Este documento tiene la finalidad de proveer un método aceptable y claramente comprensible para cumplir con la Normativa Nacional emitida por la ANAC por el Proveedor de Servicios de Navegación Aérea (ANSP).

Conforme a lo establecido en las siguientes normativas, REGULACIONES ARGENTINAS DE AVIACIÓN CIVIL (RAAC) PARTE 211 - GESTIÓN DEL TRÁNSITO AÉREO - Secciones 211.390 Sistema de Gestión de la Seguridad Operacional y el Apéndice 12 - MARCO PARA UN SISTEMA DE GESTIÓN DE LA SEGURIDAD OPERACIONAL (SMS) - Parte II. Marco de Trabajo para la implementación de un SMS - 3. Aseguramiento de la seguridad operacional - 3.2 Gestión del cambio; y en PROCEDIMIENTOS GENERALES DE GESTIÓN DEL TRÁNSITO AÉREO - PROGEN-ATM - Capítulo 2. Gestión de la Seguridad Operacional en el ATS - 2.6 ANÁLISIS DE RIESGO DE SEGURIDAD OPERACIONAL.

De acuerdo con el material de orientación contenido en el Documento OACI 9.859 AN/474, "Manual de Gestión de la Seguridad Operacional" y el "Manual de Fundamentos para la implementación del Sistema de Gestión de la Seguridad Operacional (SMS)" de esta Administración Nacional, los proveedores de servicios a los que se les requiere la implementación de dicho sistema de gestión deben realizar como parte del proceso de "Gestión de Cambio" un Análisis de Riesgo de Seguridad Operacional con el objeto de identificar nuevos peligros y analizar sus potenciales consecuencias a fin de mitigar el riesgo de seguridad operacional inherente que el cambio propuesto conlleve y que garantice el control de los riesgos de seguridad asociados a las consecuencias los nuevos peligros identificados.

En virtud de lo expuesto, se considera conveniente estandarizar el procedimiento de Análisis de Riesgo de Seguridad Operacional que el Proveedor de Servicios de Navegación Aérea debe implementar en el marco de las actividades propias de su Sistema de Gestión de la Seguridad Operacional (SMS).

En consecuencia, el presente documento tiene por objetivo establecer los requisitos de cumplimiento aceptables definidos por esta Autoridad Aeronáutica, en relación con:

1) Gestión del cambio

2) Gestión del riesgo de seguridad operacional

3) Actividades que requieren un análisis de riesgo

4) Análisis de Riesgo

2. DEFINICIONES

Defensas: Medidas de mitigación específicas, controles preventivos o medidas de recuperación aplicadas para evitar que suceda un peligro o que aumente a una consecuencia indeseada.

Índice de riesgo: Se refiere a una metodología de evaluación que considera la probabilidad y la severidad de los riesgos asociados a las operaciones aéreas, conforme a los estándares y métodos recomendados por la OACI.

Índice de riesgo inherente: Se refiere a la evaluación del riesgo de incidentes o accidentes en la aviación, antes de la implementación de medidas de mitigación.

Índice de riesgo resultante: Se refiere a la evaluación del riesgo de seguridad operacional en la aviación, donde se busca mantener los riesgos a niveles aceptables mediante la aplicación de medidas de mitigación.

Matriz de Riesgo: Una herramienta que relaciona la probabilidad y la severidad para determinar el nivel de riesgo.

Mitigación de riesgos: Proceso de incorporación de defensas, controles preventivos o medidas de recuperación para reducir la gravedad o probabilidad de la consecuencia proyectada de un peligro.

Peligro: Condición u objeto que podría provocar un incidente o accidente de aviación o contribuir al mismo.

Probabilidad: La probabilidad del riesgo de seguridad operacional se define como la posibilidad que una consecuencia en cuestión pueda ocurrir.

Riesgo de seguridad operacional: La probabilidad y la severidad previstas de las consecuencias o resultados de un peligro.

Seguridad operacional: Estado en el que los riesgos asociados a las actividades de aviación relativas a la operación de aeronaves, o que apoyan directamente dicha operación, se reducen y controlan a un nivel aceptable.

Severidad: La severidad de los riesgos de seguridad operacional se define como: los posibles efectos de una consecuencia, tomando como referencia la peor situación previsible.

Tolerabilidad: La cuantificación de la probabilidad que una consecuencia tenga lugar, y de su severidad en tal caso, permite determinar la tolerabilidad del riesgo de seguridad operacional de las consecuencias del peligro si el potencial de provocar daño de éste se materializa durante las operaciones necesarias para la provisión de los servicios. Esto se conoce como la evaluación de la tolerabilidad de los riesgos de seguridad operacional.

3. DESARROLLO

3.1 Gestión del Cambio

Proceso formal para gestionar los cambios dentro de una organización de forma sistemática, a fin de conocer los cambios que puede tener un impacto en las estrategias de mitigación de peligros y riesgos identificados antes de implementar tales cambios.

Diversos factores pueden influir en la gestión del cambio en el Proveedor de Servicios de Navegación Aérea, los que incluyen entre otros:

a) expansión o contracción institucional;

b) mejoras empresariales que puede tener consecuencias para la seguridad operacional; estas pueden resultar en cambios a los sistemas, procesos o procedimientos internos que respaldan la entrega de productos y servicios;

c) cambios al entorno de operación de la organización;

d) cambios a las interfaces del SMS con organizaciones externas; y

e) cambios normativos externos, cambios económicos y riesgos emergentes.

Los cambios pueden comprometer la eficacia de los controles existentes asociados a los riesgos de seguridad operacional. Asimismo, es posible que, de manera no intencionada, se introduzcan nuevos peligros y riesgos asociados durante la implementación de dichos cambios.

En este contexto, los peligros deben ser identificados y los riesgos de seguridad operacional relacionados deben ser evaluados y gestionados conforme a los procedimientos establecidos por la organización para la identificación y gestión de riesgos de seguridad operacional.

La gestión de cambios por parte de la organización debe tener en cuenta las consideraciones siguientes:

a) Criticidad: Es esencial determinar el nivel de criticidad del cambio. El proveedor de servicios debe evaluar las posibles consecuencias tanto para sus propias actividades como para otras organizaciones involucradas, así como para el sistema aeronáutico en su conjunto.

b) Disponibilidad de expertos temáticos: La participación de expertos clave en la materia es fundamental en el proceso de gestión de cambios. Esto incluye no solo a miembros internos de la comunidad aeronáutica, sino también, cuando sea necesario, a especialistas provenientes de organizaciones externas.

c) Disponibilidad de datos e información sobre rendimiento en materia de seguridad operacional.

Determinación de los datos e información de que se disponen y que pueden utilizarse para proporcionar información sobre la situación y facilitar el análisis del cambio.

Los pequeños cambios incrementales pueden pasar desapercibidos, pero su efecto acumulativo puede ser considerable. Los cambios, tanto grandes como pequeños pueden afectar la descripción del sistema de la organización y conducir a la necesidad de su revisión. Por consiguiente, la descripción del sistema debe revisarse periódicamente para determinar su validez continua, dado que los proveedores de servicio pueden experimentar cambios periódicos o incluso continuos.

El proveedor de servicios debe definir el elemento activador del proceso de cambios formal. Los cambios que probablemente activen una gestión de cambios oficial comprenden:

a) introducción de nueva tecnología o equipo;

b) cambios en el entorno operacional;

c) cambios en el personal clave;

d) cambios significativos en los niveles de plantilla;

e) cambios en los requisitos normativos de seguridad operacional;

f) reestructuración significativa de la organización; y

g) cambios físicos (nueva instalación o base, cambios en la disposición general del aeródromo, etc.).

El Proveedor de Servicios debe asimismo considerar los efectos del cambio sobre el personal, dado que estos pueden influir en el grado de aceptación por parte de los individuos involucrados. La comunicación oportuna y la participación temprana del personal suelen favorecer una mejor percepción e implementación de los cambios propuestos.

El proceso de gestión del cambio debe incluir las actividades siguientes:

a) comprensión y definición del cambio; esto debe incluir una descripción del cambio y las razones de su implementación;

b) comprensión y definición de quiénes y qué aspectos se verán afectados; estos pueden ser individuos dentro de la organización, otros departamentos o personas u organizaciones externas. Así como para los equipos, sistemas y procesos. Por tal motivo puede ser necesario realizar un examen de la descripción del sistema y de las interfaces de las organizaciones. Este aspecto constituye una oportunidad para determinar quienes deben estar involucrados en el proceso de cambio. Además estos podrían afectar los controles de riesgos ya existentes para mitigar otros riesgos, y por lo tanto los cambios podrían aumentar los riesgos en sectores que no son inmediatamente obvios;

c) Identificación de peligros relacionados con el cambio y realización de evaluaciones de riesgos de seguridad operacional; deben identificarse los peligros directamente relacionados con el cambio. Así como examinar las consecuencias sobre peligros y controles de riesgos de seguridad operacional existentes que puedan verse afectados por el cambio. Esta etapa debe aplicar los procesos de gestión de riesgos de seguridad operacional de la organización existente;

d) Elaboración de un plan de acción; debe desarrollarse un plan de acción claro y estructurado que especifique qué tareas deben realizarse, quiénes serán los responsables de ejecutarlas y en qué plazos. Además, el plan debe incluir una descripción detallada del proceso de implementación del cambio, identificando a los responsables de cada medida adoptada, así como la secuencia lógica y la programación de las actividades involucradas.

e) Aprobación del cambio; es imprescindible contar con la aprobación formal del cambio para garantizar que su implementación se realizará en condiciones seguras y controladas. El individuo que posee la responsabilidad y autoridad general sobre la implantación del cambio debe revisar y firmar el plan correspondiente, validando así que todas las medidas han sido consideradas y que el proceso puede ejecutarse conforme a los estándares establecidos.

f) Plan de seguimiento; este plan tiene como objetivo establecer las medidas de seguimiento necesarias para asegurar que el cambio se implemente de manera segura y eficaz. Debe contemplar cómo se comunicará el cambio a las partes involucradas, así como la necesidad de realizar actividades adicionales, tales como auditorías internas o externas, durante o después del proceso. Además, será fundamental verificar todas las hipótesis o suposiciones consideradas en la planificación, con el fin de validar su pertinencia y minimizar riesgos.

3.2 Gestión del riesgo de seguridad operacional

De acuerdo con el material de orientación contenido en el Documento OACI 9859 AN/474, "Manual de Gestión de la Seguridad Operacional", los proveedores de servicios a los que se les requiere la implementación de dicho sistema de gestión deben realizar como parte del proceso de "Gestión de Cambio" un Análisis de Riesgo de Seguridad Operacional con el objeto de identificar nuevos peligros y analizar sus potenciales consecuencias a fin de mitigar el riesgo de seguridad operacional inherente que el cambio propuesto conlleve y que garantice el control de los riesgos de seguridad asociados a las consecuencias los nuevos peligros identificados.

3.3 Actividades que requieren un análisis de riesgo

Aún cuando este documento enumera un gran número de las actividades que requieren un análisis de riesgo de seguridad operacional, no es taxativo ni excluyente sino meramente enunciativo. Cualquier otra actividad que a juicio de los expertos de esta Autoridad Aeronáutica cumpla con el criterio subyacente debe ser tenida en cuenta como tal.

El proveedor de los Servicios de Navegación Aérea debe demostrar, a través de un Análisis de Riesgo de Seguridad Operacional, que se satisface un nivel aceptable de seguridad operacional.

El ANSP efectuará la presentación ante cualquier cambio significativo del Sistema ATS relacionado con:

1) Servicio de Diseño de Procedimientos de Vuelo por Instrumento;

2) Incorporación de nueva rutas;

3) Modificación del espacio aéreo;

4) Implementación de espacio aéreo restringido;

5) Gestión del riesgo relacionado con la fatiga;

6) Coordinaciones de las actividades potencialmente peligrosas para las aeronaves civiles;

7) Modificación de las mínimas de separación;

8) Planes de contingencia ATS;

9) Modificación de la aplicación de la fraseología,

10) Implementación de nuevos Sistemas CNS/ATM.

3.4 Análisis de Riesgo

En determinados casos, el análisis de riesgo no se limita únicamente al cambio previsto, sino que también requiere un análisis adicional que contemple el período de transición y las fases del proceso en las cuales se implementa dicho cambio.

El análisis de riesgo debe contar con:

1) Descripción del sistema

En el contexto y extensión que debe cubrir el análisis.

a) El marco regulatorio y organizacional dentro del cual será implementado el cambio

- Requisitos normativos de seguridad de aplicación

- Estructura organizacional

- Interacción interna y externa durante la prestación de los servicios

b) Identificar puntos débiles de la estructura organizacional que puedan impactar en la gestión de la seguridad durante la prestación de los servicios.

- Regulaciones Internacionales

- Regulaciones Nacionales

- Otras regulaciones extranjeras

c) Responsabilidades, actividades e interacciones durante la prestación de los servicios

- Internas: Entre las secciones, entre las juntas directivas, entre los departamentos, etc.

- Externas: otros proveedores de servicios ATC, etc.

d) Entorno físico: Geográfico, terreno, cuerpos de agua, patrones climáticos, vientos, nubes, tormentas, tormentas eléctricas, nieve, formación de hielo, actividad de la vida salvaje, aeródromos adyacentes, etc.

e) Entorno operacional:

- Radar / Procedimientos Radar

- Ayudas para la navegación / aproximación

- Comunicaciones

- Luces de ayuda a la aproximación

- Luces de pista, calle de rodaje y plataforma

- Equipamiento de ayuda meteorológica

- otros.

f) Procedimientos:

- Requisitos normativos de aplicación de la seguridad: Regulaciones internacionales, regulaciones nacionales, otras regulaciones extranjeras.

- Pista (s), calle de rodaje

- Indicadores de visibilidad

- Construcciones, etc.

g) Las interacciones del sistema con otros sistemas durante la prestación del servicio:

- ATC adyacentes

- Operadores de líneas aéreas

- Operadores de rampa y handling

-  otros.

2)  Descripción del cambio

Debe establecer el peligro genérico y los componentes específicos del peligro:

a)  Establecer el peligro genérico:

-  Describir con la mayor precisión el alcance del cambio, etapas, fases, tiempo de cada una, secuencia, etc.

b) Describir los componentes específicos del peligro:

- Describir cada peligro identificado y cada una de las consecuencias de los mismos.

-  Es importante destacar que un peligro debe tener al menos una consecuencia, pudiendo tener más de una.

- Debiendo especificar qué consecuencia corresponde a cada peligro.

3) Análisis de las consecuencias de los peligros

a) Defensas existentes en el sistema

- Determinar cada una de las defensas que el sistema posee para mitigar las posible consecuencias del peligro identificado

b) Determinación de la probabilidad y gravedad de la ocurrencia

- Teniendo en cuenta las defensas existentes realizar un análisis de probabilidad de ocurrencia de la consecuencia prevista y realizar un análisis de gravedad de la misma en caso de que ocurriese.

4)  Evaluación de riesgos de seguridad operacional

a) Determinación de la Tolerabilidad del Riesgo

- De acuerdo con la matriz de riesgo de la organización, identificar aquellas consecuencias de los peligros que se encuentran en la zona "No tolerable" y las que se encuentran en la zona "Tolerable" y requieren decisiones de la Dirección para poder operar.

5) Defensas:

a) Medidas de mitigaciones específicas, controles preventivos o medidas de recuperación aplicadas para evitar que suceda un peligro o que aumente a una consecuencia indeseada.

Con frecuencia, las tareas, procedimientos y equipo se diseñan y planifican inicialmente en un entorno teórico, en condiciones ideales, con la hipótesis implícita de que casi todo puede predecirse y controlarse y que todo funciona según lo previsto. Normalmente esto se basa en tres suposiciones fundamentales, a saber:

- Disponibilidad de la tecnología necesaria para lograr las metas de producción del sistema

- Personal capacitado, ser competentes y estar motivados para operar correctamente la tecnología, según lo previsto; y

- Reglamentos y procedimientos que indicarán el comportamiento humano y del sistema.

6)  Medidas de mitigación

a) Establecer las medidas de mitigación

- Se deben establecer las medidas de mitigación para cada una de las consecuencias de los peligros que se encuentran en la zona "No tolerable" y las que se encuentran en la "zona tolerable" y requieren decisiones de la dirección para poder operar.

- Las medidas de mitigación se priorizará en función del riesgo de seguridad operacional determinado.

b) Nueva tolerabilidad del riesgo

- Considerando aplicadas las medidas de mitigación, con la matriz de riesgo de la organización, identificar aquellas consecuencias de los peligros que se encuentran en la zona "no Tolerable" y las que se encuentran en la "zona Tolerable" y requieren decisiones de la Dirección para poder operar.

- En caso de mantenerse la consecuencia del peligro en la zona "No Tolerable", establecer medidas de mitigación adicionales y volver a evaluar.

c) Peligros adicionales

- Considerando implementadas las medidas de mitigación, evaluar si la aplicación de las mismas motivaría la aparición de nuevos peligros y por ende nuevas consecuencias y riesgo de seguridad operacional.

- En caso de surgir nuevos peligros se deben mitigar las consecuencias de los mismos o no aplicar las medidas de mitigación consideradas.

7) Implantación de las medidas de mitigación

a) Determinación de los tiempos de implantación.

- Debe establecerse claramente el tiempo previsto para la implantación de la medida de mitigación.

- Lo anterior indica que NO se debe comenzar la implantación del cambio previsto hasta tanto estén aplicadas todas las medidas previstas.

b)    Establecer el responsable de la implantación de las medidas de mitigación.

- En el análisis debe quedar establecido a quien le compete la responsabilidad primaria de la aplicación de cada una de las medidas de mitigación como también aquellos que deben prestar colaboración y facilitar la aplicación de las mismas.

8) Mitigación de riesgos de seguridad operacional

Los riesgos de seguridad operacional deben gestionarse a un nivel aceptable mitigándolos mediante la aplicación de adecuados controles de riesgos de seguridad operacional que permitan mitigar el impacto.

Estos deben equilibrarse con respecto al tiempo, costos y dificultades de adoptar medidas para reducir o eliminar el riesgo. El nivel de riesgo de seguridad operacional puede disminuirse mediante la reducción de la gravedad de las posibles consecuencias, la probabilidad de que el suceso ocurra o la reducción de la exposición a ese riesgo de seguridad operacional.

En la práctica, es habitual reducir la probabilidad de ocurrencia que disminuir la gravedad de las consecuencias. Esto se debe a que la gravedad suele estar asociada a factores estructurales o sistémicos más difíciles de modificar, mientras que la probabilidad puede ser influenciada mediante mejoras en procedimientos, capacitación, tecnología o supervisión.

Las mitigaciones de riesgos de seguridad operacional son medidas que resultan a menudo en cambios de los procedimientos operacionales, equipo o infraestructura. Las estrategias de mitigación de riesgo de seguridad operacional corresponden a tres categorías:

a) Evitar: Se cancela o evita la operación o actividad debido a que los riesgos de seguridad operacional superan los beneficios de continuarla, eliminado así el riesgo de seguridad operacional en su totalidad.

b) Reducir: Se reduce la frecuencia de la operación o actividad o se adoptan medidas para reducir la magnitud de las consecuencias del riesgo.

c) Segregar: Se toman medidas para aislar los efectos de las consecuencias del riesgo o se introduce capas redundantes de protección contra los riesgos.

9) Matriz de riesgo

El proveedor de servicios de navegación aérea incluirá una matriz de riesgo, la cual contendrá toda la información relacionada con la evaluación de riesgo de seguridad operacional al cambio que se pretenden implementar. Tal como se muestra en la siguiente figura (1).


10) Presentación del análisis de riesgos

El proveedor de servicios de navegación aérea debe presentar el análisis de riesgo ante la Autoridad Aeronáutica con una antelación no menor a TREINTA (30) días, contados desde el inicio de la implementación efectiva de los cambios que se pretendan incorporar, a los efectos de ser revisados y aprobados por ésta.

-  La documentación presentada debe incluir todo lo concerniente a los puntos precitados del análisis de riesgo.

- Debiendo estar endosada por todos los participantes intervinientes en el análisis de riesgo incluyendo personal de otras organizaciones, si fuese el caso.

-  Presentada por el ejecutivo responsable de la organización que lidera el cambio en cuestión.