Asignatura Organización, Legislación y Administración de...

Modelos de accidentes

Asignatura Organización, Legislación y Administración de la Seguridad y la Salud Ocupacional

Modelos de accidentes� Los modelos de accidentes enfatizan los esfuerzos

hacia la seguridad, forman la base para:(1) investigar y analizar accidentes; (2) diseñar para prevenir pérdidas futuras; y(3) determinar si los sistemas son adecuados para ser

utilizados a partir de evaluar a los riesgos asociadosa su actividad, al uso del producto, o a la operacióndel mismo.

� Mientras que los seres humanos podemos no estarconscientes de que estamos utilizando un modelocuando hacemos estas actividades, sin dudas un modelo del fenómeno siempre será parte del proceso(aunque sea de forma subconsciente)

Modelos de accidentes� Ofrecen una conceptualización de las características de los

accidentes la cual muestra típicamente la relación entre causas y efectos.

� Explica por qué ocurren los accidentes y son utilizados para la evaluación de riesgos durante el desarrollo de los sistemas y paraanálisis retrospectivos estudiando las causas de accidentes queocurren.

� Muchos de los modelos se originaron antes de la introducción de la tecnología digital en la industria.

� Aunque se actualizaron aún no toman el paso tecnológico actual.

� La tecnología moderna está teniendo un impacto significativo en la naturaleza de los accidentes y ello requiere nuevos mecanismos de explicación que permitan entenderlos, así como el desarrollo de nuevas técnicas de evaluación de riesgos que prevean suocurrencia.

(Leveson, 2003)

Modelos de accidentes� Todos los modelos asumen que hay patrones comunes en los

accidentes y que no son simplemente eventos aleatorios.

� Los modelos de accidentes imponen patrones sobre los accidentes, que influencian a los factores considerados en los análisis de la seguridad.

� Por tanto, el modelo que se use puede actuar tanto como un filtroy un prejuicio hacia el considerar solamente ciertos eventos y condiciones, o

� También puede expandir el análisis al forzar tener en cuentafactores que frecuentemente se omiten.

� El modelo influencia a cual es la causa(s) a la que se debe un accidente, a las medidas para prevenir nuevos accidentes, y a la evaluación del riesgo de operar un sistema,

� El poder y las características de un modelo influenciarán nuestrahabilidad de identificar y controlar a los peligros y por tanto, a prevenir los accidentes.

Modelos de accidentes� Uno de los primeros modelos de causas de los accidentes fue la teoría del

Dominó propuesta por Heinrich en los 1940s� Describe a un accidente como una cadema de eventos discretos los cuales

ocurren en un orden temporal específico.� Esta teoría pertenece a la clase de los modelos de accidentes basados en

eventos, el cual es la base de muchas técnicas como el Análisis de Modos y Efectos de los Fallos (Failure Modes and Effects Analysis (FMEA)), el Análisis de Árboles de Fallos (Fault Tree Analysis (FTA)), Análisis de Eventos de Fallos (Event Tree Analysis), y el Análisis Causa-Consecuencias (Cause-Consequence Analysis)

� Estos modelos trabajan bien cuando las pérdidas son causadas por fallos de los componentes físicos o errores humanos en sistemas relativamentesimples.

� Usualmente en estos modelos, cuando los factores causales en un accidente no están vinculados a fallos de componentes técnicos, los mismos son clasificados como errores humanos sin mucha explicación.

� Estos modelos son limitados en su capacidad para explicar las causas de los accidentes en sistemas complejos, del tipo que se están desarrollandodesde la segunda mitad del siglo XX.

Modelos de accidentes� En los 1980s, una nueva clase de modelos de accidentes

denominados “epidemiológicos” aparecieron para tratar de explicar a los accidentes en sistemas más complejos.

� Los modelos epidemiológicos plantean que los eventos queoriginan a un accidentes aparecen de forma análoga a comose disemina una enfermedad

� Esto es como el resultado de una combinación de factores, algunos manifiestos y algunos latentes, que coinciden de forma conjunta en espacio y tiempo.

� El Modelo del Queso Suizo de Reason es el ejemplo máscitado de este tipo de modelo

� Este modelo ha influenciado mucho el entender mejor a los accidentes por destacar la relación entre las causas latentes y las inmediatas.

Modelos de accidentes� Los modelos secuenciales y epidemiológicos son inadecuados para

capturar las interacciones dinámicas y no lineales entre los componentes de los sistemas socio-técnicos complejos.

� Nuevos modelos de accidentes, basados en la teoría de sistemas, tratan de describir las características del desempeño del sistemacomo un todo, más que al nivel del mecanismo causa específica-efecto, o aún de los factores epidemiológicos.

� Los modelos sistémicos de la seguridad tienen sus raíces en la teoría de sistemas y en la cibernética.

� La teoría de sistemas incluye a los principios, modelos y leyesnecesarias para entender las complejas relaciones e interdependencias entre los componentes de un sistema complejo(técnicos, humanos, organizacionales y de gestión).

� Los modelos basados en la teoría de sistemas describen a los accidentes como un fenómeno emergente que aparece a partir de las interacciones entre componentes del sistema, donde dichasinteracciones pueden ser no lineales y contener múltiples lazos de retroalimentación.

Modelos de accidentes(Hollnagel)

� Modelos secuenciales◦ Accidente = Secuencia de eventos ordenados, tales como fallos o

malfuncionamiento de humanos o máquinas

◦ E.j. árboles de fallo, árboles de eventos

� Modelos epidemiológicos◦ Accidente = Como se disemina una enfermedad: combinación de

fallos y condiciones latentes / ambientales, las cuales provocan la degradación de las barreras y defensas

◦ E.j. Modelo del Queso Suizo

� Modelos sistémicos◦ Accidente = Emerge a partir de la variabilidad en el desempeño de

un sistema cognitivo conjunto, como resultado de interaccionescomplejas y de una inesperada combinación de acciones.

◦ E.j. FRAM, STAMP, TOPAZ

Modelos basados en una secuencia de eventos

� LESIÓN - causada por los accidentes.� ACCIDENTES - causados por un acto inseguro de la persona lesionada o una condición insegura en el puesto de trabajo.

� ACCIONES/CONDICIONES INSEGURAS - causadas porpersonas descuidadas o por malos diseños o mantenmientos deficientes respecto al equipamiento.

� FALLOS DE PERSONAS - creados por el ambientesocial o adquiridos de sus antepasados.

� AMBIENTE SOCIAL/ANTEPASADOS – dónde y cómo unapersona fue criada y educada.

1932 – Primer Acercamiento Científico a lasCausas de los Accidentes y su Prevención

H.W. Heinrich

“Modelo de Causas de Accidentes Industriales”

Teoría del Dominó

Ambiente Social y Antepasados

Fallo de la persona

(Descuido)

Acción o CondiciónInsegura

Accidente Lesión

ERRORES DE PERSONAS

DOMINÓ DE HEINRICH

La observación de que una sucesión de causas que se precipitan unas a otras da lugar a los accidentes, dio origen a los modelos secuenciales concatenados. El modelo más relevante es el de las fichas de dominó (Heinrich, 1931), el cual señala que una falla en algún elemento del Sistema de Prevención desencadena en la caída del sistema o una pérdida: Accidente o Incidente.

AXIOMAS DE HEINRICH

1. Los accidentes tienen causas técnicas y/o humanas

2. Los actos inseguros causan la mayor parte de los accidentes

3. Por cada accidente con baja se producen 30 sin baja y 300 accidentes

4. La gravedad del accidente es aleatoria, pero su producción es previsible

5. Las causas de los actos inseguros son: actitud inadecuada, falta de formación, incapacidad física, entorno inadecuado

AXIOMAS DE HEINRICH

6. Las medidas preventivas básicas son: formación, control y modificaciones técnicas

7. La dirección debe asumir la responsabilidad de la prevención

8. El encargado es el hombre clave de la prevención

9. La prevención es económicamente rentable, porque mejora la productividad y ahorra el elevado coste de los accidentes.

TAREA EXTRACLASE (próxima semana)•

Hacer un análisis de la validez de los axiomas de Heinrich a la luz de las condiciones actuales.

• Concluir para cada axioma:

• ES VÁLIDO

• NO ES VÁLIDO

• Y argumentar el por qué de su respuesta

• Si no concluye en alguno, pierde puntos

• Consultar los artículos digitales dejados para completar.

FACTOR ACTITUDINAL

Heinrich pregunta ¿por qué cometemos actos inseguros?

� Por ahorrar tiempo. La urgencia del trabajo y una laxa cultura de seguridad, relajan el cumplimiento de los procedimientos.

� Por ahorrar esfuerzo. El trabajador omite pasos del procedimiento por hacer su trabajo más fácil.

� Por presiones del grupo. Un individuo sigue los procedimientos establecidos, pero su grupo de trabajo o su supervisor no lo hace. Progresivamente va acoplándose al nivel de cultura de seguridad de su grupo.

Si nos capacitamos nos estamos dirigiendo a la parte de conocimientos y habilidad, estamos trabajando sobre la parte

cognoscitiva y psicomotora, sobre la parte racional.Pero la parte actitudinal, también juega uno de los papeles con

más peso para la ocurrencia de los accidentes.

Siguiendo a la Teoría de Heinrich

La secuencia de la Acción Correctiva(Las tres“E”s – en Inglés)

� Ingeniería (Engineering)

� Educación (Education)

� Disciplina (Enforcement)

PRINCIPIO DE LAS CAUSAS MULTIPLES

Los problemas en

general

y los accidentes en

particular

casi nunca

son el resultado de

una sola causa.

COSTOS

Modelos de causalidad NOSA

Simple y bonito, pero poco realista la mayoría de las veces

Una ampliación del modelo de Heinrich fue el modelo propuesto por Bird

EL MODELO DE CAUSALIDAD O DE CONTROL DE PÉRDIDAS DE FRANK E. BIRD JR

FACTORES DE TRABAJO

� Procedimientos Seguros de Trabajo incorrectos

� Ausencia de Análisis Seguro de Trabajo

� Mala Operación de máquinas o Equipos

� Herramientas en mal estado o mal utilizadas

� Ausencia de Mantenimiento de Equipos y

Máquinas

Factores Personales

� Capacidad física o mental inapropiada para el cargo

� Deficiencia en la Habilidad para la tarea

� Motivación deteriorada en el trabajo

� Frustración profesional

� Incapacidad para trabajo bajo presión

� Estrés

� Falta de conocimientos para el cargo

ACTOS YCONDICIONES

SUBESTANDARES

CAUSASINMEDIATAS

CAUSAS INMEDIATAS

CAUSASINMEDIATAS

FALTA DE CONTROL

PROGRAMASINADECUADOS

ESTANDARESINADECUADOSDEL PROGRAMA

CUMPLIMIENTOINADECUADO DE

LOS ESTANDARES

FACTORES PERSONALES

FACTORESDEL TRABAJO

ACCIDENTE PERDIDAS

ACTOS YCONDICIONES

SUB-ESTANDARES

CONTACTOCON ENERGIAO SUBSTANCIA

PERSONASPROPIEDADPROCESO

CAUSASBASICAS

ACTOS SUBESTANDARES

• Operar sin autorización• No seguir procedimientos• No respetar señalización• Levantamiento incorrecto• No usar E.P.P. • Falla en asegurar• Bromas y juegos• Otros

CONDICIONES SUBESTANDARES

• E.P.P. inadecuado• Equipos defectuosos• Herramientas en mal estado• Congestión• Falta de orden y/o limpieza• Ventilación inadecuada• Iluminación insuficiente• Otras

PRINCIPIO DE LA DEFINICION

Una decisión lógica y

acertada

sólo puede tomarse

si primero se define el

problema real o básico.

¡ No nos dejemos confundir por los síntomas !

FACTORESPERSONALES

FACTORES DEL TRABAJO

CAUSASBASICAS

CAUSAS BASICAS

CAUSASINMEDIATAS

FALTA DE CONTROL




LOS ESTANDARES

FACTORES PERSONALES

FACTORESDEL TRABAJO

ACCIDENTE PERDIDAS

ACTOS YCONDICIONES

SUB-ESTANDARES



CAUSASBASICAS

FACTORES PERSONALES

• Falta de conocimiento• Falta de capacidad • Falta de habilidad• Estrés físico y mental• Motivación Incorrecta

FACTORES DEL TRABAJO

• Liderazgo inadecuado• Ingeniería inadecuada• Compras inadecuadas• Mantención inadecuada• Estándares inadecuados• Uso y desgaste normal• Abuso y mal uso

Fallas en :

Programas o Sistemas

Estándares

Cumplimiento

FALTA DECONTROL

FALTA DE CONTROL

CAUSASINMEDIATAS

FALTA DE CONTROL




LOS ESTANDARES

FACTORES PERSONALES

FACTORESDEL TRABAJO

ACCIDENTE PERDIDAS

ACTOS YCONDICIONES

SUB-ESTANDARES



CAUSASBASICAS

CAUSAS DE FALTA DE CONTROL

• Programas o Sistemas inadecuados/inexistentes• Estándares inadecuados/inexistentes• Incumplimiento de los estándares

Modelos de eventos encadenados en una secuencia en el tiempo

Ejemplo de este modelo

Modelos secuenciales lineales� En los modelos basados en eventos, los mismos

tienen una relación lineal y directa.� Estos modelos solo describen causas lineales y es

difícil incorporarles relaciones no lineales.� El primer evento de la cadena es considerado

usualmente como el “evento iniciador”, � No obstante, la selección del evento iniciador es

arbitraria y puede que eventos previos al mismohayan hecho su aporte a la cadena.

(Leveson, 2001).

� Paralela a la visión de Heinrich.

� La lesión es llamada RESULTADO, indicando quepodría dañar así como lesiones y que el resultadopodría variar desde no daño a muy severo.

� La palabra PERCANCE se usa en vez de Accidentepara evitar la incomprensión popular de que un accidente necesariamente conlleva a una lesión o a un daño.

� Finalmente, se usa el término ERROR OPERATIVOen vez de Acción/Condición Insegura.

La causalidad vista en forma más moderna

ERROR OPERATIVO

RESULTADO:

-No hay dañoni lesión

-Muchas muertes-Grandes daños

PERCANCE (POSIBLE)


Errores Operativos:

� Estar en una posición insegura

� Apilar materiales en pilas inestables

� Mala limpieza y organización

� Remover un resguardo mecánico

Ejemplos

AC35

� Revolucionó la prevención de accidentes

� Una debilidad en el diseño o en la operación de un sistemao un programa

Los Errores Operativos ocurren porque las personas cometen errores, pero más importante, ocurren debido a Defectos en el Sistema

DEFECTOS DEL SISTEMA

AC36

ERROR OPERATIVO

RESULTADO:



PERCANCE (POSIBLE)



Ejemplos

Los Defectos del Sistema incluyen:

� Mala asignación de la responsabilidad

� Clima de motivación inadecuado

� Entrenamiento y educación insuficientes

� Equipos y suministros insuficientes

� Procedimientos inadecuados para la selección y asignación del personal

� Mala distribución de los recursos

ERROR EN LA GERENCIA / ÓRDENES

Los defectos del Sistema ocurren debido a Errores en la Gerencia/Órdenes

Las Decisiones que toman los Gerentes/Jefessobre la forma en que el sistema es diseñado o es operado, resultan en defectos del sistema.

La causalidad vista en forma másmoderna

ERROR OPERATIVO

RESULTADO:



PERCANCE (POSIBLE)


ERRORES DEGERENCIA/

ORDEN

AC40

Ejemplo

Para una tarea en un Tanque de Solvente:

A los soldadores no se les facilitan EPPs para la tarea

(guantes, caretas, delantales, etc.)

AC41


DEFECTO DELPROGRAMA

DE SEGURIDAD

ERRORES DEGERENCIA/

ORDEN


ERROR OPERATIVO

PERCANCE

RESULTADOS

AC42

Un defecto en algún aspecto del programa de seguridad que permite queexista un error evitable.

� Registro inefectivo de información

� Análisis de Causas débiles

� Contramedidas insuficientes

� Implementación inadecuada de procedimientos

� Control inadecuado

Defecto del Programa de Seguridad

AC43

Una debilidad en el conocimiento o en la motivación del Gerente de la

Seguridad u otros Gerentes que permiteque exista un defecto prevenible en el

Programa de Seguridad.

ERROR DE GERENCIA DE SEGURIDAD

Ejemplo:

Llantas desgastadas y rajadas en los bordesutilizadas en vehículos:

El Gerente de Seguridad y otrosGerentes conocen los peligros, pero no exigen el cumplimiento

de los estándares.

AC45



DEFECTO DELPROGRAMA

DE SEGURIDAD


ERROR OPERATIVO

PERCANCE

RESULTADOS

ERRORES DEGERENCIA/

ORDEN

AC46

Hay siete avenidas a través de las cualespodemos iniciar contramedidas. Ellas son:

� Error de Gerencia de la Seguridad

� Defecto del Programa de Seguridad

� Error en la Gerencia / Órdenes

� Defecto del Sistema

� Error Operativo

� Percance

� Resultado

Siete Avenidas

Siete AvenidasLas contramedidas potenciales para cada causa

incluyen a:

AC47


ENTRENAMIENTOEDUCACIÓNMOTIVACIÓNDISEÑO DE TAREAS

1

2 3 4 5 6 7

AC48

DEFECTO DELPROGRAMA

DE SEGURIDAD

REVISAR EL RESGISTRO DE LA INFORMACIÓNANÁLISISIMPLEMENTACIÓN

2

3 4 5 6 71


incluyen a:

AC49

ENTRENAMIENTOEDUCACIÓNMOTIVACIÓNDISEÑO DE TAREAS

3

4 5 6 71 2ERRORES DEGERENCIA/

ORDEN


incluyen a:

AC50


REVISIÓN DEL DISEÑO VIA: - PNOs- REGULACIONES- POLÍTICAS ESCRITAS- DECLARACIONES

4

5 6 71 2 3


incluyen a:

AC51

ERROR OPERATIVO

INGENIERÍAENTRENAMIENTOMOTIVACIÓN

5

6 71 2 3 4


incluyen a:

AC52

PERCANCE

EQUIPAMIENTO DE PROTECCIÓNBARRERASSEPARACIÓN

6

71 2 3 4 5


incluyen a:

AC53

RESULTADOS

CONTENCIÓNLUCHA CONTRA INCENDIORESCATEEVACUACIÓNPRIMERAS AYUDAS

7

1 2 3 4 5 6


incluyen a:

Modelo del Sistema


DEFECTO DELPROGRAMA

DE SEGURIDAD

RESULTADOS

PERCANCE

ERROR OPERATIVO


ERRORES DEGERENCIA/

ORDEN

Modelo del Sistema

• Tareas• Entrenamiento• Ambiente• Materiales• Persona

Modelos Epidemiológicos

Modelo organizacional del Reason

� Reason (1990; 1997) desarrolló un modelo organizacional paraexplicar a los accidentes en los sistemas complejostecnológicamente.

� Planteó que los accidentes organizacionales no ocurren debido a un error humano simple; más bien surgen de la inter-conexión de varios factores de causas que se originan en varios niveles en unaorganización.

� Reason hace énfasis en el concepto de seguridad organizacional y como las defensas (barreras de protección de tipo material, humano y de procedimientos) pueden fallar.

� En este enfoque la causa inmediata o próxima es el fallo de unapersona en la “línea de fuego”, quien está directamente relacionadacon la regulación del proceso o en la interacción con la tecnología.


� Reason (1997) define a los accidentes organizacionales como situaciones en las cuales: ◦ las condiciones latentes (que surgen a partir de

aspectos como las prácticas de decisión de la gerencia, o de influencias culturales),◦ se combinan de forma adversa con eventos

específicos que “disparan a otros” (tales como el clima, la localización, etc.), ◦ y con fallos activos (errores y/o violaciones de

procedimientos) cometidos por individuos o equiposde trabajo en la “línea de fuego” de una organización,

� para producir al accidente.

Modelo del Queso Suizo de Reason: Capas

de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)

Modelo del Queso Suizo de Reason: Capas

de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)

No siempre habrán accidentes, las capas o barreras de protección pueden funcionar

Modelo organizacional del Reason� Las defensas, barreras y salvaguardias ocupan una posición

clave en el enfoque de Reason hacia la seguridad en sistemascomplejos.

� Los sistemas con altas tecnologías tienen muchas capas de defensas: ◦ algunas son de ingeniería (alarmas, barreras físicas, detenciones

automáticas, etc),

◦ otras descansan en los comportamientos de los humanos (cirujanos, anestesistas, pilotos, operadores de salas de control, etc),

◦ y otras dependen de procedimientos y controles administrativos.

� El modelo de Reason está basado en la filosofía de lasdefensas a profundidad, tomadas de los militares y de lasplantas de energía nuclear, esto es, un sistema de defensa quetiene muchas capas o barreras, cada una diseñada para darlesoporte a la otra, en orden de reducir la probabilidad de un accidente o un desastre.

Modelo organizacional del Reason� En un mundo ideal todas las capas defensivas deberían estar

intactas no permitiendo que suceda ninguna penetración.� Por supuesto, en el mundo real las defensas pueden

deteriorarse con el tiempo; las modificaciones o los rediseños pueden debilitar o eliminar a las defensas, lasdefensas pueden ser removidas durante la calibración, el mantenimiento y las pruebas, o como resultado de errores y violaciones (Reason, 1997).

� Por ejemplo los operadores del cuarto de control del reactor nuclear de Chernobyl removieron capas de defensasucesivamente con el objetivo de completar su tarea de probar un nuevo generador de voltaje.

� En realidad, no obstante, las defensas son como porciones de queso suizo que tienen muchos huecos;

Modelo organizacional del Reason� Pero a diferencia de en el queso, los huecos están

continuamente abriéndose, cerrándose y cambiando de posición.

� La presencia de huecos en una porción normalmente no tiene por qué causar un mal resultado.

� Usualmente, éste solo puede suceder cuando los huecos en muchas porciones momentáneamente se alinean parapermitir una oportunidad de una trayectoria para un accidente, convirtiendo a los peligros en un daño al ponerlosen contacto con las víctimas.

� Los huecos en las defensas surgen por dos razones: fallosactivos y condiciones latentes.

� Casi todos los eventos adversos tienen una combinación de esteos dos conjuntos de factores

Modelo organizacional del Reason� Los Fallos Activos son los actos inseguros cometidos por las personas que

están en contacto directo con la operación del sistema.

� Pueden tomar una variedad de formas: resbalones, lapsus, torpezas, errores, y violaciones de procedimientos(Reason, 1990).

� Los fallos activos tienen un impacto directo y normalmente cortosobre la integridad de las defensas.

� Por ejemplo en Chernobyl, los operadores violaron los procedimientos de la planta y apagaron sucesivamente a sistemasde seguridad, creando de esta forma el “disparador inmediato” parala explosición catastrófica en el núcleo del reactor.

� Los seguidores del enfoque humano, frecuentemente no buscan lascausas de un evento adverso una vez que han identificado la existencia de una acción insegura.

� Pero en realidad, virtualmente todas estas acciones tienen unahistoria causal que se extiende atrás en el tiempo y a través de los niveles del sistema.

Modelo organizacional del Reason� Las condiciones latentes son los “patógenos residentes” inevitables dentro

del sistema (Reason, 1997). � Ellas son el resultado de las decisiones que tomaron los

diseñadores, constructores, escritores de procedimientos y gerentes.

� Estas decisiones pueden ser erróneas (pero no lo son necesariamente).

� Y estas decisiones estratégicas tienen el potencial de introducirpatógenos en el sistema.

� Las condiciones latentes tienen dos tipos de efectos adversos: ◦ pueden traducirse en un error provocando condiciones negativas en el

puesto de trabajo local (por ejemplo presiones de tiempo, falta de personal, equipamiento inadecuado, fatiga e inexperiencia), y

◦ también pueden crear grandes huecos durables o debilidades en lasdefensas (alarmas e indicadores no confiables, procedimientos que no sirven, deficiencias en el diseño y la construcción, etc.)


� Las condiciones latentes, como sugiere el término, pueden permanecer “dormidas” dentro del sistema por muchos años antes de que se combinen con los fallos activos y eventos“disparadores” o “iniciadores” locales para crearuna oportunidad de accidente.

� A diferencia de los fallos activos, cuyas formasespecíficas son difíciles de prevenir, lascondiciones latentes pueden ser identificadas y remediadas antes de que ocurran los eventosadversos.

� Entender esto tiene el potencial de lograr unagerencia más proactiva que reactiva.

El modelo de ReasonAccidente = fallo de la organización

Reason Model


Para el funcionamiento del modelo son muy importantes los canales de información interna de la empresa y que

estos cumplan con su misión:Bucle de información interna; gestión proactiva (antes de

que ocurra el accidente):Sistema de gestión de seguridad interno.

Valoraciones de riesgos y peligros.Informes personales.

Auditorias.

Bucles de información externa; gestión reactiva (el accidente ya ha ocurrido).

Investigación de accidentes e incidentes .


Modelo de Reason:

Estructura

Metodología

Guía

•Sistemas de gestión de seguridad•Investigación de accidentes e incidentes•Análisis de gestión y construcción de bases de datos•Programas de prevención de accidentes•Auditorias de seguridad

Modelo tradicional: Se concentra en las causas superficiales y no profundiza (error del piloto, error de mantenimiento,...)Se ha demostrado que si las causas profundas permanecen, estas causarán accidentes en diferentes situaciones o escenarios hasta ser corregidas.


Los errores y las violaciones son como los mosquitos, puedes intentar matarlos uno a uno, pero siempre aparecerán más.La única solución es eliminar las charcas en las que se crían:

•Mal diseño•Defensas inadecuadas•Malos procedimientos•Mal entrenamiento•Objetivos conflictivos

Y más allá….� Sin embargo, los modelos epidemiológicos aún siguen

los principios de los modelos secuenciales (Hollnagel, 2004) dado que ellos muestran la dirección de la causalidad en un modelo lineal.

� La teoría que soporta al modelo del Queso Suizo no define con suficientes detalles qué son los fallos o los huecos en el queso.

� El modelo de Reason muestra una vista estática de la organización, mientras que los defectos son generalmente transientes, esto es por ejemplo quelos huecos en el queso se están moviendocontinuamente.

� En realidad, el sistema sociotécnico es más dinámicoque lo que el modelo sugiere.

Ideas centrales� Los sistemas pueden ser descompuestos en capas. Cada capa

representa a un sub-sistema, un estado o un actor que tiene un impacto en el funcionamiento del sistema completo.

� Los fallos esperan por la aparición de las condiciones. Algunascondiciones inestables pueden estar presentes en un sistema dado sin tener ningún efecto inmediato.

� Un fallo, desde este punto de vista, es una combinaciónimprobable de un número de factores contribuyentes.

� Los eventos se propagan. Los accidentes no son causados por la ocurrencia de circunstancias desfavorables repentinas.

� En vez de esto, ellos son generados por fallos tempranos en los diseños que, bajo ciertas condiciones, disparan al eventoindeseado.

� Los eventos escalan. Una combinación de fallos locales generan el fallo del sistema completo.

Y más allá….

Los modelos lineales ofrecen la base para que los

investigadores fácilmente tomen la posición de observadores

retrospectivos, buscando hacia detrás la secuencia de

eventos que parece llevar hacia un resultado inevitable, y

señalando donde las personas actuaron mal, o donde

fallaron los componentes individuales del sistema.

A pesar de que esta perspectiva es adecuada en sistemas

lineales, dicha tendencia limita seriamente lo que puede

aprender sobre los fallos un investigador en sistemas no

lineales (por ejemplo la combinación compleja e inesperada

de interacciones del sistema) y puede no ayudar a prevenir la

recurrencia.

Modelos sistémicos de accidentes

Modelos sistémicos� Las nuevas tendencias en el modelado de los

accidentes adoptan una visión sistémica, la cualconsidera al desempeño del sistema como un todo.

� En los modelos sistémicos, un accidente ocurrecuando varios factores causales (humanos, técnicos y ambientales) coexisten en un tiempo y espacioespecífico (Hollnagel, 2004).

� Los modelos sistémicos muestran a los accidentescomo un fenómeno emergente, el cual surge debido a las complejas interacciones entre los componentesdel sistema que pueden llevar a la degradación del desempeño del sistema, o resultar incluso en un accidente.

Modelos sistémicos� Una diferencia apreciable entre los modelos de

accidentes sistémicos y los secuenciales/epidemiológicoses que los primeros describen al proceso del accidentecomo una red de eventos interconectados y compleja, mientras los segundos los describen como una simple cadena de eventos.

� Hay dos modelos sistémicos notables,

◦ el Marco Sociotécnico Jerarquizado de Rasmussen (1997)

◦ y el modelo STAMP de Leveson (2004) (Systems-Theoretic Accident Model and Processes o Proceso y ModeloTeórico-Sistémico del Accidente), el cual trata de modelar las dinámicas de los sistemassociotécnicos complejos.

Entendiendo a las seguridad en

sistemas no lineales (Dekker, 2007; Hollnagel, 2008)

Asunción y consecuencia:

� Los accidentes resultan de unacombinación inesperada (resonancia) de la variabilidad normal del desempeño –los peligros surgen de la variabilidadesperada (y necesaria) dentro del sistemay los accidentes se previenen mediante la supervisión (monitoreo) y amortiguamiento de la variabilidad.




� La variabilidad del desempeño normal muyraramente es suficiente para provocar un accidente, pero la variabilidad de múltiplesfunciones puede combinarse en formasinesperadas para producir un efecto no lineal, de esta manera la seguridad es una propiedademergente del sistema y no puede ser explicadaexaminando simplemente a los componentesindividuales del sistema y/o tratando de identificar una causa raíz.




� Los sistemas sociotécnicos complejos (porejemplo los hospitales) son dinámicos – el sistema cambia y se desarrolla respondiendo a las demandas que compiten entre sí, laspresiones de producción y los cambios en la tecnología y en el conocimiento. La resiliencia existe cuando los operadores en el sistema son capaces de reconocer, absorver y adaptarse a los distrubios/cambios que caen más allá de subase de diseño.


sistemas no lineales

� La ingeniería de los sistemas cognitivos (Hollnagel & Woods, 1983) ha surgido como un marco paramodelar a los comportamientos de los sistemashombre-máquina en el contexto del ambiente en queel cual se efectúa el trabajo.

� La visión tradicional es que “los errores humanos” representan una “racionalización prospectiva” (Woods et. al., 1994), la cual está basada en el principio de la causalidad inversa: “si hay un efecto, entonces debehaber una causa”.

� La ingeniería de los sistemas cognitivos sugiere queno podemos entender lo que sucede cuando lascosas van mal sin entender lo que sucede cuando lascosas van bien (Hollnagel & Woods, 2005).


sistemas no lineales

� Hollnagel & Woods introducen un nuevoparadigma en la ingeniería de los sistemascognitivos el cual describe como los humanos y la tecnología funcionan como un sistema conjunto, más que como humanosinteraccionando con las máquinas.

� Los esfuerzos para hacer el trabajo segurodeben comenzar por entender la variablidadnormal del desempeño del humano y del sistema cognitivo conjunto, más que asumirdel específico y muy especulativo“mecanismo de error”.

Herramientas sistémicas

� Se ha desarrollado dos herramientas de accidentes sistémicos para el análisis de la seguridad y de los accidentes basados en los principios de la ingeniería cognitiva de los sistemas:◦ El Cognitive Reliability and Error Analysis Method (CREAM) ¿Método para el Análisisdel Error y la Confiabilidad Cognitiva?; ◦ Y el Functional Resonance Accident Model (FRAM) ¿Accidente Funcional en Resonancia?.

Herramientas sistémicas� CREAM está basado en el modelaje de los

aspectos cognitivos del desempeño humanopara hacer una evaluación de lasconsecuencias del error humano en la seguridad de un sistema (Hollnagel, 1998).

� Se han desarrollado dos versiones del CREAM para el modelaje de los accidentes: ◦ DREAM (Driver Reliability and Error Analysis

Method) para el análisis de los accidentes de tráfico; y◦ BREAM para el uso en el análisis de accidentes

marítimos(Hollnagel, 2006).

Herramientas sistémicas� El FRAM es un modelo cualitativo de accidente

que describe como el funcionamiento de los componentes del sistema puede resonar y crearpeligros que pueden ponerse fuera de control y generar un accidente (Hollnagel, 2004).

� El FRAM está basado en la premisa de la variabilidad del desempeño, las variabilidadesinternas y externas son normales,en el sentido de que el desempeño nunca es estable en los sistemas sociotécnicos complejos tales como los hospitales, la aviación o grandes industrias.

Functional Resonance Accident Model (Hollnagel, 2004)

Un modelo emergente que trata de explicar lasdinámicas de la actividad organizacional “normal”

Modelos sistémicos

Los modelos no lineales proveen a los investigadores con las bases para buscar el por qué de las acciones de laspersonas y evaluar el sentido de las mismas en el tiempo, más que identificar cuál regla, protocolo o proceso violó la persona (las personas frecuentementeajustan sus acciones al contexto y esto es parte de la “variabilidad normal del desempeño” que ocurre comoparte del “trabajo normal” en los sistemas dinámicoscomplejos).

‘El error humano no es una explicación, pero si requiereque se explique’

Sidney Dekker, 2006

Modelos de Accidente: El reto del sesgo

retrospectivo (hindsight bias)

� “El sesgo retrospectivo” siempre está presente cuandoel resultado es conocido – un observador retrospectivopuede fácilmente confundir a la realidad retrospectivacon la realidad actual que rodea a las personas duranteel evento.

� El sesgo retrospectivo es una razón poderosa para lasexplicaciones clásicas de los errores humanos y los accidentes – tendiendo a tratar de identificarcomponentes individuales del sistema que necesitencorregirse, personas con deficiencias en las habilidades, o errores graves.

Modelos de Accidente: El reto del sesgo

retrospectivo (hindsight bias)

� El sesgo retrospectivo dificulta el juicio objetivodel comportamiento que llevó a un resultado. En particular, la complejidad pasada estransformada en una cadena lineal de “malas” decisiones, oportunidades perdidas, evaluaciones deficientes, y percepcionesfallidas.

� Entonces, las recomendaciones también se dirigen frecuentemente a proteger al sistema de los “humanos poco confiables” a través de procedimientos, entrenamiento y disciplina.

Un Nuevo Modelo para la Ingeniería de la Seguridad de los Sistemas por Nancy Leveson. Safety Science, Vol. 42, No. 4, April 2004.

STAMP : (Systems-Theoretic Accident Model and Processes)

Los accidentes son el resultado del inadecuado control o la falta de exigencia de las variables relacionadas con la seguridad en el desarrollo, diseño y operación de los sistemas.

La seguridad puede entonces ser vista como un problemade control, y la seguridad es gerenciada a partir de unaestructura de control insertada en el sistemasociotécnico adaptativo.

89

Process Control Loop

Modos de Fallos en el Control

� El control requerido no existe� Ocurre una acción de control incorrecta o

insegura� La acción de control ocurre muy tarde o en

el tiempo incorrecto� La acción de control se detiene muy rápido

o continúa por mucho tiempo¿¿ Confiabilidad del Controlador??

90

Y más allá…� A medida que se entienden mejor los accidentes

aeroespaciales, de transporte o industriales, los mismos dejan de ser considerados como simples fallos de la tecnología solamente, y tampocodebido al error humano, sino como resultados de un trasfondo histórico y de un contextoorganizacional desfavorable (Vaughan, 1996; Dienet al., 2004).

� El análisis sociológico de las causas de los accidentes está ganando espacio como unaaproximación efectiva para entender las causassociales y organizacinales de los accidentes (verpor ejemplo a: Perrow, 1984; Vaughn, 1996; Hopkins, 2000).

Y más allá…� Vaughn (1996) rechaza las explicaciones prevalecientes (dadas a

partir de las técnicas tradiconales de la ingniería) de la causa del accidente del Challenger y presenta otra explicación sociológicaalternativa que explora una causa del fallo mucho más profunda, y advierte de los riesgos en que están envueltos los sistemastecnológicos complejos modernos.

� El reporte de la investigación del accidente del Columbia identificauna “cultura de seguridad rota” como un punto focal de las causasorganizacionales del accidente (CAIB, 2003).

� Vaughan demuestra similaridades entre los accidentes del Columbia y del Challenger en que ambos accidentes ocurrieron debido a fallossistémicos organizacionales, y presentaban una explicación causal que vinculaba a la cultura de producción, a la normalización de lasdesviaciones y al secreto estructural de la NASA.

¿Preguntas?

Asignatura Organización, Legislación y Administración de...

Documents

Transcript of Asignatura Organización, Legislación y Administración de...