Asignatura Organización, Legislación y Administración de ... · PDF...
Transcript of Asignatura Organización, Legislación y Administración de ... · PDF...
Modelos de accidentes
Asignatura Organización, Legislación y Administración de la Seguridad y la Salud Ocupacional
Modelos de accidentes� Los modelos de accidentes enfatizan los esfuerzos
hacia la seguridad, forman la base para:(1) investigar y analizar accidentes; (2) diseñar para prevenir pérdidas futuras; y(3) determinar si los sistemas son adecuados para ser
utilizados a partir de evaluar a los riesgos asociadosa su actividad, al uso del producto, o a la operacióndel mismo.
� Mientras que los seres humanos podemos no estarconscientes de que estamos utilizando un modelocuando hacemos estas actividades, sin dudas un modelo del fenómeno siempre será parte del proceso(aunque sea de forma subconsciente)
Modelos de accidentes� Ofrecen una conceptualización de las características de los
accidentes la cual muestra típicamente la relación entre causas y efectos.
� Explica por qué ocurren los accidentes y son utilizados para la evaluación de riesgos durante el desarrollo de los sistemas y paraanálisis retrospectivos estudiando las causas de accidentes queocurren.
� Muchos de los modelos se originaron antes de la introducción de la tecnología digital en la industria.
� Aunque se actualizaron aún no toman el paso tecnológico actual.
� La tecnología moderna está teniendo un impacto significativo en la naturaleza de los accidentes y ello requiere nuevos mecanismos de explicación que permitan entenderlos, así como el desarrollo de nuevas técnicas de evaluación de riesgos que prevean suocurrencia.
(Leveson, 2003)
Modelos de accidentes� Todos los modelos asumen que hay patrones comunes en los
accidentes y que no son simplemente eventos aleatorios.
� Los modelos de accidentes imponen patrones sobre los accidentes, que influencian a los factores considerados en los análisis de la seguridad.
� Por tanto, el modelo que se use puede actuar tanto como un filtroy un prejuicio hacia el considerar solamente ciertos eventos y condiciones, o
� También puede expandir el análisis al forzar tener en cuentafactores que frecuentemente se omiten.
� El modelo influencia a cual es la causa(s) a la que se debe un accidente, a las medidas para prevenir nuevos accidentes, y a la evaluación del riesgo de operar un sistema,
� El poder y las características de un modelo influenciarán nuestrahabilidad de identificar y controlar a los peligros y por tanto, a prevenir los accidentes.
Modelos de accidentes� Uno de los primeros modelos de causas de los accidentes fue la teoría del
Dominó propuesta por Heinrich en los 1940s� Describe a un accidente como una cadema de eventos discretos los cuales
ocurren en un orden temporal específico.� Esta teoría pertenece a la clase de los modelos de accidentes basados en
eventos, el cual es la base de muchas técnicas como el Análisis de Modos y Efectos de los Fallos (Failure Modes and Effects Analysis (FMEA)), el Análisis de Árboles de Fallos (Fault Tree Analysis (FTA)), Análisis de Eventos de Fallos (Event Tree Analysis), y el Análisis Causa-Consecuencias (Cause-Consequence Analysis)
� Estos modelos trabajan bien cuando las pérdidas son causadas por fallos de los componentes físicos o errores humanos en sistemas relativamentesimples.
� Usualmente en estos modelos, cuando los factores causales en un accidente no están vinculados a fallos de componentes técnicos, los mismos son clasificados como errores humanos sin mucha explicación.
� Estos modelos son limitados en su capacidad para explicar las causas de los accidentes en sistemas complejos, del tipo que se están desarrollandodesde la segunda mitad del siglo XX.
Modelos de accidentes� En los 1980s, una nueva clase de modelos de accidentes
denominados “epidemiológicos” aparecieron para tratar de explicar a los accidentes en sistemas más complejos.
� Los modelos epidemiológicos plantean que los eventos queoriginan a un accidentes aparecen de forma análoga a comose disemina una enfermedad
� Esto es como el resultado de una combinación de factores, algunos manifiestos y algunos latentes, que coinciden de forma conjunta en espacio y tiempo.
� El Modelo del Queso Suizo de Reason es el ejemplo máscitado de este tipo de modelo
� Este modelo ha influenciado mucho el entender mejor a los accidentes por destacar la relación entre las causas latentes y las inmediatas.
Modelos de accidentes� Los modelos secuenciales y epidemiológicos son inadecuados para
capturar las interacciones dinámicas y no lineales entre los componentes de los sistemas socio-técnicos complejos.
� Nuevos modelos de accidentes, basados en la teoría de sistemas, tratan de describir las características del desempeño del sistemacomo un todo, más que al nivel del mecanismo causa específica-efecto, o aún de los factores epidemiológicos.
� Los modelos sistémicos de la seguridad tienen sus raíces en la teoría de sistemas y en la cibernética.
� La teoría de sistemas incluye a los principios, modelos y leyesnecesarias para entender las complejas relaciones e interdependencias entre los componentes de un sistema complejo(técnicos, humanos, organizacionales y de gestión).
� Los modelos basados en la teoría de sistemas describen a los accidentes como un fenómeno emergente que aparece a partir de las interacciones entre componentes del sistema, donde dichasinteracciones pueden ser no lineales y contener múltiples lazos de retroalimentación.
Modelos de accidentes(Hollnagel)
� Modelos secuenciales◦ Accidente = Secuencia de eventos ordenados, tales como fallos o
malfuncionamiento de humanos o máquinas
◦ E.j. árboles de fallo, árboles de eventos
� Modelos epidemiológicos◦ Accidente = Como se disemina una enfermedad: combinación de
fallos y condiciones latentes / ambientales, las cuales provocan la degradación de las barreras y defensas
◦ E.j. Modelo del Queso Suizo
� Modelos sistémicos◦ Accidente = Emerge a partir de la variabilidad en el desempeño de
un sistema cognitivo conjunto, como resultado de interaccionescomplejas y de una inesperada combinación de acciones.
◦ E.j. FRAM, STAMP, TOPAZ
Modelos basados en una secuencia de eventos
� LESIÓN - causada por los accidentes.� ACCIDENTES - causados por un acto inseguro de la persona lesionada o una condición insegura en el puesto de trabajo.
� ACCIONES/CONDICIONES INSEGURAS - causadas porpersonas descuidadas o por malos diseños o mantenmientos deficientes respecto al equipamiento.
� FALLOS DE PERSONAS - creados por el ambientesocial o adquiridos de sus antepasados.
� AMBIENTE SOCIAL/ANTEPASADOS – dónde y cómo unapersona fue criada y educada.
1932 – Primer Acercamiento Científico a lasCausas de los Accidentes y su Prevención
H.W. Heinrich
“Modelo de Causas de Accidentes Industriales”
Teoría del Dominó
Ambiente Social y Antepasados
Fallo de la persona
(Descuido)
Acción o CondiciónInsegura
Accidente Lesión
ERRORES DE PERSONAS
DOMINÓ DE HEINRICH
La observación de que una sucesión de causas que se precipitan unas a otras da lugar a los accidentes, dio origen a los modelos secuenciales concatenados. El modelo más relevante es el de las fichas de dominó (Heinrich, 1931), el cual señala que una falla en algún elemento del Sistema de Prevención desencadena en la caída del sistema o una pérdida: Accidente o Incidente.
AXIOMAS DE HEINRICH
1. Los accidentes tienen causas técnicas y/o humanas
2. Los actos inseguros causan la mayor parte de los accidentes
3. Por cada accidente con baja se producen 30 sin baja y 300 accidentes
4. La gravedad del accidente es aleatoria, pero su producción es previsible
5. Las causas de los actos inseguros son: actitud inadecuada, falta de formación, incapacidad física, entorno inadecuado
AXIOMAS DE HEINRICH
6. Las medidas preventivas básicas son: formación, control y modificaciones técnicas
7. La dirección debe asumir la responsabilidad de la prevención
8. El encargado es el hombre clave de la prevención
9. La prevención es económicamente rentable, porque mejora la productividad y ahorra el elevado coste de los accidentes.
TAREA EXTRACLASE (próxima semana)•
Hacer un análisis de la validez de los axiomas de Heinrich a la luz de las condiciones actuales.
• Concluir para cada axioma:
• ES VÁLIDO
• NO ES VÁLIDO
• Y argumentar el por qué de su respuesta
• Si no concluye en alguno, pierde puntos
• Consultar los artículos digitales dejados para completar.
FACTOR ACTITUDINAL
Heinrich pregunta ¿por qué cometemos actos inseguros?
� Por ahorrar tiempo. La urgencia del trabajo y una laxa cultura de seguridad, relajan el cumplimiento de los procedimientos.
� Por ahorrar esfuerzo. El trabajador omite pasos del procedimiento por hacer su trabajo más fácil.
� Por presiones del grupo. Un individuo sigue los procedimientos establecidos, pero su grupo de trabajo o su supervisor no lo hace. Progresivamente va acoplándose al nivel de cultura de seguridad de su grupo.
Si nos capacitamos nos estamos dirigiendo a la parte de conocimientos y habilidad, estamos trabajando sobre la parte
cognoscitiva y psicomotora, sobre la parte racional.Pero la parte actitudinal, también juega uno de los papeles con
más peso para la ocurrencia de los accidentes.
Siguiendo a la Teoría de Heinrich
La secuencia de la Acción Correctiva(Las tres“E”s – en Inglés)
� Ingeniería (Engineering)
� Educación (Education)
� Disciplina (Enforcement)
PRINCIPIO DE LAS CAUSAS MULTIPLES
Los problemas en
general
y los accidentes en
particular
casi nunca
son el resultado de
una sola causa.
COSTOS
Modelos de causalidad NOSA
Simple y bonito, pero poco realista la mayoría de las veces
Una ampliación del modelo de Heinrich fue el modelo propuesto por Bird
EL MODELO DE CAUSALIDAD O DE CONTROL DE PÉRDIDAS DE FRANK E. BIRD JR
FACTORES DE TRABAJO
� Procedimientos Seguros de Trabajo incorrectos
� Ausencia de Análisis Seguro de Trabajo
� Mala Operación de máquinas o Equipos
� Herramientas en mal estado o mal utilizadas
� Ausencia de Mantenimiento de Equipos y
Máquinas
Factores Personales
� Capacidad física o mental inapropiada para el cargo
� Deficiencia en la Habilidad para la tarea
� Motivación deteriorada en el trabajo
� Frustración profesional
� Incapacidad para trabajo bajo presión
� Estrés
� Falta de conocimientos para el cargo
ACTOS YCONDICIONES
SUBESTANDARES
CAUSASINMEDIATAS
CAUSAS INMEDIATAS
CAUSASINMEDIATAS
FALTA DE CONTROL
PROGRAMASINADECUADOS
ESTANDARESINADECUADOSDEL PROGRAMA
CUMPLIMIENTOINADECUADO DE
LOS ESTANDARES
FACTORES PERSONALES
FACTORESDEL TRABAJO
ACCIDENTE PERDIDAS
ACTOS YCONDICIONES
SUB-ESTANDARES
CONTACTOCON ENERGIAO SUBSTANCIA
PERSONASPROPIEDADPROCESO
CAUSASBASICAS
ACTOS SUBESTANDARES
• Operar sin autorización• No seguir procedimientos• No respetar señalización• Levantamiento incorrecto• No usar E.P.P. • Falla en asegurar• Bromas y juegos• Otros
CONDICIONES SUBESTANDARES
• E.P.P. inadecuado• Equipos defectuosos• Herramientas en mal estado• Congestión• Falta de orden y/o limpieza• Ventilación inadecuada• Iluminación insuficiente• Otras
PRINCIPIO DE LA DEFINICION
Una decisión lógica y
acertada
sólo puede tomarse
si primero se define el
problema real o básico.
¡ No nos dejemos confundir por los síntomas !
FACTORESPERSONALES
FACTORES DEL TRABAJO
CAUSASBASICAS
CAUSAS BASICAS
CAUSASINMEDIATAS
FALTA DE CONTROL
PROGRAMASINADECUADOS
ESTANDARESINADECUADOSDEL PROGRAMA
CUMPLIMIENTOINADECUADO DE
LOS ESTANDARES
FACTORES PERSONALES
FACTORESDEL TRABAJO
ACCIDENTE PERDIDAS
ACTOS YCONDICIONES
SUB-ESTANDARES
CONTACTOCON ENERGIAO SUBSTANCIA
PERSONASPROPIEDADPROCESO
CAUSASBASICAS
FACTORES PERSONALES
• Falta de conocimiento• Falta de capacidad • Falta de habilidad• Estrés físico y mental• Motivación Incorrecta
FACTORES DEL TRABAJO
• Liderazgo inadecuado• Ingeniería inadecuada• Compras inadecuadas• Mantención inadecuada• Estándares inadecuados• Uso y desgaste normal• Abuso y mal uso
Fallas en :
Programas o Sistemas
Estándares
Cumplimiento
FALTA DECONTROL
FALTA DE CONTROL
CAUSASINMEDIATAS
FALTA DE CONTROL
PROGRAMASINADECUADOS
ESTANDARESINADECUADOSDEL PROGRAMA
CUMPLIMIENTOINADECUADO DE
LOS ESTANDARES
FACTORES PERSONALES
FACTORESDEL TRABAJO
ACCIDENTE PERDIDAS
ACTOS YCONDICIONES
SUB-ESTANDARES
CONTACTOCON ENERGIAO SUBSTANCIA
PERSONASPROPIEDADPROCESO
CAUSASBASICAS
CAUSAS DE FALTA DE CONTROL
• Programas o Sistemas inadecuados/inexistentes• Estándares inadecuados/inexistentes• Incumplimiento de los estándares
Modelos de eventos encadenados en una secuencia en el tiempo
Ejemplo de este modelo
Modelos secuenciales lineales� En los modelos basados en eventos, los mismos
tienen una relación lineal y directa.� Estos modelos solo describen causas lineales y es
difícil incorporarles relaciones no lineales.� El primer evento de la cadena es considerado
usualmente como el “evento iniciador”, � No obstante, la selección del evento iniciador es
arbitraria y puede que eventos previos al mismohayan hecho su aporte a la cadena.
(Leveson, 2001).
� Paralela a la visión de Heinrich.
� La lesión es llamada RESULTADO, indicando quepodría dañar así como lesiones y que el resultadopodría variar desde no daño a muy severo.
� La palabra PERCANCE se usa en vez de Accidentepara evitar la incomprensión popular de que un accidente necesariamente conlleva a una lesión o a un daño.
� Finalmente, se usa el término ERROR OPERATIVOen vez de Acción/Condición Insegura.
La causalidad vista en forma más moderna
ERROR OPERATIVO
RESULTADO:
-No hay dañoni lesión
-Muchas muertes-Grandes daños
PERCANCE (POSIBLE)
La causalidad vista en forma más moderna
Errores Operativos:
� Estar en una posición insegura
� Apilar materiales en pilas inestables
� Mala limpieza y organización
� Remover un resguardo mecánico
Ejemplos
AC35
� Revolucionó la prevención de accidentes
� Una debilidad en el diseño o en la operación de un sistemao un programa
Los Errores Operativos ocurren porque las personas cometen errores, pero más importante, ocurren debido a Defectos en el Sistema
DEFECTOS DEL SISTEMA
AC36
ERROR OPERATIVO
RESULTADO:
-No hay dañoni lesión
-Muchas muertes-Grandes daños
PERCANCE (POSIBLE)
DEFECTOS DEL SISTEMA
La causalidad vista en forma más moderna
Ejemplos
Los Defectos del Sistema incluyen:
� Mala asignación de la responsabilidad
� Clima de motivación inadecuado
� Entrenamiento y educación insuficientes
� Equipos y suministros insuficientes
� Procedimientos inadecuados para la selección y asignación del personal
� Mala distribución de los recursos
ERROR EN LA GERENCIA / ÓRDENES
Los defectos del Sistema ocurren debido a Errores en la Gerencia/Órdenes
Las Decisiones que toman los Gerentes/Jefessobre la forma en que el sistema es diseñado o es operado, resultan en defectos del sistema.
La causalidad vista en forma másmoderna
ERROR OPERATIVO
RESULTADO:
-No hay dañoni lesión
-Muchas muertes-Grandes daños
PERCANCE (POSIBLE)
DEFECTOS DEL SISTEMA
ERRORES DEGERENCIA/
ORDEN
AC40
Ejemplo
Para una tarea en un Tanque de Solvente:
A los soldadores no se les facilitan EPPs para la tarea
(guantes, caretas, delantales, etc.)
AC41
La causalidad vista en forma más moderna
DEFECTO DELPROGRAMA
DE SEGURIDAD
ERRORES DEGERENCIA/
ORDEN
DEFECTOS DEL SISTEMA
ERROR OPERATIVO
PERCANCE
RESULTADOS
AC42
Un defecto en algún aspecto del programa de seguridad que permite queexista un error evitable.
� Registro inefectivo de información
� Análisis de Causas débiles
� Contramedidas insuficientes
� Implementación inadecuada de procedimientos
� Control inadecuado
Defecto del Programa de Seguridad
AC43
Una debilidad en el conocimiento o en la motivación del Gerente de la
Seguridad u otros Gerentes que permiteque exista un defecto prevenible en el
Programa de Seguridad.
ERROR DE GERENCIA DE SEGURIDAD
Ejemplo:
Llantas desgastadas y rajadas en los bordesutilizadas en vehículos:
El Gerente de Seguridad y otrosGerentes conocen los peligros, pero no exigen el cumplimiento
de los estándares.
AC45
La causalidad vista en forma más moderna
ERROR DE GERENCIA DE SEGURIDAD
DEFECTO DELPROGRAMA
DE SEGURIDAD
DEFECTOS DEL SISTEMA
ERROR OPERATIVO
PERCANCE
RESULTADOS
ERRORES DEGERENCIA/
ORDEN
AC46
Hay siete avenidas a través de las cualespodemos iniciar contramedidas. Ellas son:
� Error de Gerencia de la Seguridad
� Defecto del Programa de Seguridad
� Error en la Gerencia / Órdenes
� Defecto del Sistema
� Error Operativo
� Percance
� Resultado
Siete Avenidas
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
AC47
ERROR DE GERENCIA DE SEGURIDAD
ENTRENAMIENTOEDUCACIÓNMOTIVACIÓNDISEÑO DE TAREAS
1
2 3 4 5 6 7
AC48
DEFECTO DELPROGRAMA
DE SEGURIDAD
REVISAR EL RESGISTRO DE LA INFORMACIÓNANÁLISISIMPLEMENTACIÓN
2
3 4 5 6 71
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
AC49
ENTRENAMIENTOEDUCACIÓNMOTIVACIÓNDISEÑO DE TAREAS
3
4 5 6 71 2ERRORES DEGERENCIA/
ORDEN
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
AC50
DEFECTOS DEL SISTEMA
REVISIÓN DEL DISEÑO VIA: - PNOs- REGULACIONES- POLÍTICAS ESCRITAS- DECLARACIONES
4
5 6 71 2 3
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
AC51
ERROR OPERATIVO
INGENIERÍAENTRENAMIENTOMOTIVACIÓN
5
6 71 2 3 4
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
AC52
PERCANCE
EQUIPAMIENTO DE PROTECCIÓNBARRERASSEPARACIÓN
6
71 2 3 4 5
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
AC53
RESULTADOS
CONTENCIÓNLUCHA CONTRA INCENDIORESCATEEVACUACIÓNPRIMERAS AYUDAS
7
1 2 3 4 5 6
Siete AvenidasLas contramedidas potenciales para cada causa
incluyen a:
Modelo del Sistema
ERROR DE GERENCIA DE SEGURIDAD
DEFECTO DELPROGRAMA
DE SEGURIDAD
RESULTADOS
PERCANCE
ERROR OPERATIVO
DEFECTOS DEL SISTEMA
ERRORES DEGERENCIA/
ORDEN
Modelo del Sistema
• Tareas• Entrenamiento• Ambiente• Materiales• Persona
Modelos Epidemiológicos
Modelo organizacional del Reason
� Reason (1990; 1997) desarrolló un modelo organizacional paraexplicar a los accidentes en los sistemas complejostecnológicamente.
� Planteó que los accidentes organizacionales no ocurren debido a un error humano simple; más bien surgen de la inter-conexión de varios factores de causas que se originan en varios niveles en unaorganización.
� Reason hace énfasis en el concepto de seguridad organizacional y como las defensas (barreras de protección de tipo material, humano y de procedimientos) pueden fallar.
� En este enfoque la causa inmediata o próxima es el fallo de unapersona en la “línea de fuego”, quien está directamente relacionadacon la regulación del proceso o en la interacción con la tecnología.
Modelo organizacional del Reason
� Reason (1997) define a los accidentes organizacionales como situaciones en las cuales: ◦ las condiciones latentes (que surgen a partir de
aspectos como las prácticas de decisión de la gerencia, o de influencias culturales),◦ se combinan de forma adversa con eventos
específicos que “disparan a otros” (tales como el clima, la localización, etc.), ◦ y con fallos activos (errores y/o violaciones de
procedimientos) cometidos por individuos o equiposde trabajo en la “línea de fuego” de una organización,
� para producir al accidente.
Modelo del Queso Suizo de Reason: Capas
de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)
Modelo del Queso Suizo de Reason: Capas
de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)
No siempre habrán accidentes, las capas o barreras de protección pueden funcionar
Modelo organizacional del Reason� Las defensas, barreras y salvaguardias ocupan una posición
clave en el enfoque de Reason hacia la seguridad en sistemascomplejos.
� Los sistemas con altas tecnologías tienen muchas capas de defensas: ◦ algunas son de ingeniería (alarmas, barreras físicas, detenciones
automáticas, etc),
◦ otras descansan en los comportamientos de los humanos (cirujanos, anestesistas, pilotos, operadores de salas de control, etc),
◦ y otras dependen de procedimientos y controles administrativos.
� El modelo de Reason está basado en la filosofía de lasdefensas a profundidad, tomadas de los militares y de lasplantas de energía nuclear, esto es, un sistema de defensa quetiene muchas capas o barreras, cada una diseñada para darlesoporte a la otra, en orden de reducir la probabilidad de un accidente o un desastre.
Modelo organizacional del Reason� En un mundo ideal todas las capas defensivas deberían estar
intactas no permitiendo que suceda ninguna penetración.� Por supuesto, en el mundo real las defensas pueden
deteriorarse con el tiempo; las modificaciones o los rediseños pueden debilitar o eliminar a las defensas, lasdefensas pueden ser removidas durante la calibración, el mantenimiento y las pruebas, o como resultado de errores y violaciones (Reason, 1997).
� Por ejemplo los operadores del cuarto de control del reactor nuclear de Chernobyl removieron capas de defensasucesivamente con el objetivo de completar su tarea de probar un nuevo generador de voltaje.
� En realidad, no obstante, las defensas son como porciones de queso suizo que tienen muchos huecos;
Modelo organizacional del Reason� Pero a diferencia de en el queso, los huecos están
continuamente abriéndose, cerrándose y cambiando de posición.
� La presencia de huecos en una porción normalmente no tiene por qué causar un mal resultado.
� Usualmente, éste solo puede suceder cuando los huecos en muchas porciones momentáneamente se alinean parapermitir una oportunidad de una trayectoria para un accidente, convirtiendo a los peligros en un daño al ponerlosen contacto con las víctimas.
� Los huecos en las defensas surgen por dos razones: fallosactivos y condiciones latentes.
� Casi todos los eventos adversos tienen una combinación de esteos dos conjuntos de factores
Modelo organizacional del Reason� Los Fallos Activos son los actos inseguros cometidos por las personas que
están en contacto directo con la operación del sistema.
� Pueden tomar una variedad de formas: resbalones, lapsus, torpezas, errores, y violaciones de procedimientos(Reason, 1990).
� Los fallos activos tienen un impacto directo y normalmente cortosobre la integridad de las defensas.
� Por ejemplo en Chernobyl, los operadores violaron los procedimientos de la planta y apagaron sucesivamente a sistemasde seguridad, creando de esta forma el “disparador inmediato” parala explosición catastrófica en el núcleo del reactor.
� Los seguidores del enfoque humano, frecuentemente no buscan lascausas de un evento adverso una vez que han identificado la existencia de una acción insegura.
� Pero en realidad, virtualmente todas estas acciones tienen unahistoria causal que se extiende atrás en el tiempo y a través de los niveles del sistema.
Modelo organizacional del Reason� Las condiciones latentes son los “patógenos residentes” inevitables dentro
del sistema (Reason, 1997). � Ellas son el resultado de las decisiones que tomaron los
diseñadores, constructores, escritores de procedimientos y gerentes.
� Estas decisiones pueden ser erróneas (pero no lo son necesariamente).
� Y estas decisiones estratégicas tienen el potencial de introducirpatógenos en el sistema.
� Las condiciones latentes tienen dos tipos de efectos adversos: ◦ pueden traducirse en un error provocando condiciones negativas en el
puesto de trabajo local (por ejemplo presiones de tiempo, falta de personal, equipamiento inadecuado, fatiga e inexperiencia), y
◦ también pueden crear grandes huecos durables o debilidades en lasdefensas (alarmas e indicadores no confiables, procedimientos que no sirven, deficiencias en el diseño y la construcción, etc.)
Modelo organizacional del Reason
� Las condiciones latentes, como sugiere el término, pueden permanecer “dormidas” dentro del sistema por muchos años antes de que se combinen con los fallos activos y eventos“disparadores” o “iniciadores” locales para crearuna oportunidad de accidente.
� A diferencia de los fallos activos, cuyas formasespecíficas son difíciles de prevenir, lascondiciones latentes pueden ser identificadas y remediadas antes de que ocurran los eventosadversos.
� Entender esto tiene el potencial de lograr unagerencia más proactiva que reactiva.
El modelo de ReasonAccidente = fallo de la organización
Reason Model
El modelo de ReasonAccidente = fallo de la organización
Para el funcionamiento del modelo son muy importantes los canales de información interna de la empresa y que
estos cumplan con su misión:Bucle de información interna; gestión proactiva (antes de
que ocurra el accidente):Sistema de gestión de seguridad interno.
Valoraciones de riesgos y peligros.Informes personales.
Auditorias.
Bucles de información externa; gestión reactiva (el accidente ya ha ocurrido).
Investigación de accidentes e incidentes .
El modelo de ReasonAccidente = fallo de la organización
Modelo de Reason:
Estructura
Metodología
Guía
•Sistemas de gestión de seguridad•Investigación de accidentes e incidentes•Análisis de gestión y construcción de bases de datos•Programas de prevención de accidentes•Auditorias de seguridad
Modelo tradicional: Se concentra en las causas superficiales y no profundiza (error del piloto, error de mantenimiento,...)Se ha demostrado que si las causas profundas permanecen, estas causarán accidentes en diferentes situaciones o escenarios hasta ser corregidas.
El modelo de ReasonAccidente = fallo de la organización
Los errores y las violaciones son como los mosquitos, puedes intentar matarlos uno a uno, pero siempre aparecerán más.La única solución es eliminar las charcas en las que se crían:
•Mal diseño•Defensas inadecuadas•Malos procedimientos•Mal entrenamiento•Objetivos conflictivos
Y más allá….� Sin embargo, los modelos epidemiológicos aún siguen
los principios de los modelos secuenciales (Hollnagel, 2004) dado que ellos muestran la dirección de la causalidad en un modelo lineal.
� La teoría que soporta al modelo del Queso Suizo no define con suficientes detalles qué son los fallos o los huecos en el queso.
� El modelo de Reason muestra una vista estática de la organización, mientras que los defectos son generalmente transientes, esto es por ejemplo quelos huecos en el queso se están moviendocontinuamente.
� En realidad, el sistema sociotécnico es más dinámicoque lo que el modelo sugiere.
Ideas centrales� Los sistemas pueden ser descompuestos en capas. Cada capa
representa a un sub-sistema, un estado o un actor que tiene un impacto en el funcionamiento del sistema completo.
� Los fallos esperan por la aparición de las condiciones. Algunascondiciones inestables pueden estar presentes en un sistema dado sin tener ningún efecto inmediato.
� Un fallo, desde este punto de vista, es una combinaciónimprobable de un número de factores contribuyentes.
� Los eventos se propagan. Los accidentes no son causados por la ocurrencia de circunstancias desfavorables repentinas.
� En vez de esto, ellos son generados por fallos tempranos en los diseños que, bajo ciertas condiciones, disparan al eventoindeseado.
� Los eventos escalan. Una combinación de fallos locales generan el fallo del sistema completo.
Y más allá….
Los modelos lineales ofrecen la base para que los
investigadores fácilmente tomen la posición de observadores
retrospectivos, buscando hacia detrás la secuencia de
eventos que parece llevar hacia un resultado inevitable, y
señalando donde las personas actuaron mal, o donde
fallaron los componentes individuales del sistema.
A pesar de que esta perspectiva es adecuada en sistemas
lineales, dicha tendencia limita seriamente lo que puede
aprender sobre los fallos un investigador en sistemas no
lineales (por ejemplo la combinación compleja e inesperada
de interacciones del sistema) y puede no ayudar a prevenir la
recurrencia.
Modelos sistémicos de accidentes
Modelos sistémicos� Las nuevas tendencias en el modelado de los
accidentes adoptan una visión sistémica, la cualconsidera al desempeño del sistema como un todo.
� En los modelos sistémicos, un accidente ocurrecuando varios factores causales (humanos, técnicos y ambientales) coexisten en un tiempo y espacioespecífico (Hollnagel, 2004).
� Los modelos sistémicos muestran a los accidentescomo un fenómeno emergente, el cual surge debido a las complejas interacciones entre los componentesdel sistema que pueden llevar a la degradación del desempeño del sistema, o resultar incluso en un accidente.
Modelos sistémicos� Una diferencia apreciable entre los modelos de
accidentes sistémicos y los secuenciales/epidemiológicoses que los primeros describen al proceso del accidentecomo una red de eventos interconectados y compleja, mientras los segundos los describen como una simple cadena de eventos.
� Hay dos modelos sistémicos notables,
◦ el Marco Sociotécnico Jerarquizado de Rasmussen (1997)
◦ y el modelo STAMP de Leveson (2004) (Systems-Theoretic Accident Model and Processes o Proceso y ModeloTeórico-Sistémico del Accidente), el cual trata de modelar las dinámicas de los sistemassociotécnicos complejos.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asunción y consecuencia:
� Los accidentes resultan de unacombinación inesperada (resonancia) de la variabilidad normal del desempeño –los peligros surgen de la variabilidadesperada (y necesaria) dentro del sistemay los accidentes se previenen mediante la supervisión (monitoreo) y amortiguamiento de la variabilidad.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asunción y consecuencia:
� La variabilidad del desempeño normal muyraramente es suficiente para provocar un accidente, pero la variabilidad de múltiplesfunciones puede combinarse en formasinesperadas para producir un efecto no lineal, de esta manera la seguridad es una propiedademergente del sistema y no puede ser explicadaexaminando simplemente a los componentesindividuales del sistema y/o tratando de identificar una causa raíz.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asunción y consecuencia:
� Los sistemas sociotécnicos complejos (porejemplo los hospitales) son dinámicos – el sistema cambia y se desarrolla respondiendo a las demandas que compiten entre sí, laspresiones de producción y los cambios en la tecnología y en el conocimiento. La resiliencia existe cuando los operadores en el sistema son capaces de reconocer, absorver y adaptarse a los distrubios/cambios que caen más allá de subase de diseño.
Entendiendo a las seguridad en
sistemas no lineales
� La ingeniería de los sistemas cognitivos (Hollnagel & Woods, 1983) ha surgido como un marco paramodelar a los comportamientos de los sistemashombre-máquina en el contexto del ambiente en queel cual se efectúa el trabajo.
� La visión tradicional es que “los errores humanos” representan una “racionalización prospectiva” (Woods et. al., 1994), la cual está basada en el principio de la causalidad inversa: “si hay un efecto, entonces debehaber una causa”.
� La ingeniería de los sistemas cognitivos sugiere queno podemos entender lo que sucede cuando lascosas van mal sin entender lo que sucede cuando lascosas van bien (Hollnagel & Woods, 2005).
Entendiendo a las seguridad en
sistemas no lineales
� Hollnagel & Woods introducen un nuevoparadigma en la ingeniería de los sistemascognitivos el cual describe como los humanos y la tecnología funcionan como un sistema conjunto, más que como humanosinteraccionando con las máquinas.
� Los esfuerzos para hacer el trabajo segurodeben comenzar por entender la variablidadnormal del desempeño del humano y del sistema cognitivo conjunto, más que asumirdel específico y muy especulativo“mecanismo de error”.
Herramientas sistémicas
� Se ha desarrollado dos herramientas de accidentes sistémicos para el análisis de la seguridad y de los accidentes basados en los principios de la ingeniería cognitiva de los sistemas:◦ El Cognitive Reliability and Error Analysis Method (CREAM) ¿Método para el Análisisdel Error y la Confiabilidad Cognitiva?; ◦ Y el Functional Resonance Accident Model (FRAM) ¿Accidente Funcional en Resonancia?.
Herramientas sistémicas� CREAM está basado en el modelaje de los
aspectos cognitivos del desempeño humanopara hacer una evaluación de lasconsecuencias del error humano en la seguridad de un sistema (Hollnagel, 1998).
� Se han desarrollado dos versiones del CREAM para el modelaje de los accidentes: ◦ DREAM (Driver Reliability and Error Analysis
Method) para el análisis de los accidentes de tráfico; y◦ BREAM para el uso en el análisis de accidentes
marítimos(Hollnagel, 2006).
Herramientas sistémicas� El FRAM es un modelo cualitativo de accidente
que describe como el funcionamiento de los componentes del sistema puede resonar y crearpeligros que pueden ponerse fuera de control y generar un accidente (Hollnagel, 2004).
� El FRAM está basado en la premisa de la variabilidad del desempeño, las variabilidadesinternas y externas son normales,en el sentido de que el desempeño nunca es estable en los sistemas sociotécnicos complejos tales como los hospitales, la aviación o grandes industrias.
Functional Resonance Accident Model (Hollnagel, 2004)
Un modelo emergente que trata de explicar lasdinámicas de la actividad organizacional “normal”
Modelos sistémicos
Los modelos no lineales proveen a los investigadores con las bases para buscar el por qué de las acciones de laspersonas y evaluar el sentido de las mismas en el tiempo, más que identificar cuál regla, protocolo o proceso violó la persona (las personas frecuentementeajustan sus acciones al contexto y esto es parte de la “variabilidad normal del desempeño” que ocurre comoparte del “trabajo normal” en los sistemas dinámicoscomplejos).
‘El error humano no es una explicación, pero si requiereque se explique’
Sidney Dekker, 2006
Modelos de Accidente: El reto del sesgo
retrospectivo (hindsight bias)
� “El sesgo retrospectivo” siempre está presente cuandoel resultado es conocido – un observador retrospectivopuede fácilmente confundir a la realidad retrospectivacon la realidad actual que rodea a las personas duranteel evento.
� El sesgo retrospectivo es una razón poderosa para lasexplicaciones clásicas de los errores humanos y los accidentes – tendiendo a tratar de identificarcomponentes individuales del sistema que necesitencorregirse, personas con deficiencias en las habilidades, o errores graves.
Modelos de Accidente: El reto del sesgo
retrospectivo (hindsight bias)
� El sesgo retrospectivo dificulta el juicio objetivodel comportamiento que llevó a un resultado. En particular, la complejidad pasada estransformada en una cadena lineal de “malas” decisiones, oportunidades perdidas, evaluaciones deficientes, y percepcionesfallidas.
� Entonces, las recomendaciones también se dirigen frecuentemente a proteger al sistema de los “humanos poco confiables” a través de procedimientos, entrenamiento y disciplina.
Un Nuevo Modelo para la Ingeniería de la Seguridad de los Sistemas por Nancy Leveson. Safety Science, Vol. 42, No. 4, April 2004.
STAMP : (Systems-Theoretic Accident Model and Processes)
Los accidentes son el resultado del inadecuado control o la falta de exigencia de las variables relacionadas con la seguridad en el desarrollo, diseño y operación de los sistemas.
La seguridad puede entonces ser vista como un problemade control, y la seguridad es gerenciada a partir de unaestructura de control insertada en el sistemasociotécnico adaptativo.
89
Process Control Loop
Modos de Fallos en el Control
� El control requerido no existe� Ocurre una acción de control incorrecta o
insegura� La acción de control ocurre muy tarde o en
el tiempo incorrecto� La acción de control se detiene muy rápido
o continúa por mucho tiempo¿¿ Confiabilidad del Controlador??
90
Y más allá…� A medida que se entienden mejor los accidentes
aeroespaciales, de transporte o industriales, los mismos dejan de ser considerados como simples fallos de la tecnología solamente, y tampocodebido al error humano, sino como resultados de un trasfondo histórico y de un contextoorganizacional desfavorable (Vaughan, 1996; Dienet al., 2004).
� El análisis sociológico de las causas de los accidentes está ganando espacio como unaaproximación efectiva para entender las causassociales y organizacinales de los accidentes (verpor ejemplo a: Perrow, 1984; Vaughn, 1996; Hopkins, 2000).
Y más allá…� Vaughn (1996) rechaza las explicaciones prevalecientes (dadas a
partir de las técnicas tradiconales de la ingniería) de la causa del accidente del Challenger y presenta otra explicación sociológicaalternativa que explora una causa del fallo mucho más profunda, y advierte de los riesgos en que están envueltos los sistemastecnológicos complejos modernos.
� El reporte de la investigación del accidente del Columbia identificauna “cultura de seguridad rota” como un punto focal de las causasorganizacionales del accidente (CAIB, 2003).
� Vaughan demuestra similaridades entre los accidentes del Columbia y del Challenger en que ambos accidentes ocurrieron debido a fallossistémicos organizacionales, y presentaban una explicación causal que vinculaba a la cultura de producción, a la normalización de lasdesviaciones y al secreto estructural de la NASA.
¿Preguntas?