es a través de la decisión de

efectuar una Evaluación de seguridad operacional. Cuando se ha previsto un cambio
operativo, debería ponerse en marcha una evaluación de seguridad operacional para evaluar
los riesgos de seguridad asociados. El primer paso es el Análisis del Peligro, que consiste en
enumerar todos los riesgos potenciales relacionados con el cambio. En base a estos peligros,
la mayoría de los escenarios relacionados más críticos son desarrollados, y se pueden
evaluar mediante el método SIRA. En algunos casos, puede haber poca o ninguna
información para ayudar a la evaluación que tendrá que hacerse con juicios más subjetivos.
(Vea la sección 4.10)

CA 121-110-03 23/71
4.0 ARMS metodología de evaluación de riesgos explicada
paso a paso
La descripción de la metodología en este capítulo es apoyada con varios ejemplos
documentados en la sección 6.10.

4.1 El punto de partida: datos de identificación de peligros

Hay varias fuentes y tipos de datos de seguridad operacional provenientes de proceso de

identificación de Peligros. Se presenta en la figura 3 una lista de las fuentes típicas de una
aerolínea. Para otros tipos de organizaciones de aviación habrá otras fuentes de datos
disponibles que habrá que considerar igualmente.

Figura 3. Fuentes de datos típicos de seguridad operacional

La metodología ARMS maneja varios tipos de datos de identificación de peligros. La regla

principal es la ERC que se utiliza para eventos (incluso cuando no hay ninguna consecuencia
real) y la SIRA se utiliza para problemas de seguridad operacional (incluyendo los riesgos y
las condiciones latentes). He aquí algunos ejemplos:

• Eventos observados se pueden introducir y evaluar de la misma manera como la

reportes de seguridad con el ERC.
• Los hallazgos observados (amenazas, peligros, condiciones latentes) son mejor
analizadas con la SIRA. En este caso, el primer factor de SIRA, el "evento activador"
por lo general es el peligro.
• Conclusiones de auditorías pueden ser evaluadas con la SIRA. Los resultados de los
cuestionarios siguen la misma lógica.

CA 121-110-03 24/71
 • La fatiga es uno de los peligros en factores humanos (HF) que actualmente recibe
cada vez más atención y en muchas organizaciones se están implementando un
Sistema de Gestión de Riesgo de Fatiga (FRMS) como un elemento de su SMS. La
ERC ofrece una buena herramienta para evaluar el riesgo de seguridad operacional
con la fatiga relacionada con eventos reportados (por ejemplo, errores de
navegación). Por otro lado, muchos problemas de seguridad relacionados con la fatiga
debe evaluar el riesgo utilizando la metodología SIRA (por ejemplo consideraciones
de fatiga específicos de vuelos de ultra-larga distancia).

La personalización de la metodología ARMS se discute en el capítulo 5

4.2 Clasificación de riesgo de eventos (ERC)

El principal objetivo de la clasificación de riesgo de eventos es el de actuar como la primera

selección de todos los datos de entrada de seguridad operacional y determinar el momento
de adoptar medidas necesarias urgentes. Este tipo de detección es necesario para cualquier
metodología que se utiliza para la evaluación de riesgos. Por lo general, la clasificación de
riesgo de eventos debe llevarse a cabo preferentemente dentro de uno o dos días de
producido el evento y se llevará a cabo por una persona con experiencia operacional que ha
sido entrenado en la evaluación de riesgos, en adelante, el analista de seguridad.|

La Sección 2.2 y los anexos 6.5 y 6.6 ilustran los problemas cuando se trata de analizar un
caso de evaluación de riesgos con los métodos clásicos. Para evitar estos problemas, la ERC
dentro de la metodología ARMS está basada en el nuevo concepto "Riesgo en función del
evento" 4, que es una evaluación de los riesgos asociados a este evento y no el riesgo
asociado con todos los eventos similares. Hay que tener en cuenta que la ERC sólo puede
ser el primero paso en el proceso de evaluación de riesgos y puede ser revisado como
resultado de cualquier investigación.

El valor de ERC se basa en dos preguntas:

• Si este evento habría escalado a un accidente, ¿Cual habría sido el escenario de
accidente más creíble?
• ¿Cuál fue la eficacia de las barreras remanentes entre este evento y el resultado de
accidente más creíbles?

Vale la pena señalar que:

• La primera pregunta está tratando de identificar el resultado del accidente que la

mayoría de veces preocupa cuando este tipo de incidente ocurre, o dicho de otro
modo ¿cuál es la accidente que estoy tratando de evitar al tener este incidente? Esta
cuestión no está pidiendo el resultado más probable, ya que es por lo general es
"Nada" y por lo tanto hace caso omiso de cualquier riesgo que el caso lleva, tampoco
necesariamente busca el peor resultado posible en el peor de los casos, no suele ser
el accidente más obvio que se pueda esperar. Por ejemplo, un despiste en una pista
de baja la velocidad o una colisión en tierra durante el rodaje sería un accidente, pero
rara vez con 100% de las muertes.

4
Descrita previamente en el capítulo 2

CA 121-110-03 25/71
 • Es probable que exista cierta subjetividad entre los usuarios que responden a la
primera cuestión en función de cómo consideran ellos los factores que causan el
evento. Sin embargo, esta variación se trata en la pregunta dos a través de tomar en
consideración las barreras remanentes, y por lo tanto la probabilidad del accidente
resultante. Los colores y valores de riesgo de la ERC están destinadas a garantizar
que cualquier variación en enfoque produce resultados similares en términos de riesgo
(véase el apéndice 6.8).
• En el largo plazo, es probable que las organizaciones identificarán los resultados
asociados con los tipos de eventos y por lo tanto, se eliminará la subjetividad asociada
con la primera pregunta para la mayoría de los incidentes. Por otra parte, algunos
usuarios pueden desear tener en cuenta múltiples resultados, pero esto, sin embargo
está fuera del alcance del trabajo de ARMS en esta etapa.
• La segunda pregunta sólo toma en cuenta las barreras remanentes para estimar la
probabilidad de accidentes si se diera como el resultado más creíble (de la pregunta
1). Se contarán las barreras, que contuvieron el accidente (porque todavía estaban en
su lugar), junto con cualquiera otra que se crea que todavía permanece. Las barreras
que fallaron ya no se tomarán en cuenta.
• Se reconoce que todavía existe subjetividad en la respuesta a la segunda pregunta y
que el conocimiento de los expertos seguirá siendo necesario para hacer una correcta
categorización. Es probable que algunas organizaciones opten por desarrollar
métodos para reducir esta subjetividad.
• La referencia en este análisis tiene que ser un accidente, porque la evaluación de
riesgos sólo tiene sentido en relación con un accidente. No cambia el hecho que
nosotros gestionamos incidentes, que en realidad no son accidentes, sólo se
reconoce el hecho de que para medir el riesgo asociado con los incidentes, tenemos
que hacer referencia a ellos al accidente resultante. En algunos casos, el accidente de
referencia podría ser tan leve que no califica como un accidente de acuerdo con la
definición de la OACI. Esto explica el uso del término "accidente resultante".

La propuesta de aplicación práctica de la ERC es una matriz 4x4, que se ilustra en la figura 4.

Figura 4. Matriz ERC

La siguiente guía le ayuda en la realización de evaluaciones de riesgos coherentes.

CA 121-110-03 26/71
Pregunta 1: "Si este evento hubiese escalado en un accidente, ¿Cuál habría sido el
accidente resultante más creíble?"
• En su mente, tratar de escalar el evento en un accidente resultante.
• Si es prácticamente imposible que el evento pudiera haber derivado en un accidente
resultante, entonces usted se encuentra en la fila final cuyo valor de ERC es 1.
• Si usted puede imaginar un escenario de accidente creíble (¡inclusive si es
improbable!), entonces considerar el escenario más creíble, juzgando su
consecuencia típica y recogiendo la fila correspondiente en la matriz. Puede ser de
ayuda la lista de "escenarios de accidentes típicos" en el lado derecho de la matriz.

Pregunta 2: "¿Cuál fue la eficacia de las barreras remanentes entre este evento y accidente
resultante más creíble?"
• Para acceder al resto del "margen de seguridad", tenga en cuenta tanto el número
como la robustez de los obstáculos restantes entre este caso y el escenario del
accidente en la pregunta 1.
• Las barreras que fallaron ya no se tienen en cuenta. Sólo se tienen en cuenta la
barrera que trabajó y las barreras posteriores que todavía están en su lugar.
• Para la selección de la columna vertical, usted debe escoger:
 La columna de la extrema derecha, si lo único que separa el caso de un accidente
fue pura suerte o habilidad excepcional, para lo cual no se requiere entrenamiento.
 La tercera columna de la izquierda, si algún tipo de barrera (s) todavía estaban en
su lugar, pero su efectividad total fue "mínima", por ejemplo, esta podría ser una
advertencia GPWS justo antes de un inminente CFIT.
 La segunda, si la columna de la eficacia de la(s) barrera (s) era "limitada". Por lo
general, esta es una situación anormal, más exigente de manejar, pero todavía
con un margen considerable de seguridad remanente, por ejemplo, un error en la
hoja de peso y balance o estiba versus ligeros problemas de rotación en el
despegue.
 La columna de la extrema izquierda, si el margen de seguridad era "efectivo", por
lo general consta de varias barreras buena, por ejemplo, pasajeros fumando en el
baño frente a accidente por incendio en vuelo.

Es bueno tener en cuenta que la información disponible sobre el evento en esta etapa puede
ser limitada y la ERC se lleva a cabo sobre la base de esta información limitada.

El apéndice 6.10 contiene ejemplos prácticos sobre la Clasificación de Riesgo de Eventos.

El ERC tiene dos salidas. El primer resultado es una recomendación sobre lo que se debe
hacer sobre el evento.

Por ejemplo, utilizando para ello la matriz de ERC, los resultados deben ser interpretados de
la siguiente manera:

 Investigue de inmediato y tome acción

 Investigue y lleve a cabo una Evaluación de Riesgo
 Úselo para la mejora continua (Fluye en la base de datos)

CA 121-110-03 27/71
En el caso de un resultado de color rojo, el evento puede ser considerado como un problema
de seguridad por derecho propio. En el caso de un resultado de color amarillo que pueden ser
investigadas y / o evaluación de riesgo con más refinamiento. Esto se puede hacer con el
SIRA, en primer lugar la creación de un problema de seguridad basado en el evento o algún
aspecto del evento (por ejemplo, un peligro). Por ejemplo, un GPWS caso puede revelar
pobres rutas ATC en un lugar determinado, que se toma como una Problema de seguridad y
riesgo evaluado utilizando el SIRA.

El analista de seguridad pueden, con base a su juicio, decidir a veces sobre un mayor riesgo
que lo que indica la ERC.

El segundo resultado de la ERC es un número, llamado índice de riesgo ERC. Este índice
da un valor cuantitativo del riesgo relativo y es muy útil en la recopilación de estadísticas (ver
sección 4.6 sobre el análisis de datos).

En la matriz propuesta de ERC, los índices de riesgo van desde el 1 al 2,500 y cada
cuadrado de la matriz tiene un valor único. La justificación de la elección de los valores de
estos índices de riesgo se presenta en el apéndice 6.8.

Si hay varios escenarios posibles de "accidente resultante" que se pueda imaginar, usted
debe ejecutar el proceso de ERC en cada uno y escoger el que le da el mayor índice de
riesgo.

4.3 Investigaciones
El propósito de una investigación local es averiguar más sobre el evento y sus causas. Su
alcance puede ir desde una llamada telefónica a la creación de un equipo de investigación
multi- departamental que podría tomar varios meses para presentar un informe final. No se
consideran aquí las investigaciones que involucran a organismos externos.

La investigación puede incluir:

• Llamadas telefónicas o reuniones para obtener información de personas involucradas
o especialistas
• Estudio de las condiciones meteorológicas y otros
• Estudio de los expedientes técnicos
• Analizar la base de datos de seguridad y análisis de datos históricos sobre eventos o
condiciones similares
• Escribir los resultados en un informe, que puede ser colocado en el software de
seguridad, relacionado con el evento.

Por lo general, la investigación identifica las causas, los factores contribuyentes y las
condiciones. Lo puede dar lugar a acciones y recomendaciones.
4.4 Acciones para reducir los riesgos

La Evaluación de riesgos, como tal, no reduce el riesgo. El SMS de la empresa especificará

los grupos funcionales que son necesarios para identificar las acciones necesarias y dar
seguimiento a su aplicación y eficacia. Por lo general, el Grupo de Acción para la Seguridad
(s) se centrará en estos dos. La organización también puede tener una Junta de Revisión de

CA 121-110-03 28/71
seguridad operacional de alto nivel, que se centrará en el seguimiento del nivel general de
riesgo y la finalización de la las acciones claves y las recomendaciones en el Registro de
Riesgos.

El Registro (de riesgo) es de gran ayuda en el seguimiento de las recomendaciones, tanto

para aplicación y eficacia. (Ver sección 4.9).

4.5 Base de datos Seguridad de Operacional

Además de la ERC, todos los datos de seguridad se deben introducir en la base de datos de
seguridad. Es necesario tener una "estructura" de base de datos, que pueden ser utilizados
para el análisis de datos y en donde se pueden encontrar fácilmente los eventos individuales.
La secuencia de las tareas, i) Clasificación de riesgo de eventos (ERC) y ii) la entrada del
evento en la base de datos de seguridad pueden variar en función del software del operador
individual y los procedimientos.

La base de datos de seguridad facilita diferentes tipos de análisis estadísticos, incluidos los
gráficos sobre el número de casos, los niveles de riesgo y las tasas, ordenados por diversos
criterios. Este tipo de análisis puede conducir algún tipo de acción, incluso antes de que un
problema de seguridad sea formalmente planteado y se ha hecho una evaluación más formal
de riesgos (En la figura 1, flecha (azul) en el centro). El análisis de base de datos la seguridad
también proporcionan algunas medidas para controlar el rendimiento de la seguridad.
Para crear una base de datos "estructural”, es necesario clasificar los datos en función de
varios criterios. Los elementos típicos relacionados con cada caso, por ejemplo:
• Fecha
• Tipo de aeronave
• Registro o matricula de aeronave
• Punto de salida y destino
• Fase de vuelo
• Ubicación del evento
• Evento descriptor o tipo
• Los sistemas de las aeronaves involucradas (lista de palabras clave)
• Aspectos operacionales involucrados (lista de palabras clave)
• Valor del incide de Clasificación de eventos de riesgos

Además de estos elementos de hecho, es muy conveniente crear otra estructura datos tales
como el caso de "tipo o descriptor", "factores causales", etc. Esto será extremadamente
valioso en futuros análisis de bases de datos.

A menudo la base de datos está contenida en la herramienta de software de seguridad

utilizado por la aerolínea.

Todas las herramientas comerciales incluyen las taxonomías palabra clave o descriptor de
clasificación de los eventos. El nivel necesario de sofisticación de la base de datos está en
función tamaño y complejidad de la línea aérea.

CA 121-110-03 29/71
Una descripción más detallada de las herramientas de software va más allá del alcance de
este documento.

4.6 Análisis de Datos

El objetivo principal de análisis de datos es identificar los problemas de seguridad que afectan
a la operación actual.
En el análisis de los datos se trata de examinar la base de datos de seguridad para identificar
las tendencias y grupos de eventos relacionados. Es un proceso de aprendizaje y
descubrimiento de datos existentes.
Cuadros, gráficos y filtros que se producen acontecimientos por diferentes combinaciones
tales como:
• Periodos de tiempo
• Tipo de aeronave
• Aeropuerto / aproximación
• Tipos de eventos
• Palabras claves
• Los sistemas de las aeronaves involucradas
• Aspectos operacionales involucrados

A veces los resultados revelan inmediatamente problemas que obviamente deben ser
abordados, incluso antes de una evaluación formal de riesgos. Por ejemplo, si una
aproximación a un aeropuerto tiene una tasa muy alta de aproximaciones no estabilizadas, el
asunto, obviamente, debe ser abordado.

Los resultados pueden ser presentados como "el número de eventos" o como "tasa de
eventos", que son con frecuencia más significativo. Por ejemplo, el número de
aproximaciones no estabilizadas por aeropuerto de destino será guiado por los diferentes
números de vuelos realizados en estos aeropuertos. La base puede revelar un alto número
de eventos, simplemente debido a la gran cantidad de vuelos. El cálculo de la tasa de
aproximaciones no estabilizadas por todas las aproximaciones voladas a ese destino le dará
una idea más clara de la situación.

Es importante darse cuenta de que ni el "número de eventos", ni "tasa de eventos" tiene en

cuenta la severidad (potencial) de los acontecimientos. Por lo tanto, mirar estas estadísticas
puede ser engañoso. El índice de valores de riesgo ERC puede ofrecer una valiosa
oportunidad de pasar de un enfoque en el "número" a un enfoque en el "riesgo", dando una
mucha mejor base para la toma de decisiones. Los valores de ERC pueden ser utilizados
para cualquier tipo de análisis estadístico. ¿Cómo se puede hacer esto? Los siguientes
ejemplos ilustran dos maneras posibles.

Ejemplo 1. Riesgo total acumulado

Suma juntos los valores ERC de un lote de eventos y declarar el valor del riesgo acumulativo
ya que el riesgo total para ese lote de eventos.

CA 121-110-03 30/71
 Reporte de eventos en tierra por aeropuerto
Número de eventos y porcentaje

Indices ERC Acumulado

Aeropuerto

Figura 5 Ejemplo ficticio del uso del índice ERC de riesgo acumulado

La Figura 5 presenta un ejemplo ficticio de un gráfico sobre eventos de tierra ordenado por el
aeropuerto.
Este ejemplo ilustra la importancia de considerar el riesgo en lugar del sólo las cifras y tasas
de eventos. Los resultados se presentan como un recuento de eventos, la tasa de eventos y
el riesgo total por el aeropuerto (ERC acumulado de todos los eventos de tierra en ese
aeropuerto). Para el aeropuerto DDD el riesgo es alto a pesar de una baja cifra y tasa de
eventos, es decir, la gravedad de los resultados (potencial) ha sido alta en los
acontecimientos que tienen lugar en este aeropuerto.
Por lo tanto, el análisis clásico basado sólo en el número/frecuencia o eventos que conducen
a subestimar la importancia de los eventos de tierra en DDD. De hecho, la "los eventos en
tierra de DDD" normalmente podría convertirse en un problema de seguridad.

Ejemplo 2: Informes de tasas anuales

Este es un ejemplo de la adición de los colores de ERC a las tasas de eventos por año.

CA 121-110-03 31/71
Figura 6. Ejemplo ficticio de un resultado ERC relativo al número de vuelos a lo largo
de 4 años.

En este ejemplo, todos los eventos de la base de datos se agrupan por el resultado de ERC
(rojo, amarillo, verde) por cada 1.000 vuelos. Esto da por resultado tasas de eventos ERC y
pueden ser monitoreados en el tiempo (por año o por mes, por ejemplo).

Otras opciones incluyen el cálculo de la media y / o la desviación estándar del índice de

valores de riesgo ERC. Estos pueden ser usados para evaluar el riesgo relativo de los
factores, tales como tipo de aeronaves, ubicación, tipo de evento de seguridad, etc. La
incorporación de estos valores en las tendencias en el tiempo es muy útil para la supervisión
del desempeño de seguridad operacional. Véase la sección siguiente.
Recuerde que los valores de índice de riesgo ERC son del riesgo relativo, es decir, que se
utilizan para comparar los diferentes riesgos, y no como valores absolutos.

4.7 Monitoreo del desempeño de la Seguridad Operacional

Un requisito fundamental en el SMS es el monitoreo del desempeño de seguridad operacional
de la organización.
El propósito es asegurar que se consigue el nivel aceptable de seguridad operacional (y por
lo menos un mínimo nivel aceptable de desempeño de seguridad). En la práctica, los datos
utilizados para la Supervisión del rendimiento es prácticamente la misma información que se
utiliza para Identificación peligros y Evaluación de Riesgos.
El Monitoreo del desempeño de la Seguridad Operacional puede estar basada tanto en:

CA 121-110-03 32/71
 • Medidas que vienen directamente de alguna fuente de identificación de peligros (por
ejemplo, reportes de seguridad o datos de vuelo)
• Riesgo basado en las medidas.

Los primeros tienden a dar información sobre un aspecto muy específico y limitado de la
operación y generalmente se limitan a un número o una tasa, no así la integración de la
dimensión potencial de la severidad. Los parámetros basados en el riesgo pueden dar una
imagen más completa del desempeño de Seguridad. Estos pueden ser utilizados en
diferentes niveles:

1. Normal, identificación de peligros, basados en indicadores de desempeño de seguridad

(SPI), puede ser transformado en medidas contra el riesgo mediante la sustitución del número
de eventos con el valor acumulado ERC. Tales indicadores de desempeño de seguridad
pueden ser creados para vigilar, por ejemplo:

• Riesgo total asociado a los eventos de mantenimiento

• Riesgo total de aproximaciones no estabilizadas
• Riesgo total de fatiga inducida

2. Los valores resultantes de la Evaluación de riesgos de problemas de seguridad operacional

(SIRA) se pueden utilizar en la creación de más indicadores globales de seguridad
operacional, las cuales hacen seguimiento a los riesgos de los problemas de seguridad
identificados.
Por ejemplo:
• Riesgo de "volar en espacio aéreo no controlado"
• Riesgo de "operación en el aeropuerto XXX"

3. Usando las medidas de 1 y 2 anteriores, es posible construir un indicador que vigile el

riesgo total operacional.

Los indicadores se pueden establecer, por ejemplo:

• Como un valor absoluto o valor mínimo

• En un plazo fijado por encima o por debajo de cierto límite
• Como una variación del rango permitido (por ejemplo, dos desviaciones estándar de la
media)
• Como una tendencia de riesgo

4.8 Evaluación de Riesgos de problemas de seguridad operacional

(SIRA)

Como resultado del análisis de datos, la organización permitirá ir conociendo una serie de
problemas de seguridad operacional que afectan a su funcionamiento. Estos riesgos deben
ser evaluados utilizando la Evaluación de Riesgos de Problemas de Seguridad operacional
(SIRA).
El primer paso es definir correctamente el alcance y el problema de seguridad. Los aspectos
típicos a definir son los siguientes:

CA 121-110-03 33/71
 • Título del problema de seguridad operacional
• Descripción del Peligro (s)
• Descripción de los escenarios relacionados con el accidente (s)
• Tipos de aeronaves considerados
• Lugares considerados
• Periodo de tiempo bajo estudio
• Departamentos cuya participación en la evaluación es necesaria
• Otros

Definir el problema de seguridad correctamente hace que la evaluación sea más objetiva. Por
ejemplo, una vez que los aeropuertos se han establecido, la longitud exacta de la pista es
conocida, una vez que se ha establecido el período de tiempo, la frecuencia de vuelos a
diversos destinos y el estado actual de la aeronave (modificaciones, etc.) se convierten en
fijos.

A veces, antes de hacer la evaluación cuantitativa del SIRA, el problema de seguridad podría
ser dividido en dos o más sub-temas. Por ejemplo, si el problema de seguridad es "Las
aproximaciones para el aeropuerto Z", donde el aeropuerto Z es un aeropuerto de gran
altura con una pista corta, el problema de seguridad puede ser dividida en dos sub-temas:
uno para cubrir el riesgo de aterrizajes duros y otro para cubrir el riesgo de excederse de
pista. La razón de la división es que la aplicación de barreras, lo que activó los
acontecimientos para los sub-temas pueden ser diferentes, por lo tanto requieren de un
análisis separado para cada uno de ellas.

El SIRA evalúa el riesgo mediante una fórmula en que el riesgo consiste en cuatro aspectos.
• Frecuencia / probabilidad del denominado evento de Activación
• Eficacia de las barreras preventivas.
• Eficacia de las barreras de recuperación.
• La severidad del resultado del accidentes (más probable)

Los antecedentes de este método se explican en el apéndice 6.9.

La ARMS ha desarrollado una aplicación basada en Excel para ilustrar cómo el SIRA puede
ser llevado a la práctica. Esta herramienta va a través del proceso de SIRA paso a paso,
empezando con la definición del problema de seguridad, a continuación, describiendo el
evento activador, todas las barreras y el accidente resultante. Por último, se efectúa una
estimación numérica de los tres primeros factores y se estima la severidad de los resultados
potenciales de accidentes, al igual que el ERC. Un factor de 10 de diferencia se utiliza para
evaluar fácilmente la efectividad de las clases de barreras (por ejemplo, la barrera podría
fallar "una vez de cada 100 veces", o "una vez de cada 10 veces "). Esta herramienta basada
en Excel está disponible en www.skybrary.aero.

Se utilizan los límites de las JAR/FAR 1309 para producir los resultados en una escala de
cinco niveles de de riesgo:

Niveles inaceptables de riesgo:

CA 121-110-03 34/71
 • Parar
• Mejorar
Los niveles tolerables de riesgo:
• Seguro
• Vigilar
• Aceptar

El significado exacto de cada uno de los resultados tiene que ser definida a nivel de empresa.
Aquí se da un ejemplo de lo que podrían significar los resultados:

• Parar: la parte afectada de la operación (por ejemplo, destino, tipo de aeronave,

procedimiento) debe ser suspendido inmediatamente hasta que se ha aplicado una
medida aceptable de reducción de riesgo. La materia recibe una atención inmediata
por parte de la administración.
• Mejorar: El problema debe ser planteado y accionada en el Grupo de Acción de
Seguridad operacional (SAG) y controlado por la Junta de Revisión de Seguridad. Es
necesario identificar las medidas de reducción de riesgos y empezarlas dentro del
marco de tiempo acordado. Si la no se alcanza dentro del plazo acordado la reducción
del riesgo a un nivel aceptable, se requiere que la alta dirección decida acerca de la
tolerancia al riesgo del nivel de seguridad de la Junta de Revisión de seguridad
operacional (SRB).
• Seguro: El nivel de riesgo y su tendencia debe ser vigilada en forma continua (por lo
menos a nivel de SAG) con el fin de prevenir la escalada hasta un nivel inaceptable.
Deben ser discutidos refuerzos de las medidas existentes en la próxima oportunidad
conveniente (por ejemplo, en la próxima reunión programada del SAG) y deben ser
consideradas nuevas medidas de reducción.
• Vigilar: El problema es seguido regularmente a través de la práctica rutinaria análisis
de base de datos y del seguimiento de los valores SIRA para todos los problemas de
seguridad en el Registro de Riesgos, es decir, se mantiene en la lista de problemas de
seguridad actuales o previstos.
• Aceptar: No se requiere acción específica ya que el riesgo está dentro del nivel
aceptable.
• Deben ser definidos el significado exacto de cada nivel de riesgo y las medidas
necesarias de acuerdo con los directivos de la empresa. ¿Qué es tolerable y por
cuánto tiempo? ¿Cómo se controlan los problemas de alto riesgo, y como se controlan
las acciones relacionadas? Este debe estar documentado en el Manual del SMS de la
organización.

La herramienta en Excel cuenta con un campo reservado para que el resultado pueda ser
comentado por el Analista de Seguridad. Para muchas organizaciones la herramienta en
Excel puede ser una manera suficiente de seguimiento de los problemas de seguridad. Se
pueden clonar fácilmente nuevas hojas de cálculo a partir de los ya existentes y utilizarlas
como plantillas para las actualizaciones de SIRA.

EL método SIRA es también aplicable a las evaluaciones de seguridad como parte de

proceso de la gestión del cambio. Este aspecto se trata en las secciones 4.10 y 4.12.

CA 121-110-03 35/71
4.9 Registro de Riesgos

El registro de riesgos contiene información sobre los riesgos identificados que es necesario
para su gestión. Los contenidos típicos son los siguientes:

• Problemas de Seguridad operacional

• Sus valores de riesgo
• Las acciones acordadas
• Las personas responsables y fechas límite para las acciones
• El avance en las acciones y el impacto en los niveles de riesgo

El Registro es una buena herramienta para las personas en la línea de operaciones y de la

Oficina de Seguridad que trabaja en la gestión de la seguridad operacional.

Algunas organizaciones pueden optar por seguimiento de los riesgos a un nivel más refinado
e incluir en el Registro:
• Eventos activadores
• Eventos de Estados Operacionales no deseados (UOE)
• Barreras y seguimiento de su eficacia 5
• Las decisiones de seguridad (que tienen que ser registrados en algún lugar, de todos
modos).

4.10 Evaluación de la seguridad

Una evaluación de la seguridad operacional es una evaluación de riesgos centrada en una
parte específica de la operación. El objetivo es valorar si esa parte de la operación es lo
suficientemente segura, es decir, si el nivel de riesgo es aceptable. Por lo general, la atención
se centrará en una nueva parte o cambio de la operación y el objetivo es asegurar que la
operación prevista estará a salvo. En este caso, la evaluación debe hacerse antes de la tomar
la decisión en la nueva operación, pero en cualquier caso antes de que se haya iniciado la
nueva operación.

El origen de la evaluación también podría ser un cambio en el entorno operativo, como frente
a una decisión interna de la empresa.
En los dos casos anteriores, la evaluación de la seguridad es parte de la Gestión del Cambio
del SMS. No habrá que completar los datos de la empresa que podrían ser utilizados en la
evaluación del riesgo debido a que la atención se centra en una futura operación.

A veces, las evaluaciones de seguridad se hacen para las partes ya existentes de la

operación.
En este contexto, son llamados a menudo casos de seguridad y el objetivo es asegurar que el
nivel de seguridad es (todavía) es aceptable. En este caso, los datos de la empresa de
seguridad deben estar disponibles para apoyar la evaluación.

Además del objetivo principal de evaluar el nivel de riesgo de la operación bajo enfoque, por
lo general es conveniente evaluar:

El seguimiento de las barreras y su eficacia es un tema muy amplio en sí mismo y puede convertirse en un aspecto importante de un
5

sistema de gestión de la seguridad operacional. Sin embargo, a pesar de que el grupo de trabajo ARMS identificó muchos desafíos en esta
área y discutió el tema, el problema está fuera del alcance de este documento.

CA 121-110-03 36/71
 • ¿Si el nivel de riesgo es demasiado alto, podría ser reducido a un nivel aceptable?
• En caso afirmativo, ¿cómo?
• ¿Qué tan difícil y costoso sería?

Las respuestas a estas preguntas son esenciales para la alta dirección cuando se evaluar la
fiabilidad y rentabilidad de una nueva operación.
Es importante darse cuenta de que las evaluaciones de seguridad no son simplemente una
medida del procedimiento del proceso de Gestión del Cambio. Su utilidad deriva en las
consecuentes acciones que se toman para reducir los riesgos identificados. Se deben vigilar
las acciones para asegurar que los riesgos se reducen a lo previsto.

El método propuesto para llevar a cabo la evaluación de la seguridad es el primero en

identificar y analizar los peligros asociados y luego usar la técnica de Evaluación de Riesgos
de problemas de seguridad operacional (SIRA) para evaluar los riesgos relacionados con los
riesgos identificados. Este método funciona cuando hay un número suficiente de hechos,
elementos cuantificables para alimentar el SIRA (por ejemplo, nuevas Procedimiento de
recuperación de GPWS).

Cabe señalar que por razones puramente cualitativas, los cambios “soft” (cambio de
estructura de administración, la externalización de un servicio) puede ser imposible de
cuantificar el riesgo utilizando la metodología ARMS o cualquier otro método, y por lo tanto no
se pueden utilizar la técnica SIRA. En estos casos la evaluación tiene que ser de carácter
cualitativo, basado en juicios realizados por personas con experiencia. Debe hacerse una
estimación mediante un proceso definido totalmente cualitativo "lo más objetivo posible",
generalmente por un grupo de evaluación.

Para todas las evaluaciones de seguridad, un problema clave es: ¿cómo se activan estas
evaluaciones? Se necesita un mecanismo sistemático de activación. Esto podría ser un ítem
permanente en la agenda del SAG y discutir en la SRB si nada "en el radar" requiere de una
evaluación de la seguridad. El SAG y SRB también tendrán que revisar y decidir si el
resultado de una evaluación de la seguridad es aceptable.

Ejemplos de evaluaciones de seguridad se desarrollan en el apéndice 6.10.

4.11 Análisis de Peligros

Una vez que el área de la evaluación de la seguridad ha sido definida con precisión, será
posible establecer una lista de los peligros relacionados. Esto se puede hacer de manera
sistemática mediante el uso de una método reconocido, como FMEA (Failure Mode and
Effect Analysis), o a través de una evaluación efectuada por un grupo de gente con
conocimientos.

La lista de los peligros identificados en sí mismo no siempre proporciona el material necesario

para el SIRA. Los riesgos tienden a combinarse entre sí con otros factores tales como
condiciones de visibilidad. Por lo tanto, el siguiente paso es la construcción de escenarios en
los que se identificaron peligros creados por Estados Operacionales no deseados (UOS) que
podrían resultar en un accidente.

4.12 Utilizando el SIRA para evaluaciones de seguridad

CA 121-110-03 37/71
El paso de análisis de riesgos por lo general produce varios peligros potenciales y varios
resultados potenciales de accidentes, en uno o más UOS. A continuación, podría ser posible
limitar el estudio a los resultados más importantes.

Se debe introducir ahora el(los) escenario (s) en el marco de SIRA. Esto significa que la
identificación de los UOS y los resultados relacionados con el accidente más probable, el
evento activador y las barreras. El método SIRA se aplicaría entonces como se explica en
sección 4.8 y se ilustra con los ejemplos en el apéndice 6.10. En la etapa de análisis del
peligro se producen la mayor parte de los datos necesarios para el SIRA.

En el caso de varios escenarios, el que produce el mayor riesgo direccionará el nivel global
del riesgo de la evaluación de la seguridad, pero podría llevar a todos los escenarios la
resultante de las acciones de reducción de riesgos.

CA 121-110-03 38/71
5.0 Temas de personalización para los diferentes tipos de
organizaciones
Al igual que en el SMS, en general, uno de los aspectos más difíciles en la creación de un
Proceso de gestión de riesgos es que se necesita adaptar a las especificidades de la
organización en cuestión.

A lo largo de este documento, se establece una distinción clara entre la metodología

conceptual, que debe ser universal, y la aplicación práctica de la metodología (impreso sobre
un fondo gris), que puede ser más o menos personalizado a nivel de empresa. Además en
este capítulo se abordan algunas de personalización de temas específicos.

5.1 Organizaciones sin operaciones de vuelo

Como se indica en el apartado 3.1, el foco principal de la metodología ARMS está en los
riesgos de la seguridad de vuelo, es decir, los riesgos que podrían dañar a los ocupantes de
una aeronave (pasajeros y tripulación). Sólo las organizaciones que ejecutan operaciones de
vuelo están expuestas directamente a los riesgos de la seguridad de vuelo.

Es importante darse cuenta de que la gestión del riesgo de seguridad de vuelo es también el
principal objetivo de seguridad del sistema de aviación en su conjunto. Por lo tanto, de ser
posible, cualquier evaluación de riesgo realizado en cualquier parte del sistema de aviación
debe estar relacionada con los riesgos de seguridad de vuelo.

El sistema de aviación se compone de un gran número de diversos proveedores de servicios,

la mayoría no ejercen una operación de vuelo y por lo tanto no tendrán accidentes de
aviación pero pueden contribuir positiva o negativamente a la seguridad de vuelo como fuente
de los peligros y mediante el control de algunas de las barreras. Es fácil ilustrar esto
pensando en las organizaciones de mantenimiento o los centros de control de tránsito aéreo.

¿Cómo deben llevar a cabo evaluaciones de riesgo las organizaciones sin operaciones de
vuelo?
A veces, su elección ha sido el de evaluar el riesgo en relación con un resultado intermedio
negativo, que ha sido por lo general;

• Liberación de la aeronave no aeronavegable – por una organización de

mantenimiento, y,
• Pérdida total de la capacidad de servicios de tránsito aéreo - para una organización
ATC.

El problema con este enfoque es que ninguno de los resultados intermedios mencionados es
en realidad un accidente. El estado de "aeronave no aeronavegable" puede ser alcanzado en
cientos de formas diferentes, algunas de las cuales inducen un riesgo extremadamente alto
de seguridad operacional mientras que otras no inducen en absoluto a un riesgo de
seguridad operacional. Por lo tanto, las evaluaciones de riesgos deben asegurar de que
existe una fuerte relación entre la evaluación de "riesgo de aeronavegabilidad" y el riesgo
para la seguridad en vuelo. Es deseable que la OMA deba evaluar tanto el riesgo de

CA 121-110-03 39/71
aeronavegabilidad como el de seguridad operacional. Hay que reconocer que el SMS de una
OMA tenga un proceso de identificación de peligros y de gestión de riesgos para identificar
problemas de seguridad operacional y asegurar que se tomen las medidas correctivas.
Algunos eventos que tienen un bajo o nulo riesgo para la seguridad operacional puede ser el
resultado de una falla sistémica que podría manifestarse en una forma mucho más grave. El
proceso de gestión de riesgos debe garantizar que se toman acciones y que los hechos que
no caen en la zona "verde" categoría "no se requiere acción", porque no fue un real
"accidente resultante".

Una de las conclusiones del grupo de trabajo ARMS es que las evaluaciones de riesgos, de
tales organizaciones de aviación deberían, si es posible, relacionarse con el riesgo de la
seguridad del vuelo, además de con el riesgo de aeronavegabilidad. En la mayoría de los
casos, esto requerirá de trabajo conjunto con otras organizaciones, especialmente, la que
ejecuta la operación de vuelo 6. El proveedor de servicios necesita saber cuál es el riesgo real
para las operaciones de vuelo creado por varios los peligros que ellos producen. Los
explotadores aéreos tiene que saber cuál es la frecuencia esperada eventos activadores (en
el proveedor de servicios) y cuan efectivas son las barreras en el lado del proveedor de
servicios. El SIRA es una herramienta muy útil para un trabajo estructurado y el diálogo hacia
el riesgo de la seguridad de vuelo real.

La metodología de ARMS es plenamente aplicable a diversos tipos de organizaciones de

aviación y no sólo a las organizaciones con operaciones de vuelo. Son un desafío los riesgos
relativos de seguridad en vuelo, pero el uso de la metodología ARMS puede ayudar a cumplir
ese desafío. Tanto ERC y SIRA suponen que se utiliza en relación con el posible resultado de
la operación en vuelo. El apéndice 6. 10 contiene ejemplos para ilustrar este punto.

La idea conceptual de la metodología ARMS puede ser usada para hacer versiones
adicionales de ERC y SIRA para una OMA por ejemplo. Cada evento se pudo evaluar en
paralelo con diferentes ERC y proporcionar diferentes valores del índice. De esta manera, los
diferentes tipos de riesgos podrían ser gestionados de forma paralela. El riesgo de la Salud y
Seguridad en el trabajo (OSH) también podría ser evaluado a través de los conceptos ARMS.
Tal "personalización", sin embargo, está más allá de la alcance de este documento y se deja
el trabajo a las organizaciones individuales o futuros grupos de trabajo.

5.2 Organizaciones grandes

En las grandes organizaciones con altas cantidades de datos necesitan de un proceso
sistemático, coherente y robusto para minimizar el tiempo necesario para el análisis por
informe y se vuelven muy importantes los requisitos. Una buena herramienta y la
automatización son elementos críticos para el éxito. El alto número de datos es a la vez una
bendición y un problema: la carga de trabajo es mayor, pero por otro lado, muchas cosas son
cuantificables.

Una cosa que puede resultar útil cuando se enfrentan a altas cantidades de reportes es el uso
de formatos, que guía al analista en la clasificación de eventos similares repetitivos de una

6
Ver la excelente presentación de Jean- Marc Cluzeau, presentada en el Seminario de EASA sobre SMS, del 15 al 16 de enero
de 2008. La presentación se puede acceder en el siguiente link: http//www.easa.eu.int/ws_prod/g/g_events_archiv.php

CA 121-110-03 40/71
manera coherente. Por ejemplo, los siguientes tipos de eventos pueden presentarse en
grandes cantidades de contenido casi idéntico:

• Choque con aves

• Alertas TCAS
• Fallos técnicos menores
• Pasajeros fumando en los baños

Además, puede haber períodos de tiempo en donde se repite un problema específico con una
muy alta frecuencia (condiciones técnicas, los fenómenos meteorológicos, trabajos en curso
en un aeropuerto, etc.) En estos casos, es bueno tener una bien documentada y coherente
forma para clasificar los acontecimientos, sobre la base de unas cuantas reglas sencillas.
Naturalmente, el formato sólo dará resultados predeterminados - si cualquier otro factor
adicional estuviera presente, el analista tendría que corregir el resultado.

Otra función potencialmente útil puede ser una detección semiautomática de problemas de
Seguridad Operacional. Una herramienta de minería de datos (data mining) puede escanear
la base de datos de seguridad y detectar algunos patrones como posibles problemas de
seguridad. La detección se basa en la frecuencia o la tendencia al aumento de valor en la
base de datos (por matricula de la aeronave, tipo de aeronave, sistemas de la aeronave,
época del año, aeropuerto, fase de vuelo, etc.). De esta manera, los patrones fácilmente
detectables por lo menos pueden ser detectados en forma semiautomática, dejando más
recursos de análisis para encontrar los patrones de seguridad más difíciles de detección.
Además, las herramientas de minería de datos han demostrado ser una buena herramienta
en la detección de asociaciones que son fácilmente perdidas con una exploración analítica
normal.

En una gran organización, con más datos, será posible medir diferentes fenómenos. Por
ejemplo, en el SIRA, es posible utilizar los datos históricos de fábrica para estimar la
frecuencia de un "evento activador" o la solidez de una barrera.

Desde el punto de vista organizativo, no solo puede haber más recursos disponibles, sino que
también habrá más datos para analizar. Una buena herramienta de software es vital para la
gestión de los datos y estar a disposición de todos los grupos de usuarios.
En grandes organizaciones es probable que varias personas realicen evaluaciones de riesgo.
Esto puede dar lugar a incoherencias. Por lo tanto, es necesaria la coherencia de las
evaluaciones para ser controlados en el Sistema de Gestión de la Seguridad Operacional.

5.3 Organizaciones pequeñas

Utilizando la metodología de ARMS una organización pequeña no es diferente de lo que ha

se ha descrito en este documento. Normalmente, el tamaño pequeño debería ser reflejado en
la cantidad de datos, herramientas, recursos humanos disponibles, experiencia y el nivel de
apoyo de la infraestructura de la empresa. Estos factores, que pueden ser percibidas como
las dificultades, se pueden compensar con más canales de comunicación directa, baja
burocracia y una mayor capacidad de actuación y adaptación a los cambios condiciones.
Tanto ERC y SIRA pueden y deben ser utilizado como se ha descrito. La pequeña cantidad
de datos puede ser un desafío para la detección de problemas de seguridad, evaluaciones

CA 121-110-03 41/71
con SIRA y el establecimiento de un sistema de monitoreo de seguridad de rendimiento
fiable. Esto aumenta la conveniencia de canalizar los diferentes tipos de datos de seguridad a
una sola base de datos, o si es posible, evaluarlos a través de la misma ERC. En cuanto a la
solución de base de datos por sí misma, puede ser a la vez aceptable y puede haber
restricciones por los costos impuestos por utilizar una simple solución de bajo costo, aunque
el costo de las herramientas disponibles en el mercado, es por lo general en función del
número de usuarios, haciendo que sean más asequibles a las organizaciones pequeñas.

Las evaluaciones de seguridad deben llevarse a cabo, al igual que para cualquier otro tipo de
organización. Una vez más, los datos externos puede ser muy útiles para la cuantificación de
diversos factores en el análisis.

Debido a una baja cantidades de datos, las organizaciones más pequeñas pueden tener la
tendencia de atestiguar los siguientes efectos:
• Cada evento categoría/palabra clave, etc. recibe un número de bajo de "hits" por lo
tanto hacer estadísticas sobre la base de "contar" se hace difícil
• Esto aumenta el valor de las estadísticas y análisis de riesgo basado en ERC, lo cual
permite facilita la priorización de los temas.
• El uso de datos externos se convierte en crucial, tanto para el estudio de temas de
seguridad con SIRA y para cualquier evaluación de la seguridad. El lema es: "¿Si le
sucedió otra persona con el mismo tipo de aeronave/destino/motor/ etc., nos podría
pasar a nosotros también?"

5.4 Personalización de las matrices de riesgo

El ERC y SIRA son definitivamente las áreas en las que muchos usuarios se verán tentados a
personalizar. Hay varias áreas potenciales para la personalización:
• matriz de colores ERC
• valores de índice de riesgo ERC
• Orientación de texto alrededor de la matriz ERC (para columnas y filas)
• Forma de gestionar el proceso de cálculo SIRA (Excel, matrices múltiples, etc.)
• Enunciado de las cuatro dimensiones SIRA (las preguntas)
• Enunciado de las respuestas SIRA
• Concepto de los posibles resultados diferentes, tanto para ERC y como el SIRA

Aunque la personalización a menudo supone un valor añadido y a veces es necesario, esto

puede llevar a grandes cambios de lo que realmente se requiere. Un cambio aparentemente
pequeño puede ser en realidad un cambio fundamental en el método, y esto puede pasar
desapercibido. Además, los beneficios de la personalización deben ser sopesados contra los
beneficios de los métodos armonizados con resultados comparables de un usuario a otro.

Personalizado para cada matriz de riesgo, el significado exacto de cada nivel de riesgo
requiere de la acción y debe ser definido y acordado con los directivos de la organización.
¿Qué es tolerable y por cuánto tiempo? ¿Cómo son relacionados los problemas de
seguridad de alto riesgo y sus correspondientes acciones de seguimiento? (Ver sección 4.8).

Aquí hay un resumen de que hacer y no hacer para la personalización del ERC y SIRA.

CA 121-110-03 42/71
Que hacer al personalizar el ERC:
• Si es necesario evaluar los eventos entrantes con múltiples "dimensiones de riesgo"
tales como aeronavegabilidad, costo o imagen la empresa, se puede crear un ERC
adicional para que cada evento se clasifique por separado para cada tipo de riesgo y
por lo tanto cada resultado puede conducir a diferentes tipos de acción. Esto puede
estar no relacionado con el riesgo real de seguridad de vuelo, pero se puede
adaptarse a la práctica real en el medio ambiente operacional, cuando es necesario
tomar en cuenta otras dimensiones de riesgo.
• Adaptar el ERC para organizaciones de mantenimiento o para una organización ATC
involucra cambiar parte del texto. Sin embargo, es crucial que, en donde se utilice el
ERC para clasificar el riesgo de la seguridad del vuelo, el eje vertical todavía se refiere
al resultado de accidente verdadero en seguridad de vuelo y no a los resultados
intermedios, tales como "aeronaves no aeronavegable" o "pérdida de la separación".
Un enfoque tipo ERC es deseable para evaluar el riesgo de estos "resultados
intermedios", esto sólo debería ser considerado como un subconjunto del enfoque
ERC ARMS.
• Dejar la decisión final de clasificación de riesgo para el analista de seguridad.
• Si desea proponer algunas directrices para los casos más frecuentes, pero
destacando que es solamente una guía básica y que el analista de seguridad tiene la
última palabra.
• En caso de cualquier cambio en la ERC, asegúrese de que está correctamente
calibrado, p.e. eventos que deben recibir una clasificación de riesgo, en realidad lo
reciben, y viceversa.

Que no hacer al personalizar la ERC:

• No tratar de dar una orientación muy precisa para cada columna / fila. En la práctica,
dicha orientación sólo funciona correctamente con algunos de los datos, pero no con
todos. Por ejemplo "Emergencia" puede ser una buena guía de muchos casos de
"mínimas" eficiencia de barreras, pero no para todos ellos.
• Por la misma razón, no sobre analice las condiciones existentes (por ejemplo,
"limitada"). Considere que usted tiene cuatro clases que van desde "margen de
seguridad muy alto” hasta "sin margen" y trate de posicionar el evento a la clase en la
que cree que mejor encaja.
• Un error típico en tratar de crear una guía para el eje horizontal es empezar
refiriéndose a "lo que detuvo la secuencia del accidente", que no es lo mismo del
concepto correcto de "lo que quedaba".
• No trate de desarmar el pensamiento y el juicio lejos del analista de seguridad
operacional. Es el único que puede evaluar el evento de una forma integral, teniendo
en cuenta todos los factores conocidos, el contexto y el medio ambiente.
• No cambie los valores del índice de riesgo ERC a menos que pueda justificar la
revisión del número a otra persona.

Al personalizar el SIRA:
• La aplicación de ejemplo de Excel es sólo una forma de implementar el SIRA.
Siéntase libre para poner en práctica de otra manera, respetando el principio de
creación de resultados sobre la base de los cuatro factores indicados.

CA 121-110-03 43/71
 • Asegúrese de que el SIRA está correctamente calibrado, es decir, los problemas que
deben producir un resultado de "riesgo inaceptable", no lo producen, y que los
problemas de bajo riesgo no se asigna un riesgo demasiado alto. Puede ser una
buena idea usar una referencia reconocida como la JAR/FAR-1309 para establecer
los límites de tolerabilidad.
• En la construcción del método de SIRA, definir el problema de seguridad con la mayor
precisión posible, por lo que dicha evaluación será los más objetiva posible -
minimizando la subjetividad.
• Asegúrese de que el rango de los parámetros de entrada es lo suficientemente
grande, que abarca, por ejemplo, muy frecuente "factores activadores".
• Utilizar las horas de vuelo en lugar de fases de vuelo cuando sea más adecuado y en
consecuencia adoptar el método.
• Sea claro cuando la evaluación se hace para toda la operación y cuando se hizo sólo
para una parte de la operación. Por ejemplo, el nivel de riesgo de un problema
presente en un destino de seguridad puede ser "compensado" por el relativamente
bajo porcentaje de vuelos a ese destino, mientras que el riesgo podría ser
inaceptablemente alto para todos los vuelos a ese destino. En tales casos, el riesgo
debe evaluarse exclusivamente para los vuelos hacia el destino afectado.
• Siempre que sea posible trate de usar los datos actuales como insumos para el SIRA.

No hacer con SIRA:

• No trate de aplicar una SIRA detallado y cuantificado de los problemas que no son
cuantificables (cambiar la alta dirección) o demasiado grande (fusión con otra líneas
aéreas). En tales casos, puede ser utilizado un método simple más subjetivo por un
grupo calificado de personas.

CA 121-110-03 44/71
6 Apéndices
6.1 La Misión del grupo ARMS
La misión del Grupo de Trabajo ARMS es la producción de metodología útil y coherente de
evaluación de riesgos operacionales para las aerolíneas y otras organizaciones de aviación y
para aclarar los procesos relacionados de gestión de riesgos.

Es necesaria la producción de métodos para satisfacer las necesidades de los usuarios en el

dominio de la aviación en términos de la integridad de resultados y sencillez de uso, y por lo
tanto, apoyar efectivamente el importante papel que la gestión de riesgos tiene en la aviación
los sistemas de gestión de la seguridad de seguridad operacional.

A través de estos resultados, el Grupo de Trabajo tiene como objetivo la mejora de la

uniformidad de las metodologías de gestión de riesgos a través de las organizaciones en la
industria de la aviación, permitiendo un mayor intercambio y aprendizaje.

En su trabajo, el Grupo de Trabajo ARMS recabó las contribuciones de expertos en

seguridad aérea con conocimientos sobre las necesidades de los usuarios y las aplicaciones
prácticas de gestión de riesgos en el entorno operativo.

Los resultados del Grupo de Trabajo son las definiciones metodológicas y no las
herramientas de software.
Los resultados del Grupo de Trabajo están disponibles para toda la industria.

6.2 Nacimiento del Grupo de Trabajo ARMS

La necesidad de un buen método de evaluación del riesgo operacional ha existido por mucho
tiempo. La aparición de los Sistemas de Gestión de la Seguridad operacional y la
correspondiente norma de la OACI le dio relieve esta necesidad.

El saque de inicio de ARMS llegó cuando Andrew Rose (entonces BA, después NATS) y Jari
Nisula (Airbus) se reunieron en la "Conferencia sobre Análisis de Riesgos y desempeño de la
seguridad operacional en la aviación de la FAA 2006" en Atlantic City, Nueva Jersey, donde
ambos fueron los oradores. Ellos compartieron una visión común de los problemas en la
evaluación de riesgos y acordaron tratar de iniciar un trabajo hacia una metodología
mejorada. Después de algunos meses de desarrollar una lista inicial de objetivos y
enunciados de los problemas, ambos co-presidieron un taller de trabajo, acogido por Airbus
en Toulouse, Francia, en junio del 2007.

ARMS nació como resultado de ese primer taller, donde las personas demostraron el
compromiso para trabajar juntos en este tema. El nombre ARMS (propuesto por Ivan Sikora,
Emiratos) sólo fue el nombre para el espacio de trabajo virtual al principio, (Airline Risk
Management Sharepoint). El grupo poco a poco llegó a ser conocido bajo el nombre ARMS,
lo cual dio pie para después llamarse Airline Risk Management Solutions.

6.3 Métodos de trabajo ARMS

CA 121-110-03 45/71
El trabajo desarrollado en ARMS fue una cooperación equilibrada de más de 10 personas,
donde las diferentes partes de la solución obtuvieron importantes contribuciones de varios
subgrupos a través de la innovación valiosa de manera individual por los diferentes miembros
de ARMS.
Se realizaron los siguientes talleres de dos días:
Toulouse (organizada por Airbus), jun-07
Las áreas de enfoque principal: la comprensión común de los problemas, establecer el
ámbito del trabajo, aprendizaje sobre las actuales prácticas y las soluciones
propuestas.
Amsterdam (organizada por NLR), Mar-08
Área de enfoque principal: método para evaluar el riesgo de un evento único.
Lisboa (organizada por TAP), May-08
Las áreas de enfoque principal: gestión de varios riesgos, el contexto organizativo de
la gestión del riesgo.
Ginebra (organizada por easyJet), Sep-08
Las áreas de enfoque principal: el perfeccionamiento de la metodología, la
documentación.
Toulouse (organizada por Airbus), Nov-08
Las áreas de enfoque principal: Finalizando el desarrollo, se centran en los resultados
finales.

Hubo un trabajo de desarrollo significativo entre los talleres. Se organizaron las siguientes
teleconferencias:
• Teleconferencia 18-Jun-08 + WebEx
• Teleconferencia el 24-Jul-08 + WebEx
• Teleconferencia el 09-Oct-08
• teleconferencia el 04-Nov-08 + WebEx

Durante los talleres, se trabajó tanto en un gran grupo como en sub-grupos. Los talleres
fueron preparados y presidido por Jari Nisula, excepto el primero, donde el papel fue
compartido con Andrew Rose. En el año 2009 y los dos primeros meses de 2010 se
dedicaron a dos tareas relacionadas:
Probar la metodología en la vida real y documentarla para su comprensión.
La creación de este documento principal, junto con algunos otros documentos (por ejemplo,
presentaciones PowerPoint) fue la tarea principal de este periodo. Su objetivo es proporcionar
un conjunto útil de herramientas para la comunicación de la metodología. El contenido de
estos documentos fue guiado y enriquecidos por las experiencias de la vida real de las líneas
aéreas y otras organizaciones de aviación que habían empezado a utilizar la metodología. Se
organizaron muchas teleconferencias en 2009 y 2010 para discutir el proyecto y obtener
acuerdo colectivo sobre el contenido de la documentación.

6.4 Miembros ARMS

Los participantes en el primer taller (junio de 2007) eran una mezcla de gente que:
• Tenía experiencia práctica sobre evaluación del riesgo operacional en las líneas
aéreas y las necesidades y desafíos relacionados.

CA 121-110-03 46/71
 • Vino a presentar propuestas de solución a algunas partes del desafío de la
evaluación de riesgos, incluyendo los métodos y herramientas de software.

Luego del primer taller del Grupo de Trabajo comenzó a desarrollar la nueva metodología.
Los miembros proceden principalmente de las líneas aéreas - algunos de otras
organizaciones de la aviación. En la práctica, se formó un equipo central, que fue
fundamental en el trabajo, mientras que algunos otras personas / organizaciones
contribuyeron en cierta medida, durante el período de desarrollo, o se ha mantenido en
comunicación con el grupo ARMS. Inicialmente se dio la bienvenida a toda la gente
interesada a unirse al grupo, hasta que el tamaño del grupo limitó el crecimiento. Se
incorporaron algunos nuevos miembros hacia el final del desarrollo, que era un buen
momento de poner ojos nuevos y tener otro enfoque de la realidad en las entregas.

Los miembros del Grupo ARMS y colaboradores:

Capitán Charles Barbknecht Air Berlin

Capitán Andreas Beaujean Air Berlin
Harard Hendel Airbus
Jari Nisula Airbus
Jean-Marc Cluzeau Air France Industries (reemplazado por Franck Danthez)
Tom O'Kane Consultor de Seguridad de Aviación (ex-BA)
Dr. Kwok Chan Dragonair
Gavin Staines DHL
Capitán David Antes EasyJet
Capitán Philippe Pilloud EasyJet Suiza
Ivan Sikora Emiratos
David Stobie Emiratos
Harri Koskinen Finnair
Capitán Mika Pyyhtiä Finnair
Capitán Kristjof Tritschler Germanwings
Martin Nijhof KLM
Capitán Ruud Wittebol KLM
Simon Gill Mirce Akademy
Andrew Rose NATS (ex-BA)
Joao Brites Netjets
Claudia Cabaco Netjets
Gerard van Es NLR
Michel muelles NLR
Filip Denoulet PrivatAir
Jan Peeters PrivatAir
Bob Dodd Qantas Airways
Nancy Harmer Shell Aircraft International
Liam Sisk SR Technics, Dublin
Marie Ward, SR Technics
Capitán Carlos Nunes TAP
Capitán Martin Fleidl Tyrolean Airways
6.5 Limitaciones de los métodos actuales

CA 121-110-03 47/71
Como se discutió en la sección 2.2, hay dificultades conceptuales en la evaluación de riesgos
de los acontecimientos históricos. La primera pregunta fundamental que hay que responder
es: ¿Cuál es el riesgo evaluado. En teoría, hay cuatro opciones:

1. ¿Cuál es el riesgo de un accidente? (ZERO - no hubo ningún accidente)

2. "¿Cuál fue el riesgo de que el evento se habría incrementado hasta un accidente, ayer,
dado que ya había sucedido”?
3. "¿Cuál es el riesgo de que exactamente ocurra lo mismo de nuevo y termine en un
accidente "?
4. "¿Cuál es el riesgo de que un evento similar ocurrirá en el futuro y termine en un accidente
"?

Por lo general, sin plantear esta cuestión conscientemente, los analistas tienden a tratar de
evaluar el riesgo 4, es decir, el riesgo de un evento similar que tendrá lugar en el futuro. El
problema es que "un evento similar" no está del todo definido. Lo único que se dice es que no
es exactamente el mismo 7. Esto se traduce en una cantidad significativa de la subjetividad en
la evaluación.

Este planteamiento llevó a los siguientes problemas:

• Hay una confusión sobre "gravedad de que". Algunos analistas califican basándose
en la gravedad del resultado real del evento, algunos en los posibles resultados y
algunos en lo que se considera un resultado creíble. Todo esto es muy subjetivo.
• "La probabilidad de recurrencia de qué" - confuso. El evento no vuelva a ocurrir
exactamente igual, por lo que en realidad la pregunta es acerca de la recurrencia de
algo similar, lo cual es muy subjetivo. Por ejemplo, si el evento fue un choque con ave
en el despegue desde el aeropuerto JFK que afecta a un A320, se debe considerar la
frecuencia típica de estos eventos en ¿solo A320?, ¿todos los eventos de aeronave
de similar tamaño en el flota o todo tipo de aeronave?, ¿Se debe considerar sólo JFK,
todos los aeropuertos de Nueva York o la totalidad aeropuertos de la red actual?, ¿se
debe considerar sólo los despegues o también las aproximaciones?
• Una vez que se ha hecho la evaluación del riesgo, cada evento tiene un valor de
riesgo, que depende de la probabilidad (en la práctica de la frecuencia) de los
mismos. Por lo tanto, si la frecuencia de los cambios del tipo de evento, en teoría, el
analista debe volver a evaluar los acontecimientos del pasado, porque el valor de
"probabilidad de recurrencia" debe ser actualizado. Si esto se hace, se introduce una
enorme carga de trabajo y gestión de tareas adicionales. Si no se hace, la evaluación
del riesgo ya no es correcta.
• Cuando las organizaciones quieren tener una idea del riesgo total, es posible que
quieran sumar juntos los valores de riesgo de los eventos individuales. Por ejemplo,
pueden seguir la tendencia del riesgo operacional total en el tiempo o comparar el
riesgo total de eventos de choque con aves del riesgo al total de eventos de
turbulencia. En este caso, por ejemplo valores acumulados de riesgo no son correctas
porque la probabilidad / frecuencia ya se han tomado en cuenta cuando el riesgo para
cada evento fue evaluado. El resultado podría reflejar más o menos (severidad de
probabilidad) x probabilidad, que esta sesgado demasiado hacia probabilidad a
expensas de la gravedad

7
Es como definir la nacionalidad de alguien diciendo que “no es italiano”

CA 121-110-03 48/71
6.6 Limitaciones de los métodos actuales - ejemplo

Usted aprende acerca de un evento, que ayer tuvo lugar:

Una aeronave de pasillo único, con casi 110 pasajeros invadió el extremo de la pista en el
aterrizaje debido a un error de mantenimiento que afectan a la capacidad de frenado.
Resultado real: unos pocos neumáticos quemados.
Si usted trata de aplicar la fórmula clásica de gravedad x probabilidad (en línea con lo que se
ha explica en la sección 7.5) que se enfrentan ahora a las siguientes preguntas:
¿La gravedad de qué?
• Resultado real: ¿neumáticos quemados?
• Escenario potencial de accidentes más probable: despiste con algunas lesiones y
daños principal a la aeronave?
• El peor escenario: ¿despiste con 100% de muerte?
• ¿se tiene en cuenta aeronaves más grandes? ¿Más pasajeros? ¿Aeropuerto crítico?
• Etc.

¿Probabilidad de qué?
• ¿El mismo error de mantenimiento?
• ¿eventos cercanos de despiste?
• ¿eventos de despiste real?
• ¿Cualquier tipo de aeronave? ¿en cualquier lugar?
• Etc.

Estas opciones ilustran la subjetividad significativa de los métodos más antiguos,

principalmente causadas por el objeto mal definido de la evaluación del riesgo.

6.7 Riesgo basado en eventos y el ERC

Riesgo basados en eventos se refiere al riesgo que está presente en el evento

experimentado, sin considerar todos los acontecimientos”similares". En lugar de tratar de
evaluar el riesgo "de un evento similar en el futuro", se evalúa el riesgo que está presente en
ese evento, ese mismo día.

Para determinar el riesgo basado en eventos, la pregunta guía es: "¿Qué tan preocupante fue
el evento como experiencia?". Cuando uno efectúa un análisis de lo que hace que algunos
eventos sean más preocupantes que otros, se pueden identificar dos dimensiones claves:
• ¿Qué tan cerca estuvo de llegar a un posible accidente?
• ¿Cuán malo podría ser el accidente?

La refinación de estas preguntas, la primera es: "¿Cuál fue la eficacia de las barreras
restantes? (entre este caso y el resultado de accidentes de mayor credibilidad) " y el
segundo: "Si el evento habría escalado en un accidente, cuál sería el resultados más
creíble? "Estas dos dimensiones enlazan a la perfección con la definición de riesgo: el
primero con "probabilidad" y el segundo con "gravedad". Por lo tanto, el valor resultante no es
la "gravedad", sino "riesgo".

CA 121-110-03 49/71
A cada valor de riesgo ahora le corresponde y depende de un evento singular, estos valores
de riesgo se pueden utilizar para obtener los valores correctos de riesgo acumulado con la
suma de valores individuales. De esta manera, se podría obtener un valor de riesgo total de
un aeropuerto, de una ruta en particular, de una aproximación, todos los eventos de choque
de ave o de un mes en particular, etc.

6.8 Justificación de la propuesta de los valores de índice de riesgo

de ERC

La elección de la propuesta de los valores de índice de riesgo de ERC se basa en las

siguientes
consideraciones:
• Se acordó que la escala horizontal y vertical debe ser exponencial. A escala lineal no
reflejaría la diferencia necesaria de "peso" entre las clases.
• Investigando los eventos reales reportados, la diferencia de riesgo entre los menores y la
mayoría de los eventos de riesgo es de hecho muy significativa. Por lo tanto, se acordó
que la diferencia en el orden de magnitud entre el índice de menor a mayor deberían estar
en el rango de 1 a 1 000.
• Se han estudiado datos reales de accidentes y se clasifican en función de la Pregunta 1
del ERC. Se observó que la relación entre las pérdidas cuantificadas en cada una de ellas
fue 1:5:25. Esto fue utilizado para la escala vertical. Por simetría la misma relación se
utilizó para la escala horizontal.
• La última fila es un solo bloque en lugar de cuatro plazas. Esto se debe a la fila inferior se
corresponde con el caso "Sin la posibilidad de daños o lesiones que podrían ocurrir " y por
lo tanto no tiene sentido estimar la "eficacia de la los obstáculos que subsisten".
• En la primera versión de la matriz de ERC algunos recuadros figuran con idéntico riesgo a
los valores del índice. Se decidió que cada cuadro debería tener un número único, por lo
que el valor del índice debería indicar de inmediato su lugar en la matriz. Además, desde
la perspectiva del software, un campo numérico único es ahora suficiente para capturar el
resultado de la clasificación de eventos de riesgo. Por lo tanto, los índices de 20, 100 y
500, que apareció en varios recuadros en la primera versión, fueron ajustados mediante la
adición de un pequeño incremento para que sean diferentes. Los valores de la parte
superior de la fila se incrementaron por 2 y los valores de segunda fila por 1. Este el
ajuste es tan pequeño que su impacto en los valores de ERC es insignificante. El único
objetivo es la diferenciación.

6.9 El método de Evaluación de Riesgo de problemas de seguridad

operacional (SIRA)

Una de las principales limitaciones de la fórmula clásica de probabilidad x gravedad es que lo

hace sin tener en cuenta el apoyo de las barreras (es decir, los controles de riesgo). Por lo
general, el analista tiene que evaluar primero el riesgo teniendo en cuenta las barreras
actuales (sin una manera específica de cuantificar su efectividad) y luego hacer otra
evaluación, teniendo en cuenta nuevas barreras adicionales.

SIRA introduce una fórmula mejorada de evaluación de riesgos. Cuenta con cuatro factores:

CA 121-110-03 50/71
 • Frecuencia/probabilidad del evento desencadenante
• Eficacia de las barreras evitar
• Eficacia de las barreras de recuperación
• La gravedad del accidente resultante

El modelo detrás de SIRA se presenta en la figura 7. Una vez que el problema de seguridad
ha sido definido, el analista tiene que crear el escenario del accidente aplicable. Se puede
evaluar estos escenarios utilizando el análisis de riesgo SIRA. Por lo general, el riesgo más
alto producido por un escenario se convierte en el valor de riesgo en cuestión.

El evento activador puede ser de diversos orígenes (se dan algunos ejemplos en la figura). El
primer factor es una estimación de la exposición a este evento. A menudo puede ser
expresado en términos de X veces / Y vuelos.

El Estado Operacional no deseable (UOS) se define por ARMS como:

"La etapa en un escenario de accidente en el que el escenario se ha agravado hasta tal punto
que (con exclusión de la providencia) el accidente sólo puede evitarse a través de una
medida exitosa de recuperación”. Los controles de riesgo antes del UOS son parte de la
eficacia para evitar las barreras y post UOS son parte de la recuperación. "

Por ejemplo, el UOS podría "terminar en un curso de colisión con otra aeronave”. Una medida
de la recuperación sería, por ejemplo, una alerta TCAS combinado con una reacción correcta
del piloto (o aeronave).

CA 121-110-03 51/71
El segundo y tercer factor de la fórmula SIRA se estima que alrededor de la eficacia de la
prevención y recuperación de las barreras. Por último, el cuarto factor es la gravedad del
accidente resultante, de acuerdo con la escala vertical del ERC.
Los valores de estos cuatro factores pueden ser clases (por ejemplo A, B, C, D) o valores
numéricos.
En efecto, los tres primeros factores comúnmente definen la "principal frecuencia del
accidente debido a este problema de seguridad", mientras que el último factor indica la
gravedad del accidente. Para construir una metodología adecuada, es necesario decidir qué
combinaciones de frecuencia y gravedad son tolerables. La JAR/FAR-1309 establece límites
de tolerabilidad para el diseño de aeronaves y es una fuente de tales límites.

Es importante recordar que el SIRA se lleva a cabo sobre problemas de seguridad, mientras
que ERC es se utiliza para eventos.

6.10 Ejemplo de casos de evaluación de riesgos

6.10.1 Ejemplos de Clasificación de riesgo de eventos (ERC)

Hay que tener en cuenta que en el momento en que se lleva a cabo un ERC, la persona que
efectúa la clasificación a menudo tendrá que depender únicamente de la información del
informe. A veces esta información es muy limitada. Esta es una de las razones por las cuales
la ERC no se debe considerar una evaluación refinada del riesgo final, sino más bien de una
primera clasificación de eventos por el riesgo estimado. Los siguientes ejemplos reflejan
también la realidad de tener en cuanta cuando se tiene una baja cantidad de información
disponible para la ERC.

Cuando estudie estos ejemplos, el lector no siempre podrá pensar que el resultado obtenido
de la evaluación es el más apropiado. El resultado exacto de la evaluación real no es el punto
principal aquí, el objetivo principal es ilustrar la metodología y los procesos de razonamiento
utilizados para hacer las evaluaciones. Es normal que diferentes personas no puedan ver
algunas cosas de la misma manera. Cada persona por lo general se refiere a la operación
que está acostumbrado y esto solo puede crear diferencias en los resultados. Aun más, si se
elige un "accidentes resultante" más severo, esto suele ir acompañado de más barreras de
prevención, con el resultado final en el mismo color de "acción".

El texto del informe original que describe el acontecimiento, está en cursiva. El modelo de
asesoramiento paso a paso para la efectuar la ERC, que ha sido extraído de "ARMS en
pocas palabras” del capítulo 9, se presenta en bullets y en cursiva.

ERC Ejemplo 1

Informe de Seguridad Aérea (ASR):

TCAS "Climb" RA en espacio aéreo no controlado de bajo densidad. Autorización del ATC
para el tránsito de bajo nivel fue "RWY 01, salida VFR, gire a la izquierda de retornando a
XX NDB, a continuación, rumbo 115° durante 20 NM, prosiguiendo a YYY, altitud inicial de
2.300 ft" la tripulación deseaba unirse a espacio aéreo controlado pero, se ofreció esta
salida por el ATC.

CA 121-110-03 52/71
Después del despegue se les dio servicio de radar y de asesoramiento. La velocidad era de
180 kt, el rumbo fue de 105°, entre 15 y 20 millas náuticas de XX NDB. La tripulación recibía
constantemente avisos de tránsito y rumbos de separación del servicio de radar para evitar
tráfico. El espacio aéreo estaba repleto de aeronaves VFR y el TCAS mostraba
constantemente 5 ó más aeronaves en un rango del 5 NM. La tripulación fue alertada en gran
medida a vigilar e identificar y el tráfico solicitado de nuevo para unirse al espacio aéreo
controlado.

A pesar de haberse proporcionado rumbos para evitar conflictos, se activó un aviso de

resolución TCAS RA con 2000ft/min o más. Después de estar libre del conflicto la tripulación
descendió de nuevo a 2300 ft e informó al servicio radar.

Responda la Pregunta 1:
• Piense en cómo el evento podría haber derivado en un accidente resultante (ver
ejemplos a la derecha de la matriz de ERC). Por lo general, la escalada puede ser
debido a las acciones de las personas involucradas, la forma en que el peligro
interfiere con el vuelo, y la conducta de las barreras.
• No filtre escenarios improbables. La pregunta 2 tomara en cuenta la (baja)
probabilidad.
• Entre los escenarios con un accidente resultante, escoja el más creíble, y seleccione
la fila correspondiente en la matriz.

La maniobra de resolución fue bastante agresiva, por lo que es razonable suponer una
pérdida significativa de separación. Teniendo en cuenta la cantidad de tráfico en las
cercanías de todos los escenarios posibles de accidentes, un escenario de colisión en el aire
es el más creíble. Esto puede parecer un escenario muy improbable, pero en línea con el
segundo punto arriba, la "probabilidad" los aspectos de riesgo se tendrán en cuenta en la
pregunta 2 a continuación. Aquí, lo importante es centrarse en la identificación del escenario
del accidente.

Esto nos lleva a seleccionar la primera fila de la matriz ERC:

Responda la Pregunta 2:

CA 121-110-03 53/71
 • Para evaluar el margen de seguridad restante, tenga en cuenta tanto el número y la
solidez de las barreras restantes entre este evento y el escenario del accidente
identificados en la pregunta 1.
• Barreras las que ya no se tienen en cuenta
• Seleccione la columna de la elección. Ver sección 4.2 para una orientación detallada.

El escenario elegido es un accidente de colisión en el aire. Esta segunda pregunta ahora

tiene que ser respondidas en relación con ese escenario. La barrera que detiene la escalada
fue el TCAS. Detección visual de la otra aeronave habría sido otro potencial barrera y una
advertencia de ATC una tercera. ¿Cuál es la eficacia combinada de estas barreras
restantes?

El TCAS es generalmente eficaz, pero requiere que el sistema esté operativo en al menos
una aeronave. No es raro que el tráfico VFR funcione sin un transpondedor, haciendo que el
sistema TCAS inútil. Del mismo modo, la capacidad del ATC para detectar el trafico VFR y
advertir de ello podría verse seriamente comprometida. La detección visual y evitar a otras
aeronaves (pequeñas) no es confiable. Por lo tanto, las barreras remanentes se consideran
de eficacia mínima.

Esto se traduce en el recuadro con un índice de riesgo de 502 y de color rojo:

Por lo general, esto significaría paralizar la operación en la zona (s) donde ocurrió el evento,
hasta que haya garantías y buenas razones para creer que el nivel de riesgo se ha reducido
significativamente. Se debe llevar a cabo normalmente una investigación (interna) y una
nueva evaluación de riesgos.

ERC Ejemplo 2
Informe de Seguridad Aérea (ASR):
Los Flaps no se replegaron después de aterrizar bajo una lluvia moderada. Mensaje " FCTL
Flaps bloqueado".
Responda Pregunta 1:

CA 121-110-03 54/71
 • Piense en cómo el evento podría haber derivado en un resultado de accidentes (ver
ejemplos a la derecha de la matriz de ERC). Por lo general, la escalada puede ser
debido a las acciones por las personas involucradas, la forma en que el riesgo de
interferir con el vuelo, y la barrera comportamiento.

El evento es un simple fracaso después del aterrizaje. La situación resultante puede ser una
molestia, pero no tiene un impacto en la seguridad del vuelo. Por lo tanto, estamos en el
caso "Sin daños potenciales o podrían ocurrir daños menores". El índice de riesgo es 1 la
pregunta 2 ya no aplica

ERC Ejemplo 3

Informe de Seguridad Aérea (ASR):

Durante el vuelo en crucero, la alerta ECAM “Sistema hidráulico Low Press”, seguido por
baja cantidad. Se declaro urgencia (PAN), continuando a XXX. Procedimientos que se llevan
a cabo de acuerdo con ECAM \ QRH. Comunicaciones con el ATC, compañía y servicios de
bomberos.
Llegada a YYY para completar los procedimientos + información. 15 millas finales, FMS gear
extensión. Fuego total / cubierta de emergencia. Aeropuerto XXX parecía reacio a
aceptarnos, sin embargo, después de la explicación de la necesidad de una pista larga,
estuvo de acuerdo.

Responda la pregunta 1:

• Piense en cómo el evento podría haber derivado en un accidente resultante (ver

ejemplos a la derecha de la matriz ERC). Por lo general, la escalada puede ser
debido a las acciones de las personas involucradas, la forma en que el peligro
interfiere con el vuelo, y las barreras de conducta.

Los factores que podrían haber hecho de este evento escale a un accidente están
relacionados principalmente con la capacidad de la tripulación para manejar la situación. Lo
normal sería que diferentes aerolíneas lleguen a conclusiones diferentes acerca de si un

CA 121-110-03 55/71
escenario con un accidente resultante podría ser asociado con esta falla. Estas diferencias
se deben al nivel de confianza en el entrenamiento actual de los pilotos, en su habilidad,
experiencia, y en cierta medida debido a la subjetividad individual del analista.

En este caso, se podría considerar la falla afectando al vuelo de dos maneras: directamente
debido a la degradación de la performance de la aeronave degradados (2 de 4 inversores de
empuje inoperante, algunos spoilers inoperante) e indirectamente debido a la sobrecarga de
trabajo y la situación inusual.
Imaginemos que el analista tiene mucha confianza en las tripulaciones de vuelo. Teniendo en
cuenta el contexto (tiempo del día, el aeropuerto con pista larga, etc.), es razonable concluir
que las consecuencias de la falta de alterar el normal funcionamiento muy poco. Por lo tanto,
la analista selecciona el índice de riesgo 1 (fila inferior) y también la pregunta 2 ya no aplica

ERC Ejemplo 4
Informe de Seguridad Aérea (ASR):
Encuentro con un cometa durante una aproximación ILS.
Al pasar a 1,800 pies sobre la aproximación ILS a la pista 33, la trayectoria de la aeronave
fue atravesada por una cometa, a una distancia estimada de 5 a 15 metros. La Torre de
control fue informado del evento. El avión es un jet de negocios sin tripulación de cabina.
Ningún otro avión informó haber visto el cometa.

Responda la Pregunta 1:
• Piense en cómo el evento podría haber derivado en un accidente resultante (ver
ejemplos a la derecha de la matriz ERC). Por lo general, la escalada puede ser
debido a las acciones de las personas involucradas, la forma en que el peligro
interfiere con el vuelo, y las barreras de conducta.

El primer juicio es sobre si se puede imaginar los escenarios que conducen a un accidente
resultante (incluyendo los improbables). Aquí el analista debe tener en cuenta que el
accidente resultante puede ser un accidente real (según la OACI) o un "accidente menor",
con participación de heridas leves o daños.

CA 121-110-03 56/71
Podemos considerar que el peligro en sí (el cometa) pudo haber chocado a la aeronave, y
podemos considerar las posibles reacciones de la tripulación a la situación. Por lo tanto, al
menos tres escenarios se puede imaginar (incluso si los tres son más o menos probables):

1. La tripulación de vuelo hace maniobras bruscas tratando de evitar que la cometa y

esto conduce a lesiones menores en la cabina.
2. La cometa golpea la aeronave (por ejemplo, motores) y causa un accidente conocido
como pérdida de control (LOC).
3. La cometa golpea la aeronave y de las consecuencias distraen a la tripulación de
vuelo la medida en que el aterrizaje no está totalmente bajo control, lo que lleva a
una muy difícil o un accidente de aterrizaje, con los daños y / o lesiones.

El punto importante aquí es que estos escenarios no se han descuidado, ya que parecen
bastantes improbables:

• No filtrar los escenarios improbables. La Pregunta 2 tomará en cuenta a la (baja)

probabilidad.

La ERC consiste en dos preguntas, la primera sólo se refiere a la posibilidad de

consecuencias y la segunda se refiere a la probabilidad, considerando las barreras que
subsisten. Estos dos pasos no deben ser mezclados!
• Entre los escenarios con un resultado de accidentes, escoja el más creíble, y
seleccione la fila correspondiente en la matriz.

Elegir el más creíble de los escenarios de la lista es un juicio subjetivo. Cuando existen
diferentes escenarios las diferencias son la magnitud de la forma del accidente mismo, es
relativamente fácil de tomar "el más creíble" resultado de accidente. Por ejemplo, por lo
general no muy difícil decidir entre un despiste de alta velocidad (--> catastrófico) y un
despiste de baja velocidad (---> mayor).
Aquí, sin embargo, hay tres escenarios muy diferentes. Imaginemos que el analista toma en
cuenta tanto el escenario creíble primero y segundo. Por lo tanto, clasificará a los dos con la
ERC. El resultado será el más alto de los dos índices de riesgo.
El primer escenario daría lugar a lesiones menores y por lo tanto, correspondería a la
segunda fila de la parte inferior de la matriz de ERC ("lesiones leves o daños"). El resultado
de accidentes de mayor credibilidad de la segunda hipótesis (LOC), sería un "Accidente
catastrófico" (fila superior de la matriz).

Responda la Pregunta 2:

• Para evaluar el margen de seguridad restante, tenga en cuenta tanto el número y la

solidez de las barreras remanentes entre este evento y el accidente resultante
identificados en la pregunta 1.
• Barreras la que ya fallaron no se tienen en cuenta.
En el primer caso, las lesiones serían causadas por la maniobra de evasión repentina de la
tripulación de vuelo. Tal maniobra es totalmente plausible en el contexto dado. ¿Hay barreras
para proteger a los ocupantes si tal maniobra se utiliza? Más importante, los pasajeros deben
tener sus cinturones de seguridad abrochados. No debe haber objetos peligrosos sueltos en
la cabina. Sin embargo, la experiencia de esta operación (sin tripulación), muestra que estas

CA 121-110-03 57/71
defensas primarias no son de forma rutinaria. Por lo tanto, el analista de seguridad considera
que la eficacia de estas barreras "mínimo".

Escenario1 1.

En el segundo escenario (LOC), hay más margen de seguridad:

• Barreras técnicas: es poco probable que el cometa podría eliminar sistemas vitales
redundantes, al igual que los dos motores, hasta el punto que se pierda por completo.
• Si la cometa causó daños limitados en el fuselaje o de algunos sistemas de la
aeronave, las aeronaves pueden seguir volando.
• Potencial incremento de carga de trabajo/ reducción de disponibilidad de instrumentos
de vuelo que ser menos crítica debido a cabina con 2 tripulantes.

En base a este razonamiento, el analista de seguridad considera que la eficacia era la barrera
"Efectivo"

Escenario2 2.

Los resultados son los siguientes:

• Escenario 1: índice de amarillo, riesgo del 20
• Escenario 2: índice de amarillo, riesgo del 50

El mayor de los dos (50) se tomará como el resultado global

CA 121-110-03 58/71
Como se puede observar, el resultado principal (= el color) de los dos escenarios es el
mismo.
Por lo tanto, la urgencia y la forma de la acción del elemento sería la misma. Esto es típico,
cuando dos escenarios se construyen a partir del mismo evento, como los resultados más
graves tienden quedar "detrás" de las más barreras. No debería ser habitual tener que tratar
con más de un escenario por accidente para cada evento de ERC.

ERC Ejemplo 5

Informe de Seguridad Aérea (ASR):

AIRPROX informado por el piloto de aeronave comercial en la aproximación al aeropuerto
AAA siguiendo observación visual del paso de ultraligeros a 1 kilómetro de la trayectoria de
aproximación final, no fue necesario tomar medidas evasivas. La aeronave estaba en una
aproximación ILS a pesar de existir una buena visibilidad. El ultraligero se mostraba de forma
fiable en la pantalla radar del controlador.

Responda a la Pregunta 1:

La razón de separar aviones es para evitar una colisión entre ellos y por lo tanto, los
resultados potenciales de accidentes en este caso es un accidente catastrófico. A pesar que
se podría argumentar una colisión con el ultraligero, esta no puede causar la pérdida de la
aeronave comercial, si se considera que el resultado más probable de una colisión sería
catastrófico y por lo tanto, se selecciona la línea superior.

Responda la pregunta 2:

El ultraligero no fue visto en el radar por lo que las barreras ATC no fueron eficaces en este
caso y no necesitan ser considerados. El ultraligero, no parece haber estado operando un
transpondedor por lo que cualquier barrera terrestres o de barrera de aeronaves basadas en
TCAS sería también ineficaz.
En este caso, las aeronaves no chocan porque el ultraligero en realidad no estaba cruzando
la trayectoria de las aeronaves comerciales y, además, el piloto comercial advirtió

CA 121-110-03 59/71
visualmente al ultraligero debido a la buena visibilidad y una efectiva vigilancia visual. Ambos
barreras estaban actuado para evitar la colisión, pero su eficacia necesita ha de ser
plenamente considerada.

A medida que el avión comercial volaba una aproximación ILS bajo control de ATC en un
espacio aéreo controlado, combinado con la dificultad de detectar a un avión pequeño, como
un ultraligero, no se considera que la vigilancia visual del piloto comercial sea una barrera
segura para evitar una colisión. Además, hay que señalar que las condiciones visuales no
eran un requisito para esta aproximación. Como los detalles del piloto del ultraligero no
están disponibles, es difícil evaluar la fiabilidad de esta trayectoria como barrera a la colisión.
Sin embargo, sí tienen que tener en cuenta que el piloto del ultraligero ya estaba extraviado
en el espacio aéreo controlado por lo que no sería razonable sugerir que la capacidad del
piloto de ultraligero para evitar una colisión, pueda ser alta.

Por lo tanto, entre la situación de la vida real y el escenario considerado, no estaban mejor
las barreras "mínima", pero lo más probable es que podríamos considerar que no había
barreras efectivas. Esto corresponde la columna de la derecha ("no efectiva")

El color resultante es de color rojo y el índice de riesgo es de 2500. Por lo general, el estado
de color rojo sugiere que se debe tomar una acción inmediata para reducir el riesgo
asociado con este caso - o si una mejora inminente no es posible, entonces la parte más
arriesgada de la operación debe ser suspendida.

ERC Ejemplo 6

Informe de Seguridad Aérea (ASR):

La condición de las marcas de pista / calles de rodaje y luces, la falta de señalización vertical
y frecuentes fallas de los radares de tierra hacen que la operación en tierra en el aeropuerto
XXX muy peligrosa.

El informe describe los peligros (o las condiciones latentes) en un aeropuerto concreto y no

realmente un evento en el que algo hubiera sucedido. Si bien es posible ejecutar esto a

CA 121-110-03 60/71
través de la ERC, a menudo es más apropiado utilizar SIRA para estos casos. Este ejemplo,
se trata en el ejemplo 3 del SIRA.

ERC Ejemplo 7

Reporte Mantenimiento de seguridad (MSR):

Aeronave rodando hacia estacionamiento después del mantenimiento. El Mecánico al salir

de la cabina después del rodaje se percató que se había perdido completamente la puerta
de la cabina.

Responda la Pregunta 1:

Por lo general, en este tipo de situaciones, el evento tiende a obtener una clasificación de
alto riesgo a nivel local en la organización de mantenimiento, porque administrativamente la
aeronave no estaba en condiciones de vuelo debido a una tarea de mantenimiento sin
terminar, y debido al alto efecto de la vergüenza porque algo tan visible se haya perdido.

Sin embargo, desde el punto de vista de la seguridad de vuelo, la falta de la puerta no

introduce un riesgo. En primer lugar, el hecho es que la puerta perdida sin duda se notaría
antes del vuelo por la tripulación de vuelo / de cabina, incluso si el mecánico la haya perdido.
En segundo lugar, la puerta no lleva a una función vital para la seguridad operacional
(mientras tiene una función de seguridad aérea). Por lo tanto, la clasificación ERC sería el
siguiente:

Este ejemplo pone de relieve la importancia de relacionarse con el riesgo real de seguridad
de vuelo, y no con el impacto local de la organización de mantenimiento. Sin embargo, este
último puede ser una importante consideración adicional local desde la perspectiva de la
calidad, y obtener una alta importancia en la calificación del mismo.

CA 121-110-03 61/71
6.10.2 Ejemplos de Evaluación de Riesgos de Problema de
seguridad (SIRA):
Los ejemplos aquí presentados han sido evaluados con la herramienta Excel SIRA. Los
archivos de Excel contiene una evaluación completa, mientras que el texto de abajo da más
explicaciones sobre el por qué y el cómo de la evaluación.

SIRA Ejemplo 1
Anomalías en la energía eléctrica en el vuelo de aeronave grande de AAA a BBB requirió
que la tripulación seleccionara el bus de la batería, el cual puede suministrar energía limitada
a un período de hasta 90 minutos. La tripulación decidió continuar con BBB. Una hora y 40
minutos más tarde, la energía de la batería se agotó y se perdieron los sistemas de cabina
restantes. Se decidió entonces desviarse a CCC y se detuvo la aeronave en la pista principal
debido a la que no había inversores de empuje y a frenado pobre. No hubo heridos en la
tripulación o los pasajeros.
La investigación reveló que una falla en relé ("XYZ") causó un encendido de la luz de "Stanby
bus off" y que el cargador de la batería principal no estaba recibiendo alimentación.

Paso 1. Defina el problema de seguridad con precisión

El problema de seguridad es la pérdida total de la energía eléctrica debido a la falla en el relé

XYZ de la aeronave tipo C, período de tiempo de estudio en los próximos 12 meses.

Paso 2. Desarrollo los escenarios de accidentes relacionados

El escenario del accidente es la pérdida total de la aeronave debido a la perdida de todos los
sistemas de cabina, reducción/incapacidad de frenado, etc.

Paso 3. Analice el escenario usando el modelo SIRA

El evento activador es la falla del relé. La probabilidad de que esto ocurra puede se calculada
utilizando los informes técnicos y es relativamente baja. El Estado operacional no deseable
(UOS) en este caso es volar sin potencia o con "solo batería".
Las barreras para evitar que esto ocurra son los múltiples sistemas de energía eléctrica
redundantes en la aeronave, que en conjunto forman las "barreras de prevención". La
combinación de su fiabilidad dará el valor del segundo factores de SIRA.

Una vez que el UOS existe entonces la posibilidad de recuperar será el aislamiento de los
sistemas para recuperar la energía eléctrica y tal vez iniciar el APU para crear otra fuente de
energía eléctrica generada. Si estos esfuerzos no tienen éxito el siguiente paso es aterrizar
en el aeropuerto más cercano, mientras que la batería está aún disponible. Estos dan el valor
al tercer factor en el SIRA. En este caso particular, la tripulación continuó volando hasta que
la energía de la batería se había agotado.

Paso 4. Determine/ estime los valores de los cuatro factores de SIRA

Por ejemplo:
• El evento desencadenante es la falla del relé y de informes técnicos esta se calcula
que falla relativamente baja -10-5 (aproximadamente una vez cada 100 000 vuelos).
• El Estado operacionales no deseable es estar volando sin potencia o con "sólo
batería" y las barreras para evitar que esto ocurra son los múltiples sistemas

CA 121-110-03 62/71
 redundantes de energía eléctrica de las aeronaves. Estos se estima que falla
aproximadamente una vez por cada 1 000 veces - 10-3
• Recuperabilidad desde el UOS será el aislamiento de la falla de los sistemas para
recuperar la energía eléctrica y tal vez encender la APU, o en su defecto aterrizar en
el aeropuerto más cercano, mientras que la batería está aún disponible. Esto se
estima que es fiable cerca de una vez por 10 veces – 10-1
• El accidentes resultante se considera "catastrófico"

Con estas cifras el resultado es "seguro". Esto podría significar una nueva evaluación de los
procedimientos en el QRH, la reevaluación de la formación de la tripulación y haciendo
hincapié en la necesidad de una derivación inmediata en caso de volar en energía de reserva.

SIRA Ejemplo 2
Un incidente sucede a otra empresa lo que motiva un reporte de Mantenimiento ( MRO)
"MyMx" para estudiar el problema de seguridad del la conexión-cruzada de los controles de
vuelo (de izquierda a derecha o push-pull). MyMx no tiene idea de cuan improbable de que
tenga lugar es que este error de mantenimiento.

Paso 1. Defina el problema de seguridad con precisión

El problema de seguridad es un accidente (en el despegue) debido a la conexión cruzada de

los controles de vuelo del piloto que vuela (PF). MyMx en la actualidad efectúa mantenimiento
sólo a aeronaves Airbus fly-by-wire , por lo que estos tipos de aeronaves serán materia de
estudio.

Extraído del la herramienta Excel SIRA (definiendo el problema de seguridad)

Paso 2. Desarrollo los escenarios de accidentes relacionados

EL Escenario es la pérdida total de la aeronave debido a problemas de maniobrabilidad

después de la rotación (pérdida de control, LOC).
Paso 3. Analice el escenario usando el modelo SIRA

• El evento desencadenante es el error de mantenimiento de conexión cruzada de los

cables de uno o ambos lados (Capitan / Primer oficial). Para ello será necesaria la
conexión cruzada tanto de los canales de control y vigilancia, de lo contrario la propia
aeronave detectaría el problema.

CA 121-110-03 63/71
 • El Estado operacionales no deseable se puede definir como "despegue de aeronave
con el error de mantenimiento" . (nótese que el UOS siempre tiene lugar dentro de la
Operación de Vuelo)
• El accidente es una pérdida de control (LOC) en el despegue.
• Con las definiciones anteriores, las barreras de Prevención son: cualquier acción post
mantenimiento que permita a cualquier personal de MyMx o la tripulación de vuelo
detectar el problema antes de (o por último en) la carrera de despegue.
• Las barreras de recuperación son las acciones de la tripulación de vuelo que permite
un vuelo seguro a pesar que la aeronave despega con los controles cruzados
conectados.

Extracto del la herramienta Excel del SIRA(análisis del escenario).

Paso 4. Determine/ estime los valores de los cuatro factores de SIRA

• Evento desencadenante: No hay información sobre que tan frecuente o poco
frecuente, podría darse este error de mantenimiento. Nunca ha tenido lugar en MyMx
en sus 8 años de existencia. Por lo tanto, esta evaluación de riesgos SIRA se lleva a
cabo "al revés", dejando a este valor inicialmente abierto.
• Eficacia de las Barreras: se supone que el equipo de mantenimiento debe hacer un
chequeo operacional después de la tarea de mantenimiento. Esta barrera puede
fracasar porque el chequeo se omite o no se hace con suficiente cuidado ("se mueve"
no es suficiente, la dirección tiene que ser correcta). Tasa estimada de fracaso
conservadora es: 1/100 veces. Durante el rodaje de salida, los pilotos deben realizar
una prueba de controles de vuelo. Esto puede fallar por las mismas razones que para

CA 121-110-03 64/71
 el equipo de mantenimiento. La tasa de fracaso estimado es la misma 1/100. Por tanto
de fallar, tenemos una tasa de eficacia para evitar la falla: 1 / 10, 000 veces.
• La barreras de la recuperación consiste en dos cosas: o bien sólo una parte se ve
afectada y por suerte no el lado del piloto que vuela (PNF), o el PIC se las arregla
para controlar la aeronave a pesar de la conexión cruzada. Esto se considera muy
difícil y sujeta a los efectos del viento justo después del despegue. Por lo tanto, se
considera que un conservador "no casi siempre" nivel de eficacia de la barrera debe
ser utilizado.
• Una pérdida de control en el despegue se considera un accidente catastrófico
A medida que la frecuencia de activación de eventos es desconocida, se trabaja hacia atrás
apuntando a una clase de riesgo resultante, que es "seguro" o mejor. Mediante la fijación de
los valores de la barrera y el tipo de accidente y la variación de la frecuencia de activación de
eventos, se puede observar que la frecuencia máxima permitida es: "una por cada 100 000
fases".

Extracto del la herramienta Excel del SIRA(Calculando el nivel de riesgo).

En este caso, la frecuencia tiene que ser interpretado "por cada 100.000 veces que el
cableado de comando es vuelto a instalar". Esto le da al MRO una idea de cuan eficaces
deben ser sus procedimientos de trabajo para que puedan estar seguros que esta frecuencia
de error no se alcanza nunca. Cabe señalar que la MRO también deberá trabajará en
fortalecer las barreras, permitiendo que el segundo factor mejore.

Este ejemplo ilustra cómo las organizaciones de aviación que no vuelan pueden y deben
referir a sus evaluaciones de riesgo para un accidente que tiene lugar en una operación de
vuelo. Esto es más fácil si hay una buena cooperación entre el MRO y los equipos de
seguridad dentro de los operadores de sus clientes, lo que permite el intercambio de
información y un proceso de aprendizaje común.

SIRA EJEMPLO3

Informe de Seguridad Aérea (ASR): Las condiciones de las marcas de pista / calles de rodaje
y luces, la falta de señalización vertical y las averías frecuentes del radar de tierra hacen que
la operación de tierra en el aeropuerto XXX sea muy peligrosa.

CA 121-110-03 65/71
El informe describe los riesgos (o las condiciones latentes) en un aeropuerto concreto y no
realmente un evento en el que habría sucedido algo. Si bien es posible ejecutar una
evaluación a través de la ERC, a menudo es más apropiado utilizar SIRA para estos casos.

Paso 1. Defina el problema de seguridad con precisión

El problema de seguridad es el pobre guía visual durante el rodaje en el aeropuerto XXX, en

combinación con las fallas frecuentes de los radares en tierra. El período de tiempo es para
los próximos 12 meses y el tipo de aeronave en cuenta es el único tipo Y que este operador
vuela a este destino.

Paso 2. Desarrollo los escenarios de accidentes relacionados

El escenario del accidente en cuestión es una colisión en tierra (con otra aeronave o vehículo
debido a estar en un lugar equivocado). Este es un escenario viable en condiciones de baja
visibilidad.

Paso 3. Analice el escenario usando el modelo SIRA

• Evento activador: La frecuencia de los vuelos a/desde este destino. (ver nota abajo).
• Como es habitual, el UOS podría ser elegido en varias formas diferentes. Se podría
definir como "perderse en el aeropuerto XXX en condiciones de baja visibilidad debido
a los peligros anotados" o "Encontrarse en un curso de colisión (de tierra) en el
aeropuerto XXX por condiciones de baja visibilidad debido a los peligros anotados". La
experiencia demuestra que es mejor escoger una UOS que ya está muy cerca del
accidente, ya que esto hará que las "barreras de recuperación" sean en realidad
barreras de recuperación. En este caso, la última elección UOS (en cursiva) está
seleccionado.
• El accidente sería una colisión en tierra, que pueden ser considerados catastróficos,
como por lo general más de 3 vidas podrían perderse.
• La eficacia de las Barreras incluye a todo lo que tienen los pilotos para que les ayuden
a orientarse correctamente en tierra en el aeropuerto XXX: cartas del terminal, mapas
de movimiento proporcionado por la aeronave, etc. Vamos a suponer que dentro de la
aeronave de tipo Y, la única disponible es el mapa clásico de la zona del terminal.
• Las barreras de recuperación incluyen todo lo que pueda resolver la situación del
rumbo de colisión sin una colisión. Las principales barreras sería la tripulación de
vuelo y los controladores (de superficie) puedan detectar el conflicto y tomar/solicitar
una acción evasiva. La ventana de tiempo para esto después de la UOS se limita
generalmente a menos de un minuto.
Paso 4. Determine/ estime los valores de los cuatro factores de SIRA

• Frecuencia del evento activador: Vamos a utilizar inicialmente el valor de activación de

eventos correspondiente a la frecuencia de vuelos a este destino. Que sería de 1 en
10.000 fases. Véase la nota a continuación para la elaboración posterior.
• Eficacia de las barreras: Tener un curso de colisión requiere de condiciones de baja
visibilidad, perderse (debido a las deficientes marcas) y la presencia de otra aeronave
o vehículo en el área donde se pierde el avión. Estadísticamente, las condiciones de
baja visibilidad están presentes en este aeropuerto el 4% del tiempo. Perderse en
estas condiciones se estima que ocurra 1/1 000 veces. La presencia de otras
aeronaves o vehículos es constante. Esto da una tasa de 4 / 100, 000 veces.

CA 121-110-03 66/71
 • Recuperación: La recuperación exitosa dentro de la ventana de tiempo es muy
inseguro. Vamos a utilizar el nivel de "falla casi siempre".
• El accidente de colisión podría ser catastrófico

Extracto del la herramienta Excel del SIRA(Calculando el nivel de riesgo).

El resultado "seguro" que indican que el nivel de riesgo, como tal, es aceptable. Sin embargo,
esto fue evaluado en el contexto de toda la operación de la aerolínea, influenciado por el
hecho de que los vuelos a este destino son muy poco frecuentes (1/10, 000 fases). Si la
evaluación se realiza exclusivamente para el vuelo a/desde XXX, el resultado sería el
siguiente:

Extracto del la herramienta Excel del SIRA (Operación solo en el Aeropuerto XXX).

Esto demuestra que el riesgo es aceptable gracias a la baja frecuencia de vuelos a XXX, pero
que en cada vuelo a / desde XXX, el nivel de riesgo es inaceptablemente alto.

Irónicamente, cuanto más vuela a otros destinos, este riesgo se convierte en más aceptable,
incluso si el riesgo real de "colisión en tierra en XXX" no se ve afectada por los vuelos a otros
destinos! (e incluso si el aumento total del riesgo operacional con el aumento del tráfico).

CA 121-110-03 67/71
Por lo tanto, es razonable decir que este problema de seguridad debe ser evaluada
exclusivamente para los vuelos a / desde XXX. No tiene sentido que una compañía aérea
tenga en su red de rutas en un destino que induce un riesgo operacional inaceptable.

NOTA: Es importante tener en cuenta que la evaluación del riesgo debería limitarse a sólo la
parte de la operación en cuestión, es decir, para evaluar el riesgo "local" en lugar del riesgo
"global". De lo contrario, se puede mantener elementos de alto riesgo inaceptable dentro de
la operación con la excusa de que la exposición a los elementos dentro de la operación global
es muy limitada.

6.10.3 Ejemplos de Evaluaciones de Seguridad Operacional (Gestión

de cambio)
Evaluación de seguridad operacional Ejemplo 1

Procedimientos para la conexión de energía en tierra después de llegada a la plataforma.

La práctica actual consiste en iniciar el APU después del aterrizaje y después de apagado
tanto motores antes de la unidad de potencia baja (GPU) está conectado. Esto se percibe
como actividad normal, convencional y segura. El cambio propuesto es mantener el motor
número 2 en marcha hasta que la GPU sea conectada. Esto reduciría los ciclos de APU y
ahorrar combustible.

El tema de seguridad es el riesgo de la ingesta de personal que se acercan a la aeronave con

el motor en funcionamiento.

Evento activador: Arribo de aeronave con el procedimiento en efecto ( cada vuelo)

UOS: Un motor operando con personal de tierra dentro de la zona de peligro de ingestión.

Accidente resultante: Ingesta de personal en el motor (Fatal).  Mayor

Eficacia de las barreras: Procedimientos para mantener a todo el personal fuera de la

aeronave hasta la que la GPU se ha conectado y los motores se han apagado. El
procedimiento revisado tanto con personal y equipos para acercarse a la aeronave para
conectar la GPU. (Se estima que falla en 1 / 1 000 veces)

Las barreras de recuperación. Las barreras que mantienen lejos de la zona de peligro del
motor a la gente que se acerca a la aeronave a pesar del motor en marcha. Depende de la
ubicación de los motores, el tamaño de la zona de peligro de ingestión, etc. Si alguien
accidentalmente va a la aeronave, podría darse cuenta de que el motor está funcionando o
simplemente no necesita ir tan cerca del motor, pero no hay una protección real en el lugar
(se estima que no 1/1 000 veces).

Utilizando la herramienta Excel del SIRA resulta en Mejorar (riesgo muy alto) Esto significa
que el cambio propuesto va más allá del nivel de riesgo aceptable y no puede ser
implementado a menos que se creen nuevas barreras para evitarlas o para su recuperación.

6.10.4 Ejemplos de todo el Proceso de evaluación de riesgo

CA 121-110-03 68/71
La evaluación completa del proceso de gestión de riesgo ARMS se explica de forma
esquemática en la Guía de Referencia Rápida "ARMS en pocas palabras" (Sección 9). Los
siguientes ejemplos deben considerarse en conjunto con la hoja de referencia.

Ejemplo 1:

Considere el ejemplo uno de ERC (TCAS). El resultado de color rojo significa varias cosas:

• Por lo general, debe ser posible la reducción del riesgo inmediato o se debe
suspender volar hacia esas zonas.
• Incluso un solo evento con una calificación ERC de color rojo se convierte en un
"problema de seguridad" en sí mismo. Tiene que ser juzgado si el problema de
seguridad será válida únicamente para la zona en particular donde el evento tuvo
lugar, o también en otros / todas las áreas similares.
Como único evento, el evento contribuye a las estadísticas del ERC. Como un problema de
seguridad, se evaluó mediante el SIRA. La evaluación del SIRA se debe repetir de vez en
cuando para asegurarse que el nivel de riesgo se convierte en / sigue siendo aceptable.

Ejemplo 2:

Considere el ejemplo de 4 del ERC 4 (Cometa). El resultado amarillo generalmente conduce

a una mayor investigación y / o a una evaluación más detallada de los riesgos. Una vez más,
como en un solo evento, el evento está en la base de datos con todos los otros eventos y
contribuye a todas las estadísticas y análisis de tendencias. Pero además de eso, la
investigación se lanza ahora a comprender más en detalle lo que sucedió y por qué.

Los resultados de la investigación por lo general pueden llevar a acciones de reducción de

riesgo. Si el caso no puede considerarse un hecho aislado, entonces se abrió un problema de
seguridad para cubrir los temas. Podría estar al alcance "cometa se encuentra en el
aeropuerto de vuelos a X" o " encuentros con cometa " o "encuentros con cometa en el país
Y", etc. El tema de seguridad tendría su propia evaluación de riesgos, y como resultado el
valor del riesgo, con la SIRA. Bien podría ser que la SIRA muestra el potencial de catástrofe
total del problema de seguridad, que hasta ahora sólo se materializó en forma de eventos con
consecuencias menores o no. En otras palabras, el hecho de que los pocos eventos
relacionados terminaron bien, no es garantía de que la cuestión observada no sea de "muy
alto riesgo"

CA 121-110-03 69/71
7 Glosario
(Ver DEFINICIONES página 1 de la CA )

8.0 Agradecimientos
El grupo de trabajo ARMS desea agradecer a las organizaciones que apoyaron este esfuerzo
por dejar que su gente participe en los trabajos de desarrollo y en la organización de talleres.

ARMS agradece a ECAST y al Grupo de Trabajo ECAST SMS por haber incluido la
metodología en las entregas ECAST.

ARMS, agradece a las empresas de software de seguridad para su interés en este nuevo
metodología y la incorporación en sus productos de software, acelerando así de manera
significativa el cambio de los métodos más antiguos hacia la metodología ARMS.

ARMS agradece a la Ciudad Universitaria de Londres, por haber auspiciado una reunión.

9.0 Guía de Referencia Rápida ARMS

La Guía de Referencia Rápida ARMS (QRG) es un resumen del flujo de proceso ARMS y de
los dos procedimientos fundamentales: la Clasificación de Riesgo de Eventos (ERC) y
Evaluación de Riesgos de Problemas de seguridad operacional. El propósito de esta guía es
ser una diaria referencia rápida para el Analista de Seguridad. La Guía de Referencia Rápida
se presenta en una única hoja A3 y por lo tanto es adecuada para imprimirse y colgarse en la
pared como referencia continua. La versión imprimible está disponible en Skybrary 8.

El QRG no es un sustituto para el documento ARMS completo, sino más bien un resumen
para alguien que ya ha leído el documento.

La sección central de la QRG ilustra el proceso de gestión de riesgos como una tabla de
flujos. Se utiliza un código de colores, por ejemplo, los eventos que se clasifican en color
verde ERC, se envía directamente a la base de datos (flecha verde). Los eventos que se
clasifican de color rojo o amarillo, puede tener que ser investigados (flecha roja / amarilla).
Todos los resultados de la ERC y el SIRA contribuyen al monitoreo del rendimiento de
seguridad (flechas azules).

8
http://www.skybrary.aero/bookshelf/books/1142.ppt

CA 121-110-03 70/71
CA 121-110-03 71/71