BookPDF Available

Moderní přístup k hodnocení provozní bezpečnosti v letectví

Authors:

Abstract

Monografie Moderní přístup k hodnocení provozní bezpečnosti v letectví přináší shrnutí aktuálních poznatků v oblasti řízení a hodnocení provozní bezpečnosti v letectví. Zabývá se problematikou neustálého zvyšování úrovně bezpečnosti a s tím souvisejícími překážkami týkajícími se dostupných dat a ukazatelů bezpečnosti. Monografie je členěna na ucelené celky týkající se vždy jedné části provozní bezpečnosti letectví. První kapitola shrnuje všechny nezbytné informace o bezpečnosti, jejím začlenění, související legislativu a základní nástroje, které se při uvažování o bezpečnosti využívají. Kapitola druhá se zabývá nutností vyhodnocování bezpečnosti. Jsou zde popsány vybrané metody pro hodnocení a řízení bezpečnosti a možné zdroje dat, které je možné vyhodnocovat. Ve třetí kapitole je obsažena aktuální problematika moderního přístupu k řízení bezpečnosti z pohledu státního dozoru letectví a ukázáno čím by se měl státní dozor zabývat a jaké systémy řízení bezpečnosti implementovat. Kapitola čtvrtá je ukázkou možné metody hodnocení bezpečnosti, obsahuje kompletní metodu se všemi problematickými místy tak, aby z této části byla vidět důležitost a složitost hodnocení bezpečnosti. A nakonec kapitola číslo pět je zaměřena na výhled do blízké budoucnosti se čtyřmi oblastmi ke zkoumání.
MODERNÍ PŘÍSTUP K HODNOCE
PROVOZ BEZPEČNOSTI V LETECT
Peter Vittek - Jakub Kraus - Stanislav Szabo
2
Monografie:
MODERNÍ PŘÍSTUP K HODNOCENÍ PROVOZNÍ BEZPEČNOSTI V LETECTVÍ
Autoři:
© Ing. Peter VITTEK, Ph.D.
© Ing. Jakub KRAUS, Ph.D.
© Doc. Ing. Stanislav SZABO, PhD., MBA, LL.M., dr. h. c.
České vysoké učení technické v Praze, Fakulta dopravní, Ústav letecké dopravy, Praha
Recenzenti:
Prof. Ing. Marián MESÁROŠ, DrSc., MBA, LL.M., dr. h. c.
Vysoká škola bezpečnostného manažérstva v Košiciach, Košice
Prof. Ing. Zdeněk DVOŘÁK, PhD.
Žilinská univerzita v Žiline, Fakulta bezpečnostného inžinierstva, Žilina
Ing. Peter KOŠČÁK, PhD., ING-PAED IGIP
Technická univerzita v Košiciach, Letecká fakulta, Košice
Technický redaktor:
Ing. Andrej LALIŠ
Ing. Slobodan STOJIĆ
České vysoké učení technické v Praze, Fakulta dopravní, Ústav letecké dopravy, Praha
Vydavatel:
Akademické nakladatelství CERM, Brno, 2016
Tato monografie je autorské dílo chráněné Autorským zákonem. Všechny práva jsou vyhrazena.
Za odbornou stránku odpovídají autoři. Rukopis neprošel redakční ani jazykovou úpravou.
ISBN 978 - 80 - 7204 - 944 - 8
3
Anotace
Monografie Moderní přístup k hodnocení provozní bezpečnosti v letectví přináší shrnutí
aktuálních poznatků v oblasti řízení a hodnocení provozní bezpečnosti v letectví. Zabývá
se problematikou neustálého zvyšování úrovně bezpečnosti a s tím souvisejícími
překážkami týkajícími se dostupných dat a ukazatelů bezpečnosti. Monografie je členěna
na ucelené celky týkající se vždy jedné části provozní bezpečnosti letectví. První kapitola
shrnuje všechny nezbytné informace o bezpečnosti, jejím začlenění, související legislativu
a základní nástroje, které se při uvažování o bezpečnosti využívají. Kapitola druhá se
zabývá nutností vyhodnocování bezpečnosti. Jsou zde popsány vybrané metody pro
hodnocení a řízení bezpečnosti a možné zdroje dat, které je možné vyhodnocovat. Ve třetí
kapitole je obsažena aktuální problematika moderního přístupu k řízení bezpečnosti
z pohledu státního dozoru letectví a ukázáno čím by se měl státní dozor zabývat a jaké
systémy řízení bezpečnosti implementovat. Kapitola čtvrtá je ukázkou možné metody
hodnocení bezpečnosti, obsahuje kompletní metodu se všemi problematickými místy tak,
aby z této části byla vidět důležitost a složitost hodnocení bezpečnosti. A nakonec kapitola
číslo pět je zaměřena na výhled do blízké budoucnosti se čtyřmi oblastmi ke zkoumání.
Annotation
Monography Modern Approach to Aviation Safety Assessment provides a summary of
current knowledge in the management and assessment of aviation safety. It deals with
the issue of continuous improvement of the level of safety and related constraints relating
to available data and safety indicators. The monography is divided into chapters where
each one is focused on one part of aviation safety. The first chapter summarizes all the
necessary information about aviation safety, its focus, related legislation and basic tools
used when thinking about safety. The second chapter deals with the necessity of safety
assessment. It describes selected methods for assessing and managing safety and possible
sources of aviation safety data. In the third chapter are included issues related to the
modern approach to safety management from the perspective of state supervision.
Chapter four is an example of possible method for safety assessment, it includes a
complete method with all issues so that the importance and complexity of the safety
assessment can be seen. And finally, chapter number five focuses on the outlook into the
near future to four areas ready to explore.
4
5
OBSAH
ÚVOD ......................................................................................................................................... 8
1. BEZPEČNOST V LETECTVÍ .................................................................................................. 10
1.1. POJMOVÉ A LEGISLATIVNÍ ZAČLENĚNÍ TÉMATU .......................................................................... 10
1.1.1. Bezpečnost ............................................................................................................ 10
1.1.2. Bezpečnostní kultura ............................................................................................ 11
1.1.3. Ultra bezpečné systémy ........................................................................................ 11
1.1.4. Současné zaměření legislativy .............................................................................. 13
1.1.5. Indikátory bezpečnosti – Bezpečnostní prostor .................................................... 13
1.1.6. Sběr dat ................................................................................................................ 15
1.1.7. Indikátory bezpečnosti – Vývoj a členění .............................................................. 16
1.1.8. Vývoj přístupu k bezpečnostním systémům v letectví ........................................... 19
1.2. MODELY PRO PODPORU BEZPEČNOSTI .................................................................................... 22
1.2.1. Modely pro podporu bezpečnosti – Technické faktory ......................................... 22
1.2.2. Model SHELL pro podporu bezpečnosti Lidský činitel ........................................ 24
1.2.3. Modely pro podporu bezpečnosti Organizační faktory ...................................... 26
1.2.4. Model točících se disků ......................................................................................... 27
1.2.5. Rezonanční analýzy FRAM .................................................................................... 28
1.2.6. Heinrichův poměr ................................................................................................. 29
1.3. ÚROVEŇ PROVOZNÍ BEZPEČNOSTI V LETECTVÍ ........................................................................... 29
1.3.1. Safety Management Manual (SMM), Safety Management (Annex 19) a Státní
program bezpečnosti (SSP)..................................................................................................... 30
1.3.2. Řízení rizik (dle SMS) ............................................................................................. 31
1.3.3. Přijatelná úroveň bezpečnosti (Acceptable Level of Safety - ALoS; SSP) ............... 32
1.3.4. SMS ....................................................................................................................... 33
2. VYHODNOCOVÁNÍ BEZPEČNOSTI ..................................................................................... 34
2.1. LETECKÉ NEHODY, VÁŽNÉ INCIDENTY A INCIDENTY ..................................................................... 34
2.2. SAFETY ICEBERG ................................................................................................................. 36
2.3. VÝVOJ METOD POUŽITELNÝCH PRO HODNOCENÍ A ŘÍZENÍ BEZPEČNOSTI .......................................... 37
2.3.1. Metoda RAT (Risk Analysis Tool) .......................................................................... 37
2.3.2. Metoda TapRooT .................................................................................................. 39
2.3.3. ARMS metodologie pro hodnocení provozních rizik v leteckých organizacích ...... 42
2.3.4. Hodnocení bezpečnosti pomocí procesů ............................................................... 47
2.3.5. Statistické vyhodnoce ........................................................................................ 55
2.4. SOUČASNÉ ZDROJE DAT ....................................................................................................... 64
2.4.1. Vnitřní zdroje dat .................................................................................................. 64
2.4.2. Vnější zdroje dat ................................................................................................... 66
2.4.3. Legislativa zaměřená na sběr dat pro bezpečnostní systémy ............................... 67
2.4.4. Postupy hlášení ..................................................................................................... 71
2.4.5. Auditní proces ....................................................................................................... 73
2.5. PROBLEMATIKA VYHODNOCOVÁNÍ ÚROVNĚ BEZPEČNOSTI ........................................................... 75
3. MODERNÍ PŘÍSTUP K HODNOCENÍ BEZPEČNOSTI Z POHLEDU STÁTNÍHO DOZORU ČR ..... 78
6
3.1. BEZPEČNOSTNÍ KULTURA ...................................................................................................... 78
3.1.1. Definice bezpečnostní kultury ............................................................................... 78
3.1.2. Výzkum v oblasti bezpečnostní kultury ................................................................. 79
3.1.3. Základní modely bezpečnostní kultury ................................................................. 81
3.1.4. Úrovně vyspělosti bezpečnostní kultury................................................................ 83
3.1.5. Šest hlavních oblastí bezpečnostní kultury ........................................................... 84
3.2. BEZPEČNOSTNÍ INDIKÁTORY .................................................................................................. 86
3.2.1. Teoretický základ pro indikátory bezpečnosti ....................................................... 88
3.2.2. Bezpečnostní systémy a indikátory jaderných elektráren ..................................... 91
3.2.3. Současný stav indikátorů bezpečnosti v letectví ................................................... 96
3.2.4. Státy EU – Obecný rámec ..................................................................................... 97
3.2.5. Státy mimo EU – Obecný rámec ......................................................................... 104
3.3. TVORBA STRUKTURY INDIKÁTORŮ BEZPEČNOSTI ...................................................................... 106
3.3.1. Indikátory 1. vrstvy – reaktivní indikátory .......................................................... 106
3.3.2. Indikátory 2. vrstvy – reaktivní indikátory .......................................................... 106
3.3.3. Indikátory 3. vrstvy – proaktivní indikátory ........................................................ 107
3.4. POPIS ANALYZOVANÉHO VZORKU DAT ................................................................................... 110
3.4.1. Analýza dat dostupných pro regulátora v rámci systému ECCAIRS .................... 110
3.5. POPIS SBĚRU DAT ............................................................................................................. 116
3.5.1. Popis datových procesů ...................................................................................... 117
3.5.2. Návrh obecného řešení ....................................................................................... 119
3.5.3. Sběr a zpracování dat ......................................................................................... 121
3.5.4. Vyhodnocování dat ............................................................................................. 123
3.5.5. Výstupy systému a zpětná vazba ........................................................................ 126
3.5.6. Využití systému pro tvorbu SSP a SSp ................................................................. 127
3.5.7. Způsob vytváření bezpečnostních indikáto...................................................... 128
4. METODA HODNOCENÍ BEZPEČNOSTI PŘIBLÍŽENÍ NA PŘISTÁNÍ....................................... 130
4.1. OBECNÁ ROVNICE BEZPEČNOSTI PĚTI OBLASTÍ ......................................................................... 130
4.2. DEFINOVÁNÍ CHARAKTERISTIK ROVNICE BEZPEČNOSTI A DEFINICE JEJICH VAH ................................ 131
4.2.1. Postup určení dílčích charakteristik .................................................................... 131
4.2.2. Popis určených dílčích charakteristik .................................................................. 134
4.2.3. Hodnoty pro dílčí charakteristiky třetí úrovně .................................................... 136
4.2.4. Ohodnocení váhy definovaných charakteristik Rovnice bezpečnosti .................. 139
4.3. URČENÍ BEZPEČNOSTI PŘIBLÍŽENÍ NA PŘISTÁNÍ ........................................................................ 142
4.3.1. Databáze letišť a přiblížení ................................................................................. 143
4.3.2. Jednotná bezpečnost přiblížení na přistání dle předpisů .................................... 143
4.3.3. Bezpečnost jednotlivých typů přiblížení na přistání ............................................ 147
4.3.4. Bezpečnost přiblížení na přistání ........................................................................ 151
4.3.5. Určení přijatelné úrovně bezpečnosti přiblížení .................................................. 152
5. BUDOUCNOST HODNOCENÍ BEZPEČNOSTI V LETECTVÍ ................................................... 153
5.1. HLUBŠÍ ZKOUMÁNÍ PŘISPÍVAJÍCÍCH FAKTORŮ, JEJICH CHOVÁNÍ A VZÁJEMNÝCH VAZEB ..................... 153
5.2. VYHODNOCOVÁNÍ VÝKONNOSTI V BEZPEČNOSTI ...................................................................... 154
5.3. SAFETY-II: NOVÁ GENERACE PŘÍSTUPU K BEZPEČNOSTI ............................................................. 155
5.4. PREDIKTIVNÍ ŘÍZENÍ RIZIKA .................................................................................................. 156
7
SEZNAM POUŽITÉ LITERATURY ............................................................................................... 158
SEZNAM PŘÍLOH ..................................................................................................................... 171
PŘÍLOHA Č. 1 PROCESNÍ MODELY ................................................................................................... 172
PŘÍLOHA Č. 2 - NEBEZPEČÍ A RIZIKA DRUHŮ PŘIBLÍŽENÍ .......................................................................... 181
A. Nebezpečí a rizika přiblížení ILS ................................................................................... 181
B. Nebezpečí a rizika přiblížení RNAV(GNSS) ................................................................... 183
C. Nebezpečí a rizika přiblížení VOR/DME ....................................................................... 186
PŘÍLOHA Č. 3 - OBECNÝ MODEL PRO INDIKÁTORY BEZPEČNOSTI .............................................................. 190
PŘÍLOHA Č. 4 SEZNAM NEHOD A INCIDENTŮ PŘI PŘIBLÍŽENÍ ILS POUŽITÝCH PRO VYHODNOCENÍ PŘÍČIN ........ 191
PŘÍLOHA Č. 5 SEZNAM NEHOD A INCIDENTŮ PŘI PŘIBLÍŽENÍ GNSS(RNAV) POUŽITÝCH PRO VYHODNOCENÍ PŘÍČIN
..................................................................................................................................... 192
PŘÍLOHA Č. 6 SEZNAM NEHOD A INCIDENTŮ PŘI PŘIBLÍŽENÍ VOR POUŽITÝCH PRO VYHODNOCENÍ PŘÍČIN ...... 193
PŘÍLOHA Č. 7 FORMULÁŘ HLÁŠENÍ PODLE NASA .............................................................................. 194
8
ÚVOD
Průmyslový vývoj zažívá i po dvou stoletích neustálý dramatický rozvoj, který se jeví jako
nikdy nekončící. Revoluce střídají evoluce a technika, postupy i technologie jsou neustále
vylepšovány. Podobný případ lze vidět i v civilním letectví, které se v současnosti rozvíjí
rapidním tempem například v oblasti techniky. S rozvojem civilní letecké dopravy je však
také spjata snaha neustále zvyšovat provozní bezpečnost a to ne v relativním pojetí k
objemu provozu, ale v absolutních číslech vůči předcházejícím časovým úsekům.
Pro zvyšování provozní bezpečnosti letecké dopravy je tak nezbytné hledat nové metody,
jak zlepšení docílit a zároveň udržet použití těchto metod v rozumných finančních mezích.
To odpovídá již tradičnímu leteckému dilematu 2P, tedy rozdělení finančních zdrojů mezi
produkci (zajišťování letecké přepravy) a protekci (zajišťování bezpečnosti letecké
dopravy). Hodnocení produkce v letectví je velmi přímé a nepředstavuje nijakou překážku
na rozdíl od hodnocení bezpečnosti, které se stává stále obtížnější. K tomuto účelu již
nelze využívat pouhá čísla počtu leteckých nehod a incidentů, která jsou v současné době
nevypovídajícími hodnotami díky jejich nízkým počtům výskytů.
Zaměření se na historii hodnocení bezpečnosti pro oblast letectví ukazuje, že se vždy
odvíjela od snahy snižovat počet nehod, ideálně až na nulovou hodnotu. Od počátků létání
letouny je vidět snaha o zdokonalování techniky a postupů, které přispívají k celkové
bezpečnosti letectví. Z historického pohledu se však vždy jednalo o metodu pokus-omyl a
přebírání tzv. „best practice“, aby se již provedené chyby neopakovaly.
Vývoj postupoval tímto směrem kupředu a po druhé světové válce se začala ubírat
pozornost k technice letadel s klíčovou myšlenkou, že by nemusela padat tak často. Proto
vznikla bezpečnost technických faktorů [9]. Tím byla zvyšována kvalita a bezpečnost
konstrukcí, avšak letecké nehody byly stále na „běžném pořádku“. Vzhledem k jejich
počtu bylo možné určovat první číselně vyjádřenou míru bezpečnosti jako poměr počtu
nehod vůči počtu letů.
Po technických faktorech přišla řada na lidský činitel (od sedmdesátých let) a organizační
faktory (od devadesátých let) [9]. Se zvyšující se úrovní bezpečnosti a tedy snižujícím se
9
počtu nehod bylo nezbytné zavádět stále nové prvky do celého systému letectví, aby bylo
možné i nadále bezpečnost vyhodnocovat. Po počtu nehod tak přišly na řadu vážné
incidenty a incidenty, jejichž realizace jsou častější, což odpovídá Heinrichovu poměru [26]
(viz obrázek 7).
Aktuální dokumenty, které řešící hodnocení a řízení bezpečnosti [9], [98] již poukazují na
stav, že ani zaměření na úroveň incidentů není považováno za dostačující a je zhodnoceno
a navrhováno, jak pokračovat v bezpečnosti dále.
Tato kniha se zabývá možnostmi hodnocení bezpečnosti a to jak z pohledu státního
dozoru, tak z pohledu organizací. V první kapitole je ukázána komplexnost pojmu
bezpečnost, na kterou navazuje kapitola dva popisující možnosti vyhodnocování
bezpečnosti. V kapitole 3 je popsán moderní přístup k hodnocení bezpečnosti z pohledu
státního dozoru ČR a v kapitole čtyři je navržena nová metoda pro hodnocení bezpečnosti
přiblížení na přistání. Celá kniha je zakončena výhledem do budoucnosti hodnocení
bezpečnosti.
10
1. BEZPEČNOST V LETECTVÍ
Bezpečnost v letectví je jedním z primárních cílů všech zúčastněných stran a jako takovou
je třeba ji brát. Komplexnost bezpečnosti je proto zadefinována v této kapitole.
1.1. POJMOVÉ A LEGISLATIVNÍ ZAČLENĚNÍ TÉMATU
Nejdříve je však nutné provést úplně první krok, kterým je vysvětlení základních pojmů a
legislativního kontextu bezpečnosti pro zajištění pochopení celkového rámce, do kterého
je směřována tato monografie.
1.1.1. BEZPEČNOST
Pojem bezpečnost je v českém jazyku definovaná dvojicí pojmů. Jedná se o provozní
bezpečnost, kterou anglická literatura uvádí jako safety a ochrana před protiprávními činy,
která má anglický ekvivalent security. Největším rozdílem je skutečnost, že v případě
security jde o úmyslné způsobení škody za použití protiprávních prostředků.
V obou doménách se k problémům přistupuje podle podobné metodiky řízení rizik, které
ovlivňují bezpečnost provozu.
Rozdíly mezi provozní bezpečností a kvalitou již nejsou tak jednoznačné. Původně se do
fungování leteckých organizací zaváděly systémy řízení kvality podle ISO 9001. V současné
době je masivně zaváděn systém řízení bezpečnosti. Systém řízení bezpečnosti je
postaven na základech systému řízení kvality. Systém řízení bezpečnosti se zaměřuje na
zlepšování procesů a zvyšování kvality jejich výstupů právě pro oblast řízení provozních
rizik organizací.
Provozní bezpečnost je bezpečností vnější. Zabývá se ochranou lidí a majetku, může taktéž
zahrnovat otázku životního prostředí. Na úroveň provozní bezpečnosti jsou kladeny velké
nároky a je zásadní podmínkou pro rizikové obory lidské činnosti, jako je jaderná
energetika, chemický průmysl, těžařství, a také letectví. Společnou vlastností těchto oborů
je přítomnost vážných provozních rizik a také vysoko pravděpodobných rizik. Současně
11
jsou tyto obory technologickou špičkou, a proto jsou na ně kladeny extrémní nároky, jak
na kvalitu, tak na bezpečnost.
Pojem bezpečnost vyjadřuje, že produkt nebo služba jsou bezpečné jak pro pracovníky
zajišťující jeho poskytnutí, tak pro jeho uživatele. Bezpečnost a ochrana zdraví při práci je
v současné době na velice vysoké úrovni. Pracovníci rozumí rizikům chemických látek,
radioaktivních látek i rizikům práce ve výškách a v hlučném prostředí. V současné době se
u těchto pracovníků buduje povědomí o další skupině rizik, kterými jsou rizika spojená s
provozem.
1.1.2. BEZPEČNOSTNÍ KULTURA
EUROCONTROL definuje bezpečnostní kulturu jako soubor vlastností a postojů jednotlivců
i společnosti, které stanovují jako prvořadou prioritu provozní bezpečnost [1]. Cooper a
Patankar na základě výzkumu tvrdí, že bezpečnostní kultura je produkt individuálních a
skupinových hodnot, přístupů, schopností a pracovních postupů, které určují odhodlání,
styl a efektivitu bezpečnostních procesů společnosti [2], [3].
Organizace ECAST (EU - EASA) nahlíží na bezpečnostní kulturu jako na vztah jedinců
organizace k bezpečnosti a jejich vůli a aktivitu ke změnám směrem k bezpečnějšímu
prostředí. Kulturu definují jako soubor trvalých hodnot a postojů k bezpečnosti sdílených
napříč organizací všemi jejími pracovníky. Bezpečnostní kultura odráží míru, jakou jedinec
nahlíží na přítomnost nebezpečí a rizik plynoucích z procesů v organizaci, jeho ochotu
udržovat a zlepšovat úroveň bezpečnosti, stejně jako schopnost se přizpůsobit
nebezpečným situacím a komunikovat o nich s pověřenými spolupracovníky a hodnotit
své vlastní chování ve vztahu k bezpečnosti [4].
1.1.3. ULTRA BEZPEČNÉ SYSTÉMY
Ultra bezpečné systémy jsou svým provozem pod hranicí jedné nehody na milion
provozních jednotek (dále PJ). Tyto jednotky jsou definovány v letecké dopravě například
12
pomocí letových cyklů, hodin provozu, nebo v kombinaci faktorů s jinými faktory
atd. V jaderné energetice jsou provozními jednotkami například reaktorové roky.
Amalberti ve své práci uvádí, že systémy můžeme podle úrovně bezpečnosti rozdělit
následovně [5]:
nebezpečné systémy - 1 nehoda na 1 000 PJ,
stabilizované systémy - 1 nehoda na 1 000 100 000 PJ,
ultra bezpečné systémy - 1 nehoda na 100 000 1 000 000 PJ.
Nebezpečné systémy bývají naprosto neregulované a vyznačují se především osobním
hazardováním uživatelů. Mezi tyto systémy zařazujeme například rizikové sporty a další
aktivity spojené s velice individuálním přijímáním rizika [5].
U stabilizovaných systémů se kvůli zvyšování bezpečnosti uplatňují zejména regulatorní
opatření a nové technologie. Nehody a incidenty s podobnými příčinami se opakují.
Nehodovost je snižována především reaktivním způsobem [5, 6]. Nehody jsou hlášeny a
po procesu jejich šetření jsou vytvářeny návrhy a doporučení pro zvýšení bezpečnosti.
Zlepšení bezpečnosti na základě nově přijatých opatření bývá evidentní v delším časovém
úseku.
Ultra bezpečné systémy jsou regulovány již ve velké míře, dokonce bychom je mohli
označit za přeregulované a strnulé. Podle Amalbertiho se tyto systémy dostaly do
takového stavu, kdy další regulací nedochází ke zvyšování bezpečnosti [5, 7]. Ke zvyšování
bezpečnosti již také nedochází na základě doporučení ze šetření nehod. Dokumentuje to
na bezpečnosti letecké dopravy, která, přestože se kontinuálně vydávají nové předpisy,
zůstává již několik let na stále stejné úrovni. Dalším specifikem ultra bezpečného prostředí
je, že v těchto systémech nedochází k nejzávažnějším typům nehod. Nehody bývají
důsledkem kombinace několika faktorů.
V zájmu dalšího zlepšování ultra bezpečných systémů jsou zaváděny indikátory
bezpečnosti, které mají schopnost řízení bezpečnosti v reálném provozu na základě sběru,
zpracování a analýzy bezpečnostních dat o tzv. mikro událostech. Mikro události
definujeme jako události vyskytující se za běžných provozních podmínek, ve kterých jsou
13
přítomny různé typy spouštěčů událostí a jejich kombinace. Mikro událost můžeme vždy
popsat pomocí faktorů a typů událostí jak jsou definovány v ADREP/RIT taxonomii od ICAO
[13] a EASA [14]. Můžeme rozlišovat tzv. skoro-nehody (angl. near-misses).
1.1.4. SOUČASNÉ ZAMĚŘENÍ LEGISLATIVY
V reálném světě jsou činnosti komerčních společností zaměřeny na hlavní charakteristiku,
kterou je zisk. Aby nedocházelo k nebezpečnému hazardování s lidskými životy s vidinou
zvyšování zisku, jsou, ve vyspělých zemích, bezpečnostní požadavky vymáhány pomocí
zákonů a předpisů pod dohledem regulátorů.
V civilním letectví tvoří předpisovou základnu systémů bezpečnosti předpis L19 (Annex 19
Chicagské úmluvy) [8], postavený na dokumentu ICAO Safety Management Manual - ICAO
Doc. 9859 [9]. Zároveň je tento předpis rozšířen v evropském letectví Nařízením
Evropského parlamentu a rady (ES) č. 216/2008 ze dne 20. února 2008 [10]. Toto nařízení
obecně charakterizuje evropské letectví jako vyspělé společenství leteckých aktérů a
definuje Evropskou agenturu pro bezpečnost letectví (EASA) jako hlavní regulační orgán.
Nařízení evropské komise požadují po organizacích civilního letectví zavedení
systematických a proaktivních vnitřních systémů řízení bezpečnosti organizací. Předpisy
předpokládají použití principů měření bezpečnostní výkonnosti organizací. Jednou z částí
bezpečnostního systému je sledování a měření bezpečnostní výkonnosti. Sledování a
měření bezpečnostní výkonnosti organizací se stává standardem ve všech typech
leteckých činností. Právě pro naplnění této vlastnosti lze velmi výhodně využít koncept
indikátorů bezpečnosti.
1.1.5. INDIKÁTORY BEZPEČNOSTI BEZPEČNOSTNÍ PROSTOR
Výsledkem nových procesů, které pro zvýšení bezpečnosti zavádíme dle doporučení ICAO,
EASA a legislativy EU, má být vhodný rovnovážný stav mezi produkcí a bezpečností
přispívající jak k udržení úrovně kvality a tvorbě zisku, tak ke zvyšování provozní
bezpečnosti, tzn. zajištění faktu, že se organizace pohybuje v bezpečnostním prostoru.
14
ICAO Doc. 9859 definuje bezpečnostní indikátory jako parametry, které charakterizují
nebo popisují úroveň bezpečnosti systému [9]. Indikátory bezpečnosti poskytují informace
o tom, zda organizace nepřekračuje obrannou linii provozní bezpečnosti. Proto, aby se
pohybovala v oblasti bezpečnostního prostoru, definuje oblasti problémových aktivit, do
kterých je potřebné investovat síly a prostředky. Jinými slovy, indikátory upozorňují na
taková rizika, u kterých jsou zaznamenány trendy růstu počtu výskytů událostí i
jednotlivých faktorů těchto událostí.
Pro sledování druhé obranné linie, ochrany před finančním bankrotem, již existují ověřené
metody pro ekonomickou analýzu organizací. Sledují se především pomocí poměrových a
jiných analytických ukazatelů vycházejících z finančního a manažerského účetnictví.
Obr. 1 Bezpečnostní prostor podle Reasona (upraveno autory) [9]
Vedle těchto výsledků jsou dalšími hlavními důvody užití indikátorů jejich schopnost
poskytování zpětné vazby na bezpečnostní opatření a včasná upozornění na zhoršení
úrovně bezpečnosti v příslušném spektru činností. Proaktivně lze vyhodnotit, kde a jak
vykonat bezpečnostní opatření a výsledky taktéž ukazují pracovníkům, že bezpečnostní
opatření, která jsou v mnoha organizacích zaváděna nově, mají smysl a motivují je. Tím se
také zvyšuje úroveň bezpečnostní kultury, která je opět měřena pomocí ukazatelů.
15
Bezpečnostní systém založený na indikátorech bezpečnosti předpokládá:
Klasifikaci všech událostí v provozní bezpečnosti - nehod, incidentů, ale také tzv.
mikro událostí, při kterých došlo k realizaci rizika bez vzniku poškození a také
skoro-nehod.
Aktivní sledování provozních postupů, kdy je sledována skutečnost, zda jsou
provozní aktivity prováděny podle stanovených postupů v souladu se směrnicemi
a doporučeními pro řízení rizik.
Zavedení auditního systému pro neustálé sledování problematických operací a
udržení provozních rizik pod kontrolou organizace.
1.1.6. SBĚR DAT
Pro fungování bezpečnostních systémů je potřeba vytvořit proces sběru, zpracování a
vyhodnocení bezpečnostních dat z leteckého provozu. V poslední době věnuje EASA
velkou snahu o sjednocení přístupu k povinným a dobrovolným hlášením (IOSR) anebo i
reportům, které mají za úkol potřebná bezpečnostní data produkovat na národní úrovni
(ECCAIRS). Na splnění tohoto úkolu se soustřeďují Nařízení č. 376/2014 [11] a 2015/1018
[12], které definují základný rámec a struktury sbíraných dat. Pro reportování se pak
používají speciální schémata, která využívají taxonomie ADREP/RIT.
Zlepšení reportingu leteckých organizací a celkové zlepšení úrovně sběru bezpečnostních
dat je prvním krokem ke zvyšování bezpečnosti civilního letectví. Sběr by měl probíhat
kontinuálně a data by měla být sdílena tak, aby byly letecké organizace informovány o
tom, jak se s reportovanými daty nakládá a k čemu slouží. Důležitým bodem je motivace
organizací poskytovat reporty o svých bezpečnostních událostech. Motivací může být
například pomoc od regulátora při snižování provozních rizik, kterým je organizace
z charakteru provozu vystavena. Snižování provozních rizik se pak projeví i ekonomicky ve
snížení finančních ztrát zapříčiněných realizací bezpečnostních událostmi.
16
Sběr provozních dat představuje velké finanční výdaje, je proto esenciální definovat, která
data mají vysokou informační hodnotu a jsou tím pádem nejvhodnější pro sběr, následné
zpracování a vyhodnocení.
1.1.7. INDIKÁTORY BEZPEČNOSTI VÝVOJ A ČLENĚNÍ
Lofquist ve své studii zabývající se měřitelností bezpečnosti výstižně poznamenává, že
bezpečnost je definována a měřitelná spíše svojí absencí, než svojí funkčností [17].
Organizace přirozeně měří svoji bezpečnost pomocí reaktivních indikátorů. Tyto
indikátory jsou reaktivní proto, že se jejich trendy projevují, až když dojde ke vzniku
významných událostí. Tím, jak dochází k úbytku nehod, statistiky bezpečnosti vyjádřené
počtem nehod za časovou jednotku přestávají mít dostatečnou vypovídací hodnotu. [15]
Proto se přistupuje ke sledování proaktivních indikátorů bezpečnosti. Proaktivní
indikátory spouštějí bezpečnostní opatření, která se snaží nehodám a incidentům
předcházet na základě znalosti aktuálních problémů v provozu.
Samostatným zdrojem informací pro indikátory bezpečnosti je zkoumání bezpečnostní
kultury organizace [16, 18]. Aplikace těchto indikátorů bude popsána v kapitole 3
především z toho důvodu, že k datům o bezpečnostní kultuře organizace se můžeme
dostat v kratším časovém úseku než k indikátorům provozu. Indikátory bezpečnostní
kultury je proto doporučené používat jako první nástroj pro měření bezpečnosti. Paralelně
je potřebné budování tzv. kultury hlášení (reporting culture), protože díky jejímu zlepšení
se organizace dostávají ke kvalitním reaktivním i proaktivním indikátorům. Třetí paralelní
aktivitou je pak budování datové vyspělosti organizace a její indikátorové gramotnosti.
Sběr dat se přesunul od nehod k incidentům a dále ke sledování skoro-nehod a mikro
událostí v rámci běžných provozních operací. Reaktivní přístup funguje díky technologii
sběru, zpracování a vyhodnocení informací ze šetření nehod a incidentů. Z těchto šetření
a analýz vznikají bezpečnostní doporučení. Nyní jsme ale ve stavu kdy ani větší databáze
incidentů a nehod dále nezlepšuje možnost predikce stavu systému [17]. Nové
technologie sběru, zpracování a vyhodnocení bezpečnostních dat přinášejí sledování
běžných provozních pochybení a odchylek.
17
1.1.7.1. VÝSTUPY BEZPEČNOSTNÍCH SYSTÉMŮ NOVÉ GENERACE
Bezpečnostní systémy poskytují výstupy pro řízení bezpečnosti. Klasické procesní
bezpečnostní systémy přinášejí plynulé postupy pro práci s nebezpečími a riziky. Nové
bezpečnostní systémy jsou zaměřeny na měření bezpečnostní výkonnosti provozních
organizací pomocí indikátorů bezpečnosti.
1.1.7.2. FUNKCE INDIKÁTORŮ BEZPEČNOSTI
Předpokládejme, že bezpečnost je jedna z charakteristik provozu, která vypovídá o
správné funkci systému. Indikátory bezpečnosti poskytují impulzy pro sledování a řízení
této funkce systému. ICAO definuje indikátory bezpečnosti jako parametry, které
charakterizují nebo popisu úroveň bezpečnosti systému [9]. Podle norských výzkumů
v těžařském průmyslu jsou indikátory bezpečnosti definovány jako měřitelné provozní
proměnné, které mohou být použity k popisu rozsáhlejšího jevu, nebo části
skutečnosti [19]. Indikátory bezpečnosti mají sloužit ke správnému rozhodování
managementu a zodpovědných zaměstnanců.
Při práci s bezpečnostními indikátory jsou používány nástroje, kterých výstupem je i
vyhledávání nových nebezpečí a rizik na základě sledování rutinních provozních procesů.
Kromě provozních procesů se indikátory bezpečnosti zaměřují také na zkoumání
bezpečnostní kultury a bezpečnostního klimatu společností, hodnocení a plnění
požadavků daných příslušnými předpisy o bezpečnosti. Neméně významnou částí pro
budování indikátorů bezpečnosti je sledování řídících a organizačních procesů.
Bezpečnostní indikátory na základě sběru dat poskytují okamžitý obraz o bezpečnosti
dané organizace. Následně po implementaci získaných poznatků do celého systému
společnosti vzniká možnost pro strategické manažerské rozhodování a s tím spojené
objektivní adresování bezpečnostních aktivit.
Základní vlastnosti indikátorů bezpečnosti:
poskytování číselných hodnot
pravidelná aktualizace
každý ukazatel pokrývá část bezpečnosti.
18
1.1.7.3. REAKTIVNÍ INDIKÁTORY
Základním reaktivním indikátorem provozní bezpečnosti v jakémkoliv odvětví je počet
nehod. Data, která jsou získána po vzniku nehody nebo incidentu vytvářejí reaktivní
indikátory. Zahraniční literatura [19] uvádí termín lagging indicators, který můžeme
přeložit i jako zpětné indikátory. V knize budeme dále používat pojem reaktivní indikátory.
Při používání reaktivních indikátorů se vždy jedná o hodnocení výstupů systému. Reaktivní
indikátory mohou být například:
počet nehod a incidentů na 100 000 PJ,
počet událostí s dopadem na bezpečnost na 1000 PJ.
Mohlo by se zdát, že reaktivní indikátory jsou pro bezpečnost zastaralým měřítkem. Jejich
správné použití má pro bezpečnost velký význam. Prvním krokem je proto vytvoření
správné struktury těchto ukazatelů. Pohled na tuto strukturu je prezentován
v následujících kapitolách. Reaktivní indikátory by neměly být založeny pouze na
informaci, že se nehoda stala. Rozšíření této informace o další charakteristiky přinese
především nalezení nebezpečných faktorů nehod a lepší definování nápravných opatření.
Nebezpečným faktorům nehod se věnují proaktivní indikátory.
1.1.7.4. PROAKTIVNÍ INDIKÁTORY
Proaktivní bezpečnostní indikátory vycházejí z neustálého monitorování provozních
procesů se zaměřením na jednotlivá kritická místa v kauzálních diagramech vzhledem k
potenciálním vrcholovým událostem. Věnují se nebezpečným faktorům, které se vyskytují
v běžném provozu a také nebezpečným faktorům přítomným při výskytu významných
událostí. Můžeme o nich mluvit jako o indikátorech, které jsou založeny na mikro
událostech a skoro-nehodách. Mikro události jsou totožné s realizacemi výše zmíněných
nebezpečných faktorů, které v různých kombinacích vedou k realizacím provozních rizik a
následně se projevují jako reaktivní indikátory. Proaktivní indikátory jsou nejlepším
prostředkem, který umožňuje organizaci sledování procesu před nehodou. V procesu před
nehodou zároveň umožňují zapojení příslušných obran. Pro rozpoznání vhodnosti
zapojení příslušných obran slouží sledování růstu trendů indikátorů. Jejich vyjádření
můžeme provádět například jako:
19
počet realizací sledovaných faktorů na určitý počet PJ (např. 100 000, 10 000),
počet nestandardních operací vztažený k provoznímu období (například letní
sezona).
1.1.8. VÝVOJ PŘÍSTUPU K BEZPEČNOSTNÍM SYSTÉMŮM V LETECTVÍ
1.1.8.1. TECHNICKÉ FAKTORY
Z hlediska vývoje systémů pro zajištění bezpečnosti se období od prvopočátků letectví až
do 70. let 20. století nazývá érou technických faktorů [9]. Na zvyšování bezpečnosti se
nejvyšší mírou podílí technická zdokonalení, která jsou definována na základě závěrů
získaných šetřením leteckých nehod.
Počáteční podmínky rozvoje letectví se od jiných odvětví lišily hlavně tím, že technická
porucha znamená zpravidla fatální nehodu dopravního prostředku. Pro konstrukce
dopravních prostředků byly využívány jednoduché a křehké materiály, neexistovaly žádné
způsoby zajištění bezpečné a spolehlivé infrastruktury a chyběla regulace v režii
dozorných úřadů. Vnímání nebezpečí bylo, podobně jak tomu v amatérském letectví
zůstalo dodnes, alternováno pocity euforie. Hlavním nástrojem pro snižování nehodovosti
bylo šetření leteckých nehod a vytváření nápravných opatření v rámci technických
zdokonalení systémů letounů. I navzdory nedostatečným metodám šetření bylo
provedeno obrovské množství technických a technologických zdokonalení. Podobné
zlepšení probíhalo i v oblasti regulace a budování infrastruktury.
1.1.8.2. REGULÁTOR
V procesu šetření leteckých nehod byla významně posilována pozice regulátora. Šetření
se zaměřovalo i na kontrolu plnění legislativních předpisů. Zkoumány byly neprovedení
požadovaných úkonů, nebo provádění požadovaných úkonů jiným způsobem.
Nevyhnutným následkem byly sankce podle stupně vážnosti pochybení. Od 50. let již byla
letecká doprava považována za stabilně bezpečný druh dopravy a odvětví s významně
rostoucí regulací [9].
20
Ke vzniku selhání v leteckém provozu docházelo hlavně při kombinací různých faktorů.
Podmínky, které nepředstavovaly přímou příčinu události, nebyly uvažovány i když určitou
mírou ke vzniku selhání přispívaly. S touto situací se v současnosti setkáváme i nadále.
Šetření nehod vedlo ke zvyšování bezpečnosti. Zodpovězeny byly především otázky
zaměřené na určování technických příčin. Šetření také vedlo k nalezení odchylek od
nařízení a předpisů. Závěry šetření umožňovaly přiřazení zodpovědnosti za nehodu a
určení časových charakteristik události. K úplnému pochopení příčin nehod bylo důležité
odpovědět také na otázky směřující k odhalení kauzálních posloupností událostí,
identifikací spojitostí, nalezení slabých míst v procesech.
V dalších letech proto bylo provedeno mnoho kroků, které vedly k pochopení všech vlivů.
V roce 1968 byla například pro Boeing 747-100 vyvinuta logika MSG-1, která byla
základem pro vytvoření prvního programu údržby letounů. Založena byla právě na
logických stromech příčin technických poruch a induktivním analytickém postupu od
jednotlivých součástí k celku [23].
1.1.8.3. LIDSKÝ ČINITEL
Na začátku 70. let byl v letectví zaznamenán velký technický pokrok. Uvedeny byly
proudové motory, radary, autopiloty, zlepšila se navigační a komunikační zařízení,
zavedeny byly technologie podporující výkonnost posádky. Bezpečnostní snahy se díky
vyřešení mnoha problémů spolehlivosti zaměřily na posuzování lidského činitele, lidské
výkonnosti a omezení. Zaveden byl například CRM – Crew Resource Management, výcvik
zaměřený na povahu jednotlivých leteckých linek LOFT – Line Oriented Flight Training atd.
Období od 70. do 90. let nese pojmenování zlatá éra lidského činitele [9]. Nejdůležitějším
modelem, který se v tomto období používá, je model SHELL.
1.1.8.4. ORGANIZAČNÍ FAKTORY
Na konci 90. je důraz věnován organizačním faktorům. V roce 1991 byla poprvé za příčinu
letecké nehody označena špatná bezpečnostní kultura letecké společnosti. Za
bezpečnostní kulturu a vytvořené bezpečnostní klima jsou zodpovědné nejvyšší stupně
řízení organizace. Pro vyšetřování posloupností příčin nehod a zejména podílu
21
organizačních chyb byl v roce 1990 definován Reasonův model. Bezpečnost je řízena na
základě hodnocení rizik a implementace strategií a nástrojů pro jejich zmírňování.
Bezpečnost je již v současné době vnímána jako požadovaný výsledek řízení s cílem
udržování bezpečnostních rizik v provozních podmínkách pod kontrolou organizace.
Lidské chyby jsou nevyhnutelné. Při budování systému bezpečnosti je proto potřebné v
rámci organizačních postupů vytvořit takový systém obran, který dokáže omezit tvorbu
chyb a zastavit jejich šíření do dalšího provozu. Systém by si měl rovněž poradit s
odhalováním porušených obranných vrstev a příslušně omezovat některé kritické nároky
na lidský činitel. Pravděpodobnost chyb se pak bude snižovat. Nejdůležitější
zodpovědností organizačního faktoru je přidělování zdrojů veškerého druhu a udržování
rovnováhy mezi produkčními cíli a nástroji zajišťujícími bezpečnost. Zdroje každé
organizace jsou vyčerpatelné. Přidělování zdrojů je proto nejdůležitějším organizačním
procesem.
1.1.8.5. INDIKÁTORY BEZPEČNOSTI PRINCIP KONTROLNÍCH
MECHANISMŮ
Éra kontrolních mechanizmů je specifická důsledným sledováním provozních výsledků a
datových výstupů z jednotlivých datových zdrojů leteckých organizací. Zaměřujeme se v
ní na monitoring správného toku informací, jak uvnitř společnosti, tak i mimo ní. Myslíme
tím především komunikaci s regulátorem, organizacemi zabývajícími se provozní
bezpečností a provozními leteckými organizacemi, které na trhu spolupůsobí. Kontrolní
mechanizmy nám také umožňují sledovat bezpečnostní výkonnost ve společnosti a
správnou funkci bezpečnostních procesů. Bezpečnost se totiž postupem času proměnila z
jednoduché charakteristiky systému v proces, který je systematický, konzistentní a
neustále probíhající.
V éře kontrolních mechanizmů mají mít letecké organizace zavedeny bezpečnostní
systémy, které mají specifické nároky na datové zdroje. Těmito kontrolními mechanizmy
jsou reaktivní a proaktivní bezpečnostní indikátory a indikátory bezpečnostní kultury.
Tato kniha navazuje na popsaný vývoj. Poskytuje podrobný popis principů, pomocí kterých
přistupujeme k řízení bezpečnosti na základě podrobných dat o provozním chování
22
systému. Takovýto přístup k řízení bezpečnosti lze označit jako data-driven. Tento přístup
je v plném souladu se současnými trendy ve zpracování dat.
1.2. MODELY PRO PODPORU BEZPEČNOSTI
Modely pro podporu bezpečnosti se vyvíjeli společně s celým letectvím s tím, na jakou
část byl přikládán důraz. Zde jsou zmíněny všechny důležité modely potřebné pro
pochopení vývoje bezpečnosti.
1.2.1. MODELY PRO PODPORU BEZPEČNOSTI TECHNICKÉ FAKTORY
Jak již bylo zmíněno výše, v prvních třech obdobích byly využívány různé modely a
přístupy, které umožňovaly kontinuální zvyšování spolehlivosti technických systémů.
Technické nedostatky a nápravná opatření závěrečných zpráv šetření leteckých nehod
výrazně přispívaly při vytváření principů, které umožňovaly zlepšování bezpečnosti
leteckých systémů. Podle závěrů vyšetřovacích zpráv byla upravovaná a navrhovaná nová
technická řešení. Zlepšovány byly také programy údržby letounů. V tomto pojetí lze
systém pro zvyšování bezpečnosti vnímat jako reaktivní. S vývojem moderních letounů
byly také vytvářeny nové typy programů údržby, které lze považovat za proaktivní a
prediktivní. Důvodem byla složitost technických systémů letounů, kterých údržbu již
nebylo možné řešit jednoduchým principem výměny komponent v předem stanovených
intervalech. Takovýto proces údržby byl nazván – Hard Time.
Fungování nového systému údržby letecké techniky byl založen na logice MSG-1, která na
základě provozních informací o systémech zkoumala jejich funkce, druhy poruch
jednotlivých prvků, následky a příčiny poruch prvků i celého systému. Na základě využití
logických stromů poruch pro jednotlivé zóny letounu a následného využití logiky MSG-1
byly kromě procesu Hard-Time přiřazovány další způsoby údržby On Condition a Condition
Monitoring. MSG-1 byla určena pouze pro letoun B 747-100. Stala se mezi výrobci a
provozovateli velice oblíbenou a proto byla pro jiné letouny vyvinuta upravená logika
MSG-2 [24]. Výsledkem těchto přístupů jsou predikce poruchových stavů a vytvoření
preventivního programu údržby.
23
Obr. 2: Princip přidělování způsobů údržby dle MSG-1 (upraveno autory) [9]
V dalších letech byl vytvořen koncept údržby MSG-3, který byl zaměřený na určení úkolů.
Lišil se ve způsobu, kterým byly výkony údržby přiřazovány ke komponentům systému.
MSG-3 je logika založena na deduktivním postupu a vnímání poruchy z pohledu vlivu na
celý provoz letadla. Charakteristiky poruch mohou být rozděleny na základě
bezpečnostních a ekonomických důsledků, poruchy mohou být evidentní a skryté.
24
Obr. 3: Princip přidělování úkolů údržby dle MSG-3 (upraveno autory) [9]
Následně se pro jednotlivé části s pomocí logického stromu podle vyhodnocení vhodnosti
a efektivnosti zásahu přiřadí jeden z definovaných úkonů údržby (mazání, doplňování,
prohlídka, kontrola funkce, provozní kontrola, vizuální kontrola, uvedení do původního
stavu, vyřazení).
Výše uvedené systémy pomohly výrazně k vytvoření ultra bezpečného prostředí letectví.
Systémy využívány v období reaktivních opatření byly úspěšně doplněny systémy sběru a
vyhodnocování provozních dat, které umožňovaly rozhodování na základě pevně
stanovených logických posloupností.
1.2.2. MODEL SHELL PRO PODPORU BEZPEČNOSTI LIDSKÝ ČINITEL
Na základě sledování průběhu provozních procesů mohou manažeři organizací pozorovat
různé odchylky od provozních postupů a různé charakteristiky práce na jednotlivých
pracovních pozicích. Následovat mohou v zásadě dvě možnosti řešení. První je tradiční
vyvozování zodpovědnosti a příslušných důsledků kvůli nekázni a porušením předpisů a
25
postupů. Druhou možností je analýza provozního prostředí z pohledu přítomnosti
takových komponent a vlastností, které mohou být zdrojem negativní interakce s
provozním pracovníkem.
Při analýze prostředí je možné o komponentách a provozním prostředí získat dostatečné
informace umožňující nové uspořádání systémových předpokladů a vytvoření strategií pro
zmírňování bezpečnostních rizik. Model SHELL pomáhá organizaci se získáváním informací
o nebezpečích provozního prostředí a jejich vztahů k provoznímu personálu. Bez
adekvátních informací o provozním prostředí není možné dosáhnout dostatečného
porozumění provozním výkonům a provozním chybám [25].
Jednoduchým a užitečným nástrojem pro analýzu jednotlivých komponent systému,
vlastností provozního prostředí a možných vlivů na provozní personál je právě model
SHELL. Tento model zdůrazňuje rozhraní mezi provozním pracovníkem a dalšími
komponentami a vlastnostmi systému letecké dopravy.
Těmito prvky jsou:
Hardware - fyzické nástroje, které pracovník v rámci provozních procesů používá
Software - soubory regulací, předpisů, provozních procesů a postupů, dále výcvik
a podpora provozních pracovníků
Environment - přirozené pracovní prostředí a pracovní podmínky provozních
pracovníků
Liveware - další provozní pracovníci, se kterými ústřední prvek přichází při práci
do kontaktu
26
Obr. 4: Model SHELL [9]
1.2.3. MODELY PRO PODPORU BEZPEČNOSTI ORGANIZAČNÍ FAKTORY
Sledování vlivu organizačních faktorů na bezpečnost je vhodné provádět podle
jednoduchého grafického modelu, který představil profesor Reason. Reasonův model
umožňuje pochopení správného fungování a odůvodnění chování, které vede k selhání
systému. Reasonův model je používán ve vysoce rizikových odvětvích jako je jaderná
energetika i letectví a je založen na předpokladu, že ke vzniku nehody, incidentu nebo
události je potřebné spojení určitého počtu faktorů. Každý z faktorů je pro bezpečnost
důležitý, samostatně ke vzniku nehody však nevede. Pro práci s modelem slouží
následující diagram.
27
Obr. 5: Reasonův model (upraveno autory) [9]
V zájmu předcházení nehodám z organizačních důvodů Reasonův model doporučuje
neustálé sledování organizačních procesů s cílem identifikovat skryté okolnosti - latentní
podmínky a tím posílit blok obran. Úsilí o bezpečnost by mělo také zajistit zodpovídající
úrovně pracovních podmínek. Je potřeba brát v úvahu, že především pracovní podmínky
způsobují aktivní selhání, která při větší koncentraci vedou k vážným selháním
bezpečnosti.
1.2.4. MODEL TOČÍCÍCH SE DIS
Hartův model točících se disků je zaměřen na dynamiku příčin nebo faktorů události.
Metoda určení prekurzorů je zaměřena na sled událostí, jelikož každá bezpečnostní
událost se skládá ze sledu událostí dílčích. Prekurzory je možné chápat jako indikátory
incidentů. Odhalují oblasti provozu náchylné ke vzniku incidentů a sledují vývojové trendy
bezpečnosti v těchto oblastech.
Moderní přístup k bezpečnostním systémům shledává slabinu klasického pohledu na
bezpečnostní události a jejich rozbor jako na sled po sobě jdoucích dílčích událostí. Spíše
se snaží celý systém chápat dynamicky. Lépe než klasický Reasonův model Švýcarského
sýra odráží reálný stav bezpečnosti. [20] Tento model přistupuje na dynamiku celého
systému, tím pádem i podmínek ovlivňujících zvýšené riziko.
28
Hartův model uvažuje dynamiku faktorů systému, které se mění v závislosti na
okolních podmínkách a pouze za určitých okolností dojde k jejich propojení. Několik
faktorů může nastat současně a jejich vzájemná rezonance přispívá ke zvýšené rizikovosti
systému.
1.2.5. REZONANČNÍ ANALÝZY FRAM
Metoda FRAM (Functional Resonance Analysis Method) je založena na analýze rezonancí
systému. Vyvinutá byla Erikem Hollnagelem [21]. Představuje analýzu nelineárních
souvislostí událostí v čase a jejich vzájemné rezonanci. Spíš než na strukturu systému se
metoda zaměřuje na funkce jeho dílčích prvků [21]. Její použití dovoluje modelovat
události a procesy za pomoci šestiúhelníků, takzvaných sněhových vloček, a to jak zpětně,
tak dopředně. Celý model je poskládán ze šestiúhelníků, kde každý vyjadřuje určitou
aktivitu nebo funkci blíže charakterizovanou vstupem, vzájemnými časovými vazbami,
potřebnými prostředky pro řízení, konzumovanými zdroji, předpoklady nebo podmínkami
a výstupem.
Obr. 6: Hexagon metody FRAM [22]
Tato metoda je velmi dobře použitelná pro modelování scénářů a podporuje
celkové pochopení situace. Přináší organizacím velký potenciál v oblasti práce s riziky.
29
1.2.6. HEINRICHŮV POMĚR
Z pohledu zkoumání vrcholových událostí a jejich faktorů platí v letecké dopravě tak jako
v mnoha dalších doménách tzv. Heinrichův poměr. Heinrichův poměr popisuje pravidlo,
kdy na jednu nehodu nebo incident s následky na životech, zdraví a majetku připadá 29
méně závažných událostí s minoritními následky. Dle definice můžeme také v této
spojitosti sledovat dalších 300 výskytů skoro-nehod nebo mikro událostí [26] v podobě
realizací různých událostí a faktorů, které k vrcholovým událostem přispívají.
Obr. 7: Heinrichův poměr (upraveno autory) [26]
1.3. ÚROVEŇ PROVOZNÍ BEZPEČNOSTI V LETECTVÍ
Základním legislativním souborem, který musí všechny organizace v letectví plnit, je
soustava předpisů od ICAO Annexů po směrnice ÚCL. Všechny tyto předpisy, pokud jsou
dodržovány, by měly organizacím zajišťovat bezproblémový provoz. Dalo by se tedy
odvodit, že, mimo např. kvality, předpisy zajišťují jistou úroveň bezpečnosti. Jenže ve
skutečnosti je v letectví bezpečnost úplně nejhlavnějším tématem a nejdůležitější
vlastností. Pokud je něco bezpečné, tak neexistuje důvod proč to zakázat. Obecně lze říci,
že v letectví platí následující tři pravidla:
Standardy musí být dodržovány
30
Standardy jsou pro zajištění kvality
Kvalita je v letectví bezpečnost
Jak moc kvalitní tedy letectví, či jeho část je, je dáno dosaženou úrovní bezpečnosti.
Úroveň bezpečnosti je ale abstraktní pojem, který v současné době nelze jednoduše
definovat (např. číslem). Jako aktuální hodnota se však udává 1*10-7. Tedy jedna vážná
nehoda na deset milionů letů. Zde je vidět nesrovnalost ohledně názvosloví, kde se
střetávají pojmy nehoda a vážná nehoda, přičemž za vážnou se považuje nehoda s úmrtím,
nebo zničení letadla. Hodnotu 1*10-7 lze považovat za velmi obecnou vycházející ze
statistik ICAO, která nemá téměř žádné spojení s bezpečností.
Oficiálně (dle nařízení Evropského parlamentu a Rady (EU) č. 996/2010 [27]) jsou však
události s vlivem na bezpečnost klasifikovány ve třech stupních, a to letecká nehoda,
vážný incident a incident. Pro určení aktuální hodnoty bezpečnosti by proto bylo nezbytné
do výpočtu zařadit všechny tyto události. [31] Takovýto výpočet by však byl neúměrně
složitý a vypovídající hodnota výsledku by nebyla dostatečná vzhledem k vynaloženému
úsilí.
Zajištění úrovně bezpečnosti je hlavním posláním organizace EASA a její dohled
nad bezpečností zajišťuje, že úroveň bezpečnosti civilního letectví v daném státě je na
stejné nebo lepší úrovni než stanovují SARPs (Standards and recommended practices od
organizace ICAO). EASA má také dosáhnout vysoké a jednotné úrovně bezpečnosti
civilního letectví v Evropě.
1.3.1. SAFETY MANAGEMENT MANUAL (SMM), SAFETY MANAGEMENT
(ANNEX 19) A STÁTNÍ PROGRAM BEZPEČNOSTI (SSP)
ICAO Doc 9859 - Safety Management Manual je komplexním předpisem popisujícím
provozní bezpečnost, důvody a základní myšlenky řízení bezpečnosti a Safety
Management System (SMS). Tento manuál existuje již ve třetím vydání a má status
poradního dokumentu (guidance).
31
V roce 2013 vešel v platnost nový Annex k Chicagské úmluvě s číslem 19 a názvem Řízení
bezpečnosti (Safety Management) [8]. Tento dokument převádí SMS z doporučeného
na povinný. Taktéž zavádí Státní program bezpečnosti (State Safety Programme), který
nařizuje státům definovat přijatelné úrovně bezpečnosti. SMS je požadavkem
na zainteresované subjekty v letectví.
1.3.2. ŘÍZENÍ RIZIK (DLE SMS)
Pro stanovení úrovně, na kterou by měla být rizika řízena, využívá SMS hodnotu ALARP,
což je zkratka z As Low As Reasonably Practicable, tedy v překladu tak nízko jak je
rozumně praktické“.
Obrázek 8 ALARP (upraveno autory) [9]
Z obrázku 7 je vidět, že bezpečnostní rizika se dělí do třech kategorií: na nepřijatelná,
tolerovaná a přijatelná. Pokud je riziko v nepřijatelné oblasti není možné danou činnost
provozovat. Pokud se však nachází v tolerované oblasti, je možné dané bezpečnostní riziko
tolerovat, avšak pouze za předpokladu, že ho řídíme právě na úroveň ALARP. Toto řízení
musí být v rovnováze s náklady, časem a obtížností. O rizicích z akceptovatelné oblasti
víme, avšak jsou pro nás nepodstatná, takže se jimi nemusíme zabývat.
32
1.3.3. PŘIJATELNÁ ÚROVEŇ BEZPEČNOSTI (ACCEPTABLE LEVEL OF SAFETY -
ALOS; SSP)
SMM a následně L 19 se SSP zavádí pojem přijatelná úroveň bezpečnosti (ALoS), kterou
má za povinnost definovat stát ve svém Státním programu bezpečnosti (SSP). Stát by tak
měl pro všechny oblasti letectví definovat měřitelné indikátory a cíle, které je nutné
dosahovat, resp. dosáhnout. Hlavním účelem vydávání SSP a SMS je právě dosáhnutí
ALoS. Při stanovování hodnot výkonnostních bezpečnostních indikátorů a výkonnostních
bezpečnostních cílů je ale nutné státem důkladně zvážit definované oblasti, které se
budou sledovat. Ty musejí odpovídat snaze o zvýšení bezpečnosti celého systému letectví
a ne jen oblasti zasahující konkrétní subjekt. Při chybném zadefinování by se totiž mohlo
stát, že některé subjekty (poskytovatelé služeb v civilním letectví) se začnou k řízení rizik
stavět s odporem, jelikož je ALoS začne přehnaně omezovat. V tomto případě by mohli
využít jiný přístup k řízení rizik, než udává SMM, a to přístup SAHARA (viz obrázek 9).
SAHARA znamená Set As High As Regulations Allow“, což lze přeložit jako „tak vysoko,
jak jen předpisy dovolí“. Takovýto přístup je v současnosti využíván např. některými
leteckými přepravci.
Obrázek 9 SAHARA (zdroj: autoři)
33
1.3.4. SMS
Safety management systém lze brát jako balíček nástrojů, který letecká organizace
(konkrétně její vedení) používá pro identifikaci nebezpečí a řízení bezpečnostních rizik
ohodnocených následků nebezpečí. Balíček nástrojů je vždy velikostí přiměřený velikosti
subjektu, který ho používá.
SMS navazuje na bezpečnostní management subjektu, který se ale nesmí zabývat pouze
jednoduše viditelnými procesy, ale všemi procesy, které v daném subjektu probíhají. Díky
tomu pak lze do každodenních činností zavést proces identifikace nebezpečí, sběr
bezpečnostních dat a jejich analyzování, hodnocení rizik a zavádění zmírňujících strategií.
SMS je charakterizován třemi vlastnostmi. Je systematický, proaktivní a explicitní.
Nejdůležitější pro následné chápání je vlastnost proaktivnost. Ta udává, že se SMS snaží
identifikovat nebezpečí ještě před tím, než nastanou, což znamená, že systém řízení
bezpečnosti nelze postavit pouze na informacích z leteckých nehod a incidentů. [30, 32]
Proto se v SMS užívá popsání systému a následné využití diferenční analýzy, která určí
problematická místa, na která je nutné zaměřit pozornost.
Díky volnosti při sledování a řízení bezpečnosti pro letecké společnosti si každá vytváří svůj
odlišný systém založený na stejných základech a principech safety management systému.
Nejlepší systémy sledování bezpečnosti mívají velké subjekty, které díky tomu mohou
uspořit značné náklady a mají dostatek finančních zdrojů pro vytvoření automatizovaného
systému (softwaru).
jsou tyto systémy sledování a řízení bezpečnosti dostatečně vyspělé vytvářejí jednu
zásadní překážku, díky které je nelze zahrnout do hodnocení bezpečnosti celého letectví.
Touto překážkou je neporovnatelnost. Kvůli tomuto stavu – nemožnosti využít data
o bezpečnosti od všech společností a vytvořit fúzi je nutný návrat k řízení bezpečnosti
z pohledu státu a tedy již zmiňované přijatelné úrovně bezpečnosti ALoS. Nadstavbou
k leteckým nehodám a incidentům tak jsou již zmiňované bezpečnostní indikátory.
34
2. VYHODNOCOVÁNÍ BEZPEČNOSTI
Vyhodnocování bezpečnosti je jednou z dlouhodobých překážek při zvyšování
bezpečnosti v letectví. Vyhodnocování, určování a porovnávání totiž vždy závisí na
číselných údajích, které však nemusí být vhodně získány. Také může být zvolena nevhodná
metoda získání dat, nepřesná transformace mezi kategoriemi událostí, či zvoleny
nevhodné váhy jednotlivých událostí na celý systém. Vyhodnocování je proto extrémně
důležitým krokem v letecké bezpečnosti. V této kapitole jsou popsány nezbytné základy
týkající se hodnocení bezpečnosti a metody, které je možné pro hodnocení a řízení
bezpečnosti použít.
2.1. LETECKÉ NEHODY, VÁŽNÉ INCIDENTY A INCIDENTY
Z historického hlediska se bezpečnost vždy hodnotila podle počtu leteckých nehod. Tento
přístup byl dostatečný díky velkému množství dat a informací, na kterých se mohlo stavět.
Letecké nehody nebyly ničím zvláštním a poskytovaly dostatečný prostor pro zlepšování
systému. S postupným zvyšováním bezpečnosti však začalo množství nehod klesat a tak
bylo nutné sledovat další parametry. Za ty byly zvoleny incidenty.
Letecká nehoda je Předpisem L 13 [28] definovaná jako:
„Událost spojená s provozem letadla, která se, v případě pilotovaného letadla, stala mezi
dobou, kdy jakákoliv osoba nastoupila do letadla s úmyslem vykonat let a dobou, kdy
všechny takové osoby letadlo opustily, nebo která se, v případě bezpilotního letadla, stala
mezi dobou, kdy letadlo je připraveno k pohybu pro účely letu a dobou, kdy zastaví na
konci tohoto letu a hlavní pohonná soustava je vypnuta, a při které:
a) některá osoba byla smrtelně nebo těžce zraněna následkem:
- přítomnosti v letadle, nebo
- přímého kontaktu s kteroukoli částí letadla, včetně částí, které se od letadla
oddělily, nebo
- přímým působením proudu plynů (vytvořených letadlem),
s výjimkou případů, kdy ke zranění došlo přirozeným způsobem, nebo způsobila-li
si je osoba sama nebo bylo způsobeno druhou osobou, nebo jestliže šlo o černého
35
pasažéra ukrývajícího se mimo prostory normálně používané pro cestující a
posádku; nebo
b) letadlo bylo zničeno, nebo poškozeno tak, že poškození:
- nepříznivě ovlivnilo pevnost konstrukce, výkon nebo letové charakteristiky
letadla, a
- vyžádá si větší opravu nebo výměnu postižených částí,
s výjimkou poruchy nebo poškození motoru, jestliže toto poškození je omezeno
pouze na jeden motor (včetně jeho příslušenství nebo motorových krytů); vrtulí
(rotorových listů), okrajových částí křídel, antén, snímačů, lopatek, pneumatik,
brzd, podvozku, aerodynamických krytů, palubní desky, krytů přistávacího zařízení,
čelních skel, potahu letadla (jako jsou malé vrypy nebo proražení) nebo
nevýznamná poškození listů hlavního rotoru, listů ocasního rotoru, přistávacího
zařízení a těch poškození, která jsou zapříčiněna krupobitím nebo střetem s ptákem
(včetně poškození krytu radarové antény na letadle); nebo
c) letadlo je nezvěstné‚ nebo je na zcela nepřístupném místě.[28]
Incident je Předpisem L13 definován jako:
„Událost jiná než letecká nehoda, spojená s provozem letadla, která ovlivňuje nebo by
mohla ovlivnit bezpečnost provozu. Jedná se o chybnou činnost osob nebo nesprávnou
činnost leteckých a pozemních zařízení v leteckém provozu, jeho řízení a zabezpečování,
jejíž důsledky však zpravidla nevyžadují předčasné ukončení letu nebo provádění
nestandardních (nouzových) postupů. Incidenty v letovém provozu se rozdělují podle
příčin na:
a) letové‚
b) technické‚
c) v řízení letového provozu
d) v zabezpečovací technice
e) jiné.
36
Mezi příčiny incidentů se zahrnují i nepředvídané přírodní jevy (výboje statické elektřiny,
střety s ptáky apod.), pokud neohrozily bezpečnost letu do míry, že byly hodnoceny
jako vážný incident nebo letecká nehoda.“ [28]
Vážný incident je Předpisem L13 definován jako:
„Incident, jehož okolnosti naznačují vysokou pravděpodobnost letecké nehody, jenž je
spojený s provozem letadla a který se, v případě pilotovaného letadla, stal mezi dobou,
kdy jakákoliv osoba nastoupila do letadla s úmyslem vykonat let a dobou, kdy všechny
takové osoby letadlo opustily, nebo který se, v případě bezpilotního letadla, stal mezi
dobou, kdy letadlo je připraveno k pohybu pro účely letu a dobou, kdy zastaví na konci
tohoto letu a hlavní pohonná soustava je vypnuta.“ [28]
Hodnocení bezpečnosti na základě počtu nehod a incidentů stále probíhá, avšak jak bylo
napsáno v kapitole 1, s dalším zvyšováním bezpečnosti je nutné hledat další parametry,
které se budou hodnotit. V tomto „okamžiku“ se dala volná ruka subjektům v letectví pro
hodnocení vlastní bezpečnosti díky povinnosti zavést Systém řízení bezpečnosti (SMS).
[38]
Je nutné si uvědomit, že sledováním počtu nehod a incidentů lze hodnotit jakoukoliv část
letectví a její vliv na bezpečnost, avšak vzhledem k četnosti těchto událostí výsledky
nemusí být zcela průkazné.
2.2. SAFETY ICEBERG
Již v kapitole 1.2 byl popsán Heinrichův poměr. To je myšlenka známá i pod označením
ledovec bezpečnosti, který značí rozdělení počtu typů událostí s vlivem na bezpečnost.
V předchozí kapitole zmíněné letecké nehody, vážné incidenty a incidenty tvoří tři úrovně
ledovce, které lze aktuálně považovat za viditelné. K těmto třem úrovním je možné přidat
čísla z Heinrichova poměru a ukázat závislost. Vzhledem ke stále většímu tlaku na
zvyšování bezpečnosti, kterou musí organizace v letectví dodržovat a jejich vlastní snaze
na zvýšení provozní efektivity se díky SMS začíná objevovat čtvrtá úroveň ledovce. Ta
zahrnuje typy událostí, které ještě nelze klasifikovat ani jako incidenty.
37
Obrázek 10 Safety Iceberg (zdroj: http://www.wim-network.org/wp-
content/uploads/2012/04/iceberg.jpg, autoři)
2.3. VÝVOJ METOD POUŽITELNÝCH PRO HODNOCENÍ A ŘÍZENÍ
BEZPEČNOSTI
Metod použitelných pro hodnocení bezpečnosti, identifikaci nebezpečí, řízení rizik a celou
oblast letecké bezpečnosti je velmi mnoho. V této kapitole je popsáno několik zajímavých
metod a postupů z pohledu bezpečnosti.
2.3.1. METODA RAT (RISK ANALYSIS TOOL)
Společnost British Airways začala v roce 1998 hledat metody pro analýzu nebezpečí. Ty
měly sloužit pro zdokumentování vývoje rizik a zmírňujících kroků (takových, které vedly,
nebo by teprve vedly, k jejich snížení) a zajistit, aby již žádná nová nebezpečí nevznikala
(typicky při zavádění nových technologií), a to aspoň taková, která by nebyla nějakým
systémem identifikovaná. Součástí zadání bylo také najít metodu, která by nejenom
ohodnotila aktuální nebezpečí, ale dokázala by i předvídat rizika do budoucna právě
s ohledem na zavádění nových technologií, či postupů. Nakonec byla u British Airways
vybrána metoda závislostního modelování pojmenovaná RAT risk analysis tool/nástroj
pro analýzu rizik. [30]
Analýza nebezpečí pomocí RAT se soustředí na každý prvek systému, který by se mohl
pokazit. Postup je následující:
1) v prvním kroku určí rizika, která vedou k situacím, které by se mohli pokazit,
2) v kroku druhém se seřadí podle pořadí.
38
Tímto se vytváří závislostní modelování, díky kterému lze snadno rozpoznat kritická místa,
která je nutno vylepšit. Software RAT navíc dokáže ukázat, jakým způsobem by se problém
vyvíjel, kdyby byl ponechán bez řešení. Metoda závislostního modelování tím pomáhá
dokumentovat ohodnocení rizik a následně i ukázat o kolik se bezpečnost zlepšila. Taktéž
identifikuje skutečnosti snižující závažnost odhalených rizik. [30]
V letectví se každý den spoléháme na věci, nad kterými nemáme přímou kontrolu.
Podstatou rizik je právě závislost na těchto nepřímo kontrolovatelných věcech/prvcích.
Klíč k řízení všech rizik spočívá v pochopení, jakým způsobem nekontrolovatelné prvky
zasahují do systému, a také v hledání cest, jak na nich snížit závislost. [29, 39]
Model závislostního modelování mapuje vzájemné vztahy mezi cíli a dílčími cíli, ale také
nekontrolovatelné prvky, které jsou v modelu označeny jako náhody. RAT tyto závislosti
zobrazuje ve stromové struktuře, která se rozšiřuje od cílů až k náhodám.
Lze rozlišit dva typy závislostí, které vycházejí z binární logiky. V první musí být všichni
předchůdci „aktivní“ (AND), abychom dosáhli cíle a druhá, kde postačí jakýkoliv
předchůdce „aktivní“ (OR). AND závislosti jsou slabá místa, kdežto OR závislosti jsou silné
články. Při následné tvorbě řetězce událostí je jednoduché rozpoznat oblasti, které je
nezbytné z pohledu bezpečnosti začít řešit = řídit. RAT obsahuje i matematickou složku
modelu umožňující vypočítat pravděpodobnost selhání. K tomu je však nutné mít přístup
k datům získaných ze systému řízení bezpečnostních incidentů. Ty lze manuálně zadat do
systému a ten následně vypočítá a identifikuje všechny části modelu, na které je vhodné
se zaměřit jako první [29].
Funkce RAT je nejlépe vysvětlitelná na konkrétním příkladu, viz obrázek 11 níže. Cíl je
stanoven na „Letadlo nepřistane s nevysunutým podvozkem“. Tento cíl závisí na dílčích
cílech „Páka podvozku je v poloze DOWN“ a (AND) „Podvozkový systém pracuje správně“
(Závislost a (AND) je v obrázku znázorněna červenými trojúhelníky). První dílčí cíl lze dále
větvit na „Pilot si vzpomene na posunutí páky na DOWN“ nebo (OR) „Pilot je vyzván
k posunutí páky na DOWN“ (Závislost nebo (OR) je v obrázku znázorněna zelenými pruhy).
39
Po vložení pravděpodobnosti selhání u prvků, které jsou v modelu úplně vpravo, může
RAT spočítat riziko toho, že cíl selže, a dále ukáže, kde bude nejvhodnější usilovat o
zlepšení.
Obrázek 11 Příklad zobrazení metody RAT (upraveno autory) [33]
Metoda RAT je postavená na závislostním modelování, které je zase postaveno
na procházení problému od počátku do konce. Nejdříve se systém analyzuje a následně je
nezbytné zapojit všechna dostupná data.
Vzhledem k tomu, že British Airways mají přes dvě stě takových modelových situací, jeví
se využití RAT pro hodnocení bezpečnosti velmi dobře. Většina z nich vznikla kvůli zlepšení
bezpečnosti, ale existují i takové, které slouží k vyhodnocení bezpečnostního přínosu
u zaváděných změn postupů [29].
RAT je vhodným nástrojem pro hodnocení návaznosti událostí vedoucích k mimořádné
události. Použití této metody pro hledání úrovně nebezpečí typů přiblížení na přistání by
však bylo velmi manuálně náročné a nebylo by možné odstranit závislost na autorově
úsudku, nehledě na žádný zdroj vhodných dat o přiblížení. Z tohoto důvodu je postup
metody RAT využit jen jako doplňkový nástroj pro hledání závislostí.
2.3.2. METODA TAPROOT
Metoda TapRooT byla vytvořena a uvedena do provozu v roce 2002 u společnosti Alaska
Airlines. Té bylo zvoleno z důvodu, aby zaměstnanci lépe porozuměli příčinám nehod a
40
hlavně incidentů, které se společnosti stávali. TapRooT je podobně jako RAT systematická
metoda organizování faktů a zároveň soubor integrovaných nástrojů, jejichž účel je
hodnocení a nalezení hlavních příčin událostí a nápravných opatření. Na rozdíl od RAT však
TapRooT organizuje fakta z událostí v chronologickém pořadí.
TapRooT nejdříve pomáhá zjistit, co se stalo, následně z jakého důvodu se tak stalo, a
nakonec i pomůže napravit jednotlivé kroky, které k problému vedou, navržením
nápravného opatření. Nejdůležitějším pojmem u této metody je sousloví „hlavní příčina“,
což je příčina problému, která je identifikovatelná a existuje u ní kontrola nad nápravnými
opravami, kdy po nápravě by mělo být zabráněno jejímu dalšímu opakování. [30]
Postup využití TapRooT lze rozdělit do několika kroků. [30]
1) Prvním krokem je identifikace nežádoucí události. Obvykle se za událost zvolí
letecká nehoda nebo incident, avšak může to být také proces, u kterého bylo
identifikováno, že nefunguje správně. Výběr nežádoucí události se může lišit
v závislosti na zpracovateli a jeho subjektivním pohledu na proběhlou událost.
2) Druhým krokem je uspořádání faktů podle pořadí tak, jak jdou (resp. šly)
chronologicky za sebou. K tomuto je použito grafické reprezentace označované
jako SnapCharT (viz obrázek 12). Tento graf se skládá z akcí (které jsou
pozorovatelné a je u nich možno stanovit co se děje), a z podmínek těchto akcí
(které je upravují nebo vysvětlují). Po dokončení poskytuje takovéto zobrazení
důležitou vizualizaci, kterou pomáhá zajistit, že všechny případné informace byly
nashromážděny.
41
Obrázek 12 Příklad zobrazení SnapCharT metody TapRooT (upraveno autorem) [62]
3) Třetím krokem je podrobení všech akcí i podmínek přesné otázce: „Kdyby
podmínka/akce byla napravena, zabránilo by to výskytu incidentů nebo alespoň
výrazně snížilo důsledky události?“ Všechny akce a podmínky, na které je získána
kladná odpověď, jsou označeny jako kauzální faktory dané nežádoucí události.
4) Čtvrtým krokem je analýza kauzálních faktorů pomocí RCA analýzy (Root cause
tree), kde se v případě TapRooT k vyhodnocení využívá patnácti binárních otázek.
Podle odpovědí, které jsou získány, jsou následně vytvořeny základní kategorie
příčin, na které je nezbytné se zaměřit pro zvýšení bezpečnosti.
Výstup ze softwarového řešení TapRooT u Alaska Airlines obsahuje hlášení pokrývající
celou vybranou oblast od hlášení o incidentu přes nápravné akce až vyhodnocení.
Konkrétně to jsou: [30]
Hlášení o incidentu shrnutí všech důležitých informací, nálezů i nápravných
opatření
Technická hlášení – hlášení o použitých technikách během vyšetřování
42
Hlášení nápravných akcí – obsahuje jak hlášení o incidentech, tak hlášení o
vnášení do databází a dalšího sledování
Proces metody TapRooT je velmi systematický a poskytuje dobře definovanou cestu
pro analýzu hlavních příčin mimořádných událostí. K tomu jsou navíc dostupná i surová
data, což je výborné pro sledování vývoje a celkovou analýzu všech dat. Tento systém je
nejlepší při analýze složitých událostí, které představují vysokou hrozbu pro letový a
letecký provoz [29]. Správně provedené šetření události a její analýza může ušetřit
finanční i časové zdroje tím, že kombinuje všechna dostupná vyšetřování do jednoho
procesu vyhodnocování bezpečnosti a u Alaska Airlines také zahrnuje všechny
zaměstnance, kterým navíc poskytuje přístup k příslušným informacím uspořádaných do
standartního formátu. [35]
Alaska Airlines, která TapRooT jako první letecká společnost využila, tento software
následně rozšířila po celé společnosti, kvůli výsledkům, které přinesl. Je používán jak pro
pozemní incidenty, tak i pro oblast údržby, oblast letového provozu, i pro interní procesy
celé společnosti. Poskytl objektivní a opakovatelný nástroj, který identifikuje zdrojové
faktory událostí, a jednotný jazyk, pokud jde o analýzu příčin, kterým lze komunikovat.
[34], [35]
Metoda TapRooT je velmi vhodná pro vyhodnocení řetězce událostí a jako taková by byla
vhodná pro stanovení časové pozice zásahu lidského faktoru do řetězce událostí.
Vzhledem k omezeným zdrojům dat je však podobně jako RAT využita jen jako doplňková
pro případy vyhledání závislostí.
2.3.3. ARMS METODOLOGIE PRO HODNOCENÍ PROVOZNÍCH RIZIK V
LETECKÝCH ORGANIZACÍCH
V roce 2007 byla založena pracovní skupina ARMS (Aviation Risk Management Solutions),
která měla za úkol vyvinout novou a lepší metodiku pro hodnocení provozních rizik. [36]
Předpokládanou cílovou skupinou jsou aerolinie, ale metodologie by měla být použitelná
pro jakýkoliv subjekt.
43
Metodologie definuje celkový proces hodnocení provozních rizik. Začíná se klasifikací
rizika události (Event Risk Classification ERC), jenž je prvním přezkoumáním události
z pohledu naléhavosti a potřeby dalšího vyšetřování. Tento krok zároveň přiřazuje každé
události hodnotu rizika, která je nezbytná pro vytváření vhodných statistik. Dalším krokem
je analýza dat pro identifikování tzv. bezpečnostních záležitostí (Safety Issues SI). Ty jsou
poté důkladně zhodnoceny pomocí hodnocení rizika bezpečnostní záležitosti (Safety Issue
Risk Assessment SIRA). Celý proces zajišťuje identifikaci nutných bezpečnostních aktivit,
vytváří registr pro sledování rizik a aktivit a poskytuje funkci pro monitorování
bezpečnostní výkonnosti. SIRA může být také využita k provedení hodnocení bezpečnosti,
které je vyžadováno prvkem SMS nazvaným „řízení změny“ (Management of Change).
Na následujícím obrázku je zjednodušeně zobrazen obsah této metodologie.
Obrázek 13 Proces ARMS metodologie [36]
Základem každého hodnocení rizik je identifikace nebezpečí, resp. dosti obsáhlý sběr
bezpečnostních dat, aby bylo možné z nich identifikovat důležité události (pro ERC) a
záležitosti (pro SIRA).
44
Hlavním úkolem klasifikace rizika události je fungovat jako prvotní vyšetřovací krok všech
příchozích bezpečnostních dat a určit, kdy je nutné provést urgentní opatření. Je žádoucí,
aby tato činnost proběhla během jednoho až dvou dnů od nastání události a aby ji provedl
člověk s provozními zkušenostmi a výcvikem v hodnocení rizik. Je velmi důležité zdůraznit,
že ERC v ARMS metodologii využívá konceptu „riziko založené na události“, ve kterém se
jedná o hodnocení rizika spojeného s tou jednou konkrétní událostí a ne rizika spojeného
se všemi podobnými událostmi. Hodnota ERC je založena na dvou otázkách: „Jestliže by
daná událost vedla k nehodě, jaký by byl nejhorší věrohodný výsledek?“ a Jaká byla
efektivita zbývajících bariér mezi danou událostí a nejhorším věrohodným výsledkem?“.
Na základě odpovědí na tyto dvě otázky a pomocí následujícího obrázku (Obr. 14) jsou
určeny dva výstupy. [37] Prvním z nich je doporučení, co by mělo být uděláno ohledně
dané události. To je určováno podle barvy výsledné buňky, kdy červená barva požaduje
okamžité vyšetřování a provést kroky k zajištění bezpečnosti, žlutá barva nabádá
k dalšímu vyšetřování nebo provedení hlubšího hodnocení rizika a zelená barva
nevyžaduje okamžitou aktivitu, nicméně i tato data putují do databáze k následné práci
s nimi. Druhým výstupem je tzv. ERC index rizika, který udává kvantitativní hodnotu rizika
a je využíván pro následné vytváření statistik.
45
Obrázek 14 Matice ERC (upraveno autory) [36]
Dalším krokem je následné vnitřní vyšetřování události. Může se jednat jen o krátký
rozhovor se zúčastněným zaměstnancem nebo i o dlouhodobé vyšetřování prováděné
týmem lidí z různých oddělení. Těchto vyšetřování se neúčastní vnější subjekty a jejich
cílem je identifikovat příčiny, přispívající faktory a podmínky. Tato zjištění poté mohou
vést ke stanovení doporučení nebo následných aktivit.
Další součástí procesů popsaných v metodologii ARMS je databáze bezpečnostních dat a
analýza těchto dat. Důraz by měl být kladen na strukturovanost a přehlednost databáze,
ve které musí být možné jednoduše dohledat všechny události. Pořadí dvou kroků, ERC a
ukládání dat do databáze, se může lišit podle potřeb organizace. Strukturovanost
databáze je dána vhodnou klasifikací vkládaných dat podle stanovených kritérií (např.
datum, typ letadla, fáze letu, atd.). Takováto databáze je ve většině případů součástí
nabízených SMS softwarových produktů. Následným krokem je analýza dat, která vede ke
stanovení bezpečnostních záležitostí ovlivňujících provoz (projev jednoho nebo
kombinace více nebezpečí ve specifickém kontextu – např. tvrdá přistání na jednom
letišti). V některých případech jsou SI nalezeny rychle, neboť na ně data „ukazují“ celkem
jasně. V této analýze je nedostatečné soustředit se pouze na „počet událostí“, ale je
Otázka 2 Otázka 1
Efektivní Omezená MinimálBez efektu Typické scénáře
50 102 502 2500
Katastrofická
nehoda
Ztráta letadla nebo
vícenásobné úmrtí
Ztráta kontroly,
srážka, exploze,
apod.
10 21 101 500
Velká nehoda
Jedno nebo dvě úmrtí,
několik vážných
zranění, závažné
poškození letadla
Zranění při
turbulencích, srážka
na TWY ve vysoké
rychlosti, apod.
2 4 20 100
Méně závažná
zranění a škody
Drobná zranění,
drobné poškození
Nehoda při
vytlačování, apod.
Žádný výsledek
Žadné zranění nebo
poškození
Událost, která
nemohla vyústit v
nehodu, ale měla
dopad na provoz.
Jaká byla efektivita zbývajících bariér mezi
danou událostí a nejhorším věrohodným
výsledkem?
1
Jestliže by daná událost vedla k nehodě,
jaký by byl nejhorší věrohodný
výsledek?
46
žádoucí využít předem určených hodnot ERC indexu, které v sobě zahrnují i závažnost a
tudíž poskytují komplexnější pohled na problematické události.
Druhým prvkem po ERC zabývajícím se hodnocením je SIRA. To slouží k hodnocení
bezpečnostních záležitostí identifikovaných při analýze dat. Prvním krokem je správné
definování a stanovení rozsahu záležitosti. Někdy je nutné záležitost rozdělit na dvě, např.
když je jako záležitost bráno přiblížení na letiště Z, které je ve vysoké nadmořské výšce a
má krátkou dráhu, tak je vhodné zabývat se záležitostí zahrnující riziko tvrdého přistání a
záležitostí zahrnující riziko vyjetí z dráhy. SIRA hodnotí riziko využitím výpočtu, jenž bere
v potaz čtveřici faktorů:
Frekvenci/pravděpodobnost tzv. spouštěcích událostí
Efektivitu bariér sloužících k vyhnutí se
Efektivitu bariér sloužících k obnově
Závažnost nejpravděpodobnějšího výsledku nehody
Bezpečnostní záležitosti je poté přiřazena jedna z pěti úrovní rizika: zastavit, zlepšit,
zajistit, sledovat a přijmout. Přesná definice těchto výrazů musí být určena na úrovni
managementu společnosti, nelze je obecně definovat pro všechny. Metodologie
neposkytuje přesný postup výpočtu, nicméně pracovní skupina vytvořila nástroj pro
program Excel, jenž umožňuje provést SIRA. Tento nástroj se nachází na webových
stránkách www.skybrary.aero.
Jako v každé metodě nebo bezpečnostním systému i zde je nakonec kladen důraz na
registr rizik, který obsahuje informace o všech identifikovaných rizicích, které jsou
potřebné pro následnou práci s nimi. Takovýto registr typicky obsahuje bezpečnostní
záležitosti, jejich hodnoty rizika, přijaté kroky, odpovědné osoby a termíny a postup
v práci s riziky.
Nakonec metodologie okrajově zmiňuje i tzv. hodnocení bezpečnosti, které se soustředí
na část provozu s cílem stanovit, zdali je dostatečně bezpečná. Takovéto hodnocení se
většinou provádí na nových částech/systémech nebo změnách existujících částí/systémů.
47
Podle ARMS je možné pro tento úkol využít SIRA. Avšak nehodí se pro čistě kvalitativní
hodnocení, neboť SIRA pracuje pouze s číselnými hodnotami.
ARMS metodologii lze shrnout do několika bodů:
Poskytuje celkový náhled na proces hodnocení rizik.
Pracuje s nutností hodnotit rychle a jednoduše všechna příchozí data o
bezpečnostních událostech. K tomu je využíváno klasifikování rizik událostí (ERC).
Se získanými daty dále pracuje a klade důraz na identifikaci bezpečnostních
záležitostí (Safety Issues).
Bezpečnostní události jsou poté hodnoceny pomocí SIRA. Výstupem je hodnota
rizika pro každou záležitost.
Nakonec je také důležité říci, že ARMS metodologie neurčuje způsoby a aktivity jakými
snižovat rizika. Ty jsou určovány systémem řízení bezpečnosti každé organizace. ARMS
metodologii pro hodnocení provozních rizik lze považovat za kompletní a poměrně
jednoduchou metodu pro využití v jakékoliv organizaci s možností přizpůsobení pro
specifické potřeby každého subjektu.
2.3.4. HODNOCENÍ BEZPEČNOSTI POMOCÍ PROCESŮ
Hodnocení bezpečnosti pomocí procesů je vhodnou metodou pro při snaze nalézt
nebezpečí vždy na jednotné úrovni detailnosti systému. Pro lepší pochopení metodiky
hodnocení bezpečnosti pomocí procesů je toto ukázáno na příkladu hodnocení čtyř typů
přiblížení na přistání.
2.3.4.1. OBECNÉ PŘÍČINY LETECKÝCH NEHOD A INCIDEN
Obecně platí, že neočekávaná událost má více než jen jednu určitou příčinu. Většinou se
jedná o dokonalou souhru více příčin a přispívajících faktorů, které vedou k leteckým
nehodám, incidentům, nebo jakékoliv další události s vlivem na bezpečnost [40]. Ukázka
je zde zaměřena pouze na podrobné prozkoumání procesů přiblížení a odhalení chyb
vedoucích k nejvážnějším následkům.
48
Pro vyhodnocení bezpečnosti jednotlivých typů přiblížení je nezbytné se zabývat i
pozadím příčin a přispívajících faktorů, aby bylo jasné, že typ přiblížení hrál při nehodě, či
incidentu svoji roli.
Nehody v závěrečných fázích letů jsou si velmi podobné. Typicky se jedná o
bezproblémový let, posádka vzájemně komunikuje a řízení letadla probíhá bez problémů.
Náhle se objeví nějaký impuls jako ne zcela očekávaná okolnost (např. pozdní povolení ke
klesání, zkrácení trati), čímž dojde k nárůstu pracovního zatížení posádky. To následně
překročí kritickou mez, kdy již piloti nemají dostatek času na reakce a rozhodování a
posádka začne dělat chyby. Správné rozhodnutí pak většinou přijde, avšak až ve chvíli, kdy
nastalá situace již nemá řešení a vše vyústí k letecké nehodě nebo leteckému incidentu.
[41]
Z výše zmíněného lze vypozorovat, že lidský faktor velmi důležitou roli v udržování
úrovně bezpečnosti letectví a je nutné stanovit jeho následnou důležitost z pohledu
zmírňování nastalé situace. Tuto důležitost je však nutné odlišit od primární příčiny letecké
nehody.
2.3.4.2. PŘISPÍVAJÍCÍ FAKTORY KE VZNIKU NEHOD A INCIDENTŮ
Z pohledu pilota lze identifikovat, že příčiny leteckých nehod a incidentů při přiblížení
na přistání mohou být umocněny dalšími faktory, jako jsou nedbalá předletová příprava,
zanedbání příprav na přistání, nedodržení SOP a CRM, komunikace a pozdní Approach
Briefing. Z tohoto lze vypozorovat, že kritická místa mohou vzniknout již před samotným
zahájením letu. [40]
49
2.3.4.3. KRITICKÁ MÍSTA JEDNOTLIVÝCH PŘIBLÍŽENÍ
Kritická místa přiblížení ILS
Obrázek 15 Příklad kritických míst ILS (zdroj: autoři)
Identifikovaná kritická místa přiblížení ILS jsou (příklad viz obrázek 15):
Neúplný nebo pozdní Approach briefing
o Kontrola naladění ILS
Pozdní provedení mechanizace, nedostatečná kontrola rychlosti
Přílišná oprava směru
Předčasné nalétnutí GS
Pozdě získané vizuální reference
Podklesání výšky DA/DH
Obecně lze stanovit, že panují sklony provádět Approach briefing až po zahájení klesání,
což následně vede k intenzivnější pracovní zátěži pilotů, která může mít za následek
50
zvyšování stresu. Tím jsou vytvořeny příznačné okolnosti pro vznik chyb. Nedbalé
provedení Approach briefingu je příčinou zapomenutí a vynechání některých bodů, které
však mohou být následně těmi rozhodujícími v krizových situacích. Chyby v Approach
briefingu bývají počátkem řetězu událostí. Specifikem u přiblížení ILS je nutnost ověření
správnosti naladění dané frekvence radionavigačního zařízení ILS.
Nevhodné načasování vysouvání mechanizace taktéž vede k růstu zatížení posádky, což
může vést k nestabilizovanému přiblížení. Nedostatečný monitoring rychlosti přiblížení
může vést k pozdní reakci v případě výstrahy před pádovou rychlostí a pádu letadla.
Kritickým místem je podklesání výšky rozhodnutí a případná ztráta kontroly nad letadlem.
Kritická místa přiblížení APV
Obrázek 16 Příklad kritických míst APV (zdroj: autoři)
Identifikovaná kritická místa přiblížení APV jsou (příklad viz obrázek 16):
Orientace v letovém plánu
51
Zanedbání možnosti sekundárního vyhodnocení polohy
Neúplný nebo pozdní Approach briefing
o Chybné nastavení baro výškoměru
Monitoring palubních přístrojů
Pozdní provedení mechanizace, nedostatečná kontrola rychlosti
Pozdě získané vizuální reference
Podklesání DA/DH
U přiblížení APV by jako první, nejlépe ještě před úsekem počátečního přiblížení, měl pilot
pečlivě zkontrolovat zadané body do palubního počítače, jejichž název je pětimístný a je
tvořen kombinací čísel a písmen. Jelikož jsou odlišené zpravidla jen jedním znakem, může
to pilotům komplikovat orientaci v letovém plánu. [40]
I u APV přiblížení je za kritické místo považován Approach briefing. V případě přiblížení
APV Baro-VNAV je specifikem nastavení barometrického výškoměru.
52
Kritická místa přiblížení GNSS(RNAV)
Obrázek 17 Příklad kritických míst GNSS(RNAV) (zdroj: autoři)
Identifikovaná kritická místa přiblížení GNSS(RNAV) jsou (příklad viz obrázek 17):
Orientace v letovém plánu
Zanedbání možnosti sekundárního vyhodnocení
Neúplný nebo pozdní Approach briefing
Špatné nastavení výkonnostních parametrů
Monitoring palubních přístrojů
Pozdní provedení mechanizace, nedostatečná kontrola rychlosti
Pozdě získané vizuální reference
53
Podklesání MDA/MDH
Kritická místa přiblížení GNSS(RNAV) odpovídají vyhodnocení kritických míst přiblížení
APV bez těch, týkajících se výškového vedení (omezení barometrických výškoměrů při
Baro-VNAV).
Kritická místa přiblížení VOR/DME
Obrázek 18 Přiklad kritických míst VOR/DME (zdroj: autoři)
Identifikovaná kritická místa přiblížení VOR/DME jsou (příklad viz obrázek 18):
Neúplný nebo pozdní Approach briefing
o Identifikace a správné nastavení radionavigačních prostředků
Špatné nastavení výkonnostních parametrů
Monitoring palubních přístrojů
54
Stabilizované přiblížení
DME nahrazováno GPS
Pozdě získané vizuální reference
Podklesání MDA/MDH
U přiblížení VOR se opět opakuje chyba nedbalého či pozdního Approach briefingu. V něm
je u přiblížení VOR/DME specifikem nastavení radionavigačních přístrojů v kokpitu.
K nestabilizovanému přiblížení dochází nejčastěji v důsledku nesprávného vedení letadla,
špatného vertikálního rozpočtu výšky, zkrácení přiblížení nebo vlivem větru.
S rozšiřováním GNSS navigace může dojít k upřednostnění této techniky pro vyhodnocení
vzdálenosti od dráhy a nahrazení údajů poskytovaných DME. GNSS je však pouze
sekundárním zdrojem dat a záměna vzdálenosti GNSS za DME může následně znamenat
nutné rychlé a značné korekce letu.
2.3.4.4. POROVNÁNÍ PŘIBLÍŽENÍ Z PROCESNÍHO POHLEDU
Základní rozdíl mezi druhy přiblížení pramení je zřejmý z jejich označení. 3D přiblížení se
vyznačují větší přesností navigačním vedením v rovině vertikální i horizontální. 2D
přiblížení umožňují vedení pouze v rovině horizontální. Vedení letadla v sestupové rovině
si vyžaduje značnou část pozornosti pilota a je tedy náročnější na pracovní vytížení. [40]
S růstem pracovní zátěže zároveň roste riziko vzniku chyby, které je na základě tohoto
větší u 2D přiblížení než u 3D.
Na základě kapitoly 2.3.4 lze z procesního pohledu analyzovaná přiblížení seřadit
podle bezpečnosti následovně: přiblížení ILS, APV, GNSS(RNAV) a VOR/DME. Pořadí se
odvíjí primárně od klasifikace přesnosti vedení. Konkrétní hodnoty bezpečnosti však
stanovit nelze.
Modelování procesního pohledu také potvrdilo jednu skutečnost, že většina příčin
leteckých nehod a incidentů i většina přispívajících faktorů se stane vlivem lidského
faktoru. Toto vyhodnocení se však opírá o vstupní data, která prokazatelně nelze
55
považovat za kompletní, jelikož do nedávné doby nebylo rozlišováno, jestli byl lidský
faktor (piloti) primární příčinou, či pouze poslední možnou bariérou, která selhala.
2.3.5. STATISTICKÉ VYHODNOCE
Podobně jako hodnocení bezpečnosti pomocí procesů lze využít k hodnocení bezpečnosti
i statistiku. V tomto případě je taktéž základní myšlenka jednoduchá, avšak pro lepší
pochopení je zde ukázka týkající se bezpečnosti přiblížení na přistání.
2.3.5.1. METODIKA ANALÝZY NEHOD A INCIDENTŮ
Pro ukázku bylo vybráno 60 leteckých nehod a incidentů, ke kterým došlo ve fázi přiblížení
na přistání. Události byly rovnoměrně rozřazeny do tří skupin podle vybraných druhů
přiblížení – ILS (viz příloha č. 4), VOR/DME (viz příloha č. 6), RNAV(GNSS) (viz příloha č. 5).
[31, 23] Ze statistického pohledu je to nedostatečný vzorek, ale pro ukázku je dostatečný.
Pro každé z vybraných druhů přiblížení bylo shromážděno 20 záznamů o nehodách a
incidentech. K analýze byly použity letecké nehody z databází úřadů vyšetřujících letecké
nehody, amerického NTSB (National Transportation Safety Board) [47], australského ATSB
(Australian Transport Safety Bureau) [48] a britského AAIB (Air Accidents Investigation
Branch) [49]. Dále byly využity záznamy o leteckých nehodách ze dvou databází webových
portálů týkajících se bezpečnosti letectví – SKYbrary a Flight Safety Foundation. [42], [43],
[44] Rovnoměrné rozložení nehod mezi jednotlivé typy přiblížení je zvoleno z důvodu
ukázání identifikace bezpečnosti každého jednoho druhu přiblížení a identifikace příčin
nehod. Cílem nebylo porovnávání četnosti příčin pro jednotlivá přiblížení.
Vybrané nehody a incidenty:
odehrály se v letech 1974 2014
obchodní letecká doprava i všeobecné letectví
jednočlenné nebo vícečlenné posádky
různé druhy letounů od pístových až po velkokapacitní proudové
Nehody a incidenty, které byly jednoznačně zapříčiněny mechanickou závadou nebo např.
vysazením motoru z neznámého důvodu záměrně nebyly analyzovány.
56
2.3.5.2. PŘÍČINY LETECKÝCH NEHOD A INCIDENTŮ
Ve většině analyzovaných případů se jednalo o souhru více okolností, které byly příčinou
dané nehody nebo incidentu. Díky tomu mohla mít každá událost různý počet příčin i
přispívajících faktorů.
Příčiny byly rozděleny do následujících čtyř skupin:
Letadlové systémy
ATC a pozemní systémy
Prostředí
Posádka
Letadlové systémy zahrnující jakékoliv mechanické závady a jiná systémová selhání byly
příčinou nehod jen v pěti procentech případů.
ATC a pozemní systémy obsahují následující faktory: špatné instrukce od řídícího letového
provozu, jiné nedostatky ze strany ATC, nedostatek informací, nevybavenost letiště
určitými systémy, problémy s komunikací mezi pozemní a letadlovou stanicí.
Nejvíce zastoupené skupiny z vybraných nehod, resp. incidentů, byly dále rozděleny
na konkrétní příčiny. Obrázek 19 ukazuje, že jde o skupiny prostředí a posádka (90%, resp.
98% případů).
Obrázek 19 Skupiny příčin vzniku leteckých nehod a incidentů (zdroj: autoři)
5%
22%
90%
98%
0% 20% 40% 60% 80% 100%
Letadlové systémy
ATC, pozemní systémy
Prostředí
Posádka
57
2.3.5.3. SKUPINA FAKTORŮ PROSTŘEDÍ
Prostředí, resp. faktory spadající pod tuto skupinu, tvořily obvykle jednu z více příčin
některé zkoumané události nebo pouze přispívající faktor k jejímu vzniku. Pod pojmem
prostředí je myšleno hlavně počasí v okamžiku realizace události, denní doba a terén v
okolí místa události. Počasí je děleno na IMC, mlhu, námrazu, déšť, sněžení, střih větru,
silný boční vítr, nárazy větru. U denní doby je uvažováno, zdali se událost stala v noci, či
přes den a u okolního terénu, zdali se místo přistání nachází v hornatém terénu, či nikoliv.
Na obrázku 20 jsou zobrazeny tři stanovené vlivy prostředí. V grafu je možné vidět, že let
v noci, či v hornatém prostředí, byl téměř vždy umocněn negativními vlivy počasí, když se
94% událostí stalo za nepříznivého počasí. Počasí proto přináší významné riziko pro
přiblížení podle přístrojů. Ty nejméně příznivé podmínky pro provádění letů je kombinace
všech tří vlivů - zhoršené meteorologické podmínky, noc a hornatý terén.
Obrázek 20 Procentuální zastoupení vlivů prostředí (zdroj: autoři)
Počasí bylo dále děleno na konkrétní podmínky zmíněné výše. Přehled zastoupení
jednotlivých konkrétních meteorologických podmínek je zobrazen na obrázku 21.
18%
94%
37%
0% 20% 40% 60% 80% 100%
Hornatý terén
Počasí
Noc
58
Obrázek 21 Meteorologické podmínky (zdroj: autoři)
IMC ovlivňují dle obrázku 24 bezpečnost leteckého provozu zásadním způsobem. V těchto
podmínkách získává pilot informaci o své poloze pouze z palubních přístrojů. IMC, či let
v noci také vytváří ideální podmínky pro vznik iluzí a dezorientace. To je častou příčinou
katastrofických konců letů VFR nechtěně vletících do IMC.
2.3.5.4. SKUPINA FAKTORŮ POSÁDKA
Chybné jednání posádky bylo způsobeno nebo přispělo k devadesáti osmi procentům
událostí. V těch se objevovalo velké množství nesprávných postupů.
Mezi hlavní příčiny patřilo:
Nedodržení IFR postupů – primárně pokračování pod DA/MDA bez vizuální
reference s dráhou (33% událostí)
Odchýlení se od publikované trati nedodržení publikované procedury
v horizontální rovině, resp. odchýlení se od trati více než je ochranné pásmo (31%
událostí)
Nestabilizované přiblížení pokračování (neúmyslné, či úmyslné)
v nestabilizovaném přiblížení (32% událostí)
5%
11%
11%
16%
95%
0% 20% 40% 60% 80% 100%
Další
Déšť
Námraza
Mlha
IMC
59
Pozdní/nesprávné provedení postupů nezdařeného přiblížení (MAP) – nezahájený
postup nezdařeného přiblížení, nebo neschopnost následovat publikovanou trať
(15% událostí)
Nesprávné rozhodnutí pokračování na letiště, když meteorologické podmínky
jsou horší než minima, zvolení nesprávného postupu, úmyslné pokračování pod
DA/MDA. (15% událostí)
Nedodržení bezpečné výšky – jak úmyslné, tak neúmyslné (20% případů)
Nedostatečná rychlost během přiblížení snížení rychlosti až na rychlost blízkou
pádové (20% událostí)
Prostorová dezorientace – ztráta situačního povědomí (15% událostí)
Nesprávná/pozdní reakce (18% událostí)
Všechny příčiny, které se ve zkoumaných událostech vyskytly, jsou zobrazeny v grafu
na obrázku 22.
60
Obrázek 22 Graf procentuálního zastoupení příčin analyzovaných nehod a incidentů
(zdroj: autoři)
2.3.5.5. PŘISPÍVAJÍCÍ FAKTORY KE VZNIKU NEHOD A INCIDENTŮ
Nejčastějšími přispívající faktory při analýze vybraných událostí byly:
Nedodržování zásad CRM (Crew Resource Management) typicky např. špatná
nebo přímo nulová koordinace mezi členy posádky, neprovádění crosschecků,
nedostatečné vnímání situace. (22% událostí)
Nedodržení SOP (standardní provozní postupy) provádění checklistů a calloutů,
metodika provedení letu. (17% událostí)
Nedostatečný monitoring parametrů, jako výška, navigační údaje,
automatizační systémy (12% událostí)
Nedbalý briefing před letem většinou nedbalý postup při zjišťování informací
o počasí (7% událostí)
33%
28%
32%
15%
15%
20%
20%
12%
15%
18%
10%
7%
3%
0% 20% 40% 60% 80% 100%
Nedodržení IFR postupů
Odchýlení od publikované trati
Nestabilizované přiblížení
Pozdní/nesprávné provedení MAP
Nesprávné rozhodnutí
Nedodržení bezpečné výšky
Nedostatečná rychlost během přiblížení
Nedostatek zkušeností
Prostorová dezorientace
Nesprávná/pozdní reakce
Nezvládnutí řízení letadla
Rychlé/vysoké přiblížení
Chybné nastavení výškoměru
61
Interakce s automatizačními systémy – povědomí o funkcích automatizačních
systémů, nesprávné použití systémů (8% událostí)
Vliv látek na výkonnost pilotů – vliv alkoholu, léků či drog (7% událostí)
Nedbalý briefing na přistání – většinou neprovedení části briefingu týkající se
postupů nezdařeného přiblížení (8% událostí)
Nesprávná konfigurace – nesprávná konfigurace letounu na přistání (7% událostí)
Vysoká pracovní zátěž – souvisí s ostatními faktory, které přispěly k vyššímu
pracovnímu zatížení posádky (7% událostí)
Zvolení nesprávného přístroje Použití nesprávného přístroje pro vyhodnocení
polohy (7% událostí)
Faktory a jejich procentuální zastoupení v analyzovaných událostech jsou zobrazeny
na obrázku 23.
62
Obrázek 23 Graf procentuálního zastoupení přispívajících faktorů analyzovaných
nehod a incidentů (zdroj: autoři)
Jak je zmíněno výše, jednotlivé přispívající faktory spolu úzce souvisí a často se i vzájemně
prolínají. Příkladem může být příčina nestabilizované přiblížení, která se vyskytla u třiceti
dvou procent událostí, a byla velmi často spojena s přispívajícím faktorem nedodržení
standardních provozních postupů (SOP). Obráceně lze uvažovat i o tom, že přispívající
faktor nedodržování SOP může společně např. s únavou, nedostatečným monitoringem,
či problémy v interakci s automatizačními systémy vést k tvorbě nestabilizovaného
přiblížení. A to následně vede např. k přiblížení vysokou rychlostí, ve vyšší výšce nebo
s laterální odchylkou od trati a tedy nezvládnutí přistání, či vyjetí z dráhy.
22%
17%
12%
7%
8%
7%
5%
8%
7%
7%
5%
3%
7%
3%
2%
5%
2%
0% 20% 40% 60% 80% 100%
Nedodržování zásad CRM
Nedodržení SOP
Nedostatečný monitoring
Nedbalý briefing před letem
Interakce s automatizačními systémy
Vliv látek na výkonnost pilotů
Dokončení letu za každou cenu
Nedbalý briefing na přistání
Nesprávná konfigurace
Vysoká pracovní zátěž
Únava
Situační a poziční povědomí
Zvolení nesprávného přístroje
Nedodržení přístrojové kvalifikace
Přecenění vlastních schopností
Neznalost systému
Strmý sestup
63
2.3.5.6. NÁSLEDKY
Následky kombinace příčin a přispívajících faktorů byly rozděleny následovně:
Řízený let do terénu (CFIT) situace, kdy je provozuschopné letadlo plně
pod kontrolou kvalifikovaných pilotů neúmyslně navedeno do země, hory, vodní
hladiny či jiných překážek
Ztráta kontroly nad letadlem (LOC-I) situace, které by mohl pilot vhodnými
zásahy předejít, ale nestane se tak
Kolize s překážkou, terénem či vodní hladinou – případ jiný než řízený let do
terénu
Letecký incident
Jiné
Pod skupinu „jiné“ byly započítány nehody, jako např. přistání bez podvozku, tvrdé
přistání s poškozením letounu či vyjetí z dráhy. Zde se jedná o následky až ve fázi přistání,
avšak příčiny a přispívající faktory ukázaly, že hlavní chyby se staly již ve fázi přiblížení.
Na obrázku 24 se nachází procentuální zastoupení následků nesprávného jednání a
negativních vlivů analyzovaných událostí. Nejčastějším se vyskytujícím následkem byl
řízený let do terénu, který byl těsně následován následkem ztráta kontroly za letu. Na
třetím místě nejčastějších následků se objevila kolize s překážkou, terénem či vodní
hladinou.
64
Obrázek 24 Graf následků chybného jednání a ostatních faktorů v analyzovaných
událostech (zdroj: autoři)
2.4. SOUČASNÉ ZDROJE DAT
Provozních dat v letecké dopravě je velké množství, ovšem ne všechny mají stejnou
informační hodnotu. Uvažujeme-li, že zdroje vynaložené na bezpečnost jsou omezené, je
třeba sbírat je efektivně, ve vhodné struktuře a formátu.
V oblasti civilního letectví rozlišujeme obecně zdroje vnitřní a vnější. Sdílení
bezpečnostních dat je jasně deklarovanou podmínkou bezpečnosti ICAO, proto z pohledu
provozovatele nemusíme vynakládat zdroje na duplikování údajů sbíraných dohlížecím
orgánem o nehodách a incidentech vyšetřovaných ÚZPLN. Z pohledu regulátora nás
naopak budou zajímat spíše vysokoúrovňové indikátory obecnějšího rázu pro sledování
celkového vývoje odvětví se zaměřením na periodicky se měnící oblasti.
2.4.1. VNITŘNÍ ZDROJE DAT
2.4.1.1. BEZPEČNOSTNÍ KNIHOVNA
Bezpečnostní knihovna obsahuje data a závěry z procesu identifikace nebezpečí a řízení
rizik. Mnohdy jsou nebezpečí a rizika pro tu kterou organizaci tak specifické, že
ignorováním tohoto zdroje dat by nebylo možné dosáhnout zvýšení úrovně bezpečnosti.
Do bezpečnostní knihovny patří i závěry vyšetřování incidentů. Tyto závěry nemusí být
nutně zaznamenány právě v bezpečnostní knihovně, nicméně taková knihovna je místem
30%
20%
27%
18%
5% CFIT
Kolize s terénem/vodou/
překážkou mimo CFIT
Ztráta kontroly
Incident
Jiné
65
sdružení většiny bezpečnostních dat. Je proveditelná různými druhy databázových
systémů.
Současně je nutno podotknout, že tento zdroj informací, byť by měl plně reflektovat stav
v organizaci, neobsáhne celoplošně veškerá rizika spojená s činností organizace. Proto je
třeba věnovat pozornost i dalším, neméně důležitým zdrojům bezpečnostních dat.
2.4.1.2. BEZPEČNOSTNÍ PRŮZKUMY A AUDITY
Závěry průzkumů a auditů, ať už provedených interně nebo pověřenou externí organizací
mohou bezpečnostní tým upozornit na jinak nenalezené skutečnosti. Řadí se do vnitřních
zdrojů dat, neboť jejich závěry, na rozdíl od auditů dohlížecím orgánem, organizace zjišťuje
sama a nemá povinnost je sdílet.
2.4.1.3. DOBROVOLNÝ SYSTÉM HLÁŠENÍ
Ohlašovací systém, zvláště dobrovolný, představuje velký potenciál pro různá
bezpečnostní data z provozu přímo od pracovníků v provozu. Současně fungování
samotného systému poslouží jako indikátor bezpečnostní kultury organizace a vztahu
vedení s řadovými zaměstnanci. Funkční ohlašovací systém je jedním z nejcennějších
pramenů vnitropodnikových dat, která se dále zpracovávají do bezpečnostní knihovny.
2.4.1.4. MONITOROVÁNÍ BĚŽNÉHO PROVOZU
V provozu organizací jsou jedním z důležitých zdrojů informací vedoucí pracovních skupin,
které mají přímý kontakt s činností, nebezpečným jednáním nebo jeho ranými znaky u
pracovníků. Jsou také těmi, kteří své zkušenosti předávají dál, proto je třeba věnovat
výcviku vedoucích v oblasti bezpečnosti speciální pozornost.
Druhým způsobem sledování běžného provozu jsou časté provozní audity s podporou IT.
Mluvíme o používání takových technologií, které mají schopnost interaktivní práce s
indikátory. [45, 46] Takovéto technologie umožňují vytváření dynamické struktury otázek
zaměřených na sledování aktuálních rizik.
2.4.1.5. ANALÝZA TRENDŮ
Dlouhodobé sledování trendů indikátorů poskytuje informace o vývoji úrovně bezpečnosti
ve sledovaných oblastech provozu, ať už v počtu nehod, incidentů, auditů, školení a
dalších aktivit. Tyto trendy mohou odrážet nutnost zavedení opatření do určité oblasti.
66
2.4.1.6. LETOVÉ ZAPISOVAČE
Velcí dopravci a letadla vybavená zapisovači dat autonomně upozorňují na chyby pilotů,
poruchy letecké techniky, ale i vnější vlivy vnější faktory. V případě opakujících se
výskytů stejných událostí je možné vyvodit závěr, že v dané oblasti je nutné zavést
bezpečnostní opatření v podobě školení, letu na simulátoru, technické prohlídky nebo
změny postupů při letech na určitá letiště za účelem předejití vzniku situace s vážnými
bezpečnostními následky.
Zapisovače mohou zároveň sloužit jako zdroj kontrolních dat. Navíc, pokud budou data
správně sdílena napříč celým odvětvím, mohou závěry sloužit stejně dobře i v oblasti
všeobecného letectví.
2.4.2. VNĚJŠÍ ZDROJE DAT
2.4.2.1. ROZBORY NEHOD ÚZPLN A ODBORNÝCH ORGANIZACÍ VE SVĚTĚ
Nejcennějším údajem z vyšetřování nehod, z pohledu bezpečnosti, jsou bezpečnostní
doporučení. Takovéto doporučení navazuje na závěry zprávy a mělo by v podobě jasných
opatření vést k jednání provozovatelů nebo přímo dohlížecího úřadu za účelem
minimalizace rizika vzniku podobné události v budoucnu. Provázanost dohlížecího orgánu
a provozovatelů. Stejně tak je ve zprávách zaručeno sdílení informací, neboť takovéto
zprávy jsou veřejně dostupné široké veřejnosti, a pověřené osoby provozovatelů, stejně
jako létající personál, absolvují každý rok opakovací školení s rozbory nehod.
2.4.2.2. STÁTNÍ SYSTÉM HLÁŠENÍ
Povinný státní ohlašovací systém slouží k hlášení nehod specifikovaných leteckým
předpisem. Tyto nehody jsou dále šetřeny a obsahují závěry ve formě bezpečnostních
doporučení.
Dobrovolný státní ohlašovací systém by měl inspirovat tvůrce bezpečnostních kampaní a
odrážet se v probíraných tématech, tak budou tato témata vhodnou formou
prezentována.
Metoda osvědčené praxe, v angličtině nazývaná jako best practices, spočívá v inspiraci
nebo přímo provedení vhodných opatření do více společností, například od provozovatelů
linkové dopravy do menších leteckých organizací [50].
67
Funkční ohlašovací systém s možností podání anonymního záznamu je již zaveden i v
České republice. Prostřednictvím internetové aplikace sbírá velmi cenná bezpečnostní
data od jednotlivých účastníků letecké dopravy. Podobný systém je dostupný téměř ve
všech státech. Například v Americe [51], Spojeném Království [52] i Polsku [53].
Vzor amerického formuláře pro hlášení je k nahlédnutí v příloze 7 pro inspiraci, jaká data
jsou z pohledu NASA důležitá. V anglické verzi dotazníku je popis události rozšířen o
subjektivní, a velmi cenná, „poučení“ (Lessons learnt), kde má ohlašovatel možnost
napsat, jak se z jeho pohledu dalo události předejít, jinými slovy, co by příště udělal jinak
nebo neudělal vůbec.
2.4.2.3. BEZPEČNOSTNÍ KAMPANĚ
Podobně bezpečnostní kampaň zaštítěná Úřadem pro civilní letectví nazvaná „Doletíš?“
věnuje pozornost častým příčinám nehod a incidentů ve všeobecném letectví a je
zaměřena hlavně na piloty, málokdy na další operační personál zapojený do provozu. [54]
I tak podává příjemnou formou relevantní informace spojené s bezpečnostní, a proto by
sledované oblasti propagace bezpečnosti uvnitř společnosti bylo možné propojit s
projektem „Doletíš?“, je-li to vhodné.
2.4.2.4. AUDITY STÁTNÍHO DOZORU
Podobně jako audity vnitřní slouží i audity státního dozoru jako zdroj informací a inspirace
pro vedoucího bezpečnosti, kam zaměřit pozornost a s ní i ukazatele bezpečnosti.
2.4.3. LEGISLATIVA ZAMĚŘENÁ NA SBĚR DAT PRO BEZPEČNOSTNÍ SYSTÉMY
2.4.3.1. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) Č. 376/2014
V rámci zvýšení bezpečností civilního letectví je primární úlohou dle nařízení č. 376/2014
[11] zajištění efektivního systému hlášení událostí, shromažďování dat, ochrany, následně
pak i analýzy. Vzhledem k tomu, že se jedná o evropský dokument, cílem je, aby otázka
rizik v letectví byla řešena jak na úrovni organizací a regulátorů států, tak i v rámci celé
Evropské unie.
V případě povinného hlášení dokument stanovuje kategorie rozdělení těchto kategorií
událostí:
68
události související s provozem letadla
události související s technickými podmínkami, údržbou a opravou letadla
události týkající se letových navigačních služeb a zařízení
události související s letišti a pozemními službami.
Kromě systému povinného hlášení definuje nařízení také požadavek na zřízení systému
dobrovolného hlášení, a to jak pro jednotlivé organizace v letectví, tak i pro relevantní
státní orgán (v ČR - ÚCL i ÚZPLN) a agenturu EASA.
Regulátor může požádat o další detailnější informace doplňující údaje z dobrovolného
hlášení. Požadavky definované v rámci tohoto dokumentu se vztahují na tři už zmiňované
zainteresované strany:
Organizace v letectví
Stát (příslušný správní orgán)
Agentura (EASA)
Novinkou z pohledu systémů hlášení je požadavek na zprovoznění evropského systému
pro podávání povinných hlášení, který bude provozován Agenturou. Jedná se o systém
IORS (Internal Occurrence Reporting System), jehož cílem je zjednodušit proces sběru
dat.
Nařízení jako takové stanovuje tři úrovně priority, resp. pořadí v procesu hlášení. Osoba
ohlašující událost má možnost podat hlášení do systému své organizace a v případě, že z
nějakého důvodu takovou možnost v danou chvíli nemá, je povinna událost hlásit přes
systém provozovaný státem nebo přes systém provozovaný Agenturou. [55] Podobným
způsobem je pak i letecká organizace povinná do 72 hodin hlásit událost, a to buď do
Evropského systému hlášení (a to za předpokladu, že tato organizace byla Agenturou
certifikována), nebo do státního systému hlášení (v podmínkách ČR - ÚZPLN).
Pojítkem mezi těmito systémy a zároveň i jejich společnou databází je Evropská centrální
databanka (European Central Repository - ECR), kde každý členský stát přispívá tím, že do
69
ní vkládá své vlastní informace vztahující se k bezpečnosti. Z pohledu státu (příslušného
státního orgánu) by systém ECR měl zároveň sloužit i jako zdroj bezpečnostních informa
vzhledem k tomu, že nařízení definuje požadavek, aby všechny subjekty pověřené řízením
bezpečností civilního letectví měly přístup k této databázi. Povolení přístupu je možné
udělit i dalším zainteresovaným stranám, ale s určitými omezeními především z důvodu
ochrany dat.
Kromě sběru, sdílení, uchovávání a kvality dat, nařízení také upravuje proces analýzy
dostupných dat, kde předpokládá, že každá organizace musí zavést systém analýzy
událostí. Z tohoto pak vyplývá, že organizace, která v rámci této analýzy dospěje k
výsledkům ukazujícím na existenci významného rizika, je povinná o tom obeznámit
příslušný orgán státu a Agenturu, a to nejdéle do 30 dnů ode dne hlášení konkrétní
události. Podobně jako v případě hlášení události i zde je určená priorita, komu by se tento
výsledek analýzy měl dále poskytnout. I v tomto případě organizace, která je certifikována
ze strany EASA, by měla obeznámit hlavně Agenturu, kdy v případě ostatních organizací
by se tyto výsledky měly poskytnout relevantnímu státnímu orgánu.
2.4.3.2. ZÁKON Č. 49/1997 SB.
Zákon č. 49/1997 Sb. se hlášením událostí popř. zpracováním dat zabývá velmi všeobecně,
a to v následujícím změní ve formě definice osob, jež jsou povinny hlásit [56]:
a) provozovatel nebo pilot letadla s turbínovým motorem nebo letadla určeného k
provozování obchodní letecké dopravy,
b) osoba provádějící vývoj, projektování, výrobu, zkoušky, instalaci, údržbu, opravy,
modifikace a konstrukční změny výrobků, letadlových částí a zařízení a leteckých
pozemních zařízení,
c) zaměstnanec Úřadu podepisující osvědčení letové způsobilosti nebo doklad o
provedené kontrole letové způsobilosti letadla s turbínovým motorem nebo
letadla určeného k provozování obchodní letecké dopravy nebo o schválení
způsobilosti letadlové části a zařízení k použití v civilním letectví,
d) osoba pověřená poskytováním služby řízení letového provozu nebo letové
informační služby,
70
e) provozovatel letiště,
f) osoba provádějící instalaci, modifikace, údržbu, opravy, zkoušky a kontroly
technického zařízení potřebného k poskytování letových navigačních služeb,
g) osoba zúčastněná na poskytování odbavovacích služeb.
Dále je zákonem určeno, že příslušné informace ÚZPLN shromažďuje a v rámci povinnosti
vůči EU tato data zpřístupňuje Evropské komisi a jiným členským státům EU (popř. státům
zápisu do leteckého rejstříku, státům výrobce apod.
Dále je uchovávání dat upraveno následujícím ustanovením, které určuje, že ÚZPLN
uchovává údaje poskytnuté v rámci hlášení událostí po likvidaci veškerých osobních údajů,
které se vztahují k osobě podávající hlášení, a po likvidaci technických údajů, které
poukazují nebo mohou poukazovat na totožnost osoby podávající hlášení, nebo třetích
stran.
Obsah hlášení není zákonem upraven – odkazuje se pouze na prováděcí předpis.
2.4.3.3. PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2015/1018
Prováděcí nařízení 2015/1018 navazuje na nařízení č. 376/2014 definováním druhů
událostí, které podléhají povinnému hlášení dle systému hlášení z nařízení č. 376/2014.
Rozděluje události do kategorií podle odvětví na [12]:
události související s provozem letadla
události související s technickými podmínkami, údržbou a opravou letadla
události týkající se letových navigačních služeb a zařízení
události související s letišti a pozemními službami
události týkající se letadel jiných než složitých motorových letadel, včetně
kluzáků a vzdušných dopravních prostředků lehčích než vzduch
Každá z výše zmíněných skupin je následně členěna do kategorií a podkategorií. Událost
uvedená v seznamu nařízení 2015/1018 podléhá systému povinnému hlášení za splnění
podmínky dle nařízení č. 376/2014, kdy tato událost může představovat významné
bezpečnostní riziko v letectví.
71
2.4.3.4. PŘEDPIS L13
Předpis o odborném zjišťování příčin leteckých nehod a incidentů definuje druhy událostí
(nehoda, vážný incident, incident), dále hlášení ve smyslu hlášení ústavu do dalších zemí,
odborné zjišťování příčin apod. Pro sběr a vyhodnocování dat o událostech je důležitý
dodatek N definující oznámení o letecké nehodě nebo incidentu, který odpovídá 11
bodům ICAO Annex 13. Jsou požadovány následující informace o události [57, 63]:
Pro LN rozpoznávací značku ACCID, pro VI INCID;
Výrobce, model, poznávací značku, výrobní číslo letadla;
Jméno vlastníka, provozovatele letadla nebo nájemce (pokud existuje);
Jméno velitele letadla, národnost členů posádky a cestujících;
Datum a čas (místní nebo UTC) LN nebo VI;
Letiště posledního vzletu a plánované letiště přistání;
Polohu letadla vzhledem k snadno vymezitelnému zeměpisnému místu a
zeměpisné souřadnice;
Počet členů posádky a cestujících na palubě, z toho počet usmrcených a těžce
zraněných; počet usmrcených a těžce zraněných mimo letadlo;
Popis LN nebo VI a rozsah poškození, pokud je znám;
Fyzikální charakteristiky místa LN nebo VI, včetně informace o potížích k jeho
přístupu, případně speciálních požadavků k jeho dosažení;
Přítomnost a popis nebezpečného nákladu v letadle.
Z pohledu rozboru událostí je nejdůležitější částí část I (Popis události). Po provedení
analýzy podle I lze poskytnout dostatečný přehled o faktorech (příčinách) vrcholové
události a také o řetězci událostí, které vrcholové události předcházely.
2.4.4. POSTUPY HLÁŠENÍ
Hlášení událostí v letectví má dvě roviny. První z nich je hlášení, které je dané předpisy ve
smyslu, že je známo, co se má hlásit (podle Nařízení č. 376/2014 a 2015/1018) a jakou má
mít hlášení formu. Tento typ hlášení se nazývá hlášení povinné. Druhým typem je hlášení,
které závisí pouze na vůli oznamovatele, zda nahlásí danou skutečnost, která sice nespadá
72
do první kategorie, ale i tak by podle jeho mínění mohla ohrozit bezpečnost. Tento typ
hlášení se označuje jako hlášení dobrovolné.
2.4.4.1. DOBROVOLNÁ HLÁŠENÍ
Dobrovolná hlášení jsou z pohledu státního dozoru podávána a prověřována v rámci
regulátora, kde se rozhodne, co se s daným hlášením podnikne provede se analýza,
vezme se jako podnět k auditu, popř. přijmou se jiná opatření. Tato dobrovolná hlášení by
měla splňovat základní formální náležitosti – aby ohlašovatel podal ucelený obraz o dané
skutečnosti formulář pro dobrovolné hlášení by měl tedy obsahovat pole s možností
výběru předdefinovaných hodnot, ale i pole pro psaní formou volného textu k popisu
události. Určení faktorů je poté přímo v režii regulátora.
2.4.4.2. POVINNÁ HLÁŠENÍ
Povinná hlášení se vztahují na události popsané v předpise L13 (nehody, vážné incidenty,
incidenty) tyto události jsou podle nových pravidel specifikovány v dalších nařízeních, jako
je např. Nařízení č. 376/2014 a 2015/1018. Takováto hlášení jsou distribuována na ÚZPLN,
ÚCL a jsou dále šetřena. Podle povahy je oznámena událost případně i na Policii ČR v
případě, že existuje podezření ze spáchání trestného činu.
Pokud se jedná o nehodu nebo vážný incident, je šetřením pověřen Ústav pro odborné
zjišťování příčin leteckých nehod, případně bude šetřením na základě rozhodnutí ÚZPLN
ustanovena pověřená organizace s právem šetřit letecké nehody. Tyto jmenované
organizace posléze zašlou výsledek šetření na ÚZPLN a to tuto zprávu může přijmout a
zařadit událost mezi události s ukončeným šetřením. Události s ukončeným šetřením se
vkládají do systému ECCAIRS s náležitou klasifikací. Pokud dojde k šetření ať už ze strany
ÚZPLN nebo pověřených organizací, je výsledkem tohoto šetření zpráva, na jejímž základě
lze určitě příčiny události – faktory, které vedly k její realizaci.
Pokud se jedná o událost typu incident, je šetření takového incidentu na samotných
organizacích pověřených šetřením, regulátor je oprávněné k vyžádání doplňujících
informací o události. [64]
U výše zmíněných událostí je možné, aby se regulátor dostal k výsledkům šetření již v jeho
průběhu a mohl přijímat náležitá opatření, případně zahájit jako orgán státního dozoru
73
správní řízení. V průběhu šetření se u regulátora již mohou stanovovat faktory, jež vedly k
realizaci dané události, a to jak pomocí přejímání již zjištěných příčin z šetření ÚZPLN, tak
i faktorů, jež si regulátor zhodnotí jako přínosné u tohoto typu události.
Výše zmíněné organizace mají za úkol šetřit událost z pohledu příčin a nezjišťovat míru
zavinění konkrétních osob, či subjektů. Odlišnou úlohu při šetření události zaujímá Policie
ČR, která na rozdíl od výše zmíněných organizací šetří míru zavinění, výskyt trestného činu
apod. K závěrům šetření od Policie ČR se regulátor dostává na samém konci, kdy je
šetření ze strany Policie ČR uzavřeno. Na základě policejního šetření pak může být
zahájeno správní řízení. Vůči jedné organizace nemohou probíhat současně dvě správní
řízení.
Událostí z obou systémů hlášení je možno rozdělit navíc i dle šetření:
1. Události, které podléhají systému povinného hlášení a šetří je ÚZPLN
2. Události, které podléhají systému povinného hlášení a šetří je pověřená
organizace
3. Události, které podléhají systému povinného hlášení a šetří je Policie ČR
4. Události, které se nešetří
a. a podléhají systému povinného hlášení, ale z pohledu ÚZPLN nedošlo k
poškození a ztrátám a událost není posouzena jako riziková
b. a pocházejí ze systému dobrovolného hlášení a není možné provést
šetření
Události není možné zcela jednoznačně označit dle toho, zda se týkají výhradně ÚZPLN,
nebo ÚCL apod. Zpravidla se jimi zaobírá několik entit dle svého pole působnosti.
2.4.5. AUDITNÍ PROCES
U regulátora v tuto chvíli probíhají všechny audity převážně na základě tzv. compliance
monitoringu, tj. sleduje se pouze soulad organizace s jednotlivými požadavky dle platné
legislativy - je aplikován princip tzv. compliance-based oversight. Základem této auditní
činnosti je plán kontrol na rok, který se vždy připravuje předem a podle potřeby se
aktualizuje. O kontrolách jsou organizace informovány s předstihem. Plán kontrol
obsahuje také všechny kontroly zaměřené na lhůty, resp. plán bere v úvahu limitní termíny
74
pro konkrétní termíny konkrétních kontrol. V případě, že by v průběhu roku došlo k
změnám týkajících se plánovaných kontrol, jsou tyto do plánu kontrol dodatečně
zapracovány.
2.4.5.1. NÁLEZY
Soulad s legislativními požadavky se zabezpečuje pomocí checklistů. Nálezy auditů se
chápou jako nesoulad mezi požadavky dle checklistů a pozorovanou skutečností. Tyto se
dále dělí na nálezy dvou kategorií nález I. kategorie představuje drobný nález bez
zásadního vlivu na bezpečnost a nález II. kategorie představuje nález s vlivem na
bezpečnost vyžadující zpravidla okamžitou reakci. V případě nálezů v auditním procesu
proběhne obecně následující proces:
Nálezy z checklistů se uvedou do závěrečné zprávy z auditu
Závěrečná zpráva se zašle konkrétní organizaci
Organizace na zprávu reaguje a navrhuje nápravná opatření
Nápravná opatření úřad buď schválí anebo zamítne
2.4.5.2. NEOHLÁŠENÉ AUDITY
Tyto druhy auditů nejsou součástí ročního plánu kontrol a mohou byt provedeny prakticky
kdykoliv. Potřeba takovéto kontroly vzniká zejména při existenci podezření na nesprávnou
funkci nebo nějaký problém u konkrétní organizace. Základem pro takovéto podezření
může být například dobrovolné hlášení.
2.4.5.3. KONTROLA FAKTORŮ POMOCÍ AUDITNÍ ČINNOSTI
Osobitým problémem systému může byt právo úřadu kontrolovat u organizací
vyhodnocování faktorů, které jsou identifikovány v rámci šetření události. Tyto totiž
nejsou legislativně definovány a organizace je tedy z podstaty legislativy nemusí
monitorovat ani vyhodnocovat. Z pohledu Úřadu však existuje možnost toto auditovat
jako součást systému řízení bezpečnosti, kde jsou již legislativně definovány různé
požadavky na funkce těchto systémů. Implicitně však toto limituje působnost Úřadu
jenom na organizace s povinně zavedeným systémem řízení bezpečnosti.
75
Obrázek 25 Schéma center správy informací (zdroj: autoři)
Schéma na obrázku 25 reprezentuje centra spravování informací s daty v současné
podobě. Centrum spravování existuje u entit pověřených šetřením a na také na státní
úrovni - u regulátora a na Ústavu pro odborné zjišťování příčin leteckých nehod (ÚZPLN).
Centrum spravování událostí u regulátora čerpá některé události a informace z ostatních
center, resp. přímo od uživatelů.
2.4.5.4. AUDITNÍ ZPRÁVY SAFA
SAFA audit je prováděn pomocí papírového checklistu a následně zaváděn do SAFA
systému včetně auditních nálezů a následné komunikace ohledně nápravných opatření
provozovatele. Systém zpřístupňuje auditní nálezy národních provozovatelů v ČR (reporty
zvané SANA) a také v zahraničí (reporty zvané SAFA a SACA). Webové rozhraní
informačního systému SAFA umožňuje zasílat notifikace ohledně nových SAFA auditů.
2.5. PROBLEMATIKA VYHODNOCOVÁNÍ ÚROVNĚ BEZPEČNOSTI
Hodnocení bezpečnosti v letectví je vždy obtížným úkolem. Snaha o objektivní hodnocení,
tedy podložení nezvratnými důkazy, je v letectví velmi důležitá, neboť jen tak se lze na
hodnotu bezpečnosti spolehnout a pomocí argumentovat. Jenže toto je možné jen u
technické části letectví jako je letadlo, či navigační systémy, v jiných oblastech, kde se
počítá s prvkem – člověk je takovéto hard hodnocení nemožné a je nutné přejít na
76
hodnocení soft. To s sebou nese jistá úskalí, jelikož vytvořit postup hodnocení, který by
byl co nejméně závislý na úsudku hodnotitele je velmi obtížné, ne-li nemožné.
V letectví je zároveň velmi problematické určit bezpečnost pouze jedním číslem. Tento
přístup, použitelných v jiných druzích dopravy, je zde nevhodný. To je způsobeno
hodnotou požadované bezpečnosti konstrukce letadel, která nestanovuje absolutní
bezpečnost, a je zde tedy určitá pravděpodobnost selhání.
Aktuálně je tak nejlepším přístupem mít zaveden SMS spolu s vhodnými metodami
identifikace nebezpečí a řízení rizik. Důležité je v tomto případě sbírat co největší množství
co nejkvalitnějších dat, která se dají vyhodnocovat. K tomu je možné využít vše popsané
v této knize.
Pokud se zastavíme u bezpečnostních indikátorů v letectví (bude o nich pojednáno
v kapitole 3), tak jejich vyhodnocování je v současné době celosvětově řešenou
problematikou. Díky tomu zatím neexistuje jednotný vyhodnocovací (matematický)
systém a veškeré indikátory jsou pouze promítány do příslušných statistik a grafů. (viz
např. obrázek 26).
77
Obrázek 26 Příklad vyhodnocování indikátorů bezpečnosti (upraveno autory) [43]
Možné je také vytvoření nové metody pro hodnocení bezpečnosti. Jedno z možných
řešení týkající se oblasti přiblížení na přistání je ukázáno v kapitole 4.
78
3. MODERNÍ PŘÍSTUP K HODNOCENÍ BEZPEČNOSTI
Z POHLEDU STÁTNÍHO DOZORU ČR
Z pohledu státního dozoru je nutné se zabývat přístupem, který dokáže umožnit rychlé
nasazení určitého řešení, které je možné dále rozšiřovat. Jak bylo totiž zmíněno výše, sběr
dat je důležitou částí hodnocení i řízení bezpečnosti, a proto nasazení nějakého systému
umožňujícího sběr dat je krokem kupředu. První možností může být sběr dat o
bezpečnostní kultuře.
3.1. BEZPEČNOSTNÍ KULTURA
Pojem bezpečnostní kultura byl poprvé použit při vyšetřování havárie jaderné elektrárny
v Černobylu, kdy mezinárodní vyšetřovací komise označila za příčinu nehody organizační
faktory, porušení předpisů operátory a velice zaostalou bezpečnostní kulturu [59].
Důsledkem tohoto bylo definování bezpečnostní kultury jako souboru vlastností a postojů
ve společnosti i jednotlivců, které stanovují jako prvořadou prioritu, že bude mít
bezpečnost jaderné elektrárny adekvátní důležitost [60].
Bezpečnostní kulturu můžeme považovat za základ, na kterém bezpečnost stavíme, proto
bez dostatečné úrovně bezpečnostní kultury nebude možné vytvořit efektivní systém
řízení provozní bezpečnosti. Nejdůležitější je, že organizace nebude moci pracovat s
dostatečným množstvím kvalitních bezpečnostních dat. Z toho důvodu je potřebné se v
první fázi zavádění systémů řízení bezpečnosti do společností zaměřit na její úroveň.
Vyspělost bezpečnostní kultury je pro nás nezbytným předpokladem. Vyspělost
bezpečnostní kultury umožní lepší identifikaci nebezpečí a také získání většího objemu
kvalitních bezpečnostních dat.
3.1.1. DEFINICE BEZPEČNOSTNÍ KULTURY
ICAO definuje bezpečnostní kulturu jako soubor vlastností a postojů jednotlivců i
společnosti, které stanovují jako prvořadou prioritu provozní bezpečnost [9]. Cooper a
Patankar na základě výzkumu tvrdí, že je to produkt individuálních a skupinových hodnot,
přístupů, schopností a pracovních postupů, které určují odhodlání, styl a efektivitu
bezpečnostních procesů společnosti [2], [3].
79
Organizace ECAST (EU - EASA) nahlíží na bezpečnostní kulturu jako na vztah jedinců
organizace k bezpečnosti a jejich vůli a aktivitu ke změnám směrem k bezpečnějšímu
prostředí. Kulturu definují jako soubor trvalých hodnot a postojů k bezpečnosti sdílených
napříč organizací všemi jejími pracovníky. Bezpečnostní kultura odráží míru, jakou jedinec
nahlíží na přítomnost nebezpečí a rizik plynoucích z procesů v organizaci, jeho ochotu
udržovat a zlepšovat úroveň bezpečnosti, stejně jako schopnost se přizpůsobit
nebezpečným situacím a komunikovat o nich s pověřenými spolupracovníky a hodnotit
své vlastní chování ve vztahu k bezpečnosti [4].
Britská Health and Safety Commission definuje bezpečnostní kulturu jako produkt
individuálních a skupinových hodnot, přístupů, schopností a pracovních postupů, které
určují odhodlání, styl a efektivitu bezpečnostních programů společnosti [2], [3].
Bezpečnostní kultura se skládá podle Reasona [59] z následujících částí:
Informační kultura takový systém, který shromažďuje informace o
nehodách a incidentech a spojuje je s poznatky z bezpečnostních auditů a
průzkumů bezpečnostního klimatu.
Kultura hlášení událostí (Reporting Culture) je systém, který vyžaduje od
zaměstnanců aktivní hlášení nehod a incidentů, aktivní účast v průzkumech a
řízení bezpečnosti.
Kultura spravedlivosti (Just Culture) je vytváření prostředí důvěry, kdy se
zaměstnanci nebojí nahlásit nehodu nebo incident. Nejedná se ale o absolutní
zbavení viny, na druhou stranu v některých případech mohou být
zaměstnanci za takové hlášení odměňováni.
3.1.2. VÝZKUM V OBLASTI BEZPEČNOSTNÍ KULTURY
Hofstede [46] zkoumal rozdíly v národních kulturách. Zjistil například, že Západoevropané
jednají více individualisticky než například Asiaté či obyvatelé Latinské Ameriky. Jeho
zjištění se promítají v pozdějším pojetí bezpečnostní kultury [61], jakožto celek národní
kultury společně s organizační kulturou a výcvikovou a pracovní kulturou. Stejně jako
Hofstede sledoval rozdíly u národních kultur, Helmreich a Merritt [62] a Taylor a Patankar
80
[65], zaměřovali pozornost na pracovní kulturu a zjistili například, že například piloti jsou
více individualističtí než chirurgové a naopak méně než mechanici.
Ciaverelli &Figlock [66] a Taylor [67] potvrdili, že vysoká úroveň asertivity, vysoká důvěra
mezi zaměstnanci a vedením a zlepšení komunikace mezi zaměstnanci určují pozitivní
bezpečnostní kulturu [68]. Individualistický přístup budování pozitivní bezpečnostní
kultury příliš neprospívá, proto by kurzy optimalizace součinnosti pracovníků založené na
CRM a MRM, které jsou určené především posádkám a vedení, bylo vhodné rozšířit
alespoň v základní formě (například v podobě bulletinů, školení a seminářů) mezi všechny
zaměstnance.
Vývoj v této oblasti dospěl pokročilého stadia, proto je vhodné popsat si několik různých
přístupů užívaných v leteckém oboru i mimo něj. Pro další práci v oblasti bezpečnostní
kultury byl zvolen model popsaný evropskou organizací ECAST. V letectví se tématikou
bezpečnostní kultury, na popud amerického úřadu FAA, věnovali Thaden a Gibbons a
vytvořili model struktury bezpečnostní kultury (The Safety Culture Indicator Scale
Measurement System - SCISMS) [69].
O´Connor [18] vychází ve své práci z 10 různých anketních dotazníků a na jejich základě
uvádí pro dotazníky zabývající se lidským činitelem následující témata otázek v
dotaznících:
vedení/dohled - především vztahy mezi vedením a pracovníky,
bezpečnostní systémy,
pracovní postupy/pravidla - přístup k pravidlům, porušování pravidel,
výcvik/vzdělávání,
rizika,
a dále také témata, která jsou pro leteckou dopravu velmi důležitá:
komunikace,
zdroje,
provozní personál.
81
Pravidlem je, že každé téma by mělo mít alespoň 5 až 10 otázek. Vhodným prostředkem
k získání osobních názorů na bezpečnost je také nabídnout otázky s otevřeným koncem,
jako například: „Jaké jsou podle vašeho názoru nejdůležitější faktory, které na vašem
pracovišti nepříznivě ovlivňují bezpečnost?" nebo „Kdybyste měl možnost provést změny
na vašem pracovišti pro zvýšení bezpečnosti, jaké by to byly?".
3.1.3. ZÁKLADNÍ MODELY BEZPEČNOSTNÍ KULTURY
Bezpečnostní kultura, jakožto vyjádření postoje a přístupu všech pracovníků organizace k
myšlence bezpečnosti, je důležitou částí celého systému bezpečnosti, a proto i sledování
její úrovně představuje důležitý podklad pro provozní bezpečnost. Zvýšení úrovně
bezpečnostní kultury by se mělo projevit ve snížení počtu významných událostí.
Mezi hlavní oblasti bezpečnostní kultury byly zahrnuty [70, 71]:
Závazek organizace
Provozní provázanost
Formální ukazatele bezpečnostní kultury
Neformální ukazatele bezpečnostní kultury
Závazek organizace sleduje, jak vedení plní závazky vyjádřené slovy (např. v bezpečnostní
politice společnosti), jaký dává pracovníkům příklad a nakolik je ochotno upřednostnit
bezpečnost před produkcí. Znakem generativní bezpečnostní kultury v oblasti řízení je
dostatečné přidělování zdrojů oblasti bezpečnosti, a to dokonce i takové, které překračuje
požadavky předpisů, je-li to pro provozní bezpečnost vhodné. Samotná shoda s předpisy
nezaručuje bezpečnost.
Provozní provázanost sleduje hlavně vztah mezi vedením a pracovníky, jak se vedoucí
zajímají o provozní bezpečnost, nakolik je rozvinuta vnitřní komunikace v rámci
organizace, jak jsou bezpečnostní školení a výcvik zaměstnanců v reálném provozu
aplikovány a jsou-li použity optimální postupy.
Formální indikátory sledují funkčnost ohlašovacího systému a systému analýzy rizik s
následným jednáním v podobě bezpečnostních doporučení a hodnotí taktéž
kompetentnost bezpečnostního týmu pracovníků.
82
Neformální indikátory hodnotí používání tzv. checklistů a standardních provozních
postupů (SOP), a také profesionalitu pracovníků. Obecně se zaměřují na nepsaná pravidla.
Další model sledování bezpečnostní kultury zpracoval v rámci projektu tamního regulátora
tým holandských vědců [54]. Měřili úroveň bezpečnostní kultury v organizacích letecké
údržby. Zaměřili se především na přístup společnosti k chápání lidského faktoru a na
samotnou úroveň bezpečnostní kultury s cílem poukázat na její existenci a zapojit tak
všechny pracovníky do jejího budování. V programu byla za vzor užita metoda „Srdce a
mysl“ využívaná v těžařském průmyslu. Definice bezpečnostní kultury nemusí být vždy
jednoznačná hlavně z důvodu, že každý jedinec vnímá bezpečnostní kulturu jinak [73].
Program Hearts and Minds“ používá jednoduchou poučku, která vyjadřuje vše, co by
měla bezpečnostní kultura postihnout: „Kdo a co jsme, co je pro nás důležité a jak věci
děláme a přemýšlíme o nich.“ [74] V této otázce se skrývají jak statické, tak dynamické
vlastnosti bezpečnostní kultury. Mezi ty statické řadíme postoje a hodnoty v organizaci,
dynamické odkazují na stálé vzdělávání a učení se, řešení problémů a pracovní praktiky.
Pro hodnocení byla použita tabulková metoda 4C a 4P vyvinutá na University of Trinity v
Dublinu a představena v roce 2005. Posuzované čtyři aspekty s počátečním písmenem C
představují části tvořící bezpečné pracovní chování, patří mezi ně kultura, nepřetržité
učení se, způsobilost a integrace poznatků o lidském faktoru (Culture, Continuous
Learning, Competence, Comprehensive HF Integration).
Čtyři aspekty s počátečním písmenem P jsou definovány pro jednotlivé složky řídící
struktury principy či filosofie, politika, procesy a praktiky (Principles of philosophies,
Policies, Procedures, Practices). Principy a politika se týkají především vedení společnosti,
postupy středního managementu a praktiky potom samotných pracovníků.
Prostřednictvím dotazníků byly respondentům kladeny otázky týkající se jednotlivých
oblastí a ty posléze vyhodnoceny v rámci celé společnosti.
Dle uvedených závěrů přispěl celý program mimo jiné ke zvýšení počtu bezpečnostních
hlášení zaslaných leteckému úřadu a celkovému povědomí o bezpečnosti. Současně bylo
ze závěrů vyvozeno, že indikátory bezpečnostní kultury zvládají efektivně doplnit audity
83
sledování shody s předpisy a jako takové, jsou také dobrým startovním bodem pro
performance-based přístup systému řízení bezpečnosti [72, 75].
3.1.4. ÚROVNĚ VYSPĚLOSTI BEZPEČNOSTNÍ KULTURY
Z definice bezpečnostní kultury jsou zřejmé charakteristické prvky bezpečnostní kultury.
Literatura [54, 79] rozlišuje pět stádií vývoje, jejichž vlastnosti jsou popsány v následujícím
textu. Generativní bezpečnostní kultura, meta pro dosažení, se vyznačuje především
proaktivním vyhledáváním nebezpečí, absolutní otevřeností v komunikaci a příjemným
pracovním prostředím.
Dotazníky bezpečnostní kultury jsou sestrojeny tak, že jejich otázky vyžadují odpovědi na
jednotlivé vlastnosti (jednotlivé) části bezpečnostní kultury. Odpovědi na tyto otázky
následně určují příslušnost postoje zaměstnance hodnoceného podle jednotlivých úrovní
bezpečnostní kultury.
Patologická úroveň (Pathologic) Pracovníci nemají k bezpečnosti prakticky žádný vztah.
Vedení o bezpečnosti ví, ovšem neinvestuje ani finančně, ani personálně do jejího rozvoje
v organizaci. Tento přístup je velmi nebezpečný a čeká jen na souhru nepříznivých
okolností (faktorů) pro vznik katastrofy.
Reaktivní úroveň (Reactive) Jedná se o pokročilejší stádium bezpečnostní kultury.
Organizace začíná pracovat na bezpečnosti většinou v době po nehodě. Zaměstnanci na
ni nějaký čas myslí, protože na vlastní kůži pocítili dopad incidentu nebo nehody. Jakmile
tyto pocity odpovědnosti vyprchají, dochází k opětovné bezpečnostní pasivitě.
Byrokratická úroveň (Bureaucratic/Calculative) Bezpečnost existuje na papíře v podobě,
jaká vyhovuje dohlížecímu úřadu. Organizace řídí bezpečnostní rizika, zaměstnanci si jsou
vědomi vlastního ohrožení a pracují v souladu s bezpečnostními postupy. Vedení chápe
důležitost neustálého zlepšování stavu bezpečnosti, ovšem potřebná rozhodnutí odkládá
do budoucna na úkor jiných rozhodnutí, upřednostňuje maximalizaci zisku. Trendové
ukazatele v čase stagnují a dále se nezlepšují.
Proaktivní (Proactive) Management společnosti rozděluje zdroje správnou měrou jak do
obchodní politiky, tak i do politiky bezpečnosti. Zaměstnanci chápou bezpečnost jako
84
zodpovědnost za sebe i ostatní. Bezpečnost je sledována pomocí všech možných zdrojů,
vedením je budováno dobré zaměstnanecké prostředí, podporován je správný životní styl,
jak v práci, tak i ve volném čase.
Generativní (Generative) Pro sledování bezpečnosti se používá nejpokrokovějších
metod, primárním cílem již není pouze holé zlepšování výsledků účetnictví, ale celková
spokojenost s výsledky a s prvky společenské odpovědnosti. Pracovníci stále vyhledávají
možná nebezpečí a pracují s ostražitostí. Vedení udržuje nadstandardní kvalitu pracovní
prostředí a přispívá i k pohodě po pracovní době. Zaměstnanci jsou hrdí na svoji firmu a
práci v ní považují za velmi prestižní.
Obrázek 27 Vývojové stupně bezpečnostní kultury [65]
Metodami sběru dat pro určování úrovně bezpečnostní kultury jsou dotazníky,
pozorování, audity, ankety, pohovory s pracovníky a obecné vnímání organizace.
3.1.5. ŠEST HLAVNÍCH OBLASTÍ BEZPEČNOSTNÍ KULTURY
Šest hlavních oblastí bezpečnostní kultury lze vyjmenovat jako závazek, spravedlivost,
uvědomění, informovanost, přizpůsobivost a chování [68, 80]. Vyhodnocování indikátorů
bezpečnosti spočívá v následném přiřazení jednotlivých úrovní ke všem oblastem
85
bezpečnostní kultury. Vyjádřit lze také společnou úroveň bezpečnostní kultury pro
všechny vlastnosti.
Závazek managementu vůči bezpečnosti musí být čitelný, všichni zaměstnanci si ho musí
být vědomi. Vedení společnosti by mělo jít příkladem, že tento závazek myslí vážně a
(hlavně v počáteční fázi zlepšování bezpečnostní kultury) odměňovat zaměstnance za
nahlášená bezpečnostní rizika, nejedná-li se o závažné porušení pravidel. V přístupu
odměn a trestů funguje s lepším výsledkem odměňování. S tímto přístupem souvisí další
charakteristika bezpečnostní kultury – podpora ohlašování.
Management by zároveň neměl ve svých strategických rozhodnutích usilovat o
maximalizaci zisku na úkor bezpečnosti, ale o vyváženost obou oblastí. Jen takové jednání
je v souladu se zásadou překonávat požadavky předpisů (going beyond compliance),
jakožto nezbytným znakem generativní úrovně bezpečnostní kultury.
Podpora hlášení (Justness) - jak bylo zmíněno v úvodu, hlavním prvkem bezpečnostní
kultury je naprosto otevřené sdílení bezpečnostních informací o nehodách, incidentech,
ale i potencionálních nebezpečích a rizicích. Tuto charakteristiku bezpečnostní kultury
označujeme pojmem justness. Je založena na důvěře mezi vedením společnosti a jejími
zaměstnanci. Tato vlastnost systému závisí na přístupu vedoucího bezpečnosti nejen k
bezpečnosti jako takové, ale též k vlastnosti budovat přátelské vztahy na pracovišti, a tím
tvořit prostředí vzájemné důvěry a podporovat ohlašování nebezpečí.
Uvědomění (Awareness) - vnímání faktu, že nebezpečí je v systému stále přítomno a jeho
aktivní vyhledávání všemi účastníky je významným znakem organizace s generativní
bezpečnostní kulturou.
Informovanost (Information) - správně popsané postupy samy o sobě nezaručují
bezpečnost organizace. Odpovědností vedoucích pracovníků je zajistit všem
zaměstnancům dostatečné školení a přístup k informacím. Taktéž zavedený systém
anonymního hlášení incidentů je prakticky pouze pro vyhovení požadavku úřadu, pokud
o něm není personál dostatečně informován a zaměstnanci neprošli řádným školením
jeho používání.
86
Přizpůsobivost (Adaptability) podnikovým vedoucím bezpečnosti jsou vydávána
bezpečnostní doporučení (Safety Recommendations). Dodržování těchto doporučení
naprosto závisí na jejich pochopení personálem a schopností přizpůsobit zažité praktiky
novým postupům.
Tyto doporučení se taktéž musí dostat k těm správným lidem a to včas. Pouze pravidelná
jednoroční školení personálu se neslučují se zásadami pozitivně vedené bezpečnostní
kultury. Měla by být rovněž podporována bezpečnostními bulletiny upozorňujícími na
možná nebezpečí a v případě potřeby (např. vzniku závažného incidentu) dalšími
školeními.
Chování (Behaviour) - jak bylo zmíněno výše, zaměstnanci s rutinním obcházením