Modelos de accidentes

Anuncio
Modelos de accidentes
Asignatura Organización, Legislación y Administración
de la Seguridad y la Salud Ocupacional
Modelos de accidentes
Los modelos de accidentes enfatizan los esfuerzos
hacia la seguridad, forman la base para:
(1) investigar y analizar accidentes;
(2) diseñar para prevenir pérdidas futuras; y
(3) determinar si los sistemas son adecuados para ser
utilizados a partir de evaluar a los riesgos asociados
a su actividad, al uso del producto, o a la operación
del mismo.
Mientras que los seres humanos podemos no estar
conscientes de que estamos utilizando un modelo
cuando hacemos estas actividades, sin dudas un
modelo del fenómeno siempre será parte del proceso
(aunque sea de forma subconsciente)
Modelos de accidentes
Ofrecen una conceptualización de las características de los
accidentes la cual muestra típicamente la relación entre causas y
efectos.
Explica por qué ocurren los accidentes y son utilizados para la
evaluación de riesgos durante el desarrollo de los sistemas y para
análisis retrospectivos estudiando las causas de accidentes que
ocurren.
Muchos de los modelos se originaron antes de la introducción de la
tecnología digital en la industria.
Aunque se actualizaron aún no toman el paso tecnológico actual.
La tecnología moderna está teniendo un impacto significativo en la
naturaleza de los accidentes y ello requiere nuevos mecanismos de
explicación que permitan entenderlos, así como el desarrollo de
nuevas técnicas de evaluación de riesgos que prevean su
ocurrencia.
(Leveson, 2003)
Modelos de accidentes
Todos los modelos asumen que hay patrones comunes en los
accidentes y que no son simplemente eventos aleatorios.
Los modelos de accidentes imponen patrones sobre los accidentes,
que influencian a los factores considerados en los análisis de la
seguridad.
Por tanto, el modelo que se use puede actuar tanto como un filtro
y un prejuicio hacia el considerar solamente ciertos eventos y
condiciones, o
También puede expandir el análisis al forzar tener en cuenta
factores que frecuentemente se omiten.
El modelo influencia a cual es la causa(s) a la que se debe un
accidente, a las medidas para prevenir nuevos accidentes, y a la
evaluación del riesgo de operar un sistema,
El poder y las características de un modelo influenciarán nuestra
habilidad de identificar y controlar a los peligros y por tanto, a
prevenir los accidentes.
Modelos de accidentes
Uno de los primeros modelos de causas de los accidentes fue la teoría del
Dominó propuesta por Heinrich en los 1940s
Describe a un accidente como una cadema de eventos discretos los cuales
ocurren en un orden temporal específico.
Esta teoría pertenece a la clase de los modelos de accidentes basados en
eventos, el cual es la base de muchas técnicas como el Análisis de Modos y
Efectos de los Fallos (Failure Modes and Effects Analysis (FMEA)), el
Análisis de Árboles de Fallos (Fault Tree Analysis (FTA)), Análisis de
Eventos de Fallos (Event Tree Analysis), y el Análisis Causa-Consecuencias
(Cause-Consequence Analysis)
Estos modelos trabajan bien cuando las pérdidas son causadas por fallos de
los componentes físicos o errores humanos en sistemas relativamente
simples.
Usualmente en estos modelos, cuando los factores causales en un
accidente no están vinculados a fallos de componentes técnicos, los
mismos son clasificados como errores humanos sin mucha explicación.
Estos modelos son limitados en su capacidad para explicar las causas de los
accidentes en sistemas complejos, del tipo que se están desarrollando
desde la segunda mitad del siglo XX.
Modelos de accidentes
En los 1980s, una nueva clase de modelos de accidentes
denominados “epidemiológicos” aparecieron para tratar de
explicar a los accidentes en sistemas más complejos.
Los modelos epidemiológicos plantean que los eventos que
originan a un accidentes aparecen de forma análoga a como
se disemina una enfermedad
Esto es como el resultado de una combinación de factores,
algunos manifiestos y algunos latentes, que coinciden de
forma conjunta en espacio y tiempo.
El Modelo del Queso Suizo de Reason es el ejemplo más
citado de este tipo de modelo
Este modelo ha influenciado mucho el entender mejor a los
accidentes por destacar la relación entre las causas latentes y
las inmediatas.
Modelos de accidentes
Los modelos secuenciales y epidemiológicos son inadecuados para
capturar las interacciones dinámicas y no lineales entre los
componentes de los sistemas socio-técnicos complejos.
Nuevos modelos de accidentes, basados en la teoría de sistemas,
tratan de describir las características del desempeño del sistema
como un todo, más que al nivel del mecanismo causa específicaefecto, o aún de los factores epidemiológicos.
Los modelos sistémicos de la seguridad tienen sus raíces en la
teoría de sistemas y en la cibernética.
La teoría de sistemas incluye a los principios, modelos y leyes
necesarias para entender las complejas relaciones e
interdependencias entre los componentes de un sistema complejo
(técnicos, humanos, organizacionales y de gestión).
Los modelos basados en la teoría de sistemas describen a los
accidentes como un fenómeno emergente que aparece a partir de
las interacciones entre componentes del sistema, donde dichas
interacciones pueden ser no lineales y contener múltiples lazos de
retroalimentación.
Modelos de accidentes(Hollnagel)
Modelos secuenciales
◦ Accidente = Secuencia de eventos ordenados, tales como fallos o
malfuncionamiento de humanos o máquinas
◦ E.j. árboles de fallo, árboles de eventos
Modelos epidemiológicos
◦ Accidente = Como se disemina una enfermedad: combinación de
fallos y condiciones latentes / ambientales, las cuales provocan la
degradación de las barreras y defensas
◦ E.j. Modelo del Queso Suizo
Modelos sistémicos
◦ Accidente = Emerge a partir de la variabilidad en el desempeño de
un sistema cognitivo conjunto, como resultado de interacciones
complejas y de una inesperada combinación de acciones.
◦ E.j. FRAM, STAMP, TOPAZ
Modelos basados en una
secuencia de eventos
1932 – Primer Acercamiento Científico a las
Causas de los Accidentes y su Prevención
H.W. Heinrich
LESIÓN - causada por los accidentes.
ACCIDENTES - causados por un acto inseguro de la
persona lesionada o una condición insegura en el
puesto de trabajo.
ACCIONES/CONDICIONES INSEGURAS - causadas por
personas descuidadas o por malos diseños o
mantenmientos deficientes respecto al equipamiento.
FALLOS DE PERSONAS - creados por el ambiente
social o adquiridos de sus antepasados.
AMBIENTE SOCIAL/ANTEPASADOS – dónde y cómo una
persona fue criada y educada.
Teoría del Dominó
“Modelo de Causas de Accidentes Industriales”
Ambiente Social y
Antepasados
Fallo de la
persona
(Descuido)
ERRORES DE PERSONAS
Acción o
Condición
Insegura
Accidente
Lesión
DOMINÓ DE HEINRICH
La observación de que una sucesión de causas que se
precipitan unas a otras da lugar a los accidentes, dio
origen a los modelos secuenciales concatenados. El
modelo más relevante es el de las fichas de dominó
(Heinrich, 1931), el cual señala que una falla en algún
elemento del Sistema de Prevención desencadena en la
caída del sistema o una pérdida: Accidente o Incidente.
AXIOMAS DE HEINRICH
1. Los accidentes tienen causas técnicas y/o humanas
2. Los actos inseguros causan la mayor parte de los
accidentes
3. Por cada accidente con baja se producen 30 sin baja y
300 accidentes
4. La gravedad del accidente es aleatoria, pero su
producción es previsible
5. Las causas de los actos inseguros son: actitud
inadecuada, falta de formación, incapacidad física,
entorno inadecuado
AXIOMAS DE HEINRICH
6. Las medidas preventivas básicas son: formación, control
y modificaciones técnicas
7. La dirección debe asumir la responsabilidad de la
prevención
8. El encargado es el hombre clave de la prevención
9. La prevención es económicamente rentable, porque
mejora la productividad y ahorra el elevado coste de
los accidentes.
TAREA EXTRACLASE (próxima semana)
•
•
•
•
•
Hacer un análisis de la validez de los axiomas de
Heinrich a la luz de las condiciones actuales.
Concluir para cada axioma:
• ES VÁLIDO
• NO ES VÁLIDO
Y argumentar el por qué de su respuesta
Si no concluye en alguno, pierde puntos
Consultar los artículos digitales dejados para
completar.
FACTOR ACTITUDINAL
Heinrich pregunta ¿por qué cometemos actos inseguros?
Por ahorrar tiempo. La urgencia del trabajo y una laxa cultura
de seguridad, relajan el cumplimiento de los procedimientos.
Por ahorrar esfuerzo. El trabajador omite pasos del
procedimiento por hacer su trabajo más fácil.
Por presiones del grupo. Un individuo sigue los procedimientos
establecidos, pero su grupo de trabajo o su supervisor no lo
hace. Progresivamente va acoplándose al nivel de cultura de
seguridad de su grupo.
Si nos capacitamos nos estamos dirigiendo a la parte de
conocimientos y habilidad, estamos trabajando sobre la parte
cognoscitiva y psicomotora, sobre la parte racional.
Pero la parte actitudinal, también juega uno de los papeles con
más peso para la ocurrencia de los accidentes.
Siguiendo a la Teoría de Heinrich
La secuencia de la Acción Correctiva
(Las tres“E”s – en Inglés)
Ingeniería (Engineering)
Educación (Education)
Disciplina (Enforcement)
PRINCIPIO DE LAS CAUSAS
MULTIPLES
Los problemas en
general
y los accidentes en
particular
casi nunca
son el resultado de
una sola causa.
Simple y bonito, pero poco realista la
mayoría de las veces
Modelos de causalidad NOS
COSTOS
Una ampliación del modelo de
Heinrich fue el modelo propuesto
por Bird
EL MODELO DE CAUSALIDAD O DE
CONTROL DE PÉRDIDAS
DE FRANK E. BIRD JR
FACTORES DE TRABAJO
Procedimientos Seguros de Trabajo
incorrectos
Ausencia de Análisis Seguro de Trabajo
Mala Operación de máquinas o Equipos
Herramientas en mal estado o mal
utilizadas
Ausencia de Mantenimiento de Equipos y
Máquinas
Factores Personales
Capacidad física o mental inapropiada
para el cargo
Deficiencia en la Habilidad para la tarea
Motivación deteriorada en el trabajo
Frustración profesional
Incapacidad para trabajo bajo presión
Estrés
Falta de conocimientos para el cargo
CAUSAS INMEDIATAS
FALTA DE
CONTROL
CAUSAS
BASICAS
CAUSAS
INMEDIATAS
ACCIDENTE
PERDIDA
S
PROGRAMAS
INADECUADOS
ESTANDARES
INADECUADOS
DEL PROGRAMA
CUMPLIMIENTO
INADECUADO DE
LOS
ESTANDARES
FACTORES
PERSONALES
FACTORES
DEL TRABAJO
ACTOS Y
CONDICIONES
SUB-ESTANDARES
CONTACTO
CON ENERGIA
O SUBSTANCIA
PERSONAS
PROPIEDAD
PROCESO
CAUSAS
INMEDIATAS
ACTOS Y
CONDICIONES
SUBESTANDARES
ACTOS SUBESTANDARES
CONDICIONES SUBESTANDARES
• Operar sin autorización
• No seguir procedimientos
• No respetar señalización
• Levantamiento incorrecto
• No usar E.P.P.
• Falla en asegurar
• Bromas y juegos
• Otros
•
•
•
•
•
•
•
•
E.P.P. inadecuado
Equipos defectuosos
Herramientas en mal estado
Congestión
Falta de orden y/o limpieza
Ventilación inadecuada
Iluminación insuficiente
Otras
PRINCIPIO DE LA
DEFINICION
Una decisión lógica y
acertada
sólo puede tomarse
si primero se define el
problema real o básico.
¡ No nos dejemos confundir
por los síntomas !
CAUSAS BASICAS
FALTA DE
CONTROL
CAUSAS
BASICAS
CAUSAS
INMEDIATAS
ACCIDENTE
PERDIDA
S
PROGRAMAS
INADECUADOS
ESTANDARES
INADECUADOS
DEL PROGRAMA
CUMPLIMIENTO
INADECUADO DE
LOS
ESTANDARES
FACTORES
PERSONALES
FACTORES
DEL TRABAJO
ACTOS Y
CONDICIONES
SUB-ESTANDARES
CONTACTO
CON ENERGIA
O SUBSTANCIA
PERSONAS
PROPIEDAD
PROCESO
FACTORES PERSONALES
CAUSAS
BASICAS
FACTORES
PERSONALES
FACTORES
DEL TRABAJO
•
•
•
•
•
Falta de conocimiento
Falta de capacidad
Falta de habilidad
Estrés físico y mental
Motivación Incorrecta
FACTORES DEL TRABAJO
•
•
•
•
•
•
•
Liderazgo inadecuado
Ingeniería inadecuada
Compras inadecuadas
Mantención inadecuada
Estándares inadecuados
Uso y desgaste normal
Abuso y mal uso
FALTA DE CONTROL
FALTA DE
CONTROL
CAUSAS
BASICAS
CAUSAS
INMEDIATAS
ACCIDENTE
PERDIDA
S
PROGRAMAS
INADECUADOS
ESTANDARES
INADECUADOS
DEL PROGRAMA
CUMPLIMIENTO
INADECUADO DE
LOS
ESTANDARES
FACTORES
PERSONALES
FACTORES
DEL TRABAJO
ACTOS Y
CONDICIONES
SUB-ESTANDARES
CONTACTO
CON ENERGIA
O SUBSTANCIA
PERSONAS
PROPIEDAD
PROCESO
FALTA DE
CONTROL
Fallas en :
Programas
o Sistemas
Estándares
Cumplimiento
CAUSAS DE FALTA DE CONTROL
• Programas o Sistemas inadecuados/inexistentes
• Estándares inadecuados/inexistentes
• Incumplimiento de los estándares
Modelos de eventos encadenados
en una secuencia en el tiempo
Ejemplo de este modelo
Modelos secuenciales lineales
En los modelos basados en eventos, los mismos
tienen una relación lineal y directa.
Estos modelos solo describen causas lineales y es
difícil incorporarles relaciones no lineales.
El primer evento de la cadena es considerado
usualmente como el “evento iniciador”,
No obstante, la selección del evento iniciador es
arbitraria y puede que eventos previos al mismo
hayan hecho su aporte a la cadena.
(Leveson, 2001).
La causalidad vista en forma más moderna
Paralela a la visión de Heinrich.
La lesión es llamada RESULTADO, indicando que
podría dañar así como lesiones y que el resultado
podría variar desde no daño a muy severo.
La palabra PERCANCE se usa en vez de Accidente
para evitar la incomprensión popular de que un
accidente necesariamente conlleva a una lesión o a
un daño.
Finalmente, se usa el término ERROR OPERATIVO
en vez de Acción/Condición Insegura.
La causalidad vista en forma más moderna
RESULTADO:
ERROR
OPERATIVO
PERCANCE
(POSIBLE)
-No hay daño
ni lesión
-Muchas muertes
-Grandes daños
Ejemplos
Errores Operativos:
Estar en una posición insegura
Apilar materiales en pilas inestables
Mala limpieza y organización
Remover un resguardo mecánico
DEFECTOS DEL SISTEMA
Los Errores Operativos ocurren porque las personas
cometen errores, pero más importante, ocurren debido a
Defectos en el Sistema
Revolucionó la prevención de
accidentes
Una debilidad en el diseño o
en la operación de un sistema
o un programa
AC
35
La causalidad vista en forma más moderna
RESULTADO:
DEFECTOS
DEL SISTEMA
ERROR
OPERATIVO
PERCANCE
(POSIBLE)
-No hay daño
ni lesión
-Muchas muertes
-Grandes daños
AC
36
Ejemplos
Los Defectos del Sistema incluyen:
Mala asignación de la responsabilidad
Clima de motivación inadecuado
Entrenamiento y educación insuficientes
Equipos y suministros insuficientes
Procedimientos inadecuados para la
selección y asignación del personal
Mala distribución de los recursos
ERROR EN LA GERENCIA / ÓRDENES
Los defectos del Sistema ocurren debido a
Errores en la Gerencia/Órdenes
Las Decisiones que toman los Gerentes/Jefes
sobre la forma en que el sistema es diseñado o
es operado, resultan en defectos del sistema.
La causalidad vista en forma más
moderna
ERRORES DE
GERENCIA/
ORDEN
DEFECTOS
DEL SISTEMA
RESULTADO:
ERROR
OPERATIVO
PERCANCE
(POSIBLE)
-No hay daño
ni lesión
-Muchas muertes
-Grandes daños
Ejemplo
Para una tarea en un
Tanque de Solvente:
A los soldadores no se les
facilitan EPPs para la tarea
(guantes, caretas, delantales, etc.)
AC
40
La causalidad vista en forma más moderna
DEFECTOS
DEL SISTEMA
DEFECTO DEL
PROGRAMA
DE SEGURIDAD
ERRORES DE
GERENCIA/
ORDEN
ERROR
OPERATIVO
PERCANCE
RESULTADOS
AC
41
Defecto del Programa de Seguridad
Un defecto en algún aspecto del
programa de seguridad que permite que
exista un error evitable.
Registro inefectivo de información
Análisis de Causas débiles
Contramedidas insuficientes
Implementación inadecuada de procedimientos
Control inadecuado
AC
42
ERROR DE GERENCIA DE SEGURIDAD
Una debilidad en el conocimiento o en
la motivación del Gerente de la
Seguridad u otros Gerentes que permite
que exista un defecto prevenible en el
Programa de Seguridad.
AC
43
Ejemplo:
Llantas desgastadas y
rajadas en los bordes
utilizadas en vehículos:
El Gerente de Seguridad y otros
Gerentes conocen los peligros,
pero no exigen el cumplimiento
de los estándares.
La causalidad vista en forma más moderna
ERROR
DE GERENCIA
DE SEGURIDAD
DEFECTO DEL
PROGRAMA
DE SEGURIDAD
ERRORES DE
GERENCIA/
ORDEN
DEFECTOS
DEL SISTEMA
ERROR
OPERATIVO
PERCANCE
RESULTADOS
AC
45
Siete Avenidas
Hay siete avenidas a través de las cuales
podemos iniciar contramedidas. Ellas son:
Error de Gerencia de la Seguridad
Defecto del Programa de Seguridad
Error en la Gerencia / Órdenes
Defecto del Sistema
Error Operativo
Percance
Resultado
AC
46
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
1
ERROR
DE GERENCIA
DE SEGURIDAD
2
3
4
5
6
7
ENTRENAMIENTO
EDUCACIÓN
MOTIVACIÓN
DISEÑO DE TAREAS
AC
47
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
2
1
DEFECTO DEL
PROGRAMA
DE SEGURIDAD
3
4
5
6
7
REVISAR EL RESGISTRO DE LA INFORMACIÓN
ANÁLISIS
IMPLEMENTACIÓN
AC
48
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
3
1
2
ERRORES DE
GERENCIA/
ORDEN
4
5
6
7
ENTRENAMIENTO
EDUCACIÓN
MOTIVACIÓN
DISEÑO DE TAREAS
AC
49
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
4
1
2
3
DEFECTOS
DEL SISTEMA
5
6
7
REVISIÓN DEL DISEÑO VIA:
- PNOs
- REGULACIONES
- POLÍTICAS ESCRITAS
- DECLARACIONES
AC
50
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
5
1
2
3
4
ERROR
OPERATIVO
6
7
INGENIERÍA
ENTRENAMIENTO
MOTIVACIÓN
AC
51
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
6
1
2
3
4
5
PERCANCE
7
EQUIPAMIENTO DE PROTECCIÓN
BARRERAS
SEPARACIÓN
AC
52
Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
7
1
2
3
4
5
6
RESULTADOS
CONTENCIÓN
LUCHA CONTRA INCENDIO
RESCATE
EVACUACIÓN
PRIMERAS AYUDAS
AC
53
Modelo del Sistema
ERROR
DE GERENCIA
DE SEGURIDAD
DEFECTO DEL
PROGRAMA
DE SEGURIDAD
ERRORES DE
GERENCIA/
ORDEN
Modelo del Sistema
•
•
•
•
•
RESULTADOS
Tareas
Entrenamiento
Ambiente
Materiales
Persona
PERCANCE
DEFECTOS
DEL SISTEMA
ERROR
OPERATIVO
Modelos Epidemiológicos
Modelo organizacional del Reason
Reason (1990; 1997) desarrolló un modelo organizacional para
explicar a los accidentes en los sistemas complejos
tecnológicamente.
Planteó que los accidentes organizacionales no ocurren debido a
un error humano simple; más bien surgen de la inter-conexión de
varios factores de causas que se originan en varios niveles en una
organización.
Reason hace énfasis en el concepto de seguridad organizacional y
como las defensas (barreras de protección de tipo material,
humano y de procedimientos) pueden fallar.
En este enfoque la causa inmediata o próxima es el fallo de una
persona en la “línea de fuego”, quien está directamente relacionada
con la regulación del proceso o en la interacción con la tecnología.
Modelo organizacional del Reason
Reason (1997) define a los accidentes
organizacionales como situaciones en las cuales:
◦ las condiciones latentes (que surgen a partir de
aspectos como las prácticas de decisión de la
gerencia, o de influencias culturales),
◦ se combinan de forma adversa con eventos
específicos que “disparan a otros” (tales como el
clima, la localización, etc.),
◦ y con fallos activos (errores y/o violaciones de
procedimientos) cometidos por individuos o equipos
de trabajo en la “línea de fuego” de una organización,
para producir al accidente.
Modelo del Queso Suizo de Reason: Capas
de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)
Modelo del Queso Suizo de Reason: Capas
de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)
No siempre habrán accidentes, las capas o barreras de protección pueden
funcionar
Modelo organizacional del Reason
Las defensas, barreras y salvaguardias ocupan una posición
clave en el enfoque de Reason hacia la seguridad en sistemas
complejos.
Los sistemas con altas tecnologías tienen muchas capas de
defensas:
◦ algunas son de ingeniería (alarmas, barreras físicas, detenciones
automáticas, etc),
◦ otras descansan en los comportamientos de los humanos (cirujanos,
anestesistas, pilotos, operadores de salas de control, etc),
◦ y otras dependen de procedimientos y controles administrativos.
El modelo de Reason está basado en la filosofía de las
defensas a profundidad, tomadas de los militares y de las
plantas de energía nuclear, esto es, un sistema de defensa que
tiene muchas capas o barreras, cada una diseñada para darle
soporte a la otra, en orden de reducir la probabilidad de un
accidente o un desastre.
Modelo organizacional del Reason
En un mundo ideal todas las capas defensivas deberían estar
intactas no permitiendo que suceda ninguna penetración.
Por supuesto, en el mundo real las defensas pueden
deteriorarse con el tiempo; las modificaciones o los
rediseños pueden debilitar o eliminar a las defensas, las
defensas pueden ser removidas durante la calibración, el
mantenimiento y las pruebas, o como resultado de errores y
violaciones (Reason, 1997).
Por ejemplo los operadores del cuarto de control del
reactor nuclear de Chernobyl removieron capas de defensa
sucesivamente con el objetivo de completar su tarea de
probar un nuevo generador de voltaje.
En realidad, no obstante, las defensas son como porciones de
queso suizo que tienen muchos huecos;
Modelo organizacional del Reason
Pero a diferencia de en el queso, los huecos están
continuamente abriéndose, cerrándose y cambiando de
posición.
La presencia de huecos en una porción normalmente no
tiene por qué causar un mal resultado.
Usualmente, éste solo puede suceder cuando los huecos en
muchas porciones momentáneamente se alinean para
permitir una oportunidad de una trayectoria para un
accidente, convirtiendo a los peligros en un daño al ponerlos
en contacto con las víctimas.
Los huecos en las defensas surgen por dos razones: fallos
activos y condiciones latentes.
Casi todos los eventos adversos tienen una combinación de
esteos dos conjuntos de factores
Modelo organizacional del Reason
Los Fallos Activos son los actos inseguros cometidos por las personas que
están en contacto directo con la operación del sistema.
Pueden tomar una variedad de formas: resbalones, lapsus, torpezas,
errores, y violaciones de procedimientos(Reason, 1990).
Los fallos activos tienen un impacto directo y normalmente corto
sobre la integridad de las defensas.
Por ejemplo en Chernobyl, los operadores violaron los
procedimientos de la planta y apagaron sucesivamente a sistemas
de seguridad, creando de esta forma el “disparador inmediato” para
la explosición catastrófica en el núcleo del reactor.
Los seguidores del enfoque humano, frecuentemente no buscan las
causas de un evento adverso una vez que han identificado la
existencia de una acción insegura.
Pero en realidad, virtualmente todas estas acciones tienen una
historia causal que se extiende atrás en el tiempo y a través de los
niveles del sistema.
Modelo organizacional del Reason
Las condiciones latentes son los “patógenos residentes” inevitables dentro
del sistema (Reason, 1997).
Ellas son el resultado de las decisiones que tomaron los
diseñadores, constructores, escritores de procedimientos y
gerentes.
Estas decisiones pueden ser erróneas (pero no lo son
necesariamente).
Y estas decisiones estratégicas tienen el potencial de introducir
patógenos en el sistema.
Las condiciones latentes tienen dos tipos de efectos adversos:
◦ pueden traducirse en un error provocando condiciones negativas en el
puesto de trabajo local (por ejemplo presiones de tiempo, falta de
personal, equipamiento inadecuado, fatiga e inexperiencia), y
◦ también pueden crear grandes huecos durables o debilidades en las
defensas (alarmas e indicadores no confiables, procedimientos que no
sirven, deficiencias en el diseño y la construcción, etc.)
Modelo organizacional del Reason
Las condiciones latentes, como sugiere el término,
pueden permanecer “dormidas” dentro del
sistema por muchos años antes de que se
combinen con los fallos activos y eventos
“disparadores” o “iniciadores” locales para crear
una oportunidad de accidente.
A diferencia de los fallos activos, cuyas formas
específicas son difíciles de prevenir, las
condiciones latentes pueden ser identificadas y
remediadas antes de que ocurran los eventos
adversos.
Entender esto tiene el potencial de lograr una
gerencia más proactiva que reactiva.
El modelo de Reason
Accidente = fallo de la organización
Reason Model
El modelo de Reason
Accidente = fallo de la organización
Para el funcionamiento del modelo son muy importantes
los canales de información interna de la empresa y que
estos cumplan con su misión:
Bucle de información interna; gestión proactiva (antes de
que ocurra el accidente):
Sistema de gestión de seguridad interno.
Valoraciones de riesgos y peligros.
Informes personales.
Auditorias.
Bucles de información externa; gestión reactiva (el
accidente ya ha ocurrido).
Investigación de accidentes e incidentes .
El modelo de Reason
Accidente = fallo de la organización
Modelo de Reason:
Estructura
Metodología
Guía
•Sistemas de gestión de seguridad
•Investigación de accidentes e
incidentes
•Análisis de gestión y construcción de
bases de datos
•Programas de prevención de
accidentes
•Auditorias de seguridad
Modelo tradicional: Se concentra en las causas superficiales y no
profundiza (error del piloto, error de mantenimiento,...)
Se ha demostrado que si las causas profundas permanecen, estas
causarán accidentes en diferentes situaciones o escenarios hasta
ser corregidas.
El modelo de Reason
Accidente = fallo de la organización
Los errores y las violaciones son como los
mosquitos, puedes intentar matarlos uno a uno,
pero siempre aparecerán más.
La única solución es eliminar las charcas en las que
se crían:
•Mal diseño
•Defensas inadecuadas
•Malos procedimientos
•Mal entrenamiento
•Objetivos conflictivos
Y más allá….
Sin embargo, los modelos epidemiológicos aún siguen
los principios de los modelos secuenciales (Hollnagel,
2004) dado que ellos muestran la dirección de la
causalidad en un modelo lineal.
La teoría que soporta al modelo del Queso Suizo no
define con suficientes detalles qué son los fallos o los
huecos en el queso.
El modelo de Reason muestra una vista estática de la
organización, mientras que los defectos son
generalmente transientes, esto es por ejemplo que
los huecos en el queso se están moviendo
continuamente.
En realidad, el sistema sociotécnico es más dinámico
que lo que el modelo sugiere.
Ideas centrales
Los sistemas pueden ser descompuestos en capas. Cada capa
representa a un sub-sistema, un estado o un actor que tiene un
impacto en el funcionamiento del sistema completo.
Los fallos esperan por la aparición de las condiciones. Algunas
condiciones inestables pueden estar presentes en un sistema dado
sin tener ningún efecto inmediato.
Un fallo, desde este punto de vista, es una combinación
improbable de un número de factores contribuyentes.
Los eventos se propagan. Los accidentes no son causados por la
ocurrencia de circunstancias desfavorables repentinas.
En vez de esto, ellos son generados por fallos tempranos en los
diseños que, bajo ciertas condiciones, disparan al evento
indeseado.
Los eventos escalan. Una combinación de fallos locales generan el
fallo del sistema completo.
Y más allá….
Los modelos lineales ofrecen la base para que los
investigadores fácilmente tomen la posición de observadores
retrospectivos, buscando hacia detrás la secuencia de
eventos que parece llevar hacia un resultado inevitable, y
señalando donde las personas actuaron mal, o donde
fallaron los componentes individuales del sistema.
A pesar de que esta perspectiva es adecuada en sistemas
lineales, dicha tendencia limita seriamente lo que puede
aprender sobre los fallos un investigador en sistemas no
lineales (por ejemplo la combinación compleja e inesperada
de interacciones del sistema) y puede no ayudar a prevenir la
recurrencia.
Modelos sistémicos de
accidentes
Modelos sistémicos
Las nuevas tendencias en el modelado de los
accidentes adoptan una visión sistémica, la cual
considera al desempeño del sistema como un todo.
En los modelos sistémicos, un accidente ocurre
cuando varios factores causales (humanos, técnicos y
ambientales) coexisten en un tiempo y espacio
específico (Hollnagel, 2004).
Los modelos sistémicos muestran a los accidentes
como un fenómeno emergente, el cual surge debido a
las complejas interacciones entre los componentes
del sistema que pueden llevar a la degradación del
desempeño del sistema, o resultar incluso en un
accidente.
Modelos sistémicos
Una diferencia apreciable entre los modelos de
accidentes sistémicos y los secuenciales/epidemiológicos
es que los primeros describen al proceso del accidente
como una red de eventos interconectados y compleja,
mientras los segundos los describen como una simple
cadena de eventos.
Hay dos modelos sistémicos notables,
◦ el Marco Sociotécnico Jerarquizado de Rasmussen
(1997)
◦ y el modelo STAMP de Leveson (2004)
(Systems-Theoretic Accident Model and Processes o
Proceso y Modelo Teórico-Sistémico del Accidente), el
cual trata de modelar las dinámicas de los sistemas
sociotécnicos complejos.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asunción y consecuencia:
Los accidentes resultan de una
combinación inesperada (resonancia) de
la variabilidad normal del desempeño –
los peligros surgen de la variabilidad
esperada (y necesaria) dentro del sistema
y los accidentes se previenen mediante la
supervisión (monitoreo) y
amortiguamiento de la variabilidad.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asunción y consecuencia:
La variabilidad del desempeño normal muy
raramente es suficiente para provocar un
accidente, pero la variabilidad de múltiples
funciones puede combinarse en formas
inesperadas para producir un efecto no lineal,
de esta manera la seguridad es una propiedad
emergente del sistema y no puede ser explicada
examinando simplemente a los componentes
individuales del sistema y/o tratando de
identificar una causa raíz.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asunción y consecuencia:
Los sistemas sociotécnicos complejos (por
ejemplo los hospitales) son dinámicos – el
sistema cambia y se desarrolla respondiendo a
las demandas que compiten entre sí, las
presiones de producción y los cambios en la
tecnología y en el conocimiento. La resiliencia
existe cuando los operadores en el sistema son
capaces de reconocer, absorver y adaptarse a
los distrubios/cambios que caen más allá de su
base de diseño.
Entendiendo a las seguridad en
sistemas no lineales
La ingeniería de los sistemas cognitivos (Hollnagel &
Woods, 1983) ha surgido como un marco para
modelar a los comportamientos de los sistemas
hombre-máquina en el contexto del ambiente en que
el cual se efectúa el trabajo.
La visión tradicional es que “los errores humanos”
representan una “racionalización prospectiva” (Woods
et. al., 1994), la cual está basada en el principio de la
causalidad inversa: “si hay un efecto, entonces debe
haber una causa”.
La ingeniería de los sistemas cognitivos sugiere que
no podemos entender lo que sucede cuando las
cosas van mal sin entender lo que sucede cuando las
cosas van bien (Hollnagel & Woods, 2005).
Entendiendo a las seguridad en
sistemas no lineales
Hollnagel & Woods introducen un nuevo
paradigma en la ingeniería de los sistemas
cognitivos el cual describe como los
humanos y la tecnología funcionan como un
sistema conjunto, más que como humanos
interaccionando con las máquinas.
Los esfuerzos para hacer el trabajo seguro
deben comenzar por entender la variablidad
normal del desempeño del humano y del
sistema cognitivo conjunto, más que asumir
del específico y muy especulativo
“mecanismo de error”.
Herramientas sistémicas
Se ha desarrollado dos herramientas de
accidentes sistémicos para el análisis de la
seguridad y de los accidentes basados en los
principios de la ingeniería cognitiva de los
sistemas:
◦ El Cognitive Reliability and Error Analysis
Method (CREAM) ¿Método para el Análisis
del Error y la Confiabilidad Cognitiva?;
◦ Y el Functional Resonance Accident Model
(FRAM) ¿Accidente Funcional en
Resonancia?.
Herramientas sistémicas
CREAM está basado en el modelaje de los
aspectos cognitivos del desempeño humano
para hacer una evaluación de las
consecuencias del error humano en la
seguridad de un sistema (Hollnagel, 1998).
Se han desarrollado dos versiones del
CREAM para el modelaje de los accidentes:
◦ DREAM (Driver Reliability and Error Analysis
Method) para el análisis de los accidentes de
tráfico; y
◦ BREAM para el uso en el análisis de accidentes
marítimos(Hollnagel, 2006).
Herramientas sistémicas
El FRAM es un modelo cualitativo de accidente
que describe como el funcionamiento de los
componentes del sistema puede resonar y crear
peligros que pueden ponerse fuera de control y
generar un accidente (Hollnagel, 2004).
El FRAM está basado en la premisa de la
variabilidad del desempeño, las variabilidades
internas y externas son normales,en el sentido de
que el desempeño nunca es estable en los
sistemas sociotécnicos complejos tales como los
hospitales, la aviación o grandes industrias.
Functional Resonance Accident Model
(Hollnagel, 2004)
Un modelo emergente que trata de explicar las
dinámicas de la actividad organizacional “normal”
Modelos sistémicos
Los modelos no lineales proveen a los investigadores con
las bases para buscar el por qué de las acciones de las
personas y evaluar el sentido de las mismas en el
tiempo, más que identificar cuál regla, protocolo o
proceso violó la persona (las personas frecuentemente
ajustan sus acciones al contexto y esto es parte de la
“variabilidad normal del desempeño” que ocurre como
parte del “trabajo normal” en los sistemas dinámicos
complejos).
‘El error humano no es una explicación, pero si requiere
que se explique’
Sidney Dekker, 2006
Modelos de Accidente: El reto del sesgo
retrospectivo (hindsight bias)
“El sesgo retrospectivo” siempre está presente cuando
el resultado es conocido – un observador retrospectivo
puede fácilmente confundir a la realidad retrospectiva
con la realidad actual que rodea a las personas durante
el evento.
El sesgo retrospectivo es una razón poderosa para las
explicaciones clásicas de los errores humanos y los
accidentes – tendiendo a tratar de identificar
componentes individuales del sistema que necesiten
corregirse, personas con deficiencias en las habilidades,
o errores graves.
Modelos de Accidente: El reto del sesgo
retrospectivo (hindsight bias)
El sesgo retrospectivo dificulta el juicio objetivo
del comportamiento que llevó a un resultado.
En particular, la complejidad pasada es
transformada en una cadena lineal de “malas”
decisiones, oportunidades perdidas,
evaluaciones deficientes, y percepciones
fallidas.
Entonces, las recomendaciones también se
dirigen frecuentemente a proteger al sistema de
los “humanos poco confiables” a través de
procedimientos, entrenamiento y disciplina.
Un Nuevo Modelo para la Ingeniería de la
Seguridad de los Sistemas por Nancy Leveson.
Safety Science, Vol. 42, No. 4, April 2004.
STAMP : (Systems-Theoretic Accident Model and
Processes)
Los accidentes son el resultado del inadecuado control o
la falta de exigencia de las variables relacionadas con
la seguridad en el desarrollo, diseño y operación de
los sistemas.
La seguridad puede entonces ser vista como un problema
de control, y la seguridad es gerenciada a partir de una
estructura de control insertada en el sistema
sociotécnico adaptativo.
Process Control Loop
89
Modos de Fallos en el Control
El control requerido no existe
Ocurre una acción de control incorrecta o
insegura
La acción de control ocurre muy tarde o en
el tiempo incorrecto
La acción de control se detiene muy rápido
o continúa por mucho tiempo
¿¿ Confiabilidad del Controlador??
90
Y más allá…
A medida que se entienden mejor los accidentes
aeroespaciales, de transporte o industriales, los
mismos dejan de ser considerados como simples
fallos de la tecnología solamente, y tampoco
debido al error humano, sino como resultados de
un trasfondo histórico y de un contexto
organizacional desfavorable (Vaughan, 1996; Dien
et al., 2004).
El análisis sociológico de las causas de los
accidentes está ganando espacio como una
aproximación efectiva para entender las causas
sociales y organizacinales de los accidentes (ver
por ejemplo a: Perrow, 1984;Vaughn, 1996;
Hopkins, 2000).
Y más allá…
Vaughn (1996) rechaza las explicaciones prevalecientes (dadas a
partir de las técnicas tradiconales de la ingniería) de la causa del
accidente del Challenger y presenta otra explicación sociológica
alternativa que explora una causa del fallo mucho más profunda, y
advierte de los riesgos en que están envueltos los sistemas
tecnológicos complejos modernos.
El reporte de la investigación del accidente del Columbia identifica
una “cultura de seguridad rota” como un punto focal de las causas
organizacionales del accidente (CAIB, 2003).
Vaughan demuestra similaridades entre los accidentes del Columbia
y del Challenger en que ambos accidentes ocurrieron debido a fallos
sistémicos organizacionales, y presentaban una explicación causal
que vinculaba a la cultura de producción, a la normalización de las
desviaciones y al secreto estructural de la NASA.
¿Preguntas?
Descargar