Modelos de accidentes Asignatura Organización, Legislación y Administración de la Seguridad y la Salud Ocupacional Modelos de accidentes Los modelos de accidentes enfatizan los esfuerzos hacia la seguridad, forman la base para: (1) investigar y analizar accidentes; (2) diseñar para prevenir pérdidas futuras; y (3) determinar si los sistemas son adecuados para ser utilizados a partir de evaluar a los riesgos asociados a su actividad, al uso del producto, o a la operación del mismo. Mientras que los seres humanos podemos no estar conscientes de que estamos utilizando un modelo cuando hacemos estas actividades, sin dudas un modelo del fenómeno siempre será parte del proceso (aunque sea de forma subconsciente) Modelos de accidentes Ofrecen una conceptualización de las características de los accidentes la cual muestra típicamente la relación entre causas y efectos. Explica por qué ocurren los accidentes y son utilizados para la evaluación de riesgos durante el desarrollo de los sistemas y para análisis retrospectivos estudiando las causas de accidentes que ocurren. Muchos de los modelos se originaron antes de la introducción de la tecnología digital en la industria. Aunque se actualizaron aún no toman el paso tecnológico actual. La tecnología moderna está teniendo un impacto significativo en la naturaleza de los accidentes y ello requiere nuevos mecanismos de explicación que permitan entenderlos, así como el desarrollo de nuevas técnicas de evaluación de riesgos que prevean su ocurrencia. (Leveson, 2003) Modelos de accidentes Todos los modelos asumen que hay patrones comunes en los accidentes y que no son simplemente eventos aleatorios. Los modelos de accidentes imponen patrones sobre los accidentes, que influencian a los factores considerados en los análisis de la seguridad. Por tanto, el modelo que se use puede actuar tanto como un filtro y un prejuicio hacia el considerar solamente ciertos eventos y condiciones, o También puede expandir el análisis al forzar tener en cuenta factores que frecuentemente se omiten. El modelo influencia a cual es la causa(s) a la que se debe un accidente, a las medidas para prevenir nuevos accidentes, y a la evaluación del riesgo de operar un sistema, El poder y las características de un modelo influenciarán nuestra habilidad de identificar y controlar a los peligros y por tanto, a prevenir los accidentes. Modelos de accidentes Uno de los primeros modelos de causas de los accidentes fue la teoría del Dominó propuesta por Heinrich en los 1940s Describe a un accidente como una cadema de eventos discretos los cuales ocurren en un orden temporal específico. Esta teoría pertenece a la clase de los modelos de accidentes basados en eventos, el cual es la base de muchas técnicas como el Análisis de Modos y Efectos de los Fallos (Failure Modes and Effects Analysis (FMEA)), el Análisis de Árboles de Fallos (Fault Tree Analysis (FTA)), Análisis de Eventos de Fallos (Event Tree Analysis), y el Análisis Causa-Consecuencias (Cause-Consequence Analysis) Estos modelos trabajan bien cuando las pérdidas son causadas por fallos de los componentes físicos o errores humanos en sistemas relativamente simples. Usualmente en estos modelos, cuando los factores causales en un accidente no están vinculados a fallos de componentes técnicos, los mismos son clasificados como errores humanos sin mucha explicación. Estos modelos son limitados en su capacidad para explicar las causas de los accidentes en sistemas complejos, del tipo que se están desarrollando desde la segunda mitad del siglo XX. Modelos de accidentes En los 1980s, una nueva clase de modelos de accidentes denominados “epidemiológicos” aparecieron para tratar de explicar a los accidentes en sistemas más complejos. Los modelos epidemiológicos plantean que los eventos que originan a un accidentes aparecen de forma análoga a como se disemina una enfermedad Esto es como el resultado de una combinación de factores, algunos manifiestos y algunos latentes, que coinciden de forma conjunta en espacio y tiempo. El Modelo del Queso Suizo de Reason es el ejemplo más citado de este tipo de modelo Este modelo ha influenciado mucho el entender mejor a los accidentes por destacar la relación entre las causas latentes y las inmediatas. Modelos de accidentes Los modelos secuenciales y epidemiológicos son inadecuados para capturar las interacciones dinámicas y no lineales entre los componentes de los sistemas socio-técnicos complejos. Nuevos modelos de accidentes, basados en la teoría de sistemas, tratan de describir las características del desempeño del sistema como un todo, más que al nivel del mecanismo causa específicaefecto, o aún de los factores epidemiológicos. Los modelos sistémicos de la seguridad tienen sus raíces en la teoría de sistemas y en la cibernética. La teoría de sistemas incluye a los principios, modelos y leyes necesarias para entender las complejas relaciones e interdependencias entre los componentes de un sistema complejo (técnicos, humanos, organizacionales y de gestión). Los modelos basados en la teoría de sistemas describen a los accidentes como un fenómeno emergente que aparece a partir de las interacciones entre componentes del sistema, donde dichas interacciones pueden ser no lineales y contener múltiples lazos de retroalimentación. Modelos de accidentes(Hollnagel) Modelos secuenciales ◦ Accidente = Secuencia de eventos ordenados, tales como fallos o malfuncionamiento de humanos o máquinas ◦ E.j. árboles de fallo, árboles de eventos Modelos epidemiológicos ◦ Accidente = Como se disemina una enfermedad: combinación de fallos y condiciones latentes / ambientales, las cuales provocan la degradación de las barreras y defensas ◦ E.j. Modelo del Queso Suizo Modelos sistémicos ◦ Accidente = Emerge a partir de la variabilidad en el desempeño de un sistema cognitivo conjunto, como resultado de interacciones complejas y de una inesperada combinación de acciones. ◦ E.j. FRAM, STAMP, TOPAZ Modelos basados en una secuencia de eventos 1932 – Primer Acercamiento Científico a las Causas de los Accidentes y su Prevención H.W. Heinrich LESIÓN - causada por los accidentes. ACCIDENTES - causados por un acto inseguro de la persona lesionada o una condición insegura en el puesto de trabajo. ACCIONES/CONDICIONES INSEGURAS - causadas por personas descuidadas o por malos diseños o mantenmientos deficientes respecto al equipamiento. FALLOS DE PERSONAS - creados por el ambiente social o adquiridos de sus antepasados. AMBIENTE SOCIAL/ANTEPASADOS – dónde y cómo una persona fue criada y educada. Teoría del Dominó “Modelo de Causas de Accidentes Industriales” Ambiente Social y Antepasados Fallo de la persona (Descuido) ERRORES DE PERSONAS Acción o Condición Insegura Accidente Lesión DOMINÓ DE HEINRICH La observación de que una sucesión de causas que se precipitan unas a otras da lugar a los accidentes, dio origen a los modelos secuenciales concatenados. El modelo más relevante es el de las fichas de dominó (Heinrich, 1931), el cual señala que una falla en algún elemento del Sistema de Prevención desencadena en la caída del sistema o una pérdida: Accidente o Incidente. AXIOMAS DE HEINRICH 1. Los accidentes tienen causas técnicas y/o humanas 2. Los actos inseguros causan la mayor parte de los accidentes 3. Por cada accidente con baja se producen 30 sin baja y 300 accidentes 4. La gravedad del accidente es aleatoria, pero su producción es previsible 5. Las causas de los actos inseguros son: actitud inadecuada, falta de formación, incapacidad física, entorno inadecuado AXIOMAS DE HEINRICH 6. Las medidas preventivas básicas son: formación, control y modificaciones técnicas 7. La dirección debe asumir la responsabilidad de la prevención 8. El encargado es el hombre clave de la prevención 9. La prevención es económicamente rentable, porque mejora la productividad y ahorra el elevado coste de los accidentes. TAREA EXTRACLASE (próxima semana) • • • • • Hacer un análisis de la validez de los axiomas de Heinrich a la luz de las condiciones actuales. Concluir para cada axioma: • ES VÁLIDO • NO ES VÁLIDO Y argumentar el por qué de su respuesta Si no concluye en alguno, pierde puntos Consultar los artículos digitales dejados para completar. FACTOR ACTITUDINAL Heinrich pregunta ¿por qué cometemos actos inseguros? Por ahorrar tiempo. La urgencia del trabajo y una laxa cultura de seguridad, relajan el cumplimiento de los procedimientos. Por ahorrar esfuerzo. El trabajador omite pasos del procedimiento por hacer su trabajo más fácil. Por presiones del grupo. Un individuo sigue los procedimientos establecidos, pero su grupo de trabajo o su supervisor no lo hace. Progresivamente va acoplándose al nivel de cultura de seguridad de su grupo. Si nos capacitamos nos estamos dirigiendo a la parte de conocimientos y habilidad, estamos trabajando sobre la parte cognoscitiva y psicomotora, sobre la parte racional. Pero la parte actitudinal, también juega uno de los papeles con más peso para la ocurrencia de los accidentes. Siguiendo a la Teoría de Heinrich La secuencia de la Acción Correctiva (Las tres“E”s – en Inglés) Ingeniería (Engineering) Educación (Education) Disciplina (Enforcement) PRINCIPIO DE LAS CAUSAS MULTIPLES Los problemas en general y los accidentes en particular casi nunca son el resultado de una sola causa. Simple y bonito, pero poco realista la mayoría de las veces Modelos de causalidad NOS COSTOS Una ampliación del modelo de Heinrich fue el modelo propuesto por Bird EL MODELO DE CAUSALIDAD O DE CONTROL DE PÉRDIDAS DE FRANK E. BIRD JR FACTORES DE TRABAJO Procedimientos Seguros de Trabajo incorrectos Ausencia de Análisis Seguro de Trabajo Mala Operación de máquinas o Equipos Herramientas en mal estado o mal utilizadas Ausencia de Mantenimiento de Equipos y Máquinas Factores Personales Capacidad física o mental inapropiada para el cargo Deficiencia en la Habilidad para la tarea Motivación deteriorada en el trabajo Frustración profesional Incapacidad para trabajo bajo presión Estrés Falta de conocimientos para el cargo CAUSAS INMEDIATAS FALTA DE CONTROL CAUSAS BASICAS CAUSAS INMEDIATAS ACCIDENTE PERDIDA S PROGRAMAS INADECUADOS ESTANDARES INADECUADOS DEL PROGRAMA CUMPLIMIENTO INADECUADO DE LOS ESTANDARES FACTORES PERSONALES FACTORES DEL TRABAJO ACTOS Y CONDICIONES SUB-ESTANDARES CONTACTO CON ENERGIA O SUBSTANCIA PERSONAS PROPIEDAD PROCESO CAUSAS INMEDIATAS ACTOS Y CONDICIONES SUBESTANDARES ACTOS SUBESTANDARES CONDICIONES SUBESTANDARES • Operar sin autorización • No seguir procedimientos • No respetar señalización • Levantamiento incorrecto • No usar E.P.P. • Falla en asegurar • Bromas y juegos • Otros • • • • • • • • E.P.P. inadecuado Equipos defectuosos Herramientas en mal estado Congestión Falta de orden y/o limpieza Ventilación inadecuada Iluminación insuficiente Otras PRINCIPIO DE LA DEFINICION Una decisión lógica y acertada sólo puede tomarse si primero se define el problema real o básico. ¡ No nos dejemos confundir por los síntomas ! CAUSAS BASICAS FALTA DE CONTROL CAUSAS BASICAS CAUSAS INMEDIATAS ACCIDENTE PERDIDA S PROGRAMAS INADECUADOS ESTANDARES INADECUADOS DEL PROGRAMA CUMPLIMIENTO INADECUADO DE LOS ESTANDARES FACTORES PERSONALES FACTORES DEL TRABAJO ACTOS Y CONDICIONES SUB-ESTANDARES CONTACTO CON ENERGIA O SUBSTANCIA PERSONAS PROPIEDAD PROCESO FACTORES PERSONALES CAUSAS BASICAS FACTORES PERSONALES FACTORES DEL TRABAJO • • • • • Falta de conocimiento Falta de capacidad Falta de habilidad Estrés físico y mental Motivación Incorrecta FACTORES DEL TRABAJO • • • • • • • Liderazgo inadecuado Ingeniería inadecuada Compras inadecuadas Mantención inadecuada Estándares inadecuados Uso y desgaste normal Abuso y mal uso FALTA DE CONTROL FALTA DE CONTROL CAUSAS BASICAS CAUSAS INMEDIATAS ACCIDENTE PERDIDA S PROGRAMAS INADECUADOS ESTANDARES INADECUADOS DEL PROGRAMA CUMPLIMIENTO INADECUADO DE LOS ESTANDARES FACTORES PERSONALES FACTORES DEL TRABAJO ACTOS Y CONDICIONES SUB-ESTANDARES CONTACTO CON ENERGIA O SUBSTANCIA PERSONAS PROPIEDAD PROCESO FALTA DE CONTROL Fallas en : Programas o Sistemas Estándares Cumplimiento CAUSAS DE FALTA DE CONTROL • Programas o Sistemas inadecuados/inexistentes • Estándares inadecuados/inexistentes • Incumplimiento de los estándares Modelos de eventos encadenados en una secuencia en el tiempo Ejemplo de este modelo Modelos secuenciales lineales En los modelos basados en eventos, los mismos tienen una relación lineal y directa. Estos modelos solo describen causas lineales y es difícil incorporarles relaciones no lineales. El primer evento de la cadena es considerado usualmente como el “evento iniciador”, No obstante, la selección del evento iniciador es arbitraria y puede que eventos previos al mismo hayan hecho su aporte a la cadena. (Leveson, 2001). La causalidad vista en forma más moderna Paralela a la visión de Heinrich. La lesión es llamada RESULTADO, indicando que podría dañar así como lesiones y que el resultado podría variar desde no daño a muy severo. La palabra PERCANCE se usa en vez de Accidente para evitar la incomprensión popular de que un accidente necesariamente conlleva a una lesión o a un daño. Finalmente, se usa el término ERROR OPERATIVO en vez de Acción/Condición Insegura. La causalidad vista en forma más moderna RESULTADO: ERROR OPERATIVO PERCANCE (POSIBLE) -No hay daño ni lesión -Muchas muertes -Grandes daños Ejemplos Errores Operativos: Estar en una posición insegura Apilar materiales en pilas inestables Mala limpieza y organización Remover un resguardo mecánico DEFECTOS DEL SISTEMA Los Errores Operativos ocurren porque las personas cometen errores, pero más importante, ocurren debido a Defectos en el Sistema Revolucionó la prevención de accidentes Una debilidad en el diseño o en la operación de un sistema o un programa AC 35 La causalidad vista en forma más moderna RESULTADO: DEFECTOS DEL SISTEMA ERROR OPERATIVO PERCANCE (POSIBLE) -No hay daño ni lesión -Muchas muertes -Grandes daños AC 36 Ejemplos Los Defectos del Sistema incluyen: Mala asignación de la responsabilidad Clima de motivación inadecuado Entrenamiento y educación insuficientes Equipos y suministros insuficientes Procedimientos inadecuados para la selección y asignación del personal Mala distribución de los recursos ERROR EN LA GERENCIA / ÓRDENES Los defectos del Sistema ocurren debido a Errores en la Gerencia/Órdenes Las Decisiones que toman los Gerentes/Jefes sobre la forma en que el sistema es diseñado o es operado, resultan en defectos del sistema. La causalidad vista en forma más moderna ERRORES DE GERENCIA/ ORDEN DEFECTOS DEL SISTEMA RESULTADO: ERROR OPERATIVO PERCANCE (POSIBLE) -No hay daño ni lesión -Muchas muertes -Grandes daños Ejemplo Para una tarea en un Tanque de Solvente: A los soldadores no se les facilitan EPPs para la tarea (guantes, caretas, delantales, etc.) AC 40 La causalidad vista en forma más moderna DEFECTOS DEL SISTEMA DEFECTO DEL PROGRAMA DE SEGURIDAD ERRORES DE GERENCIA/ ORDEN ERROR OPERATIVO PERCANCE RESULTADOS AC 41 Defecto del Programa de Seguridad Un defecto en algún aspecto del programa de seguridad que permite que exista un error evitable. Registro inefectivo de información Análisis de Causas débiles Contramedidas insuficientes Implementación inadecuada de procedimientos Control inadecuado AC 42 ERROR DE GERENCIA DE SEGURIDAD Una debilidad en el conocimiento o en la motivación del Gerente de la Seguridad u otros Gerentes que permite que exista un defecto prevenible en el Programa de Seguridad. AC 43 Ejemplo: Llantas desgastadas y rajadas en los bordes utilizadas en vehículos: El Gerente de Seguridad y otros Gerentes conocen los peligros, pero no exigen el cumplimiento de los estándares. La causalidad vista en forma más moderna ERROR DE GERENCIA DE SEGURIDAD DEFECTO DEL PROGRAMA DE SEGURIDAD ERRORES DE GERENCIA/ ORDEN DEFECTOS DEL SISTEMA ERROR OPERATIVO PERCANCE RESULTADOS AC 45 Siete Avenidas Hay siete avenidas a través de las cuales podemos iniciar contramedidas. Ellas son: Error de Gerencia de la Seguridad Defecto del Programa de Seguridad Error en la Gerencia / Órdenes Defecto del Sistema Error Operativo Percance Resultado AC 46 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 1 ERROR DE GERENCIA DE SEGURIDAD 2 3 4 5 6 7 ENTRENAMIENTO EDUCACIÓN MOTIVACIÓN DISEÑO DE TAREAS AC 47 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 2 1 DEFECTO DEL PROGRAMA DE SEGURIDAD 3 4 5 6 7 REVISAR EL RESGISTRO DE LA INFORMACIÓN ANÁLISIS IMPLEMENTACIÓN AC 48 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 3 1 2 ERRORES DE GERENCIA/ ORDEN 4 5 6 7 ENTRENAMIENTO EDUCACIÓN MOTIVACIÓN DISEÑO DE TAREAS AC 49 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 4 1 2 3 DEFECTOS DEL SISTEMA 5 6 7 REVISIÓN DEL DISEÑO VIA: - PNOs - REGULACIONES - POLÍTICAS ESCRITAS - DECLARACIONES AC 50 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 5 1 2 3 4 ERROR OPERATIVO 6 7 INGENIERÍA ENTRENAMIENTO MOTIVACIÓN AC 51 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 6 1 2 3 4 5 PERCANCE 7 EQUIPAMIENTO DE PROTECCIÓN BARRERAS SEPARACIÓN AC 52 Siete Avenidas Las contramedidas potenciales para cada causa incluyen a: 7 1 2 3 4 5 6 RESULTADOS CONTENCIÓN LUCHA CONTRA INCENDIO RESCATE EVACUACIÓN PRIMERAS AYUDAS AC 53 Modelo del Sistema ERROR DE GERENCIA DE SEGURIDAD DEFECTO DEL PROGRAMA DE SEGURIDAD ERRORES DE GERENCIA/ ORDEN Modelo del Sistema • • • • • RESULTADOS Tareas Entrenamiento Ambiente Materiales Persona PERCANCE DEFECTOS DEL SISTEMA ERROR OPERATIVO Modelos Epidemiológicos Modelo organizacional del Reason Reason (1990; 1997) desarrolló un modelo organizacional para explicar a los accidentes en los sistemas complejos tecnológicamente. Planteó que los accidentes organizacionales no ocurren debido a un error humano simple; más bien surgen de la inter-conexión de varios factores de causas que se originan en varios niveles en una organización. Reason hace énfasis en el concepto de seguridad organizacional y como las defensas (barreras de protección de tipo material, humano y de procedimientos) pueden fallar. En este enfoque la causa inmediata o próxima es el fallo de una persona en la “línea de fuego”, quien está directamente relacionada con la regulación del proceso o en la interacción con la tecnología. Modelo organizacional del Reason Reason (1997) define a los accidentes organizacionales como situaciones en las cuales: ◦ las condiciones latentes (que surgen a partir de aspectos como las prácticas de decisión de la gerencia, o de influencias culturales), ◦ se combinan de forma adversa con eventos específicos que “disparan a otros” (tales como el clima, la localización, etc.), ◦ y con fallos activos (errores y/o violaciones de procedimientos) cometidos por individuos o equipos de trabajo en la “línea de fuego” de una organización, para producir al accidente. Modelo del Queso Suizo de Reason: Capas de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002) Modelo del Queso Suizo de Reason: Capas de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002) No siempre habrán accidentes, las capas o barreras de protección pueden funcionar Modelo organizacional del Reason Las defensas, barreras y salvaguardias ocupan una posición clave en el enfoque de Reason hacia la seguridad en sistemas complejos. Los sistemas con altas tecnologías tienen muchas capas de defensas: ◦ algunas son de ingeniería (alarmas, barreras físicas, detenciones automáticas, etc), ◦ otras descansan en los comportamientos de los humanos (cirujanos, anestesistas, pilotos, operadores de salas de control, etc), ◦ y otras dependen de procedimientos y controles administrativos. El modelo de Reason está basado en la filosofía de las defensas a profundidad, tomadas de los militares y de las plantas de energía nuclear, esto es, un sistema de defensa que tiene muchas capas o barreras, cada una diseñada para darle soporte a la otra, en orden de reducir la probabilidad de un accidente o un desastre. Modelo organizacional del Reason En un mundo ideal todas las capas defensivas deberían estar intactas no permitiendo que suceda ninguna penetración. Por supuesto, en el mundo real las defensas pueden deteriorarse con el tiempo; las modificaciones o los rediseños pueden debilitar o eliminar a las defensas, las defensas pueden ser removidas durante la calibración, el mantenimiento y las pruebas, o como resultado de errores y violaciones (Reason, 1997). Por ejemplo los operadores del cuarto de control del reactor nuclear de Chernobyl removieron capas de defensa sucesivamente con el objetivo de completar su tarea de probar un nuevo generador de voltaje. En realidad, no obstante, las defensas son como porciones de queso suizo que tienen muchos huecos; Modelo organizacional del Reason Pero a diferencia de en el queso, los huecos están continuamente abriéndose, cerrándose y cambiando de posición. La presencia de huecos en una porción normalmente no tiene por qué causar un mal resultado. Usualmente, éste solo puede suceder cuando los huecos en muchas porciones momentáneamente se alinean para permitir una oportunidad de una trayectoria para un accidente, convirtiendo a los peligros en un daño al ponerlos en contacto con las víctimas. Los huecos en las defensas surgen por dos razones: fallos activos y condiciones latentes. Casi todos los eventos adversos tienen una combinación de esteos dos conjuntos de factores Modelo organizacional del Reason Los Fallos Activos son los actos inseguros cometidos por las personas que están en contacto directo con la operación del sistema. Pueden tomar una variedad de formas: resbalones, lapsus, torpezas, errores, y violaciones de procedimientos(Reason, 1990). Los fallos activos tienen un impacto directo y normalmente corto sobre la integridad de las defensas. Por ejemplo en Chernobyl, los operadores violaron los procedimientos de la planta y apagaron sucesivamente a sistemas de seguridad, creando de esta forma el “disparador inmediato” para la explosición catastrófica en el núcleo del reactor. Los seguidores del enfoque humano, frecuentemente no buscan las causas de un evento adverso una vez que han identificado la existencia de una acción insegura. Pero en realidad, virtualmente todas estas acciones tienen una historia causal que se extiende atrás en el tiempo y a través de los niveles del sistema. Modelo organizacional del Reason Las condiciones latentes son los “patógenos residentes” inevitables dentro del sistema (Reason, 1997). Ellas son el resultado de las decisiones que tomaron los diseñadores, constructores, escritores de procedimientos y gerentes. Estas decisiones pueden ser erróneas (pero no lo son necesariamente). Y estas decisiones estratégicas tienen el potencial de introducir patógenos en el sistema. Las condiciones latentes tienen dos tipos de efectos adversos: ◦ pueden traducirse en un error provocando condiciones negativas en el puesto de trabajo local (por ejemplo presiones de tiempo, falta de personal, equipamiento inadecuado, fatiga e inexperiencia), y ◦ también pueden crear grandes huecos durables o debilidades en las defensas (alarmas e indicadores no confiables, procedimientos que no sirven, deficiencias en el diseño y la construcción, etc.) Modelo organizacional del Reason Las condiciones latentes, como sugiere el término, pueden permanecer “dormidas” dentro del sistema por muchos años antes de que se combinen con los fallos activos y eventos “disparadores” o “iniciadores” locales para crear una oportunidad de accidente. A diferencia de los fallos activos, cuyas formas específicas son difíciles de prevenir, las condiciones latentes pueden ser identificadas y remediadas antes de que ocurran los eventos adversos. Entender esto tiene el potencial de lograr una gerencia más proactiva que reactiva. El modelo de Reason Accidente = fallo de la organización Reason Model El modelo de Reason Accidente = fallo de la organización Para el funcionamiento del modelo son muy importantes los canales de información interna de la empresa y que estos cumplan con su misión: Bucle de información interna; gestión proactiva (antes de que ocurra el accidente): Sistema de gestión de seguridad interno. Valoraciones de riesgos y peligros. Informes personales. Auditorias. Bucles de información externa; gestión reactiva (el accidente ya ha ocurrido). Investigación de accidentes e incidentes . El modelo de Reason Accidente = fallo de la organización Modelo de Reason: Estructura Metodología Guía •Sistemas de gestión de seguridad •Investigación de accidentes e incidentes •Análisis de gestión y construcción de bases de datos •Programas de prevención de accidentes •Auditorias de seguridad Modelo tradicional: Se concentra en las causas superficiales y no profundiza (error del piloto, error de mantenimiento,...) Se ha demostrado que si las causas profundas permanecen, estas causarán accidentes en diferentes situaciones o escenarios hasta ser corregidas. El modelo de Reason Accidente = fallo de la organización Los errores y las violaciones son como los mosquitos, puedes intentar matarlos uno a uno, pero siempre aparecerán más. La única solución es eliminar las charcas en las que se crían: •Mal diseño •Defensas inadecuadas •Malos procedimientos •Mal entrenamiento •Objetivos conflictivos Y más allá…. Sin embargo, los modelos epidemiológicos aún siguen los principios de los modelos secuenciales (Hollnagel, 2004) dado que ellos muestran la dirección de la causalidad en un modelo lineal. La teoría que soporta al modelo del Queso Suizo no define con suficientes detalles qué son los fallos o los huecos en el queso. El modelo de Reason muestra una vista estática de la organización, mientras que los defectos son generalmente transientes, esto es por ejemplo que los huecos en el queso se están moviendo continuamente. En realidad, el sistema sociotécnico es más dinámico que lo que el modelo sugiere. Ideas centrales Los sistemas pueden ser descompuestos en capas. Cada capa representa a un sub-sistema, un estado o un actor que tiene un impacto en el funcionamiento del sistema completo. Los fallos esperan por la aparición de las condiciones. Algunas condiciones inestables pueden estar presentes en un sistema dado sin tener ningún efecto inmediato. Un fallo, desde este punto de vista, es una combinación improbable de un número de factores contribuyentes. Los eventos se propagan. Los accidentes no son causados por la ocurrencia de circunstancias desfavorables repentinas. En vez de esto, ellos son generados por fallos tempranos en los diseños que, bajo ciertas condiciones, disparan al evento indeseado. Los eventos escalan. Una combinación de fallos locales generan el fallo del sistema completo. Y más allá…. Los modelos lineales ofrecen la base para que los investigadores fácilmente tomen la posición de observadores retrospectivos, buscando hacia detrás la secuencia de eventos que parece llevar hacia un resultado inevitable, y señalando donde las personas actuaron mal, o donde fallaron los componentes individuales del sistema. A pesar de que esta perspectiva es adecuada en sistemas lineales, dicha tendencia limita seriamente lo que puede aprender sobre los fallos un investigador en sistemas no lineales (por ejemplo la combinación compleja e inesperada de interacciones del sistema) y puede no ayudar a prevenir la recurrencia. Modelos sistémicos de accidentes Modelos sistémicos Las nuevas tendencias en el modelado de los accidentes adoptan una visión sistémica, la cual considera al desempeño del sistema como un todo. En los modelos sistémicos, un accidente ocurre cuando varios factores causales (humanos, técnicos y ambientales) coexisten en un tiempo y espacio específico (Hollnagel, 2004). Los modelos sistémicos muestran a los accidentes como un fenómeno emergente, el cual surge debido a las complejas interacciones entre los componentes del sistema que pueden llevar a la degradación del desempeño del sistema, o resultar incluso en un accidente. Modelos sistémicos Una diferencia apreciable entre los modelos de accidentes sistémicos y los secuenciales/epidemiológicos es que los primeros describen al proceso del accidente como una red de eventos interconectados y compleja, mientras los segundos los describen como una simple cadena de eventos. Hay dos modelos sistémicos notables, ◦ el Marco Sociotécnico Jerarquizado de Rasmussen (1997) ◦ y el modelo STAMP de Leveson (2004) (Systems-Theoretic Accident Model and Processes o Proceso y Modelo Teórico-Sistémico del Accidente), el cual trata de modelar las dinámicas de los sistemas sociotécnicos complejos. Entendiendo a las seguridad en sistemas no lineales (Dekker, 2007; Hollnagel, 2008) Asunción y consecuencia: Los accidentes resultan de una combinación inesperada (resonancia) de la variabilidad normal del desempeño – los peligros surgen de la variabilidad esperada (y necesaria) dentro del sistema y los accidentes se previenen mediante la supervisión (monitoreo) y amortiguamiento de la variabilidad. Entendiendo a las seguridad en sistemas no lineales (Dekker, 2007; Hollnagel, 2008) Asunción y consecuencia: La variabilidad del desempeño normal muy raramente es suficiente para provocar un accidente, pero la variabilidad de múltiples funciones puede combinarse en formas inesperadas para producir un efecto no lineal, de esta manera la seguridad es una propiedad emergente del sistema y no puede ser explicada examinando simplemente a los componentes individuales del sistema y/o tratando de identificar una causa raíz. Entendiendo a las seguridad en sistemas no lineales (Dekker, 2007; Hollnagel, 2008) Asunción y consecuencia: Los sistemas sociotécnicos complejos (por ejemplo los hospitales) son dinámicos – el sistema cambia y se desarrolla respondiendo a las demandas que compiten entre sí, las presiones de producción y los cambios en la tecnología y en el conocimiento. La resiliencia existe cuando los operadores en el sistema son capaces de reconocer, absorver y adaptarse a los distrubios/cambios que caen más allá de su base de diseño. Entendiendo a las seguridad en sistemas no lineales La ingeniería de los sistemas cognitivos (Hollnagel & Woods, 1983) ha surgido como un marco para modelar a los comportamientos de los sistemas hombre-máquina en el contexto del ambiente en que el cual se efectúa el trabajo. La visión tradicional es que “los errores humanos” representan una “racionalización prospectiva” (Woods et. al., 1994), la cual está basada en el principio de la causalidad inversa: “si hay un efecto, entonces debe haber una causa”. La ingeniería de los sistemas cognitivos sugiere que no podemos entender lo que sucede cuando las cosas van mal sin entender lo que sucede cuando las cosas van bien (Hollnagel & Woods, 2005). Entendiendo a las seguridad en sistemas no lineales Hollnagel & Woods introducen un nuevo paradigma en la ingeniería de los sistemas cognitivos el cual describe como los humanos y la tecnología funcionan como un sistema conjunto, más que como humanos interaccionando con las máquinas. Los esfuerzos para hacer el trabajo seguro deben comenzar por entender la variablidad normal del desempeño del humano y del sistema cognitivo conjunto, más que asumir del específico y muy especulativo “mecanismo de error”. Herramientas sistémicas Se ha desarrollado dos herramientas de accidentes sistémicos para el análisis de la seguridad y de los accidentes basados en los principios de la ingeniería cognitiva de los sistemas: ◦ El Cognitive Reliability and Error Analysis Method (CREAM) ¿Método para el Análisis del Error y la Confiabilidad Cognitiva?; ◦ Y el Functional Resonance Accident Model (FRAM) ¿Accidente Funcional en Resonancia?. Herramientas sistémicas CREAM está basado en el modelaje de los aspectos cognitivos del desempeño humano para hacer una evaluación de las consecuencias del error humano en la seguridad de un sistema (Hollnagel, 1998). Se han desarrollado dos versiones del CREAM para el modelaje de los accidentes: ◦ DREAM (Driver Reliability and Error Analysis Method) para el análisis de los accidentes de tráfico; y ◦ BREAM para el uso en el análisis de accidentes marítimos(Hollnagel, 2006). Herramientas sistémicas El FRAM es un modelo cualitativo de accidente que describe como el funcionamiento de los componentes del sistema puede resonar y crear peligros que pueden ponerse fuera de control y generar un accidente (Hollnagel, 2004). El FRAM está basado en la premisa de la variabilidad del desempeño, las variabilidades internas y externas son normales,en el sentido de que el desempeño nunca es estable en los sistemas sociotécnicos complejos tales como los hospitales, la aviación o grandes industrias. Functional Resonance Accident Model (Hollnagel, 2004) Un modelo emergente que trata de explicar las dinámicas de la actividad organizacional “normal” Modelos sistémicos Los modelos no lineales proveen a los investigadores con las bases para buscar el por qué de las acciones de las personas y evaluar el sentido de las mismas en el tiempo, más que identificar cuál regla, protocolo o proceso violó la persona (las personas frecuentemente ajustan sus acciones al contexto y esto es parte de la “variabilidad normal del desempeño” que ocurre como parte del “trabajo normal” en los sistemas dinámicos complejos). ‘El error humano no es una explicación, pero si requiere que se explique’ Sidney Dekker, 2006 Modelos de Accidente: El reto del sesgo retrospectivo (hindsight bias) “El sesgo retrospectivo” siempre está presente cuando el resultado es conocido – un observador retrospectivo puede fácilmente confundir a la realidad retrospectiva con la realidad actual que rodea a las personas durante el evento. El sesgo retrospectivo es una razón poderosa para las explicaciones clásicas de los errores humanos y los accidentes – tendiendo a tratar de identificar componentes individuales del sistema que necesiten corregirse, personas con deficiencias en las habilidades, o errores graves. Modelos de Accidente: El reto del sesgo retrospectivo (hindsight bias) El sesgo retrospectivo dificulta el juicio objetivo del comportamiento que llevó a un resultado. En particular, la complejidad pasada es transformada en una cadena lineal de “malas” decisiones, oportunidades perdidas, evaluaciones deficientes, y percepciones fallidas. Entonces, las recomendaciones también se dirigen frecuentemente a proteger al sistema de los “humanos poco confiables” a través de procedimientos, entrenamiento y disciplina. Un Nuevo Modelo para la Ingeniería de la Seguridad de los Sistemas por Nancy Leveson. Safety Science, Vol. 42, No. 4, April 2004. STAMP : (Systems-Theoretic Accident Model and Processes) Los accidentes son el resultado del inadecuado control o la falta de exigencia de las variables relacionadas con la seguridad en el desarrollo, diseño y operación de los sistemas. La seguridad puede entonces ser vista como un problema de control, y la seguridad es gerenciada a partir de una estructura de control insertada en el sistema sociotécnico adaptativo. Process Control Loop 89 Modos de Fallos en el Control El control requerido no existe Ocurre una acción de control incorrecta o insegura La acción de control ocurre muy tarde o en el tiempo incorrecto La acción de control se detiene muy rápido o continúa por mucho tiempo ¿¿ Confiabilidad del Controlador?? 90 Y más allá… A medida que se entienden mejor los accidentes aeroespaciales, de transporte o industriales, los mismos dejan de ser considerados como simples fallos de la tecnología solamente, y tampoco debido al error humano, sino como resultados de un trasfondo histórico y de un contexto organizacional desfavorable (Vaughan, 1996; Dien et al., 2004). El análisis sociológico de las causas de los accidentes está ganando espacio como una aproximación efectiva para entender las causas sociales y organizacinales de los accidentes (ver por ejemplo a: Perrow, 1984;Vaughn, 1996; Hopkins, 2000). Y más allá… Vaughn (1996) rechaza las explicaciones prevalecientes (dadas a partir de las técnicas tradiconales de la ingniería) de la causa del accidente del Challenger y presenta otra explicación sociológica alternativa que explora una causa del fallo mucho más profunda, y advierte de los riesgos en que están envueltos los sistemas tecnológicos complejos modernos. El reporte de la investigación del accidente del Columbia identifica una “cultura de seguridad rota” como un punto focal de las causas organizacionales del accidente (CAIB, 2003). Vaughan demuestra similaridades entre los accidentes del Columbia y del Challenger en que ambos accidentes ocurrieron debido a fallos sistémicos organizacionales, y presentaban una explicación causal que vinculaba a la cultura de producción, a la normalización de las desviaciones y al secreto estructural de la NASA. ¿Preguntas?