UM GUIA DO GERENTE PARA REDUÇÃO DE ERROS HUMANOS
MELHORANDO O DESEMPENHO HUMANO NOS PROCESSOS INDUSTRIAIS
ELABORADO POR: D.K. Lorenzo, P.E., EQE, International Inc.
Fevereiro 2001 API 770
CONTEÚDO Seção
Página
AVISO ............................................. .................................................................... .............................................. ............................................ .....................
iii
AGRADECIMENTOS .............................................. ..................................................................... ......................................... ..................
v
PREFÁCIO .............................................. ...................................................................... ............................................... .................................... .............
ix
SUMÁRIO EXECUTIVO ............................................. .................................................................... ...................................... ...............
xi
1. INTRODUÇÃO ............................................ ................................................................... .............................................. ............................ .....
1
1.1 Importância de se Melhorar o Desempenho Desempenho Humano ................................. ................................. 1.2 Objetivos e Organização deste Guia .............................................. ............................................................ ..............
1 2
2. COMPREENDENDO O ERRO HUMANO ............................................ .................................................. ......
5
2.1 Definição de Erro Humano ........................................... .................................................................. ................................ ......... 2.2 Teoria do Erro Humano ............................................ .................................................................... .................................... ............ 2.3 Fatores de Modelagem de Desempenho .............................................. ....................................................... .........
5 6 8
3. ESTRATÉGIAS ESTRATÉGIAS PARA MELHORAR O DESEMPENHO HUMANO .............................................. ..................................................................... .............................................. ...................................... ...............
13
3.1 Exemplos de Situações de Provável Erro ................................................. ...................................................... ..... 3.2 Abordagens Gerais para a Melhora do Desempenho Humano .....................
13 25
4. USO GERENCIAL DA ACH ............................................. .................................................................... ............................... ........
29
4.1 Definição da ACH .............................................. ..................................................................... .......................................... ................... 4.2 Formatando a Análise ............................................... ...................................................................... .................................... ............. 4.3 Selecionando e Aplicando Técnicas de ACH .............................................. ................................................ 4.4 Compreendo as Limitações ................................................................ .......................................................................... ..........
29 30 32
5. CONCLUSÕES ............................................ ................................................................... .............................................. ................................ .........
37
36
................................................................... .............................................. ......................................... .................. GLOSSÁRIO ............................................ 39
REFERÊNCIAS .............................................. ...................................................................... ............................................... .................................. ........... 45 BIBLIOGRAFIA ............................................ ................................................................... .............................................. .................................... ............. 46
CONTEÚDO Seção
Página
AVISO ............................................. .................................................................... .............................................. ............................................ .....................
iii
AGRADECIMENTOS .............................................. ..................................................................... ......................................... ..................
v
PREFÁCIO .............................................. ...................................................................... ............................................... .................................... .............
ix
SUMÁRIO EXECUTIVO ............................................. .................................................................... ...................................... ...............
xi
1. INTRODUÇÃO ............................................ ................................................................... .............................................. ............................ .....
1
1.1 Importância de se Melhorar o Desempenho Desempenho Humano ................................. ................................. 1.2 Objetivos e Organização deste Guia .............................................. ............................................................ ..............
1 2
2. COMPREENDENDO O ERRO HUMANO ............................................ .................................................. ......
5
2.1 Definição de Erro Humano ........................................... .................................................................. ................................ ......... 2.2 Teoria do Erro Humano ............................................ .................................................................... .................................... ............ 2.3 Fatores de Modelagem de Desempenho .............................................. ....................................................... .........
5 6 8
3. ESTRATÉGIAS ESTRATÉGIAS PARA MELHORAR O DESEMPENHO HUMANO .............................................. ..................................................................... .............................................. ...................................... ...............
13
3.1 Exemplos de Situações de Provável Erro ................................................. ...................................................... ..... 3.2 Abordagens Gerais para a Melhora do Desempenho Humano .....................
13 25
4. USO GERENCIAL DA ACH ............................................. .................................................................... ............................... ........
29
4.1 Definição da ACH .............................................. ..................................................................... .......................................... ................... 4.2 Formatando a Análise ............................................... ...................................................................... .................................... ............. 4.3 Selecionando e Aplicando Técnicas de ACH .............................................. ................................................ 4.4 Compreendo as Limitações ................................................................ .......................................................................... ..........
29 30 32
5. CONCLUSÕES ............................................ ................................................................... .............................................. ................................ .........
37
36
................................................................... .............................................. ......................................... .................. GLOSSÁRIO ............................................ 39
REFERÊNCIAS .............................................. ...................................................................... ............................................... .................................. ........... 45 BIBLIOGRAFIA ............................................ ................................................................... .............................................. .................................... ............. 46
CONTEÚDO (continuação) APÊNDICE 1 Questionário de Auto-Avaliação para Gerentes que Estejam Considerando Formas de Melhorar o Desempenho Humano ........................... ...........................
57
APÊNDICE 2 Pesquisa de Auto-Avaliação ............................................ .......................................................... ..............
65
APÊNDICE 3 Exemplo de Problema ACH Utilizando-se a Técnica THERP ..
79
LISTA DE TABELAS Tabela Página 1
Oportunidades para o Erro Humano ............................................ ........................................................... ...............
2
2
PSFs Internos .............................................. ..................................................................... .............................................. ...........................
9
3
PSFs Externos ........................................... .................................................................. .............................................. ........................... ....
9
4
PSFs Causadores de Stress ................................................ ........................................................................ ..........................
10
5
Elementos da Abordagem Trabalho-situação ............................................. .............................................
13
6
Motivações ACH ........................................... .................................................................. ............................................. ......................
29
7
Exemplos de Típicos Objetivos ACH ............................................... ........................................................ .........
31
8
Principais Limitações de ACH ............................................... ................................................................... ....................
36
9
Decréscimos Estimados em PEHs Resultantes de Desenvolvimentos Desenvolvimentos na Situação de Trabalho ............................................. ..................................................................... ..................................... .............
38
10
Eventos Incluídos na Árvore de Eventos ACH .......................................... ..........................................
84
11
Resultados ACH .............................................. ..................................................................... ........................................... ....................
84
LISTA DE FIGURAS Figura Página 1
Modelo Simples do Comportamento Humano como Componente do Sistema .............................................. ...................................................................... ................................................ ................................. .........
6
2
Erro Randômico ........................................... .................................................................. .............................................. .......................
7
3
Erro Sistemático ............................................. ..................................................................... .......................................... ..................
7
4
Erro Esporádico ............................................... ....................................................................... ........................................ ................
8
5
Operador como Elemento Essencial do Sistema de Processo como um
Todo .........................................................................................................
8
6
Relação entre Stress e Desempenho .........................................................
11
7
Sinal de Saída ...........................................................................................
16
8
Efetividade de Vigilância .........................................................................
23
9
Efeitos da Prática de Habilidades ............................................................
28
10
Elementos de uma Estrutura ACH ..........................................................
30
11
Visão Geral de Métodos ACH ................................................................
33
12
Árvore de Eventos ACH de Tarefas Hipotéticas de Calibragem ............
35
13
Árvore Típica de Ação de Operador .......................................................
35
14
Esquema de Condensador de Propano ....................................................
81
15
Árvore de Eventos ACH para Isolamento Impróprio de Condensador ...
83
PREFÁCIO Os erros humanos têm ou diretamente causado ou contribuído de maneira significativa para muitos acidentes relevantes em indústrias de processo. O Conselho Americano de Química, o Instituto Americano de Petróleo e suas companhias membros reconhecem a importância de se reduzir os erros humanos para que se possa aumentar a segurança, produtividade e qualidade de seus processos de fabricação. No entanto, para desenvolver o desempenho humano, os administradores necessitam de aconselhamento específico sobre o que pode ser feito para ajudar na prevenção de erros e para reduzir a probabilidade de que tais erros posam conduzir a problemas ou acidentes no processo. Este Guia destina-se a um público de gerentes medianos a executivos senior, que possuem diferentes níveis de conhecimento sobre a engenharia de fatores humanos. Ele é projetado para equipá-los com uma compreensão básica das causas dos erros humanos e para sugerir maneiras de reduzir esses erros humanos no plano individual. Ele também descreve como incorporar a análise de confiabilidade humana (ACH) às atividades de gerenciamento de segurança de processo. Para disseminar estas informações, nós nos utilizamos das seguintes etapas: •
Estabelecer um vocabulário básico (Glossário) necessário para a discussão da engenharia de fatores humanos e de ACH com especialistas na matéria
•
Identificar fatores capazes de afetar o desempenho humano, especialmente aqueles passíveis de controle por parte dos gerentes
•
Sugerir maneiras de reduzir os erros humanos
•
Descrever como a ACH pode ser incorporada às atividades de gerenciamento de segurança de processo.
A Seção 1 discute a importância de melhorar o desempenho humano e também discute os objetivos deste Guia. A Seção 2 define o erro humano e discute as suas causas mais comuns. A Seção 3 identifica muitos fatores específicos no local de trabalho que aumentam a probabilidade de erros humanos e discute maneiras de melhorar o desempenho humano. Caso um gerente necessite de uma estimativa numérica da probabilidade de erro humano, existem diversas técnicas de ACH disponíveis para esse propósito; a Seção 4 descreve como essas técnicas podem ser utilizadas juntamente com técnicas quantitativas de avaliação de risco. Os Apêndices 1 e 2 contêm questionários de autoavaliação, e o Apêndice 3 contém um exemplo de ACH. Esperamos que este Guia possa lhe ajudar a identificar maneira de reduzir erros humanos em suas próprias instalações. No entanto, a extensão dos conhecimentos da engenharia de fatores humanos que têm sido acumulados excede em muito o que está contido neste Guia. Uma extensa bibliografia foi incluída para lhe ajudar a encontrar informações adicionais sobre tópicos especiais. Nós lhe encorajamos fortemente a utilizar estes recursos de maneira adicional a este Guia.
SUMÁRIO EXECUTIVO Durante os últimos trinta anos, os 100 maiores acidentes em instalações de processamento químico e de hidrocarbonetos feriram gravemente ou mataram centenas de pessoas, contaminaram o meio ambiente, e causaram prejuízos de mais de oito bilhões de dólares a propriedades. 1,2 O custo real desses acidentes foi muito maior devido ao fato de existirem custos associados de interrupção de negócios, custos de limpeza, custos jurídicos, multas, perdas de fatia de mercado, e assim por diante. Qualquer tentativa séria de melhorar o processo de segurança deve abordar o fato de que erros humanos no projeto, construção, operação, manutenção e administração de instalações são as causas primordiais de quase todas as deficiências de qualidade, perdas de produção e acidentes. Muito frequentemente, os gerentes acreditam que os trabalhadores podem ser selecionados, treinados e motivados para operar de maneira apropriada qualquer sistema. Sendo assim, eles acreditam que os erros humanos são o resultado de falta de cuidado ou de estupidez, e que a única maneira através da qual podem reduzir erros humanos é disciplinar as partes culpadas quando os erros acontecem. Os gerentes esclarecidos compreendem que trabalhadores descuidados ou não adequados ao trabalho representam somente uma pequena fração dos erros humanos em suas instalações; a maioria dos enganos são cometidos pelos funcionários habilidosos, cuidadosos, produtivos e de boas intenções. Mais que simplesmente culpar o indivíduo envolvido, estes gerentes tentam identificar as causas essenciais do erro na situação de trabalho e implementam as ações corretivas apropriadas. A engenharia de fatores humanos, ou ergonomia, consiste no projeto de equipamentos, operações, procedimentos, e ambientes de trabalho que sejam compatíveis com as capacidades, limitações e necessidades dos trabalhadores. Ela é um complemento vital para as outras disciplinas de engenharia que basicamente procuram otimizar o desempenho de equipamentos e/ou minimizar custos de capital com pouca ou nenhuma consideração de como os equipamentos serão realmente operados e mantidos. Por exemplo, um termômetro com mostrador recuperado, conectado a um bocal logo abaixo da plataforma de terceiro nível pode ser uma maneira bastante barata de mensurar a temperatura de maneira precisa numa torre. Mas do ponto de vista de fatores humanos, trata-se de um projeto menos que adequado caso os operadores precisem subir três escadas de gaiola e descer pelo gradil da plataforma para fazer a leitura da temperatura (que deve ser controlada a intervalos de 5 graus) a partir de um mostrador graduado em incrementos de 100 graus. Este Guia focaliza as técnicas que os gerentes podem utilizar para melhorar o desempenho humano, através da identificação e eliminação de situações com erros prováveis que podem não ser tão óbvias como aquela descrita acima. A estratégia básica é reduzir a frequência de erros humanos através da aplicação de princípios de engenharia de fatores humanos aos equipamentos que devem ser operados e devem passar por manutenção, às tarefas de trabalho a serem desenvolvidas, e ao ambiente de trabalho. Para que esta abordagem tenha sucesso, torna-se essencial que os próprios trabalhadores sejam envolvidos no processo de projeto. Do ponto de vista da administração, não seria custo efetivo ignorar o conhecimento dos trabalhadores, que se constitui num recurso de valor que já existe dentro de cada empresa. Quanto mais cedo os trabalhadores e os especialistas em fatores humanos forem envolvidos no processo de projeto, de maior sucesso e mais eficiente a estratégia será.
Devido ao fato de que alguns erros humanos irão inevitavelmente ocorrer, este Guia também discute métodos que os gerentes podem utilizar para reduzir a probabilidade de que consequências indesejáveis possa deles resultar. Isto pode ser realizado projetando-se maneiras de detectar erros humanos ou de mitigar os seus efeitos. Envolver os trabalhadores nesta atividade irá ajudar a assegurar o seu sucesso. Um dos instrumentos que os gerentes podem utilizar para melhorar o desempenho humano é a análise da confiabilidade humana (ACH). Como outros instrumentos de avaliação (por exemplo, a análise da árvore de falhas), a ACH pode fornecer tanto informações qualitativas como informações quantitativas. Os resultados qualitativos identificam as ações críticas que um trabalhador deve realizar para desenvolver uma tarefa a contento, identificar ações errôneas (não desejadas) que podem degradar o sistema, identificar situações de erro provável, e identificar quaisquer fatores que poderiam mitigar erros no desempenho de qualquer ação. Os resultados quantitativos são estimativas numéricas da probabilidade de que uma tarefa será desenvolvida de maneira incorreta ou de que ações não desejadas serão realizadas. Conforme mencionado na publicação Avaliando Segurança de Processo na Indústria Química: O Guia do usuário para Análise Quantitativa de Risco 4 do Conselho Americano de Química e do Centro para Segurança de Processo Químico, estes resultados são um insumo necessário para avaliações abrangentes quantitativas de risco de unidades ou instalações de processo. No entanto, os gerentes devem perceber que os resultados qualitativos de uma ACH são tão valiosos quanto quaisquer estimativas quantitativas de probabilidades de erro humano. A antecipação e o controle de impactos potencialmente adversos de ações humanas ou interações entre o humano e o sistema são partes integrais da administração de segurança do processo. Por exemplo, manter procedimentos atuais de planta irá ajudar a assegurar que os trabalhadores possam diagnosticar problemas no processo e possam responder de maneira correta a situações de emergência. Analisar projetos antes que eles sejam instalados irá ajudar a eliminar erros de projeto e identificar maneiras de reduzir a probabilidade de erros humanos que possam de maneira adversa afetar a qualidade, produtividade ou segurança. Em última instância, o termo “erro humano” não deveria ter mais conotação de culpa ou emoção que o termo “falha de hardware”. Mais que procurar culpar ou punir um trabalhador quando um incidente ocorre, os gerentes deveriam procurar as causas primordiais na situação de trabalho. Somente se os gerentes reconhecerem e aceitarem a sua responsabilidade para identificar e eliminar situações de provável risco no local de trabalho, poderá haver uma redução significativa na frequência e severidade dos erros humanos. Diretamente envolver os trabalhadores nestes esforços é a melhor maneira de atingir os seus objetivos. A engenharia de fatores humanos é um instrumento importante, que os gerentes podem utilizar em sua busca por uma organização muito mais segura e mais produtiva.
Seção 1 INTRODUÇÃO 1.1IMPORTÂNCIA DE SE MELHORAR O DESEMPENHO HUMANO O que causou o último problema em processo de sua planta? O último problema de qualidade? A última parada não programada? O último acidente? É provável que você tenha considerado o erro humano ou como a causa direta (por exemplo, um operador abrindo a válvula errada) ou como uma causa que contribuiu de maneira significativa (por exemplo, um operador que falhasse em ligar a bomba sobressalente rápido o suficiente) para o problema do processo. E agora que o(s) indivíduo(s) culpado(s) foi aconselhado, disciplinado ou despedido, você se sente seguro(a) de que um erro similar jamais acontecerá novamente. Durante os últimos cinco anos, cerca de 30 acidentes grandes em instalações de processamento químico e de hidrocarbonetos feriram gravemente centenas de pessoas, contaminaram o meio ambiente, e causaram prejuízos de mais de dois bilhões de dólares a propriedades.1,2 O custo verdadeiro desses acidentes foi muito mais alto, devido ao fato de existirem custos associados de interrupção de negócios, custos de limpeza, custos jurídicos, multas, perdas de fatia de mercado, e assim por diante. O custo total (incluindo paradas forçadas e produtos fora de especificação, bem como os acidentes) de erros humanos nas indústrias de processo é incalculável. Historicamente, os gerentes têm descoberto que os erros humanos são fatores significativos em quase todos os problemas de qualidade, parada de produção, ou acidente em suas instalações. Um estudo 5 de 190 acidentes em instalações químicas descobriu que as quatro principais causas eram o conhecimento insuficiente (34 porcento), erros de projeto (32 porcento), erros de procedimento (24 porcento) e erros do operador (16 porcento).* Um estudo 6 de acidentes em unidades petroquímicas e de refinaria identificaram as seguintes causas: falhas de projeto e de equipamentos (41 porcento), erros do operador e de manutenção (41 porcento), procedimentos impróprios ou inadequados (11 porcento), inspeção inadequada ou imprópria (5 porcento), e causas diversas (2 porcento). Em sistemas nos quais um alto grau de redundância de hardware minimiza as consequências de falhas de um único componente, os erros humanos podem compreender cerca de 90 porcento da probabilidade de falha do sistema. 3 Claramente, os erros humanos foram considerados a causa de uma fração dominante dos acidentes que foram avaliados nestes estudos. No entanto, quando você para e pensa sobre estes resultados, eles não são realmente surpreendentes porque existe o potencial para o erro humano em todos os aspectos da produção, refinaria ou fabricação, conforme indicado na Tabela 1. O desafio para um gerente é criar maneiras efetivas de reduzir a frequência de erros humanos associados a estas atividades e reduzir a probabilidade de que qualquer erro que aconteça irá afetar a planta de maneira adversa. Os gerentes devem também criar meios para aprender de incidentes reais e dos que quase chegaram a acontecer e implementar as ações corretivas apropriadas. A recompensa para a criação e implementação de tais programas serão melhoras tangíveis na segurança, qualidade e produtividade do processo. _______________________________ As porcentagens totalizam mais que 100% porque mais de uma causa podia ser • listada para um acidente.
Tabela 1 Oportunidades para o Erro Humano Pesquisa/Desenvolvimento/ O químico não reportou que o composto se expandia ao ser Exploração congelado Projeto
O engenheiro não especificou o indicador de calor para uma linha de bypass de um trocador de calor que subsequentemente congelou e se partiu
Construção/Instalação
O contratante não instalou o indicador de calor numa linha de bypass de um trocador de calor que subsequentemente congelou e se partiu
Treinamento/Procedimentos Os operadores não sabiam onde ligar o indicador de calor numa linha de bypass de um trocador de calor que subsequentemente congelou e se partiu Operação Os operadores negligenciaram a sua verificação diária do indicador de calor, que eventualmente falhou, permitindo que a linha de bypass do trocador de calor viesse a congelar e se partir Manutenção/Inspeção Os instaladores de juntas de linhas não substituíram o localizador de calor que eles comprimiram ao reparar o vazamento de um flange, permitindo assim que a linha de bypass do trocador de calor viesse a congelar e se partir Plano de Administração O gerente postergou a ativação do sistema de indicação de calor para economizar energia, mas o tempo frio não previsto congelou e rompeu várias linhas e vasos Administração Corporativa A administração corporativa fez cortes no orçamento da planta, forçando tamanhas reduções de pessoal que o indicador de calor não foi ativado de forma alguma quando o tempo frio chegou, resultando numa parada da planta devido ao congelamento de linhas
1.2 OBJETIVOS E ORGANIZAÇÃO DESTE GUIA
O objetivo principal deste Guia é ajudar você a compreender os princípios de engenharia de fatores humanos que você pode utilizar para melhorar o desempenho humano em suas instalações. Para torná-lo simples, este Guia enfoca as maneiras de reduzir erros de operação e de manutenção, mas muitas das idéias poderiam também ser aplicadas a atividades de pesquisa, desenvolvimento, projeto, construção, treinamento e administração. A primeira parte deste Guia é projetada para equipar você com a compreensão básica do erro humano e alguma coisa do jargão que você irá encontrar no campo da engenharia de fatores humanos, mas a maior parte deste Guia é projetada para lhe ajudar a reconhecer algumas das causas dos erros humanos, e os erros estão ilustrados com algumas histórias simples de casos. Integradas a estas descrições, estão sugestões para a eliminação de situações de erro provável que você identifica. O Apêndice 1 contém um questionário que você pode utilizar para lhe ajudar a avaliar de maneira crítica o potencial para erros humanos em sua empresa. A porção final deste Guia é devotada a explicar como a engenharia de fatores humanos e análise de confiabilidade humana (ACH) estão interrelacionadas a outras atividades de administração de segurança do processo. Em particular, ela discute como a ACH pode ser utilizada em conjunto com quaisquer técnicas quantitativas ou qualitativas de avaliação de risco que você pode empregar como parte do seu processo de administração de segurança do processo. O Apêndice 3 mostra como a ACH pode ser aplicada a um problema prático de processo.
Seção 2 COMPREENDENDO O ERRO HUMANO 2.1 DEFINIÇÃO DE ERRO HUMANO Toda tarefa que deve ser executada por um ser humano constitui-se numa oportunidade para erro. No entanto, ainda que duas pessoas (e nem mesmo um indivíduo) não executem a mesma tarefa exatamente da mesma maneira por duas vezes, pequenas variações na execução de uma tarefa são normalmente algo sem consequência. Somente quando algum limite de aceitabilidade é excedido, uma variação passa a ser considerada um erro humano. Assim sendo, uma definição prática de erro humano é qualquer ação humana (ou falta da mesma ação) que exceda as tolerâncias definidas pelo sistema com o qual o ser humano interage. Qualquer discussão de erro humano deve considerar as ações e limites específicos envolvidos numa tarefa em particular. Por exemplo, pode-se dizer a um operador para adicionar 10 libras de catalisador depois que um reator por lotes seja aquecido a 200 graus. O operador poderá adicionar mais ou menos catalisador; adicionar catalisador mais cedo ou mais tarde, adicionar o catalisador rapidamente ou lentamente; adicionar um catalisador diferente; ou simplesmente esquecer de adicionar qualquer catalisador. O operador poderá também escolher uma pá azul ou vermelha para medir o catalisador. Qualquer destas variações não tem consequências a menos que ela tenha o potencial para causar uma reação de fuga (acidente), para estender o tempo de processamento (perda de produção), ou para gerar um produto fora da especificação (problema de qualidade). Somente então a variação seria considerada um erro humano. Infelizmente, os limites para o desempenho humano raramente são bem definidos, até que alguém os tenha excedido pelo menos uma vez, sob circunstâncias que tenham resultado num problema real. Em geral existem dois tipos de erros humanos: os não intencionais e os intencionais. Os erros não intencionais são ações cometidas ou omitidas sem nenhum pensamento prévio. Nós tipicamente pensamos sobre estes como “acidentes”: esbarrar no interruptor errado, fazer uma leitura errada de um medidor, esquecer de abrir uma válvula, derramar café no console do controle, e assim por diante. Caso o trabalhador pretendesse a ação correta, mas simplesmente a fez de maneira errada, o erro é algumas vezes chamado de “escorrego”; se o trabalhador esqueceu de executar a ação, o erro é algumas vezes chamado de “lapso”. Os desvios intencionais (erros) são ações que deliberadamente cometemos ou omitimos porque acreditamos, seja por qual razão for, que as nossas ações estão corretas e que elas serão melhores que as ações prescritas. Quando os trabalhadores fazem o diagnóstico errado da causa verdadeira de um problema, eles irão intencionalmente executar ações errôneas na medida em que tentarem responder. Por exemplo, os operadores de outras plataformas de petróleo que se interconectam, na verdade pioraram o fogo no Piper Alpha em 1988 porque eles não compreenderam o que estava acontecendo e não responderam de maneira apropriada. Outros desvios intencionais são “atalhos” ou “violações” que não são reconhecidos como erros humanos até que apareçam as circunstâncias nas quais eles excedem as tolerâncias do sistema. Exemplos de erros como esses incluem não aterrar eletricamente containers de líquidos inflamáveis, tentar dar partida novamente a uma fornalha sem purgar a câmara de combustão, adicionar um pouco de catalisador extra para acelerar o início de uma reação, e assim por diante.
Existe uma distinção importante entre desvios intencionais e comportamento maldoso: motivo. Um desvio intencional não tem a intenção de prejudicar o sistema, mas o seu efeito sobre o sistema pode acabar sendo indesejável. Uma ação maldosa (por exemplo, sabotagem) não é de maneira nenhuma um erro – é uma ação deliberada que tem por intenção produzir um efeito prejudicial. Como utilizado neste Guia, o termo erro humano não inclui atos maldosos.
2.2 TEORIA DO ERRO HUMANO A diversidade humana tanto é uma benção quanto uma maldição: ela nos permite aprender, nos adaptarmos, nos especializarmos, e realizarmos todos os diferentes papéis em nossa sociedade, mas também nos permite fazer coisas de maneiras que sistemas não conseguem tolerar. A qualquer momento, qualquer indivíduo está apto a sentir, pensar e fazer qualquer de incontáveis coisas. Considerando o número muito grande de coisas que podemos fazer a qualquer momento, é impressionante que nós consigamos realizar tantas tarefas com sucesso. Os humanos são peças extremamente interativas e adaptáveis de qualquer sistema. Como mostra a ilustração da Figura 1, as interações humanas com um sistema podem ser simplesmente modeladas como cinco funções distintas. Primeiramente, o hardware do sistema ou outro humano no sistema deve fornecer algum insumo externo. O insumo pode ser tão óbvio quanto um flamejar, um alarme que toca, ou algo tão sutil quanto uma pequena modificação na forma ou intensidade dos sons de fundo. Devemos então nos tornar ativamente conscientes do insumo, discriminando-o de outros insumos que são sentidos e reconhecidos. Esta consciência pode ser modificada através de feedback interno, conforme indicado na figura, devido ao fato de que (1) os nossos modelos mentais e expectativas influenciam a nossa percepção de novas informações e (2) as nossas próprias respostas afetam a nossa habilidade em perceber novas informações. Por exemplo, você menos provavelmente irá ouvir e compreender o que outra pessoa está dizendo se você próprio(a) está falando.
Selecionamos então uma resposta apropriada para as informações percebidas. O processo cognitivo é influenciado por fatores como treinamento, memória, objetivos, intenções, personalidade, atitude, motivação, estado de espírito, stress, e conhecimento, mas o resultado definitivo é decidir enquanto a ação está em curso. Caso a resposta às informações percebidas seja frequentemente praticada (como frear o seu automóvel quando você avista as luzes do freio do automóvel à sua frente), o esforço mental necessário é ínfimo. Em comportamentos como esses que são baseados em habilidades, parecemos pular diretamente da percepção à resposta sem necessidade de pensamento consciente. Independentemente do caminho mental, eventualmente produzimos algumas respostas que acreditamos serem apropriadas. A resposta pode envolver o movimento de nossos membros, o uso de nossa voz, ou nenhuma ação. A nossa resposta então se torna um insumo para o sistema na medida em que manipulamos controles, ajustamos equipamentos, ou dirigimos as ações de outros humanos. Um sistema bem projetado irá nos alimentar com informações que irão alterar os insumos externos que deram ocasião à nossa ação inicial. Isto permitirá que nós repitamos o ciclo tantas vezes quantas sejam necessárias para alcançar as condições desejadas do sistema, assumindo que o tempo suficiente está disponível. O erro humano é um resultado natural e inevitável da variabilidade humana em nossas interações com um sistema. Qualquer que seja a tarefa, o erro humano é melhor compreendido em termos da variabilidade humana que reflete as influências de todos os fatores pertinentes no momento em que as ações são executadas. Existem três tipos básicos de variabilidade, e sabendo qual destes tipos ocorre num dado caso irá ajudar a explicar por que erros ocorrem e o que pode ser feito a respeito deles. Para ilustrar estes tipos, vamos considerar um atirador com um rifle disparando 10 tiros contra um alvo e vamos chamar qualquer tiro fora do alvo de erro.
1. A variabilidade randômica é caracterizada por um padrão de dispersão (Figura 2) centrada numa norma desejada – o alvo neste exemplo. Quando a variabilidade é grande, alguns tiros irão errar o alvo. Erros devidos a variabilidade randômica são chamados de erros randômicos. Somente reduzindo-se a variabilidade geral do desempenho pode-se reduzir esses erros. A seleção de pessoal, treinamento, supervisão e programas de controle de qualidade são maneiras de se controlar a variabilidade randômica. Os erros randômicos ocorrem quando estes programas são deficientes, quando os limites de tolerância são muito estreitos, ou quando os trabalhadores não conseguem controlar fatores chave de desempenho.
2. A variabilidade sistemática é caracterizada por um padrão de dispersão (Figura 3) determinado a partir de uma norma desejada. Embora a variabilidade possa ser pequena, a propensão pode conduzir alguns dos tiros para fora do alvo. Esses erros são chamados de erros sistemáticos. A propensão é frequentemente o resultado de somente um ou dois fatores e pode ser facilmente corrigida. No exemplo, um ajuste da mira da arma (ou óculos) poderão colocar o atirador com o rifle bem no alvo. Os erros sistemáticos ocorrem, por exemplo, quando os trabalhadores recebem somente um limite ao invés de um limite inferior e um limite superior; eles podem deliberadamente tentar ficar do lado aparentemente seguro (ilimitado). As propensões podem também existir em instrumentos, equipamentos, instruções, ou na personalidade do trabalhador, treinamento, ou experiência. Dizer aos trabalhadores o quanto eles estão indo bem no que se refere a objetivos verdadeiros irá ajudar a reduzir os erros sistemáticos.
3. A variabilidade esporádica é caracterizada por um desvio ocasional, como um aglomerado de tiros com um tiro bem longe da marca (Figura 4) por razões que podemos imaginar de imediato – uma distração súbita, um movimento involuntário, etc. Em situações de trabalho, quando os trabalhadores foram bem treinados e lhes
foi dado um grau razoável de controle sobre os principais fatores de desempenho, a maioria dos erros é devida a uma variabilidade esporádica. Esses erros esporádicos são os mais difíceis a serem previstos ou reduzidos, uma vez que ocorrem com pouca frequência e podem não parecer estar relacionados aos fatores da situação de trabalho. Eles não são corrigidos através de treinamento adicional ou doutrinamento pelo fato de não serem o resultado de conhecimento ou motivação inadequados. Para reduzir os erros esporádicos, devemos categorizar os erros e as condições sob as quais eles ocorrem, de maneira que os erros possam ser relacionados a condições que possam ser controladas.
2.3 FATORES DE MODELAGEM DE DESEMPENHO Pode-se pensar no operador como um elemento essencial em todo o sistema de processo, conforme ilustrado na Figura 5. Para minimizar erros humanos, os gerentes devem assegurar que a interface operador-máquina, que inclui interações com outros trabalhadores com equipamento e o meio ambiente, é compatível com as capacidades, limitações e necessidades do trabalhador. Qualquer coisa que afete o desempenho de um trabalhador numa tarefa dentro do sistema de processo é um fator de modelagem de desempenho (FMD). FMDs podem ser divididos em três classes: (1) FMDs internos, que agem dentro do indivíduo, (2) FMDs externos, que agem no indivíduo e (3) fatores de stress. A Tabela 2 lista alguns FMDs internos, que são as habilidades individuais, atitudes e
Outras características que um trabalhador traz para qualquer trabalho. Algumas destas, como o treinamento podem ser melhoradas pelos gerentes; outras, como o problema emocional de curto prazo ocasionado por uma crise familiar estão além de qualquer controle prático da administração. (No entanto, o estilo de um gerente pode influenciar os estados mental e emocional de trabalhadores, como podem os programas de orientação). Tabela 2 FMDs Internos (Baseados na Tabela 3-2 da Referência 7) Treinamento/Habilidade Prática/Experiência Conhecimento de Padrões de Desempenho Necessário Stress (Tensão Mental ou Física) Inteligência Motivação/Atitude para o Trabalho Personalidade Estado Emocional Sexo Condição Física/Saúde Influências da Família e de Outras Pessoas ou Agências Externas Identificações com Grupos Cultura
A Tabela 3 lista FMDs externos que influenciam o ambiente em que as tarefas são realizadas. Estes FMDs estão divididos em dois grupos: (1) características situacionais e (2) tarefa, equipamentos e características de procedimento. As características situacionais incluem FMDs gerais eu podem afetar muitos empregos diferentes na planta. As características de equipamentos e de tarefas são pertinentes a um trabalho específico ou uma tarefa específica dentro de um trabalho. Instruções de trabalho e de tarefa são uma parte especialmente importante das características de tarefa, porque elas têm um efeito bastante grande sobre o desempenho humano. Ao enfatizar a importância de se preparar e de manter instruções de tarefas claras e precisas, os gerentes podem reduzir de maneira significativa a probabilidade de erros humanos. Tabela 3 FMDs Externos (Baseados na Tabela 3-2 da Referência 7) CARACTERÍSTICAS SITUACIONAIS TAREFA, EQUIPAMENTOS E CARACTERÍSTICAS DE PROCEDIMENTO Características de Arquitetura Procedimentos (Escritos ou Não Escritos) Ambiente Comunicações Escritas ou Orais (Temperatura, Umidade, Qualidade do Ar, Cuidados e Advertências Iluminação, Ruído, Vibração, Limpeza Métodos de Trabalho/Práticas de Oficina Geral, etc) Estrutura de Equipe e Comunicação Horas de Trabalho/Intervalos de Trabalho Necessidades de Percepção Rodízio de Turnos Necessidades Físicas (Velocidade, Força, Disponibilidade/Adequação de etc) Equipamentos Especiais, Instrumentos e Necessidades de Antecipação Insumos) Interpretação e Tomada de Decisões Níveis de Pessoal Complexidade (Carga de Informações) Estrutura Organizacional Carga de Memória de Curto e Longo Prazo (Autoridades, Responsabilidade, Canais de Necessidades de Cálculo Comunicação, etc) Feedback (Conhecimento de Resultados) Ações desenvolvidas por Supervisores, Fatores de Interface de Hardware Colegas, Representantes de Sindicatos, e (Projeto do equipamento de Controle, Pessoal de Regulamentação Equipamento de Teste, Auxílios ao Políticas da Planta Trabalho, Instrumentos, Objetos, etc) Relações de Controle-mostra Capacidade de Crítica de Tarefa Frequência/Repetitividade A interação entre os FMDs internos e externos cria stress no indivíduo que está desenvolvendo a tarefa. A não combinação entre os nossos FMDs internos e externos resulta num stress que degrada o nosso desemprenho. Caso haja muito pouca estimulação, não permaneceremos suficientemente atentos para realizar um bom trabalho. Por exemplo, um operador que passivamente observa enquanto um computador opera o processo provavelmente não estará alerta o suficiente para assumir o controle e continuar a operação no momento em que o computador falhar. Por outro lado, estimulação em excesso rapidamente irá nos sobrecarregar e degradar o nosso desempenho. Em situações como essas, tendemos a (1) focalizar os sinais maiores ou mais notados e completamente ignorar algumas informações, (2) omitir ou postergar algumas respostas, (3) processar informações de maneira incorreta e rejeitar informações que conflitem com o nosso diagnóstico ou decisão, ou (4) retirarmo-nos mental e/ou fisicamente. Fatores de stress, tanto psicológicos quanto fisiológicos, que levam à interrupção, estão listados na Tabela 4.
Tabela 4 FMDs Causadores de Stress (Baseado na Tabela 3-2 na Referência 7) Fatores de Stress Psicológicos Fatores de Stress Fisiológicos Início Inesperado Longa Duração do Stress Alta Velocidade da Tarefa Fadiga Carga Pesada da Tarefa Dor ou Desconforto Alto Risco de Exposição Fome ou Sede Ameaças (de Falha, de Perda do Emprego, Extremos de Temperatura etc) Trabalho Monótono, Degradante ou Sem Radiação Sentido Períodos de Vigilância Longos, sem Deficiência de Oxigênio Acontecimentos Motivos Conflitantes sobre o Desempenho Exposição Química no Trabalho Reforço Negativo Vibração Privações de Sensibilidade Constrição de Movimento Distrações (Ruído, Clarão, Movimento, etc) Repetição de Movimentos Sugestões Inconsistentes Falta de Exercício Físico Falta de Recompensas, Reconhecimento e Interrupção do Ritmo Circadiano Benefícios Embora o stress normalmente tenha uma conotação negativa, algum stress é na verdade necessário para que os seres humanos funcionem a um desempenho ótimo, conforme ilustrado na Figura 6. O stress facilitador é qualquer coisa que nos desperte, que nos alerte, que nos deixe propensos à ação, nos emocione ou nos deixe ansiosos. Quando existe uma boa combinação entre os FMDs internos e externos, nós passamos pelo stress facilitador e o nosso desempenho vai ao seu melhor ponto. Os gerentes devem reconhecer que a maioria dos FMDs (incluindo muitos FMDs internos) estão dentro de seu controle. Ao projetar situações de trabalho que são compatíveis com as necessidades, capacidades e limitações humanas, e observando cuidadosamente trabalhadores com as necessidades de trabalho, os gerentes podem criar condições que otimizem o desempenho do trabalhador e minimizem os erros humanos.
Seção 3 ESTRATÉGIAS PARA MELHORAR O DESEMPENHO HUMANO Ao contemplar maneiras de melhorar o desempenho humano, existem dois tipos básicos de erros que os gerentes devem abordar: (1) erros cujos fatores causais primários sejam as características humanas individuais que não estão relacionadas à situação de trabalho e (2) erros cujos fatores causais primários estejam relacionados ao projeto da situação de trabalho. As políticas de contratação e de designação para determinado trabalho são caminhos importantes através dos quais os gerentes poderão reduzir as causas do primeiro tipo de erro. No entanto, a qualquer dia, o trabalhador poderá estar emocionalmente perturbado, fatigado, poderá estar fazendo uso de medicação/drogas, etc, e poderá cometer um erro. Especialistas em fatores humanos entretanto estimam que somente 15-20porcento 3 de erros no local de trabalho são basicamente causados por tais características humanas internas. A grande maioria (80-85porcento)3 dos erros humanos resulta fundamentalmente do projeto da situação de trabalho (as tarefas, equipamentos e ambiente) que os gerentes controlam diretamente. Ao fornecer os recursos necessários para identificar e eliminar situações de erro provável, os gerentes podem melhorar os FMDs e reduzir dramaticamente a frequência de erros humanos. Esta estratégia é denominada abordagem de situação de trabalho, e envolve os elementos descritos na Tabela 5.
Tabela 5 Elementos da Abordagem de Situação de Trabalho Implementar uma boa engenharia de fatores humanos em sistemas de controle, • equipamentos de processo e ambiente de trabalho • Prover procedimentos e instruções claros e precisos, além de outras ferramentas auxiliares Prover treinamento e prática que sejam relevantes para o trabalho • • Prover maneiras de detectar e corrigir erros humanos antes que uma consequência não desejada aconteça Prover caminhos para que os trabalhadores possam alcançar suas necessidades • psicológicas e sociais Para maximizar os benefícios de uma estratégia como essa, os gerentes devem envolver os próprios trabalhadores em todas as oportunidades. Afinal de contas, são os trabalhadores que melhor podem identificar fatores que podem dificultar o seu desempenho e que irão apoiar de maneira entusiástica uma estratégia desse tipo caso não sejam penalizados por dizerem a verdade.
3.1 EXEMPLOS DE SITUAÇÕES DE PROVÁVEL ERRO Esta seção descreve de maneira breve várias situações de trabalho que provavelmente conduzirão a erros humanos. A intenção é que ela sirva como um ponto de começo para ajudar você a identificar situações de provável erro em sua companhia.
3.1.1 Procedimentos Deficientes Bons procedimentos escritos ajudam a assegurar que todos os operadores qualificados podem operar um sistema de maneira correta e segura. Os procedimentos devem, de maneira explícita, formular as ações apropriadas que um trabalhador deve levar a cabo durante a partida, parada, operação normal, e condições de problema/emergência, e as razões para essas ações devem ser explicadas durante o treinamento. As instruções de tarefas devem ser escritas em linguagem simples e compreensível num formato (incluindo os diagramas e figuras apropriados) que os trabalhadores usariam (ver itens 49 a 57 na bibliografia). Para ajudar a assegurar que os procedimentos são precisos e úteis, os gerentes deverão envolver os próprios trabalhadores na escrita e validação dos procedimentos. Infelizmente, nem todas as plantas têm procedimentos atuais e completos que sejam úteis para os trabalhadores. Algumas dela têm somente os procedimentos originais rascunhados pelos engenheiros de projeto e/ou equipe de partida; outras possuem procedimentos incompletos, ou simplesmente não os têm. Caso tenha havido tantas modificações de processo desde que os procedimentos escritos foram atualizados pela última vez, de maneira que eles já não mais estejam corretos, os trabalhadores irão criar os seus próprios procedimentos não oficiais que poderão não abordar de maneira adequada as questões de segurança. Alguns “procedimentos” são realmente listas de verificação que somente um especialista conseguiria acompanhar; outros são manuais de treinamento tão volumosos que não são apropriados para o uso diário. Os procedimentos errôneos, incompletos, não existentes, ou complexos em excesso estabelecem as condições para os erros humanos, como o exemplo que se segue ilustra:
•
Um sistema projetado para fazer circular uma solução de um sal metálico através de um filtro foi modificado, de maneira que ele pudesse ocasionalmente ser utilizado para bombear uma solução de peróxido através de uma linha de bypass do filtro. As ordens verbais foram dadas no sentido de que nunca se bombeasse o peróxido através do filtro, mas os procedimentos escritos não foram revisados. Eventualmente, um operador novo seguindo os procedimentos escritos bombeou o peróxido através do filtro, que explodiu quando o peróxido entrou em contato com os metais contaminantes coletados no filtro.
3.1.2 Instrumentação Inadequada, Inoperante ou Enganosa Os instrumentos são as fontes primárias de informações para os trabalhadores sobre um processo. Caso os instrumentos sejam inadequados ou inoperantes, os trabalhadores precisam “preencher as lacunas” e deduzir condições de processo a partir de outros instrumentos ou indicações. Isto aumenta em muito a probabilidade de erro humano. Pior ainda, caso um instrumento esteja mal calibrado, enganoso ou tenha falhado (mas aparentemente está funcionando), os trabalhadores poderão ser levados a ações que não são apropriadas (ou não-ações). Isto é particularmente provável ocorrer quando se confia em interruptores para disparar alarmes (alta pressão, baixo nível, etc.) mas eles nunca são testados ou reparados a menos que eles falhem de maneira tal que as operações sejam interrompidas (por exemplo, alarmes espúrios ou paradas inadvertidas). Os seguintes incidentes resultaram de falhas de instrumentos: •
A válvula de alívio num separador de baixa pressão atuou durante operações aparentemente normais. Os operadores verificaram que a pressão do separador estava normal, e em sua pressa em interromper a liberação, eles bloquearam a válvula de alívio “ruim” antes de desbloquear a válvula de alívio paralela. O separador imediatamente se rompeu e matou dois operadores. O transmissor de pressão no separador havia falhado, fechando a válvula de fluxo normal e enviando um sinal falso para a sala de controle.
•
Os operadores confiaram num calibrador de pressão para indicar o nível num tanque cáustico concentrado pelo fato do visor de nível ter a tendência a ficar obstruído. Os operadores eventualmente encheram em excesso (e romperam) o tanque porque uma camada de hidrocarboneto de baixa densidade havia se acumulado acima do produto cáustico. O calibrador de pressão era uma indicação válida do nível do tanque somente enquanto a densidade do conteúdo do tanque não se modificou.
•
Um operador esqueceu de abrir uma válvula de ventilação de ar antes de preencher a unidade com monômero. Os operadores perceberam que a unidade estava enchendo mais lentamente que o habitual, mas assumiram que o filtro de sucção da bomba de enchimento estava obstruindo, já que isso havia acontecido anteriormente. Eventualmente, na medida em que a bomba se aproximou de sua pressão máxima de descarga (90 psig), o ar comprimido aprisionado e o monômero reagiram violentamente, e a explosão partiu a unidade ao meio. Os operadores não perceberam o aumento de pressão na unidade porque nenhum dos transmissores de pressão foi preciso com relação a pressões menores que 250 psig. (A pressão normal de operação era de 750 a 1000 psig).
•
O único instrumento de monitoramento do nível numa esfera de estocagem de hidrocarboneto leve indicava que o nível da esfera estava baixo. Os operadores bombearam o hidrocarboneto para dentro da esfera até que ela se rompeu como resultado de ter sido preenchida em excesso e de ter sofrido um stress excessivo também. A nuvem de vapor entrou em ignição, e a bola de fogo resultante espalhou detritos incandescentes por toda a planta. Os tanques de armazenamento adjacentes também pegaram fogo e explodiram, e posteriormente todos os tanques foram destruídos.
3.1.3 Conhecimento Insuficiente Os trabalhadores devem desenvolver um modelo mental preciso do sistema de processo, de maneira que possam diagnosticar problemas de processo e compreender as consequências de suas ações. A única maneira através da qual esses modelos podem ser construídos é treinando-se completamente os operadores não somente no que e no como fazer alguma coisa, mas também no porquê fazê-la. Os trabalhadores deverão demonstrar a sua proficiência (através de testes, conversas sobre o assunto, etc) antes de lhes ser permitido trabalhar de maneira independente. O treinamento deve ser reforçado com exercícios periódicos, de maneira que os trabalhadores possam praticar e aperfeiçoar as suas habilidades. O conhecimento inadequado inevitavelmente resulta em erros humanos, tais como os que são descritos abaixo: •
O operador utilizou o volume do fundo da coluna como uma coluna de oscilação hidráulica, e ele deliberadamente aumentou o nível em antecipação à alimentação reduzida para a coluna. O operador não compreendeu que a válvula de alívio não iria trabalhar adequadamente quando a sua entrada fosse inundada pelo nível de excesso na coluna. Ao ocorrer uma pressão excessiva, houve uma ruptura na coluna.
•
A operadora não compreendeu os perigos de se combinar catalisador e reagentes de maneira descontrolada. Quando ela percebeu que o agitador havia disparado, ela imediatamente levou novamente ao ponto inicial o interruptor do sistema e também levou ao ponto inicial o agitador. A agitação súbita de materiais estratificados deu início a uma reação em cadeia que fez explodir a cabeceira do reator pelo telhado do prédio.
•
O supervisor não percebeu o quão rapidamente os vapores saturados de ácido hidrofluórico atacava o aço carbono, de maneira que ele tentou continuar funcionando até a próxima sequência, ao invés de fechar o sistema para executar o reparo do condensador que estava vazando. Alguns dias mais tarde, o cabeçote fez explodir o condensador já bastante corroído, liberando uma nuvem de vapor tóxico.
3.1.4 Prioridades Conflitantes Erros na tomada de decisão frequentemente acontecem quando os trabalhadores têm prioridades conflitantes, particularmente entre segurança e produção. Caso as recompensas pela produção sejam muito mais tangíveis que as recompensas pela segurança, muitos trabalhadores farão todo o possível para manter uma unidade produtiva. Caso os trabalhadores tenham receio de punição/ridículo por pararem uma unidade “desnecessariamente” (ainda que tenha sido o curso de ação seguro), então os trabalhadores poderão falhar na parada de uma unidade a tempo de evitar que um problema no processo venha a causar um acidente. Os gerentes devem assegurar que os trabalhadores tenham critérios claros para a parada de uma unidade ou para a interrupção de uma atividade, de maneira que o receio de serem criticados não irá interferir na tomada de decisão dos trabalhadores. O caso abaixo ilustra como as prioridades conflitantes podem piorar as emergências: •
O operador reconheceu que a pressão estava aumentando no reator de polimerização, mas ele estava relutante em injetar a solução de ácido acético diluído, porque ela levaria dias para ser retirada do sistema. Somente depois de utilizar todas as outras opções (parar as alimentações, aumentar o resfriamento, etc) o operador injetou a solução de ácido acético diluído, mas já era muito tarde para evitar uma reação em cadeia.
•
Os bombeiros estavam controlando com água um derramamento em fogo de um pesticida . Ainda que a área represada tivesse sido completamente cheia de água, alguns incêndios secundários ainda queimavam na unidade. Ao invés de abandonar a unidade e deixar que os incêndios se extinguissem, os bombeiros continuaram a aplicar água. A água contaminada pelo pesticida teve um fluxo excessivo que alcançou o sistema de esgotos para tempestades da planta e para outras áreas sendo que a limpeza foi muito mais caro que o valor do equipamento salvo pela ação continuada dos bombeiros.
•
O operador percebeu que a densidade da lama estava muito baixa, mas decidiu continuar a perfurar. Antes que a densidade apropriada da lama fosse restaurada, a broca atingiu um bolsão de gás, resultando na explosão de um tanque.
3.1.5 Sinalização Inadequada Uma das maneiras mais simples de se reduzir erros de seleção é sinalizar de maneira clara e sem ambiguidade todos os controles e equipamentos. A sinalização é particularmente útil para os trabalhadores novos, para trabalhadores que somente interagem com o sistema de maneira ocasional, e para trabalhadores experientes em situações de stress (por exemplo, ao responder a uma emergência). Ainda que boa sinalização seja instalada em unidades novas, ela rapidamente será rasgada, pintada por cima, coberta por isolamento, ou ficará ultrapassada por modificações no equipamento ou em materiais de processo, amenos que um funcionário tenha a responsabilidade e os recursos para mantê-la de maneira diligente. Quando a sinalização está faltando, está incorreta ou é errônea, os trabalhadores cometem enganos tais como os que se seguem: •
Um retificador de alta voltagem para uma célula eletroquímica, sem identificação, tinha sido isolado para manutenção de rotina. O eletricista deixou a área para pegar mais ferramentas, e na volta, tomou por engano um retificador similar, sem identificação, pelo que ele havia trabalhado. O eletricista foi eletrocutado quando ele tocou o retificador energizado.
•
Motoristas de caminhão do fornecedor de ácido tiveram permissão para conectar as suas próprias mangueiras aos tanques de armazenamento e fazer a descarga sem a supervisão do operador porque os mesmos motoristas de caminhão faziam diversas entregas todos os dias. A motorista substituta recebeu acesso de rotina à plataforma de descarga, mas ela conectou a sua mangueira à plataforma adjacente. O ácido reagiu com o conteúdo do tanque, liberando fumos tóxicos e derretendo o tanque.
•
No caso de liberação de um gás tóxico, a placa (Figura 7) ao final do corredor deveria servir para direcionar as pessoas para a descida na mão direita do corredor, mas deveria mantê-las do lado esquerdo, de maneira que a equipe de emergência pudesse ter o caminho livre para entrar no prédio. Quando uma liberação verdadeira aconteceu, vários trabalhadores morreram ao tentar escapar através do corredor de mão esquerda porque a placa requeria processamento de informações em excesso quando os trabalhadores estavam sob o stress do tempo.
•
A unidade de óleo cru tinha perdido o gargalo de escoamento ao inserir-se um terceiro préaquecedor de alimentação (“C”) entre os dois trocadores de calor originais (“A” e “B”). Um operador novo recebeu instruções para isolar o trocador “B” para interromper o vazamento de um tubo, mas ele por engano assumiu que o trocador do meio era o “B” e bloqueou o trocador novo “C”.
Ao estarem nas salas de controle nas unidades de processamento, os gerentes devem estar alertas para as marcas que os trabalhadores fizeram nos instrumentos e equipamentos para corrigir deficiências de sinalização. Você provavelmente vai encontrar marcas a lápis com graxa nas faces do calibrador para indicar os valores normais, fitas adesivas nos painéis de controle para renomear controles ou marcar posições de interruptores, e setas desenhadas nas válvulas de três vias para indicar a direção do fluxo normal. Ao invés de aceitar essas marcações ao acaso e marcas temporárias, você deve assegurar que sinalização clara, precisa e permanente seja instalada onde quer que ela vá ajudar os trabalhadores.
3.1.6 Feedback Inadequado Os trabalhadores requerem feedback imediato para saber se suas ações estão extraindo a resposta desejada do sistema. Quando esse feedback não é dado, os trabalhadores tendem a reagir excessivamente, conforme é ilustrado no exemplo que se segue: •
Um sistema de controle baseado em computadores estava tão sobrecarregado por um problema no processo que ele parou de atualizar os terminais de vídeo na sala de controle. Sem o conhecimento de que as informações mostradas não eram precisas, os operadores sem saber levaram válvulas para os seus limites completamente abertos ou fechados enquanto esperavam que aparecesse alguma resposta. As válvulas posicionadas de maneira errada pioraram o problema, eventualmente causando uma parada de emergência da unidade quando algumas válvulas de alívio atuaram.
3.17 Discrepâncias entre Política e Prática Políticas e procedimentos escritos de uma planta têm significado somente quando são colocados em prática; caso contrário, as práticas do trabalhador são a política. Uma vez que as discrepâncias são toleradas, os trabalhadores individuais têm que utilizar o seu próprio julgamento para decidir quais tarefas são necessárias e/ou aceitáveis. Eventualmente, a ação ou omissão de alguma pessoa irá violar as tolerâncias do sistema e isso resultará num acidente sério como os que são descritos abaixo: •
Ainda que os procedimentos determinassem que os operadores verificassem a continuidade de todos os aterramentos e ligações elétricas dos equipamentos de processo diariamente, somente as verificações visuais eram na verdade realizadas. Um incêndio grave daí resultou, quando uma conexão corroída não foi observada, e uma centelha estática fez entrar em ignição o conteúdo de um tanque.
•
Para retomar a produção o mais rápido possível depois de um problema com uma fornalha, os operadores tinham adquirido o hábito de reacender um queimador e de fazer “pular” a chama para os queimadores adjacentes (o contrário do procedimento escrito). Os supervisores estavam cientes dessa prática e permitiam que ela continuasse pelo fato de economizar tempo e de nunca ter havido problemas significativos. No entanto, quando um dos queimadores não acendeu prontamente, um gás inflamável se acumulou na fornalha e explodiu.
•
Os operadores relataram que o mancal externo de uma bomba de produto foi danificada, mas eles não fecharam a válvula de sucção, de maneira que o fluxo de descarga para as selagens da bomba pudesse ser continuado. Uma vez que o reparo do mancal não envolvia a carcaça da bomba, a equipe de manutenção (violando a política da planta) decidiu continuar sem esperar que o operador isolasse e parasse a bomba. Infelizmente, eles não conseguiram ver que o eixo da bomba estava quebrado. Quando a cobertura do mancal foi removida, o mancal e a ponta do eixo foram forçados para fora do invólucro, e um jato de 3 polegadas de produto a 300o F se espalhou sobre o pessoal de manutenção.
Os gerentes devem vigorosamente fazer valer os procedimentos e políticas da planta, e devem assegurar que as políticas e procedimentos, bem como as práticas, sejam revisados quando necessário, para que sejam consistentes.
3.1.7 Equipamentos Desativados Os trabalhadores esperam que o hardware, particularmente os equipamentos relacionados a segurança, funcionem quando necessário. No entanto, eles não irão tolerar esses equipamentos durante muito tempo caso eles produzam alarmes e disparos espúrios. Quando esses equipamentos são desativados para manter a produção, existe uma chance muito maior de que os trabalhadores não estejam conscientes de um problema ou que não respondam de forma rápida o suficiente, como ilustram os casos que se seguem: •
Um interruptor de alarme de nível escorregou do seu suporte para um reservatório e estava disparando a intervalos de poucos minutos, na medida em que a bomba de poço executava o seu ciclo, ligando e desligando. O operador colocou fita adesiva no botão RECONHECIMENTO no console para parar o alarme incessante, desativando assim todos os alarmes audíveis. Mais tarde, o operador não percebeu uma luz de alarme de alta temperatura, o que eventualmente conduziu a uma grande liberação de vapor tóxico.
•
As operações continuaram mesmo com o controle de nível para o fundo da coluna que estava com mau funcionamento tinha sofrido um bypass. Quando a alimentação da coluna foi perdida, o nível do fundo rapidamente escoou para o vaso de fluxo descendente, que sofreu uma ruptura quando os gases de alta pressão da coluna fluíram para dentro dele.
•
O vendedor já não vendia peças de reposição para o antigo sistema de controle distribuído , e então alguns consoles de operador foram canibalizados para obtenção de peças. Durante um problema, o operador não conseguiu encontrar um teclado funcional rápido o suficiente para evitar um desastre na unidade.
•
O supervisor de manutenção decidiu utilizar temporariamente ar de instrumentos como fonte de ar de respiração para alguns trabalhadores da manutenção, portanto ele desconectou o sistema automático de reserva de nitrogênio. O sistema de reserva de nitrogênio nunca foi reativado, de maneira que no momento em que o compressor de ar de instrumentos disparou, os operadores rapidamente perderam o controle das válvulas pneumáticas. Caso eles soubessem que a reserva de nitrogênio estava desconectada, os operadores teriam começado uma parada controlada, ao invés de ficar observando o processo entrar em colapso e arruinar as partidas em vários reatores.
Em situações similares à do último exemplo, fatalidades têm ocorrido quando a reserva do gás inerte não foi desconectada antes da vítima, deliberada ou acidentalmente, utilizar um sistema de ar de instrumentos como fonte de ar para respiração. Outras fatalidades têm ocorrido quando os equipamentos não estavam isolados ou desenergizados de maneira apropriada para a manutenção, ou os trabalhadores confiaram em instrumentos com mau funcionamento para obter informações. Os gerentes devem instituir controles administrativos adequados para assegurar que o equipamento esteja apropriadamente travado/sinalizado quando necessário para segurança do processo ou do pessoal e para assegurar que o equipamento seja
adequadamente reconduzido ao serviço assim que o perigo tenha passado ou que o equipamento tenha sido reparado.
3.1.8 Comunicação Deficiente Muitos trabalhadores estão envolvidos em operações de processo, e a comunicação clara é essencial. Os gerentes devem assegurar que os trabalhadores compreendam as suas tarefas; um aceno de cabeça ou um resmungo em resposta às suas instruções não são suficientes. Caso instruções sejam passadas de maneira verbal, o trabalhador deverá repeti-las para quem as originou (o gerente ou colega de trabalho), de maneira que se possa verificar a sua precisão. De preferência, quaisquer desvios dos procedimentos normais deverão ser escritos para que os trabalhadores não tenham que confiar em suas memórias. Devem ser mantidos registros que documentem a posição do equipamento e do processo, e o turno que estiver de saída deve discutir os registros com o turno que está chegando. Qualquer pessoa que entre numa unidade de operação por qualquer razão deverá se apresentar e explicar o propósito de sua visita (manutenção, construção, inspeção, etc). Os trabalhadores então estarão cientes da atividade e poderão prestar assistência (inicializando ou emitindo permissões, explicando regras de segurança, localizando o equipamento, etc) conforme seja necessário. Os erros humanos provavelmente ocorrerão quando as comunicações forem rompidas, como é ilustrado abaixo: •
Cada turno normalmente fazia uma partida inteira de resina, mas as falhas de equipamentos haviam interrompido a programação usual. O turno que estava chegando não entendeu de forma correta a situação da partida e misturou uma Segunda bolsa de aditivos. Eles perceberam o seu erro quando o motor do agitador sofreu uma sobrecarga. O processo inteiro precisou ser desmontado, de maneira que a resina solidificada pudesse ser removida.
•
Operadores da unidade haviam praticado a responder a um vazamento de vapor ácido e inventaram um sistema de sinais com as mãos para se comunicar com o pessoal que estivesse respondendo ao escape dentro de roupas completamente encapsuladas. Infelizmente, quando um vazamento verdadeiro ocorreu numa manhã calma, a visibilidade ficou restrita por toda a unidade, em função do nevoeiro induzido pelo ácido. O pessoal de resposta de emergência não conseguia coordenar as suas ações com os operadores da unidade, e as iniciativas de isolar o vazamento não tiveram sucesso inicialmente, resultando numa liberação muito maior.
•
Em preparação para trabalho de construção, o pessoal da planta marcou a localização de um ônibus elétrico subterrâneo através de bandeiras na superfície. O operador de perfuração, pensando que as bandeiras indicassem onde ele deveria cavar, cortou o ônibus e deixou sem luz metade da planta.
3.1.9 Layout Deficiente Qualquer coisa que deva ser monitorada ou manipulada por trabalhadores deve estar localizada em locais convenientes e acessíveis que façam sentido em relação às tarefas que precisam ser realizadas e à sua frequência. Nas salas de controle, os projetistas frequentemente colocam instrumentos, controles e luzes de anúncio onde quer que haja espaço, independentemente da posição dos dispositivos relacionados. No campo, as válvulas de controle e os bypasses podem estar localizados em prateleiras elevadas de tubos, ou válvulas de dreno podem estar enfiadas embaixo de recipientes com acessibilidade insuficiente. Não é realista esperar que humanos utilizem com confiança equipamento que está localizado de maneira inconveniente, conforme está ilustrado nos três exemplos que se seguem: •
Devido ao fato de não haver mais espaço na frente do painel de controle, o técnico de instrumentos instalou o calibrador de pressão na parte de trás do painel. Os operadores subsequentemente penduraram um espelho vindo do teto, de maneira que eles pudessem ver
o calibrador sem ter que deixar a sua estação de trabalho normal. Durante um problema, operadores leram errado a imagem invertida do calibrador e responderam de forma imprópria, eventualmente perdendo o conteúdo do reator quando o disco de ruptura rompeu. •
Um tanque de armazenamento estava equipado com um sistema para interromper reações em cadeia, mas o único “botão de pânico” estava localizado na sala de controle no segundo andar. Ao fazer a ronda, o operador percebeu que a temperatura do tanque de armazenamento estava anormalmente alta, e ele escapou do prédio no momento em que o tanque explodia. Ao se perguntado sobre o porquê de não ter corrido para cima para ativar o sistema de parada rápida, ele respondeu, “Não estava no meu caminho de saída!”
•
Os operadores tinham que olhar de maneira rotineira uma portinhola para verificar marcas de profundidade em cada perna da plataforma. Era inconveniente abrir e fechar a tampa de metal da portinhola para cada leitura, de maneira que a cobertura foi deixada aberta. Durante uma tempestade, as ondas quebraram a portinhola e a água do mar interrompeu o sistema de controle de lastro. Toda a equipe foi perdida quando a plataforma semisubmersível virou de cabeça para baixo e afundou.
3.1.10 Violações de Estereótipos Populacionais Estereótipos populacionais são padrões de comportamento enraizados num grupo de pessoas. Por exemplo, a maioria das pessoas nos Estados Unidos interpretam um sinal vermelho como indicação de parar, esperam fechar uma válvula girando o registro no sentido horário, e tendem a evitar qualquer objeto que se aproxima movendo-se para a direita (Na União Soviética e no Japão, as pessoas se desviariam para o lado esquerdo). Qualquer coisa no local de trabalho que viole os estereótipos populacionais convida ao erro humano, particularmente se o trabalhador estiver sob stress. Isto pode conduzir a acidentes como aqueles a seguir descritos: •
Uma planta de explosivos aumentou a sua capacidade e construiu uma nova sala de controle adjacente àquela que já existia. A válvula de emergência de interrupção de alimentação estava localizada numa linha entre as paredes das duas salas de controle, de maneira que o eixo do volante manual foi simplesmente estendido pela parede para a nova sala de controle. Infelizmente, para esta simples modificação, foi necessário que o volante manual na nova sala de controle fosse girado no sentido anti-horário para fechar a válvula. A planta foi destruída quando um operador na nova sala de controle respondeu a um problema girando o volante manual de válvula de bloqueio da bomba no sentido horário, o que aumentou o fluxo de alimentação ao invés de interrompê-lo.
•
Uma empresa inglesa duplicou um painel de controle padrão na ocasião em que construiu a sua planta nos Estados Unidos. O processo sofreu uma série de problemas quando os operadores americanos puxavam os interruptores para cima para ligar os equipamentos (como um típico interruptor de luz americano), mas os ingleses haviam projetado os interruptores para serem pressionados para baixo para serem ligados (como um típico interruptor de luz inglês).
•
A operadora aumentou a passagem de hidrogênio para a unidade, fechando a válvula de hidrogênio de reciclagem. Durante um problema que necessitava que ela reduzisse o fluxo de hidrogênio, ela instintivamente fechou a válvula ao invés de abri-la, e o hidrogênio aumentado fez com que a unidade disparasse.
3.1.11 Controles Sensíveis em Excesso Quando os controles são muito sensíveis a pequenas modificações nas variáveis do processo, o sistema deve ser projetado de maneira que os trabalhadores tenham uma faixa razoável de movimentos de controle. Por exemplo, erros seriam muito prováveis caso os operadores tentassem regular um fluxo e 57,3 gpm com uma maçaneta de controle que modificasse o fluxo em 1.000 gpm para cada meia volta. Os sistemas sensíveis deveriam também ser projetados para limitar o coeficiente no qual os trabalhadores podem afetar as variáveis do processo. Eles podem ser limites programados no software de controle ou limites físicos (orifícios, abafadores, etc) no campo. Tais limites dão aos trabalhadores tempo para detectar e corrigir erros como os que são descritos a seguir: •
Uma operadora estava modificando a taxa de alimentação de 75 para 100 gpm. Ela inadvertidamente digitou 1.000 gpm no controlador baseado em computador, que respondeu abrindo completamente a válvula de alimentação. A alimentação excessiva causou um rápido aumento de pressão que foi aliviado para o sistema de queima (toda).
•
Um operador estava tentando fazer uma parada de emergência e ele interrompeu o fluxo de hidrocarboneto reciclado, ajustando o controlador de fluxo para 0. A válvula de 12 polegadas fechou, e o martelo hidráulico resultante rasgou a linha de uma coluna de destilação. A nuvem de vapor de hidrocarboneto foi deflagrada, causando dano moderado.
3.1.12 Tarefas Mentais Excessivas Na medida em que se requer dos trabalhadores que lembrem ou calculem mais e mais coisas, as suas chances de erro aumentam de maneira exponencial. Por exemplo, um operador muito menos provavelmente esquecerá um passo de um longo procedimento escrito do que esquecerá uma de muitas instruções orais. Os trabalhadores podem calcular um parâmetro crítico de maneira incorreta ou, ao responder a uma emergência, os trabalhadores poderão não ter tempo de realizar cálculos. As situações de bom trabalho fornecem aos trabalhadores as informações de que eles precisam, o invés de confiar demais em suas capacidades mentais. O exemplo que se segue ilustra os problemas que podem advir do fato dos trabalhadores estarem mentalmente sobrecarregados: •
Era crucial que o conteúdo de um reator fosse mantido logo abaixo do ponto de ebulição durante a fabricação de um composto sensível a choques. Os operadores monitoraram a temperatura e pressão do reator de maneira regular e consultaram um gráfico para controlar o processo. Durante um problema no processo, os operadores calcularam erradamente as condições do processo e permitiram que o conteúdo do reator entrasse em ebulição, o que levou o produto a detonar.
3.1.13 Oportunidades para o Erro Se nós dermos aos trabalhadores oportunidades suficientes para cometer um erro, um irá eventualmente ocorrer, conforme o exemplo que se segue: •
Foi solicitado aos trabalhadores que manipulassem válvulas por aproximadamente 100 vezes a cada turno de oito horas para produzir uma partida de resina. Depois de um ano de operação aproximadamente, o reator explodiu porque uma válvula crítica tinha sido deixada aberta, levando a uma reação em cadeia. Este sistema requeria mais de 100.000 manipulações de válvula durante um ano de operação. Ainda que os operadores tivessem uma probabilidade muito pequena de cometer um engano ao posicionar qualquer uma da válvulas, um engano era
inevitável, dado o número imenso de manipulações de válvula necessárias. Depois do acidente, a planta automatizou muitas das válvulas e instalou interruptores de limite para que o sistema de controle pudesse detectar válvulas mal posicionadas e fizesse soar um alarme.
3.1.14 Ferramentas Inadequadas As ferramentas facilitam a interação dos trabalhadores com um sistema, e as ferramentas apropriadas podem efetivamente expandir as capacidades humanas e reduzir as chances de erro. As ferramentas apropriadas são particularmente importantes para tarefas de manutenção, inspeção, teste e montagem, ma elas podem simplificar em muito outras tarefas também. As ferramentas inadequadas foram a principal causa dos seguintes problemas: •
Vazamentos de vapor inflamável de um trocador de calor de alta pressão eram comuns durante as partidas da unidade porque ninguém era forte o suficiente (mesmo com chaves inglesas, martelos de pernas cruzadas e barras) para conseguir o torque apropriado nas cavilhas do topo do trocador quando ele estava frio. A aquisição de um tensionador hidráulico de cavilhas eliminou o problema.
•
As partidas de resina frequentemente não atendiam as especificações, até que um cromatógrafo de gás foi instalado no laboratório de controle de qualidade. Isto permitiu que o pessoal pudesse identificar impurezas específicas e criar meios para eliminá-las.
•
Depois de começado um incêndio na unidade, o operador não conseguiu alcançar uma válvula crítica de isolamento na plataforma elevada de tubos. Caso a válvula fosse equipada com um atuador pneumático, o operador poderia ter fechado a válvula e ter grandemente reduzido os danos do incêndio.
3.1.15 Manutenção Malfeita A aparência externa de uma planta é frequentemente um reflexo apurado da atitude geral da administração. Uma aparência limpa e arrumada normalmente indica que a administração se preocupa com cada detalhe e deseja manter uma operação de primeira classe; uma aparência suja, desleixada, normalmente indica o oposto. Além dos perigos pessoais óbvios (escorregões, quedas, etc), a manutenção malfeita gera uma atitude de desleixo entre os trabalhadores, o que afeta o seu desempenho no trabalho. A manutenção malfeita é raramente a única causa de um erro do operador, mas foi o fator principal no acidente abaixo descrito: •
A lateral do tanque de mistura estava bastante enferrujado por produtos químicos que haviam derramado de tempos em tempos. Assim sendo, a operadora assumiu que o turno anterior havia causado mais um pequeno derramamento quando ela viu que a lateral do tanque isolado estava molhada. Quando o tanque foi novamente preenchido mais tarde naquele dia, a costura enfraquecida pela ferrugem (que tinha vazado mais cedo) se abriu e derramou o conteúdo do tanque.
3.1.16 Vigilância Estendida, Sem Eventos Os seres humanos são, de maneira inerente, incapazes de permanecerem alertas para sinais que raramente, ou nunca, acontecem. Mesmo um marinheiro cuja vida está em jogo não irá manter uma vigilância efetiva por mais que 30 minutos aproximadamente (A Figura 8 ilustra a rápida diminuição da vigilância com o tempo.) É importante que os sistemas de controle sejam projetados para necessitar de interação regular do operador, para que o operador permaneça atento. Colocar um operador em situações que requeiram vigilância estendida, sem eventos, pode levar a acidentes como aqueles descritos a seguir:
•
O sistema de controle distribuído estava funcionando perfeitamente, e a sala de controle estava calma. O operador cochilou, somente para ser acordado por diversos alarmes. Um dos módulos de controle havia falhado, mas o operador não havia diagnosticado a situação nem assumiu novamente o controle manual a tempo de evitar um problema grave no processo.
•
A válvula de alívio teve que ser removida para manutenção, de maneira que um operador ficou estacionado pela válvula manual de ventilação e calibrador de pressão no alto de uma coluna de destilação. A remoção e recolocação da válvula de alívio levou muito mais tempo que o esperado. Quando o condensador perdeu água de resfriamento, o operador não pode observar o aumento de pressão rápido o suficiente para evitar a deformação da coluna, como resultado da pressão excessiva.
Uma situação semelhante ocorre quando aos trabalhadores é solicitado que monitorem o progresso de alguma atividade e depois empreendam alguma ação quando a atividade estiver completa. Se a atividade durar mais que apenas alguns minutos, os trabalhadores têm a tendência de abandonar os seus postos para realizar outras tarefas e depois retornar a tempo de empreender a ação necessária. Os gerentes devem assegurar que os trabalhadores permaneçam em seus postos tanto quanto seja necessário, e que os trabalhadores não utilizem dispositivos de segurança para o controle de operações de rotina. De outra forma, acidentes como os que se seguem poderão ocorrer: •
•
Era solicitado a um operador, de acordo com o procedimento, que estivesse presente durante a descarga de vagões e que interrompesse a transferência quando o tanque de armazenamento estivesse cheio. No entanto, os operadores haviam adquirido o hábito de deixar a área tão logo a descarga começava, devido ao fato de que o travamento de alto nível no tanque de armazenamento faria parar o processo de descarga. Quando o travamento de alto nível falhou, vários milhares de galões de material inflamável foram derramados do tanque de armazenamento antes do operador ter percebido o problema e ter parado o sistema. Foi solicitado a um operador que mantivesse aberta uma válvula a corda mola durante 30 a 45 minutos para drenar os alcatrões pesados do fundo de uma coluna de flash para um tambor de sobretensão. O operador manteve aberto o controle da válvula, de maneira que ele pudesse completar a sua inspeção da unidade, mas ele não retornou antes que todos os alcatrões tivessem sido drenados. A coluna despressurizou dentro do tambor de sobretensão, que sofreu uma ruptura quando a linha de alívio ficou tampada pelo alcatrão frio.
3.1.17 Falha no Controle por Computador Os sistemas de controle baseados em computador podem dramaticamente melhorar a qualidade, produtividade e segurança dos processos químicos. No entanto, eles não são imunes a erros humanos. Erros de programação e entradas errôneas do operador são responsáveis por aproximadamente 40 porcento das falhas observadas em sistemas de controle baseados em computador. Para diminuir a probabilidade de tais falhas, os gerentes devem assegurar que os trabalhadores sejam apropriadamente treinados, que o software seja plenamente testado, e que as modificações de programação sejam estritamente controladas. Os seguintes exemplos ilustram situações em que os erros humanos causaram falhas de controle do computador: •
•
O sistema de controle tinha um computador primário controlando o processo e um computador de reserva que assumiria o controle caso o computador primário falhasse. Quando um problema ocorreu no processo, o software de controle gerou comandos inválidos de saída, em função de uma combinação de sinais de entrada anormais e não esperados. O computador reserva tentou assumir, mas devido ao fato do software ser idêntico, ele também falhou, resultando numa parada de emergência e despressurização da unidade. Os operadores haviam entusiasticamente aprendido tudo sobre o novo sistema d controle por computador, e alguns poucos operadores haviam até mesmo aprendido a fazer alterações no programa. Eventualmente, eles obtiveram uma chave de acesso e “resolveram” problemas na medida em que eles apareceram. Infelizmente, os operadores não restauraram um dos travamentos críticos que tinham sofrido bypass para simplificar a partida, de maneira que o computador não conseguiu evitar uma explosão dos reagentes instáveis.
Quando sistemas de controle baseados em computador são adaptados a processos já existentes, os gerentes algumas vezes tentam preservar a instrumentação antiga como uma reserva de emergência no caso de haver falha do computador. (Novas salas de controle têm múltiplos computadores/terminais que podem servir de reserva um para o outro.) Ainda que o velho hardware seja mantido, as habilidades dos operadores em utilizar o equipamento antigo irão rapidamente se deteriorar. Na medida em que novos trabalhadores são contratados e aqueles que têm experiência são destinados a outros postos, a probabilidade de erros irá aumentar. Para assegurar que o uso dos controles antigos (ou os sistemas de reserva de computador) permaneça como uma opção viável, os gerentes devem solicitar dos operadores que pratiquem regularmente o controle com o sistema alternativo em condições que poderiam existir caso parte ou todo o sistema normal de controle viesse a ter problemas. Caso contrário, um erro como o descrito abaixo provavelmente irá ocorrer: •
A empresa estava convertendo todos os seus processos para controle por computador. O operador experiente vinha fazendo uso de um dos novos sistemas por aproximadamente um ano quando ele foi chamado a substituir temporariamente um operador numa sala de controle antiga, exatamente como a que ele já havia usado. O operador esqueceu de verificar se o reator tinha sido purgado com nitrogênio antes de adicionar o material inflamável de alimentação, e um grave incêndio foi o resultado. O controle por computador não teria aberto a válvula de alimentação caso a válvula de nitrogênio não tivesse sido levada duas vezes ao seu ciclo.
3.1.18 Restrições Físicas Inadequadas Sempre que possível, o equipamento deve ser fisicamente projetado de maneira que ele possa ser operado da maneira correta. Por exemplo, as maçanetas das válvulas podem ser travadas, mangueiras e adaptadores de diferentes diâmetros podem ser
utilizados e bobinas removíveis podem ser providenciadas para tubulações que só raramente são utilizadas. Enquanto elas não impedirem as operações normais, as restrições físicas podem virtualmente eliminar a possibilidade de erro humano em algumas tarefas, como as que são ilustradas abaixo: •
Uma operação de ensacamento foi cercada para minimizar as emissões de poeira. A mão direita de um operador foi esmagada quando ele ativou o mecanismo de fechamento da porta antes de remover a sua mão direita da fechadura. Os controles da porta foram substituídos, de maneira que o operador tinha que usar ambas as mãos para pressionar interruptores bastante espaçados simultaneamente para fechar a porta.
•
Uma bomba pneumática de diafragma era utilizada para transferir um material altamente inflamável de tambores para um tanque de armazenamento. As mangueiras de entrada e saída da bomba estavam conectadas com acoplamentos idênticos, e elas foram acidentalmente invertidas. O conteúdo do tanque foi bombeado/sifonado de volta para o tambor, derramando na pequena área junto ao meio-fio e indo para o sistema de esgoto de águas pluviais.
3.1.19 Aparência Às Custas da Funcionalidade Embora um projeto possa ser tanto funcional quanto atrativo, a funcionalidade deve sempre ter preferência. Infelizmente, às vezes o oposto acontece. Por exemplo, colocar os instrumentos e os controles para duas unidades paralelas como imagens de espelho pode parecer bonito, mas isso aumenta a probabilidade de erro caso um operador trabalhe nas duas unidades (Você poderia dirigir um carro no assento da direita caso os pedais do freio e do acelerador estivessem invertidos?). Fazer todos os interruptores de válvulas exatamente da mesma cor, forma e tamanho e colocá-los todos numa grade precisa e retangular pode parecer bonito, mas isso aumenta muito a chance de que um operador escolha o interruptor errado. Embora a preocupação excessiva com a aparência seja raramente a única causa de um acidente, pode contribuir em grande parte, conforme é ilustrado no exemplo a seguir: •
O supervisor não permitia que os operadores fizessem quaisquer marcas (anotando níveis, pressões e temperaturas normais, etc) nos poucos instrumentos e controles padrão remanescentes na nova sala central computadorizada de controle. O supervisor sabia que muitos visitantes estariam visitando a nova sala de controle, e ele pensou que essas marcas pareceriam “cafonas”. Ao responder a um problema, um operador olhou para os calibradores montados na parede, mas não notou que a pressão de ar de instrumentos havia caído dramaticamente. Este diagnóstico atrasado da linha de ar para instrumentos quebrada estava causando o problema.
As modificações dos trabalhadores normalmente indicam deficiências de sinalização que eles estão tentando resolver. Quando os gerentes vêem essas modificações, eles devem tomar as ações apropriadas para remediar tanto os problemas específicos quanto as causas principais das deficiências de sinalização.
3.2 ABORDAGENS GERAIS PARA A MELHORA DO DESEMPENHO HUMANO Os exemplos da seção anterior ilustram várias situações de erro provável. Os parágrafos que se seguem explicam alguns dos princípios gerais que os gerentes podem aplicar por toda a planta para eliminar tais situações antes que elas resultem num acidente. O envolvimento do trabalhador é uma parte essencial de qualquer programa de sucesso para identificar e eliminar situações de provável erro. Os especialistas em fatores humanos devem também ser utilizados para dar assistência especializada na implementação de quaisquer mudanças.
3.2.1 Mudanças no Hardware Primeiramente e mais importante, os gerentes devem assegurar que as situações de trabalho sejam conformadas a princípios aceitos de engenharia de fatores humanos. Ao nível mais básico, isto envolve prover equipamento compatível com as capacidades humanas fundamentais: maçanetas que podem ser agarradas e giradas com força razoável, etiquetas que podem ser lidas a uma distancia razoável, passagens largas o suficiente para que se tenha acesso, etc. Além disso, envolve colocar o equipamento onde ele possa ser utilizado de maneira conveniente em alguma relação lógica com os outros equipamentos que estão sendo utilizados para realizar uma tarefa. Isso também envolve prover um ambiente (temperatura confortável, iluminação adequada, ruído limitado, etc) compatível com as necessidades físicas dos trabalhadores que estão utilizando o equipamento. Os gerentes podem também implementar mudanças de hardware que eliminem oportunidades para o erro humano . Essas modificações poderão incluir instalar proteções em volta dos interruptores de bombas, tornar únicos os acoplamentos de mangueiras, ou instalar válvulas de três vias para alterar o alinhamento de válvulas de alívio paralelas. Controles e mostradores podem ser simplificados para minimizar a confusão potencial e para fornecer diretamente as informações de que os trabalhadores necessitam. Todos os equipamentos devem estar clara e precisamente sinalizados. Um terceiro tipo de modificação de hardware é a instalação de travamentos. Quando os seres humanos não conseguem perceber, diagnosticar e responder a problemas antes que um acidente sério aconteça, o projeto deverá incluir bloqueios apropriados. No entanto, caso os travamentos dificultem a operação normal ou dispararem frequentemente de maneira espúria, eles poderão criar um perigo maior que aquele que se pretendeu evitar. Alarmes e bloqueios causam mais problemas do que os que eles resolvem se eles precisam ser desativados de maneira rotineira para que o processo possa ser iniciado ou a produção possa ser mantida, ou se os alarmes e travamentos são raramente testados e sofrem manutenção.
3.2.2 Modificações de Procedimentos Assegurar que procedimentos atuais e precisos estejam disponíveis para os trabalhadores é a ação mais importante que os gerentes podem empreender nesta área. Os procedimentos devem ser escritos em linguagem simples e direta, com diagramas e advertências úteis, e devem estar organizados numa sequência lógica de tarefas. Os procedimentos críticos deverão incluir provisões de verificação e devem ser escritos de maneira que cada passo numerado requeira somente uma ação. De maneira ideal, deveria haver um conjunto atual de procedimentos mantido onde todos os trabalhadores possam utilizá-los; cópias pessoais dos procedimentos não deverão ser permitidas, a menos que haja um sistema rigoroso para o seu controle e atualização. Os gerentes deverão requerer que os procedimentos sejam regularmente revisados pelos
trabalhadores e seu supervisor, para assegurar que os procedimentos sejam mantidos atualizados. Os gerentes deverão também regularmente auditar as práticas do trabalhador para assegurar a obediência aos procedimentos escritos, de maneira que quaisquer diferenças possam ser resolvidas. Os gerentes podem também solicitar que os procedimentos especifiquem as condições de limite para a operação do sistema. Esses procedimentos deverão conter listas de equipamentos críticos e parâmetros críticos de operação. Caso um componente (por exemplo, um controlador de nível) na lista de equipamentos críticos venha a falhar, o componente deve ser reparado/substituído dentro de um tempo especificado ou a taxa de enchimento/alimentação precisa ser reduzida ou uma nova partida não deve ser começada. De maneira similar, caso um parâmetro crítico de operação seja excedido, o sistema deve ser interrompido. Ao definir claramente as tolerâncias do sistema e identificar situações que requeiram a intervenção do trabalhador, a chance da ausência de ação do trabalhador que leve a acidentes é grandemente reduzida. Os gerentes devem procurar meios para modificar os procedimentos, de maneira que a probabilidade de um erro humano não detectado seja minimizada. Por exemplo, para ajudar os trabalhadores a detectar e corrigir os seus próprios enganos (bem como outras falhas do sistema), os procedimentos devem estabelecer a resposta esperada do sistema para ação do trabalhador. A redundância humana pode prover fatores adicionais de recuperação para erros humanos. Por exemplo, os procedimentos podem requerer que uma segunda (e até mesmo uma terceira) pessoa verifique o desempenho de ações críticas, como calcular as quantidades de reagentes para uma partida. Os bons procedimentos e sistemas de administração maximizam a chance de erros humanos serem detectados antes que consequências indesejáveis aconteçam.
3.2.3 Modificações de Política Decisões sobre política estão completamente no domínio dos gerentes, de maneira que você pode modificar políticas que afetem de maneira adversa o desempenho humano. Uma responsabilidade fundamental é contratar trabalhadores adequados e dar a eles tarefas que estejam de acordo com as suas capacidades, qualificações e temperamento. As políticas de administração que recompensam os trabalhadores por autodesenvolvimento e realização irão motivar um desempenho superior. Outra responsabilidade fundamental da administração é desenvolver uma cultura de segurança dentro da empresa, que desencoraje o comportamento inseguro do trabalhador. No entanto, você deve assegurar que as práticas da planta sejam consistentes com as suas políticas. Se “segurança primeiro” é o seu discurso mas “produção primeiro” é a sua prática, então os trabalhadores poderão desconsiderar as práticas seguras de maneira despreocupada, para manter a produção. As políticas da administração relacionadas a treinamento têm um grande impacto no desempenho do trabalhador. Caso os trabalhadores somente recebam treinamento no trabalho, eles não estarão preparados para lidar com problemas que ainda não viram. Algum treinamento inicial ajuda, mas como é mostrado na Figura 9, o seu nível de habilidade nas tarefas que eles não realizam de forma rotineira irá se deteriorar rapidamente (Quanto tempo depois do primeiro aprendizado de ressuscitação cardiopulmonar você pode aplicar a técnica de maneira correta?). Um gerente que deseja minimizar os erros do trabalhador irá implementar programas de treinamento e prática que regularmente desafiem o conhecimento dos trabalhadores e os deixe praticar suas habilidades. Esses programas (incluindo exercícios no local, conversas, desafios do tipo e se?, e treinamento em simulador) irão ajudar os trabalhadores a desenvolver e
manter um alto nível de especialização, especialmente se eles são iniciados numa base frequente e não previsível pelos seus supervisores diretos. Como é ilustrado pela curva dentada na Figura 9, a prática não somente irá interromper a rápida perda das novas habilidades de um trabalhador, mas também irá desenvolver aquelas habilidades além do treinamento inicial. Através da prática repetida, essas habilidades tornar-se-ão um comportamento tão bem aprendido que haverá muito pouca perda de proficiência entre as sessões de prática. Uma terceira área de política que os gerentes devem revisar são o pessoal e as horas de trabalho. Quando os gerentes reduzem pessoal, mais e mais tarefas devem ser realizadas por menos e menos pessoas. Quando os trabalhadores sentem que estão sendo apressados para completar as suas tarefas, eles tenderão a tomar atalhos, a pular algumas tarefas inteiramente, e a cometer mais enganos nas tarefas que eles realizam. Os enganos são menos prováveis de serem verificados porque ninguém tem tempo de verificar o trabalho.
de outra pessoa. O problema é exacerbado quando longas horas de trabalho fadigam os trabalhadores ou os cronogramas de rodízio de turnos interferem nos seus ritmos circadianos. É mais que coincidência que tantos acidentes importantes ocorrem no turno da meia-noite e finais de semana de feriados. Os gerentes devem assegurar que todos os turnos tenham um número adequado de pessoal qualificado, de que as horas de trabalho não sejam excessivas, e de que os rodízios dos turnos sejam programados para minimizar a interrupção dos ritmos circadianos dos trabalhadores. Os gerentes deverão também assegurar que a mesma pessoa ou equipe no mesmo turno não realize tarefas humanas críticas, tais como testar/calibrar sistemas redundantes de controle e de instrumentos. Caso contrário, um único e consistente erro humano poderá simultaneamente derrotar todos os sistemas redundantes. Outra área de política que os gerentes devem revisar é o relatório de incidentes e a investigação. Muito poucos acidentes importantes têm acontecido sem advertência; a maioria foi precedida por um ou mais “quase” acidentes. Assim sendo, é crítico que todos os “quase” acidentes sejam reportados, de maneira que possam ser investigados tão completamente quanto um acidente. A investigação tanto de acidente quanto de “quase” acidentes deve ir além de culpar o “erro do operador” para identificar as verdadeiras causas essenciais na situação de trabalho. Os gerentes devem assegurar que todas as lições aprendidas dessas investigações sejam aplicadas não somente ao local do incidente específico, mas também a locais similares por toda a planta e toda a empresa. Lembre-se, as suas políticas direta ou indiretamente estabelecem todas as situações de trabalho dentro das suas instalações. Assim sendo, dentro dos limites de seus recursos, você pode de maneira significativa reduzir a probabilidade e as consequências dos erros humanos.
Seção 4 USO GERENCIAL DA ACH 4.1. DEFINIÇÃO DA ACH Análise de Confiabilidade Humana (ACH) é um termo geral para métodos através dos quais a probabilidade dos erros humanos é estimada para qualquer atividade, incluindo pesquisa, projeto, construção, operação, manutenção, administração, e assim por diante. Numa ACH, aquelas ações humanas que podem contribuir para a falha do sistema são avaliadas tanto de maneira qualitativa como quantitativa. Os gerentes podem frequentemente empregar diretamente somente os resultados da ACH qualitativa para identificar maneiras práticas de reduzir os erros humanos, tais como aqueles descritos na Seção 3. Caso seja necessário, os gerentes podem estender a ACH para quantificar a probabilidade de erro humano e para avaliar os benefícios de modificações propostas em procedimentos, equipamentos, ou outros FMDs. Os gerentes devem considerar a utilização da ACH quando as necessidades como aquelas listadas na Tabela 6 aparecem. Tabela 6 Motivações ACH • Os erros humanos potenciais associados a tarefas específicas devem ser identificados, de maneira que as medidas preventivas apropriadas e/ou fatores de recuperação possam ser identificados e implementados As estimativas de probabilidades de erro humano são necessárias como dados para • estudos de custo/benefício de projetos, procedimentos ou políticas alternativos As estimativas de probabilidades de erro humano são necessárias como dados para • avaliações de risco quantitativo Quando desenvolvimentos gerais no desempenho humano são desejados, os gerentes devem empregar especialistas em fatores humanos para sugerir melhoras na situação de trabalho como um todo e FMDs. Os resultados de ACH qualitativa podem ser muito úteis para ajudar a justificar os desenvolvimentos tanto gerais quanto específicos da engenharia de fatores humanos. No entanto, é normalmente mais eficiente corrigir quaisquer deficiências gerais da engenharia de fatores humanos antes de investir em ACHs detalhadas, quantitativas, porque essas deficiências teriam um grande impacto nos resultados de ACH. Uma vez que você decida utilizar ACH para satisfazer uma necessidade particular, você deve devotar atenção às três áreas chave que são descritas nas três próximas seções: 1. Formatando a análise 2. Selecionando e aplicando técnicas de ACH 3. Compreendendo as limitações Estas áreas são interrelacionadas, e as decisões sobre uma afeta as demais. A primeira e terceira áreas envolvem ações que primariamente você, o usuário final, deve empreender (por exemplo, cuidadosamente definir os objetivos escritos para a equipe de projeto de ACH). Outras ações nestas áreas irão requerer a sua interação cuidadosa e negociação com a equipe de ACH (por exemplo, definir o escopo da análise e os recursos disponíveis) para assegurar que o seu produto final atenda às suas
necessidades. A segunda área envolve decisões que você irá influenciar, mas que deveriam ser deixadas à discrição da equipe (por exemplo, a seleção de técnicas analíticas específicas). As decisões relativas a estas áreas não são simplesmente tomadas uma vez, para nunca serem consideradas novamente. Você deve revisar cada área periodicamente, na medida em que resultados intermediários são desenvolvidos, para assegurar que a ACH permanece na direção correta. Ignorar qualquer destas áreas diminui a probabilidade de que os seus objetivos de ACH sejam satisfeitos.
4.2 FORMATANDO A ANÁLISE Caso uma ACH satisfaça as suas necessidades de maneira eficiente, você deve especificamente definir o seu formato para os analistas. A Figura 10 contém os vários elementos de uma estrutura de ACH. A definição destes elementos requer a compreensão das razões para o estudo, uma descrição das necessidades do gerente, e uma visão geral do tipo de informações requeridas pelo estudo. Flexibilidade suficiente deve ser construída no escopo da análise, na abordagem técnica, programação e recursos para acomodar um refinamento posterior de quaisquer elementos, com base no conhecimento adquirido durante o estudo. A equipe de ACH deve compreender e apoiar o formato da análise, pois de outra forma, o produto resultante poderá ser inútil.
4.2.1. Objetivo do Estudo Uma tarefa importante e difícil é traduzir de maneira concisa as suas necessidades para os objetivos de um estudo de ACH. Por exemplo, caso seja necessário que você decida entre dois métodos para fazer um produto químico perigoso, você declarar o objetivo específico (“eu quero saber a diferença relativa das probabilidade de erro humano para os dois métodos”), não o objetivo mais geral (“eu quero saber a chance de erro humano para os dois métodos”). Pedir à sua equipe de ACH mais do que é necessário para satisfazer a sua necessidade particular é contraproducente. Por exemplo, caso os resultados qualitativos forneçam informações adequadas, você não deve desperdiçar os seus recursos procurando estimativas quantitativas de probabilidades de erro humano. Para que qualquer ACH possa produzir de maneira eficiente os tipos de resultados necessários, você deve claramente comunicar as suas necessidades através de objetivos bem escritos. A Tabela 7 fornece alguns exemplos de objetivos práticos que podem ser alcançados para ACH.
Tabela 7 Exemplos de Objetivos Típicos ACH Identificar questões de fatores humanos na análise risco do processo dos procedimentos • de partida e parada para uma fornalha Determinar a probabilidade de um erro humano causar uma liberação de químico tóxico • durante o carregamento de um caminhão Identificar os erros humanos mais prováveis que podem causar uma reação em cadeia, e • identificar a melhor maneira de melhorar a segurança • Comparar três procedimentos, e classificá-los de acordo com a sua probabilidade de erro humano • Determinar a probabilidade de que uma bomba reserva não esteja disponível como resultado de um erro da manutenção Identificar as maneiras mais custo-efetivas para reduzir a probabilidade de que os erros • humanos possam causar interrupções no processo • Estimar em quanto ter um segundo engenheiro verificando parâmetros de processo de maneira independente poderia reduzir a probabilidade de se ter produtos fora de especificação 4.2.2 Escopo Estabelecer e documentar as fronteiras e suposições físicas e analíticas de ACH são também tarefas difíceis. Ainda que você providencie dados, a equipe de projeto de ACH irá em grande parte fazer a definição do escopo. Dos itens listados na Figura 10, a seleção de um nível apropriado de detalhe é o elemento de escopo que é mais crucial para realizar uma ACH eficiente. Você deve encorajar a sua equipe de ACH a utilizar dados de testes e níveis brutos de resolução durante os estágios iniciais da ACH, particularmente se os resultados da ACH forem ser utilizados como um insumo para a análise de risco quantitativo (ARQ). Uma vez que os especialistas determinem as tarefas que contribuem de maneira significativa para o risco, eles poderão seletivamente aplicar esforços mais detalhados para questões específicas, na medida em que a análise fizer progressos. Esta estratégia irá ajudar a conservar os recursos da análise, focalizando somente as áreas que são importantes para desenvolver a compreensão do risco melhorado. Você deverá revisar as condições e suposições de fronteira com a equipe de ACH durante o curso do estudo e revisá-las na medida em que mais for aprendido a
respeito das sensibilidades chave. Ao final, a sua habilidade em utilizar de maneira efetiva as estimativas ACH será em grande parte determinada pela sua apreciação de importantes limitações e suposições de estudo resultantes da definição do escopo. Assim sendo, é crítico que as fronteiras e suposições físicas e analíticas estejam claramente documentadas.
4.2.3 Abordagem Técnica A equipe de projeto de ACH poderá selecionar a abordagem técnica, uma vez que você especifique os objetivos do estudo, e juntos vocês possam definir o escopo. Uma variedade de técnicas de modelagem (discutidas na Seção 4.3) e fontes de dados gerais podem ser utilizadas para produzir os resultados desejados. A equipe de ACH deve tomar cuidado ao selecionar uma técnica de ACH que possa satisfazer os seus objetivos de estudo, porque muitas técnicas são modelos teóricos com aplicabilidade prática limitada. Você deverá considerar a obtenção de revisões de garantia de qualidade internas e externas do estudo (para pesquisar erros na modelagem, dados, etc). Revisões independentes de colegas dos resultados de ACH podem ajudar, ao serem apresentados pontos de vista alternativos, e você deverá incluir especialistas externos (ou consultores ou pessoal de outra planta) para o painel de revisão da ACH. Você deverá também estabelecer um mecanismo no qual as disputas entre os membros da equipe de ACH (por exemplo, argumentos técnicos sobre respostas do sistema) possam vir à superfície e serem reconciliadas. Todos estes fatores têm um papel essencial na produção de uma ACH de alta qualidade, que possa ser apoiada. Uma vez que a ACH esteja completa, você deverá formalmente documentar a sua resposta para o relatório final da equipe de projeto e quaisquer recomendações que o relatório contenha.
4.2.4 Recursos Os gerentes podem utilizar a ACH para estudar tanto as empresas de pequena quanto de grande escala. Por exemplo, uma ACH pode ser realizada numa única atividades, como um procedimento de carga. 10 A depender dos objetivos do estudo, uma ACH completa (com árvores de eventos ACH e estimativas de probabilidade de erro humano) poderá requerer somente de alguns dias a algumas semanas de esforço técnico. Por outro lado, um estudo grande para identificar todos os erros humanos que contribuem para os perigos associados a uma unidade de processo grande (por exemplo, uma unidade com um investimento de capital associado de US$ 50 milhões) poderá necessitar de 1 a 3 pessoas-meses de esforço, e uma ACH completa da mesma unidade poderá requerer até 1-2 pessoas-anos de esforço. Se uma ACH é comissionada, você deve ter pessoal adequado na equipe de ACH para realizar o trabalho com sucesso. Uma mistura apropriada de disciplinas científicas e de engenharia devem ser designadas para o projeto. Se o estudo envolve uma atividade de produção, o pessoal de operações e manutenção irá desempenhar um papel crucial para assegurar que os modelos de ACH representam de forma precisa as práticas reais do sistema e da planta. Além dos analistas de ACH, uma equipe típica poderá também solicitar assistência de analistas de sistemas, engenheiros de processo, operadores senior, engenheiros de projeto, engenheiros d instrumentação, supervisores de manutenção e/ou inspetores que estejam familiarizados com o sistema. A menos que a sua empresa tenha experiência interna em ACH que seja significativa, você poderá se defrontar com a seleção de especialistas externos para ajudar a realizar as análises maiores ou mais complexas. Caso contratantes sejam utilizados de forma extensiva, você deverá solicitar que o pessoal competente seja parte integral da equipe de ACH.
4.3 SELECIONANDO E APLICANDO TÉCNICAS DE ACH
A depender dos seus objetivos, uma ACH envolve um ou mais dos seguintes quatro passos básicos: 1. Avaliação de engenharia de fatores humanos 2. Análise da tarefa 3. Quantificação 4. Análises de sensibilidade e incerteza Várias técnicas e modelos de análises foram desenvolvidos para auxiliar na realização desses quatro passos (Figura 11). Existem muitas referências para métodos específicos, e várias publicações recentes dão conselhos específicos e detalhes “como” para as variadas técnicas. Você não precisará selecionar técnicas específicas – a sua equipe de ACH fará isso. Mas você deverá verificar se as técnicas selecionadas são úteis, práticas e aceitáveis (ver Referência 11 para uma avaliação de várias técnicas ACH).
Uma técnica útil irá render informações qualitativas que podem ser utilizadas como a base para a recomendação de melhorias em segurança ou operabilidade, independentemente do fato de qualquer análise quantitativa ter sido realizada. Mas, se for necessária, uma técnica útil deverá render estimativas válidas e consistentes das características de desempenho humano necessárias para ARQ, como tempos de
resposta, probabilidades de erro humano condicional e incertezas. A(s) técnica(s) selecionada(s) devem também ser aplicáveis à faixa de tarefas humanas que estão sendo avaliadas e flexíveis o suficiente para abordar condições específicas da planta. Além de ser útil, uma técnica ACH deve ser prática de aplicar, dados o tempo, dinheiro e recursos humanos disponíveis para a análise. Algumas técnicas não são práticas porque são tão complexas que apenas alguns poucos especialistas podem aplicá-las, ou os dados necessários ficam simplesmente indisponíveis para as tarefas que estão sendo avaliadas. Finalmente, uma técnica deve produzir resultados que serão aceitáveis para o seu propósito declarado. Embora muitas muitas das técnicas tenham passado passado por revisão de colegas colegas de mesmo nível, muito poucas foram padronizadas com dados verdadeiros de atividades industriais. Várias foram utilizadas em ARQs que foram aceitas por autoridades governamentais na emissão de licenças e concessões ou na condução de audiências públicas. Independentemente do método selecionado, os quatro passos básicos listados anteriormente devem ser realizados numa ARQ completa. A primeira tarefa envolve o recolhimento de dados, a inspeção da instalação, i nstalação, e a avaliação dos FMDs gerais que irão i rão influenciar os operadores enquanto eles trabalham. Os analistas devem então trabalhar com toda a equipe de ACH para dissecar as tarefas do trabalhador em erros potenciais específicos de omissão ou comissão que podem ser quantificados. Quando a tarefa da análise está completa, os analistas de ACH podem começar o processo de quantificação. A maioria dos analistas começa construindo árvores de eventos tais como aquelas ilustradas nas Figuras 12 e 113 e então fazem a estimativa das probabilidades nominais de erro humano (PEHs) para cada erro potencial. (Um PEH típico deveria ser de 0,003 para um erro específico de omissão ou comissão, como pular um item numa lista de verificação ou fazer a leitura errada num medidor analógico. 7) Os PEHs nominais são modificados para explicar FMDs específicos de planta e os efeitos do sucesso ou falha em tarefas anteriores (dependência). (Os PEHs modificados podem ser fatores de 10 ou mais altos ou mais baixos que os PEHs nominais.) Finalmente, os benefícios de quaisquer quaisquer fatores de recuperação recuperação são explicados, explicados, e as probabilidades probabilidades totais de erros humanos são calculadas. Os resultados quantitativos podem então ser submetidos às análises de sensibilidade e incerteza. As análises de sensibilidade são muito úteis para um gerente porque elas mostram como as modificações nas suposições dos analistas ou condições de fronteira iriam alterar os resultados ACH. As análises d incertezas das variações nos resultados que podem ser atribuídas a incertezas de dados são em geral menos úteis. As incertezas provêm de muitas causas diferentes (integridade do modelo, julgamento do analista, etc), e as incertezas de dados frequentemente não são a mais significativa. Para a maioria das decisões envolvendo resultados de ACH, os gerentes podem confiar nas melhores estimativas e resultados de sensibilidade, utilizando bom julgamento e intuição para permitir que haja alguma incerteza.
4.4 COMPREENDENDO AS LIMITAÇÕES As análises de confiabilidade humana sofrem essencialmente das mesmas limitações que as análises de risco quantitativo. 4 A Tabela 8 lista cinco das principais limitações da ACH. Algumas destas podem ser relativamente sem importância para um estudo específico, e utilizando analistas adequados com recursos adequados poderá minimizar outras. No entanto, você deve estar consciente destas limitações ao estruturar uma ACH e ao utilizar os resultados para propósitos de tomada de decisões. Você deve compreender que as suposições feitas durante a ACH são tão importantes quanto quaisquer resultados. Assim sendo, as suposições devem ser tão cuidadosamente
documentadas quanto os resultados de ACH. A despeito destas limitações, a ACH é uma ferramenta extremamente valiosa para a identificação e avaliação de maneiras de reduzir os erros humanos. Tabela 8 Principais Limitações da ACH Questão Descrição Perfeição Nunca pode haver uma garantia de que todos os erros humanos, atos estranhos e fatores de recuperação foram considerados, nem que tudo que aflige o comportamento humano tenha sido considerado. Validade/Especificidade Os modelos probabilísticos de falha não podem ser completamente verificados. Os comportamentos humanos são observados em experimentos e são utilizados em correlações modelo, mas modelos são, na melhor das hipóteses, aproximações de circunstâncias específicas. Alguns modelos ACH são baseados em suposições sobre o comportamento humano que passíveis de debate. A ACH pode não prover boa representação para os FMDs e tarefas específicas de planta. Precisão/Incerteza
A falta de dados específicos sobre as probabilidades de erros humanos, FMDs, e modelos de diagnóstico de acidentes limitam severamente a precisão e podem produzir grandes incertezas, especialmente para a predição de comportamento humano de muito baixa probabilidade.
Reprodutibilidade/Propensão
Vários aspectos de ACH são altamente subjetivos – os resultados são muito sensíveis às suposições do analista. O mesmo problema, utilizando modelos e dados idênticos, pode gerar respostas que variam largamente quando analisadas por especialistas diferentes, ou pelo mesmo especialista em momentos diferentes.
Rastreabilidade/Escrutabilidade
A tentativa de compreender toda a documentação detalhada das análises que levaram aos resultados da ACH podem ser uma tarefa tediosa e imensa.
Seção 5 CONCLUSÕES As pessoas desempenham funções de sistema crítico, e suas decisões e ações ditam o desempenho de qualquer sistema. Mesmo em processos “automatizados”, as pessoas devem decidir o que um sistema deverá fazer, prepará-lo para operar, monitorar o seu desempenho, responder a quaisquer problemas, e fechá-lo ao final de uma tarefa de produção. As pessoas são os únicos agentes responsáveis num sistema, e os seus erros assumem uma importância comensurada com as suas responsabilidades Muitas atividades de administração de segurança de processo são direta ou indiretamente direcionadas para melhorar o desempenho humano. O Código de Práticas de Administração de Segurança de Processo de atuação Responsável ,12 que foi desenvolvido para ajudar gerentes a implementar o programa de atuação Responsável do Conselho Americano de Química, e as Diretrizes para a Administração Técnica da Segurança do Processo Químico, 13 publicado pelo Centro para Segurança do Processo Químico, aborda de maneira explícita a importância dos fatores humanos como um elemento da segurança de processo. De maneira similar, a Prática Recomendada para a
Administração de Riscos de Processo 14 e a Prática Recomendada para o Desenvolvimento de um Programa de Administração de Segurança e Meio Ambiente para a Instalações e Operações de Plataforma Fora do Continente,15 publicadas pelo American Petroleum Institute (API), reconhece a importância dos fatores humanos, como também várias agências governamentais. 16,17,18 Obviamente, a atualização de procedimentos e o treinamento crescente irão diretamente reduzir a probabilidade de erros, bem como o aumento as informações relativas a segurança do processo prontamente disponíveis para os trabalhadores. Análises de risco de processo, revisões de segurança e programas de inspeção ajudam a detectar erros humanos no projeto, construção, instalação, modificação e manutenção dos equipamentos de processo antes que tais erros causem um problema no processo ou um acidente. A engenharia de fatores humanos e as análises de confiabilidade humana podem também trazer contribuições específicas para a segurança do processo ao identificar situações de erro provável que devem ser corrigidas. Conforme indicação da Tabela 9, a incorporação de princípios bem estabelecidos de engenharia de fatores humanos ao projeto do equipamento e procedimentos irá ajudar a reduzir a frequência de erros e ajudar a assegurar que quaisquer erros que realmente aconteçam sejam detectados antes que os sistema sofra alguma consequência adversa. As análises de confiabilidade humana são úteis de maneira única para os gerentes pelo fato de oferecerem um meio tanto de identificar qualitativamente situações de erro provável, quanto de estimar de maneira quantitativa a probabilidade de erros humanos. Os gerentes podem utilizar os resultados quantitativos diretamente em seu processo de tomada de decisões ou como entrada para os ARQs. Você pode utilizar a lista de perguntas 19, 20 nos Apêndices 1 e 2 como um ponto de partida para ajudar a identificar maneiras de melhorar o desempenho humano em suas instalações. Você imediatamente começar a envolver trabalhadores no projeto de suas situações de trabalho e a desenvolver especialização em engenharia de fatores humanos dentro de sua organização. A bibliografia identifica muitas referências excelentes para leitura posterior. O Centro para Segurança do Processo Químico também publicou Diretrizes para Evitar o Erro Humano na Segurança de Processo. 21
Tabela 9 Decréscimos Estimados em PEHs Resultantes de Melhorias na Situação de Trabalho (Baseado na Tabela 3-8 na Referência 7) Melhoria
Decréscimo Resultante nos PEHs (Fatores*) Boas práticas de engenharia de fatores humanos no 2 a 10 projeto de controles, mostradores e equipamentos Uso de procedimentos e listas de verificação escritos 3 a 10 bem projetados, para substituir os típicos procedimentos em estilo narrativo Novo projeto de mostradores ou controles que viola Mais de 10 estereótipos populacionais fortes Novo projeto de sinalização de válvula, para indicar Aproximadamente 5 claramente a função de cada válvula e a sua condição normal de operação Prática frequente das respostas apropriadas para 2 a 10 emergências potenciais ou outras situações anormais Estes fatores estimados não são diretamente multiplicadores ou aditivos.
Ao final, os gerentes devem reconhecer que a maioria dos erros humanos são uma consequência da situação de trabalho e não falta de cuidado do trabalhador. O termo “erro humano” não mais deveria conotar um sentido de culpa ou emoção mais que o termo “falha de hardware”. Ao invés de procurar culpar ou punir um trabalhador quando um incidente ocorre, os gerentes deveriam procurar pelas causas principais nas situações de trabalho. Somente se os gerentes reconhecerem e aceitarem a sua responsabilidade em identificar e eliminar situações de erro provável no local de trabalho, haverá uma redução significativa na frequência e gravidade dos erros humanos. Envolver diretamente os trabalhadores nestes esforços é a melhor maneira de atingir os seus objetivos. Em última instância, as melhorias no desempenho humano serão refletidas como melhorias tangíveis em segurança, qualidade e produtividade em todas as indústrias de processo.
Questionário de Auto-Avaliação para Gerentes que Estejam Analisando Formas para Melhorar o Desempenho Humano Este apêndice contém uma lista de perguntas que você pode utilizar para ajudar a revisar a posição da engenharia de fatores humanos como um elemento da administração de segurança de processo na sua organização e instalações. A lista não é exaustiva, e todas as perguntas não são pertinentes a todas as empresas. De maneira ideal, você deverá ser capaz de responder “SIM” à parte inicial de todas as perguntas de depois estar apto a localizar a documentação que explica ou apoia a(s) sua(s) resposta(s) às questões de acompanhamento. Quaisquer respostas “NÃO”, “EU NÃO SEI” ou “NÃO CONSIGO ENCONTRAR” indicam questões de fatores
humanos que você deverá considerar mais adiante, a depender dos perigos potenciais envolvidos.
Questões de Política 1. O compromisso da administração superior para com a saúde e segurança do trabalhador é claro? Que afirmações de política comunicam este compromisso aos funcionários? Os trabalhadores compreendem estas políticas, e eles estão convencidos da sinceridade da administração superior? 2. Os supervisores e trabalhadores acreditam que a segurança tem uma posição mais elevada (ou pelo menos igual) que outros objetivos de negócios dentro da organização? Como a empresa promove uma abordagem de “segurança em primeiro lugar”? 3. Foi dito de maneira específica aos supervisores e trabalhadores para errarem do lado seguro quando quer que percebam que existe um conflito entre segurança e produção? Será que essas decisões serão apoiadas através de toda a cadeia de administração? 4. A administração para da saúde e segurança do trabalhador consiste numa parte essencial das atividades diárias do gerente? Como são responsabilizados os gerentes por seu registro de saúde e segurança, e como as recompensas e penalidades são comparadas àquelas de desempenho de produção? 5. A saúde e segurança são regularmente discutidas em reuniões da administração em todos os níveis? Essas discussões envolvem mais de uma revisão de estatísticas de ferimentos? Que ações são empreendidas caso algum ferimento ocorra? Os quase acidentes são discutidos, ou alguma ação é empreendida para evitar a recorrência? 6. A administração superior estabeleceu políticas de engenharia de fatores humanos? Como os padrões de engenharia de fatores humanos são monitorados para assegurar a sua implementação por toda a organização? Estes padrões se aplicam a vendedores e subcontratantes? Como o não cumprimento desses padrões é identificado e resolvido? Quem tem a autoridade para remediar deficiências da engenharia de fatores humanos? 7. Nas áreas de pesquisa, projeto, construção, aquisição, operações, manutenção, administração e assim por diante, existem procedimentos claramente definidos para a avaliação de aspectos da engenharia de fatores humanos de: -
Processos novos e modificados? Equipamentos novos e modificados? Procedimentos novos e modificados? Procedimentos especiais, anormais, e de tipo único?
8. Existem recursos disponíveis para a engenharia de fatores humanos na organização, e eles estão prontamente disponíveis para ajudar a resolver questões de procedimento e de projeto? Os especialistas de fatores humanos ajudaram a estabelecer os padrões de projeto da empresa para engenharia de fatores humanos? Existe uma revisão periódica da adequação dos padrões em conjunção com outros grupos (engenharia, operações, manutenção, etc)? 9. Os recursos e tempo alocados para a engenharia de fatores humanos são adequados? Como a engenharia de fatores humanos é integrada com o processo de projeto e o
processo de redação de procedimentos? A engenharia de fatores humanos é diferente para novos procedimentos e projetos e procedimentos e projetos modificados? Caso seja, as diferenças são justificadas? 10. Os trabalhadores ajudam a identificar situações de erro provável em procedimentos e projetos já existentes? Eles estão também envolvidos na revisão de novos procedimentos e projetos? Como são utilizados os dados do trabalhador? As sugestões dos trabalhadores são implementadas? 11. Os trabalhadores são encorajados a discutir erros humanos potenciais e quase erros com os seus supervisores? Essas manifestações dos trabalhadores são tratadas como evidência da incompetência do trabalhador, como crítica não garantida da administração, ou como lições valiosas para serem compartilhadas e darem ensejo a outras ações? Que critérios e procedimentos existem para o relatório e investigação de acidentes e quase acidentes? Eles são seguidos de maneira consistente? As investigações são profundas o suficiente para identificar as causas essenciais dos erros dos trabalhadores? As deficiências da engenharia de fatores humanos que são identificadas durante a investigação de um incidente são corrigidas de que maneira (1) no local do incidente original, (2) locais semelhantes da mesma planta, e (3) locais semelhantes em outras plantas? Como é modificado o processo de projeto para evitar deficiências semelhantes em projetos futuros? 12. Os supervisores são treinados e encorajados a identificar situações de erro provável, comportamentos inseguros e problemas pessoas que possam afetar de maneira adversa o desempenho de um trabalhador? Que ações são empreendidas se um problema é identificado? 13. Os dados sobre erros humanos são coletados e colocados à disposição dos gerentes? Os dados foram utilizados como base para quaisquer decisões gerenciais? Os dados são coletados de maneira rotineira, ou eles são coletados somente depois de um acidente?
Questões das Atribuições e Tarefas 14. As atribuições e tarefas críticas foram identificadas? Os aspectos físicos e mentais dessas atribuições foram analisados tanto para as atividades de rotina quanto para as atividades de emergência? O que tem sido feito para reduzir a probabilidade e/ou consequências dos erros humanos potenciais no desempenho dessas atribuições? 15. As atribuições e tarefas foram projetadas para manter o interesse e o envolvimento do trabalhador? As atribuições passam por rodízio para nivelar as cargas de trabalho e aumentar a experiência dos trabalhadores? Como as atividades com implicações de segurança foram enfatizadas? 16. As tarefas que requerem atividade intensa, atividade repetitiva, ou monitoramento sem eventos passado para máquinas quando possível? Como se lida com os problemas associados com cargas de trabalho excessivas ou inadequadas? Existe apoio de outro pessoal disponível quando necessário? 17. As responsabilidades individuais do trabalhador são claramente definidas? Como elas se relacionam com as responsabilidades de equipe? Como o desempenho do trabalhador é monitorado e mensurado?
Questões da Interface Homem-Máquina 18. A interface homem-máquina já passou por uma revisão de engenharia de fatores humanos? Todo o local de trabalho está arrumado de maneira que os trabalhadores possam manter uma boa postura de trabalho e realizar movimentos variados? 19. Informações adequadas sobre condições de processo normais e problemáticas são mostradas na sala de controle? As informações são mostradas de maneira que os trabalhadores compreendam? Mostradores separados apresentam informações de maneira consistente? Que tipos de cálculos os trabalhadores devem fazer, e como eles são verificados? O software de computador verifica as inserções que estão ora da faixa? 20. Os trabalhadores recebem informações suficientes para diagnosticar um problema quando um alarme soa? Os mostradores estão adequadamente visíveis de todas as posições de trabalho que são relevantes? Os mostradores fornecem o feedback adequado sobre as ações dos trabalhadores? 21. Os layouts do painel de controle refletem os aspectos funcionais do processo ou do equipamento? Os mostradores e controles relacionados estão agrupados? A disposição do controle segue de maneira lógica a sequência normal de operação? O trabalhador pode anular o computador caso ele, ou uma de suas entradas, falhar? Quais são as consequências da intervenção do trabalhador em processos controlados por computador? 22. Todos os controles são acessíveis e fáceis de distinguir? Os controles são fáceis de serem usados corretamente e difíceis de serem utilizados de maneira incorreta? Algum dos controles viola estereótipos populacionais fortes (cor, direção de movimento, etc)? Existem variáveis de processo que sejam difíceis de controlar com o equipamento que já existe? Quantos ajustes manuais um trabalhador deve realizar durante operações normais e de emergência? 23. Existe um mecanismo formal para corrigir deficiências de engenharia humana identificadas pelo trabalhador? Os trabalhadores fizeram quaisquer modificações nos mostradores, controles ou equipamentos para melhor satisfazer as suas necessidades? Como os projetistas tomam conhecimento dos problemas de maneira que eles possam melhorar futuros projetos? 24. Os dispositivos de segurança automática são acionadas quando o processamento tanto de repostas rápidas quanto de informações complexas se faz necessário para lidar com um problema de processo? 25. Os instrumentos, mostradores e controles são prontamente reparados depois de um problema? Instrumentos, mostradores e controles são deliberadamente desativados durante qualquer fase da operação? Como são os pontos de acerto dos alarmes e o software de computador protegidos de mudanças não autorizadas? 26. O ambiente de trabalho (temperatura, ruído, iluminação, limpeza geral, etc) é mantido dentro de limites confortáveis? 27. As ferramentas corretas estão disponíveis e são utilizadas quando necessário? São necessárias ferramentas especiais para realizar quaisquer tarefa de maneira segura ou eficiente? Que passos são dados para identificar e fornecer ferramentas especiais?
28. Existe acesso adequado para operação e manutenção de rotina de todos os equipamentos? 29. Caso sejam necessários roupas e equipamentos de proteção para o desempenho de algumas tarefas, as limitações de desempenho do trabalhador que são impostas pelo equipamento de proteção foram avaliadas para tarefas de rotina e de emergência? Existem estoques do equipamento de proteção prontamente disponíveis para uso de rotina e de emergência? 30. O equipamento que é importante (vasos, tubos, válvulas, instrumentos, controles, etc) está sinalizado de maneira clara e sem ambiguidade? O seu programa de sinalização inclui componentes (por exemplo, pequenas válvulas) que são mencionados nos procedimentos mesmo que eles não estejam com um número de tombamento? As etiquetas são precisas? Quem é responsável pela manutenção e atualização das etiquetas de tombamento? 31. As necessidades de comunicação e trabalho de equipe foram consideradas no projeto do local de trabalho? Como os diferentes turnos comunicam a situação do processo (condições da partida, anormalidades do processo, equipamentos fora de serviço, permissões para trabalho ativo, etc) um ao outro? Qual o procedimento para comunicação entre os departamentos? Ele é seguido? 32. Existem procedimentos claros durante emergências para comunicação entre os trabalhadores e o pessoal de resposta de emergência, administração da planta, administração corporativa e autoridades públicas? Elas são praticadas com regularidade? 33. Os trabalhadores são encorajados a pedir assistência aos supervisores? Os trabalhadores sabem quando procurar assistência? Os trabalhadores são penalizados por paradas “desnecessárias” quando eles realmente acreditam existir uma emergência? 34. Existe supervisão adequada dos trabalhadores? Como os supervisores interagem com os trabalhadores? Qual o papel do supervisor na detecção e correção dos erros humanos? 35. Os cronogramas de rodízio de turno são ajustados para minimizar a interrupção dos ritmos circadianos dos trabalhadores? Como são resolvidos os problemas com fadiga de trabalhadores? Existe um plano para rodízio dos trabalhadores durante emergências prolongadas?
Questões de Procedimento 36. Um conjunto completo e atual de procedimentos está disponível para o uso dos trabalhadores? Como são mantidos procedimentos específicos e atualizados? Os próprios trabalhadores ajudam a analisar/revisar os procedimentos? Com que frequência? Permite-se que erros conhecidos permaneçam sem correção? 37. Os procedimentos são escritos para o nível correto de conhecimento e compreensão dos trabalhadores, considerando a sua educação, formação, experiência, língua nativa, etc? É utilizado um formato passo a passo? Os diagramas, fotografias, desenhos, etc, são utilizados para clarificar o texto escrito? Precauções e advertências estão claramente colocados em locais de destaque? A nomenclatura do procedimento está de acordo com as etiquetas do equipamento? Existem abreviações e referências a outros procedimentos em excesso?
38. As práticas dos trabalhadores sempre obedecem aos procedimentos escritos? Como são as diferenças detectadas e resolvidas? Quem pode autorizar modificações e desvios dos procedimentos escritos? Essa autorização inclui uma revisão das implicações de segurança da modificação ou desvio/ As precauções sempre precedem os passos de ação nos procedimentos? 39. Os sistemas de permissão para trabalho são utilizados de maneira correta? Como são os contratantes incluídos nesses sistemas? 40. Os procedimentos de emergência estão escritos de maneira clara? Eles são praticados com regularidade? Quantas ações “imediatas” são necessárias? Os procedimentos são projetados de maneira que os trabalhadores possam verificar o desempenho uns dos outros das tarefas necessárias? 41. São utilizadas listas de verificação para procedimentos críticos? Somente uma ação é especificada por cada passo numerado? Existem instruções incluídas nas notas explicatórias? Os passos estão na sequência correta? Os passos que requerem ações de controle também especificam a resposta correta do sistema?
Questões do Trabalhador 42. Um especialista em fatores humanos ajudou a desenvolver as políticas de contratação e designação de atividades do trabalhador? Como são os resultados das análises de atribuições e tarefas convertidos em critérios apropriados para seleção do trabalhador baseada em habilidades físicas, aptidões, experiência, etc? 43. Existe uma política de treinamento escrita que seja aplicável a todos os trabalhadores, incluindo os contratantes? Que objetivos de segurança são estabelecidos e como se monitora a consecução desses objetivos? 44. São mantidos registros de treinamento? Como são identificadas as necessidades de retreinamento? Como são treinados os trabalhadores em novos processos, equipamentos e procedimentos? Que treinamento é oferecido a trabalhadores que estejam trocando atribuições ou assumindo responsabilidades adicionais? Que treinamento é oferecido a novos trabalhadores? Como é avaliada a efetividade do treinamento? Somente trabalhadores treinados e qualificados são designados para determinadas tarefas? Como os supervisores sabem quais trabalhadores têm qualificações apropriadas para uma dada atribuição? 45. Avaliações médicas antes da contratação e também as periódicas são feitas por trabalhadores que devem atender e manter padrões médicos definidos? A saúde de um trabalhador é avaliada antes que ele/ela tenha permissão para retornar ao trabalho depois de uma enfermidade? 46. Existem programas para identificar e ajudar os trabalhadores que têm problemas de abuso de substâncias ou saúde mental? Que tipo de aconselhamento, apoio e aconselhamento profissional estão disponíveis para os trabalhadores durante os períodos de doença ou stress? Qual a política da empresa para redirecionar ou dispensar trabalhadores que estão incapazes/inadequados para realizar suas atribuições? Agora que você fez a si mesmo estas perguntas, vá às suas instalações e faça perguntas aos trabalhadores. O seu conhecimento, opiniões e atitudes irão ajudar você a
desenvolver uma estratégia efetiva para melhorar o desempenho humano dentro de sua empresa. Pesquisa de Auto-Avaliação Prezado [respondente da pesquisa]:*
Introdução A OSHA 1910.119, A Administração da Segurança de Processo de Produtos Químicos Altamente Perigosos, requer que os fatores humanos sejam “abordados” como parte das análises dos perigos do processo como um todo [(e)(3)(vi)]. Para ajudar a abordar esta necessidade, as empresas que estão utilizando uma grande variedade de ferramentas e técnicas que ajudam a identificar e avaliar fatos relacionados aos fatores humanos. O [Executivo Chefe] gostaria de melhor compreender as técnicas e práticas que estamos atualmente utilizando para melhorar os sistemas de desempenho humano. Um formulário de pesquisa foi preparado para este propósito. A intenção é de fazer circular uma pesquisa que será útil para as empresas participantes como uma ferramenta de auto-avaliação, e fornecer informações para avaliação de nossa organização como um todo.
Definições “Fatores humanos” é um termo amplamente empregado para descrever a tecnologia devotada à redução do potencial para erro humano. Para os propósitos desta pesquisa, as seguintes definições serão utilizadas: Erro humano. Qualquer ação humana (ou a falta dessa ação) que exceda algum limite de aceitabilidade (por exemplo, uma ação fora de tolerância) onde os limites do desempenho humano são definidos pelo sistema. [Definição pelo documento do American Chemistry Council (Conselho Americano de Química) e do API, Um Guia do Gerente para a Redução de Erros Humanos, Segunda Edição] •
Fatores humanos. Uma disciplina voltada para o projeto de máquinas, operações e ambientes de trabalho, de maneira que eles estejam de acordo com as capacidades, limitações e necessidades humanas. Entre os especialistas de fatores humanos, este termo geral inclui qualquer trabalho técnico (engenharia, redação de procedimentos, treinamento de trabalhadores, seleção de trabalhadores, etc) relacionado ao fator humano em sistemas de operador e máquina. [Definição pelo documento do American Chemistry Council (Conselho Americano de Química) e do API, Um Guia do Gerente para a Redução de Erros Humanos, Segunda Edição] •
Sistemas de desempenho humano. Os componentes do ambiente de trabalho relacionados à atribuição, interface homem-máquina, processos de trabalho, administração, influências culturais e organizacionais, e variabilidade humana, interagindo juntos de maneira a afetar um aumento ou decréscimo na probabilidade de erro humano. •
*Nota: Itens que precisam ser modificados para tornar a pesquisa específica da empresa estão entre colchetes ([ ]).
Por que a sua [planta] deveria apoiar este projeto? A necessidade de ferramentas para desempenho humano melhorado é geralmente reconhecida. A investigação completa da maioria dos incidentes de planta de processo identifica o erro humano entre as causas essenciais. As organizações descobriram que podem reduzir bastante esses acidentes através da aplicação de métodos direcionados para a melhoria dos sistemas de desempenho humano. Alguns dos benefícios incluem: •
Encontrar e reduzir situações no local de trabalho (por exemplo, o stress repetitivo, sinais confusos, posicionamento complicado, equipamentos difíceis de serem operados) que contribuem para acidentes e ferimentos
•
Identificar e modificar processos de trabalho confusos ou conflitantes (por exemplo, sistemas de permissão para trabalho, práticas de trabalho seguro) que possam diretamente conduzir a acidentes sérios caso haja erro humano
•
Identificar e modificar comportamentos que possam conduzir a acidentes e ferimentos – tanto nos níveis gerencial quanto de operários.
Algumas empresas petroquímicas do Canadá acreditam que os eu sucesso é devido, em grande parte, um processo ambicioso d melhoria do desempenho humano. Tipicamente, o processo de desempenho humano que eles empregam vai além dos princípios tradicionais de engenharia de recompensa/punição e interface homem/máquina. A análise da causa essencial está direcionada para a abordagem de melhorias tanto nos sistemas técnico quanto social. Vários projetos emergiram refletindo um interesse crescente tanto da parte da indústria quanto do governo em melhorar os sistemas de desempenho humano. Por exemplo, além do documento do American Chemistry Council (Conselho Americano de Química) e do API, Um Guia do Gerente para a Redução de Erros Humanos, Segunda Ediçã o, o American Institute of Chemical Engineers’ Center for Chemical Process Safety (Centro do Instituto Americano de Engenheiros Químicos para Segurança em Processo Químico) publicou Diretrizes para Prevenção de Erro Humano em Segurança de Processo, um amplo tratamento de alto nível da matéria. O Minerals Management Service (MMS) (Serviço de Administração de Minerais) dos Estados Unidos também completou um projeto intitulado Fatores Humanos em Operações Fora da Costa. Um dos objetivos de projeto do MMS era desenvolver ferramentas simples e práticas que pudessem ser utilizadas por pessoal da planta e de plataforma para analisar as tarefas do trabalho. Mais recentemente, pelo menos uma agência governamental local (juntamente com representantes da indústria local e da International Oil e Sindicato dos Trabalhadores em Indústria Química e Atômica) esboçou um decreto que detalha a inclusão de fatores humanos nos esforços da administração de segurança de processo. Este projeto proposto inclui necessidades das plantas em: •
• •
Desenvolver um programa escrito de fatores humanos, com a participação dos empregados, que inclua mas não seja limitado a pessoal, trabalho de turno e horas extras Inclua fatores humanos nas análises de perigos em processo (de acordo com a OSHA 1910.119) Considere os sistemas humanos como fatores no processo de investigação de incidente
• • •
•
Treine empregados no programa de fatores humanos Aborde os fatores humanos em procedimentos operacionais Conduza a administração de mudança, com a participação dos empregados, para mudanças em pessoal permanente no que diz respeito a níveis e organização, operações e resposta de emergência Forneça uma descrição escrita do plano de fatores humanos.
Dadas as atividades de amplo espectro que estão acontecendo no campo do desempenho humano, este é um momento apropriado para capitalizarmos o trabalho anterior, e ao mesmo tempo expandir a ciência, ajudando-nos a abordar esta importante questão de maneira eficiente, efetiva e consistente. Conteúdo da Pesquisa A pesquisa em anexo identifica três áreas gerais da atividade humana em que as informações seriam úteis para a administração de plantas em operação, bem como para a organização como um todo. Especificamente: 1. Atividades individuais. Elas incluem as preocupações relacionadas ao desempenho humano associadas com a interface homem-máquina, tarefas do trabalho, ambiente de trabalho, e outras questões relacionadas ao indivíduo e ao desempenho direto no trabalho. 2. Processos de trabalho. Estes incluem as preocupações relacionadas ao desempenho humano associadas a atividades chave da segurança de processo como conduzir investigações de incidentes, realizar análises de perigos, escrever/atualizar procedimentos operacionais, treinamento e práticas de trabalho seguro. 3. Influências gerenciais, organizacionais e culturais. Estas incluem fatores gerenciais, organizacionais e culturais que podem ter um efeito adverso ou benéfico na segurança de processo tanto como podem se refletir na política, atitudes, paradigmas, comunicações, interfaces e responsabilidades, e na maneira como as coisas realmente são feitas. A pesquisa pretende ser uma ferramenta de avaliação útil para a planta e é projetada de maneira que múltiplos níveis dentro da organização possam completá-la. Acreditamos que uma resposta de níveis múltiplos irá fornecer uma avaliação mais precisa e completa, aumentando a utilidade da pesquisa tanto para a planta/divisão e para a organização. Os quatro níveis sugeridos para respostas (categorias) incluem (1) gerente, (2) supervisor de primeira linha, (3) operários com salário mensal/horário e (4) técnico/profissional. Ao solicitar que tanto os operários quanto o pessoal de administração respondam as mesmas perguntas, podemos identificar melhor percepções a cada nível e podemos preparar um resultado equilibrado composto. Por esta razão, sugerimos que a pesquisa seja distribuída por todo o espectro organizacional. O número de pessoas a serem envolvidas na pesquisa fica à discrição da planta. Para grandes instalações um mínimo de 10 a 15 porcento de tamanho de amostragem é recomendado, em todas as quatro categorias funcionais. Instalações menores devem considerar amostras maiores, com até 100 porcento de participação. Solicitamos que todos os questionários individuais sejam devolvidos ao [patrocinador], agrupados nas quatro categorias funcionais. Analisaremos os dados e retornaremos os resultados para as plantas, a depender do desejo do grupo. Enquanto aguardamos a análise corporativa,
algumas locações podem escolher avaliar os seus próprios dados para obter um feedback imediato das informações da pesquisa. Os resultados agregados da pesquisa completada serão utilizados para identificar atividades de estado da arte que estão sendo utilizadas pela nossa organização, bem como as principais áreas de preocupações ou problemas. Além disso, compreendendo o que está sendo feito atualmente, podemos ajudar a assegurar que quaisquer modificações futuras no sistema de administração serão compatíveis com os nossos programas existentes. Os resultados da pesquisa serão resumidos e enviados para os locais participantes.
Logística da Pesquisa Ao completar a pesquisa, favor notar o seguinte: •
Divisão, Localização e Identificação de Contato. Os resultados da pesquisa serão enviados para a pessoa de contato identificada.
•
Estrutura da pesquisa. A pesquisa compreende as duas seções seguintes: 1. Seção 1, que consiste de um questionário de três páginas, de múltipla escolha, para ser preenchido por todos os quatro grupos dentro da planta como indicado. 2. Seção 2, que consiste de uma série de perguntas gerais. Eles devem ser preenchidos pelo líder da pesquisa (a pessoa que está coordenando a pesquisa) depois de revisar os questionários de múltipla escolha preenchidos.
•
Data de Entrega. Favor preencher e retornar a pesquisa até [Data]
•
Perguntas sobre a administração da pesquisa devem ser dirigidas para [patrocinador] no endereço [xxx-xxx-xxxx]. Uma cópia eletrônica desta pesquisa está disponível em: [www/XXXXXXXXXX].
•
Devolver a Pesquisa. Por favor envie as pesquisas preenchidas para: [patrocinador]
Visitas de Acompanhamento A força de trabalho gostaria de fazer visitas de acompanhamento com grupos selecionados que têm esforços sofisticados ou ilustrativos de sistemas de desempenho humano no local. O propósito da visita de acompanhamento seria de fornecer mais informações detalhadas para a força de trabalho do que as que podem ser obtidas através da pesquisa. Caso o seu local de trabalho tenha disponibilidade para uma visita de um dia ou uma teleconferência, por favor indique isso na pesquisa.
Pesquisa sobre Desempenho Humano
Divisão: Local: Número de Funcionários: Nome de Contato:
EXEMPLO DE UM PROBLEMA ACH UTILIZANDO A TÉCNICA THERP Este apêndice ilustra como uma ACH de um problema simples e prático pode ser realizada. A técnica THERP, conforme descrição contida no Manual de Análise de Confiabilidade Humana com Ênfase nas Aplicações em Usina Atômica (Manual ),7 foi utilizada para resolver reste problema. Os leitores que desejarem entender plenamente a técnica THERP e a lógica que está por trás dos dados selecionados para este exemplo devem ler o Manual . Assuma que o sistema abaixo descrito existe numa unidade de processo recentemente adquirida pela sua empresa. Na posição de gerente, a segurança desta unidade agora está sob sua responsabilidade. Você está preocupado(a) porque a sua equipe de análise perigo de processo identificou o potencial para erros de operador resultarem numa ruptura do condensador de propano. Você estruturou uma ACH para estimar a possibilidade de ruptura do condensador como o resultado de tal erro, e para identificar maneiras de reduzir a frequência esperada de tais rupturas.
DESCRIÇÃO DO SISTEMA Quatro condensadores paralelos de propano, um dos quais é ilustrado na Figura 14, são projetados com taxa de pressão na carcaça de 450 psig e taxa de pressão nos tubos de 125 psig. A pressão de vapor do propano é controlada a 400 psig; a água de resfriamento que está circulando pelos tubos do condensador é normalmente mantida a 75 psig. O propano líquido fluirá para fora do condensador tão logo ele condense; não existe quantidade significativa de propano líquido dentro do condensador. As duas válvulas de isolamento de propano para cada condensador são válvulas de elevação de haste de comporta sem qualquer etiqueta afixada. As duas válvulas de isolamento de água para cada condensador são válvulas borboleta sem etiqueta alguma. Os atuadores de volante têm indicadores de posição.
Um tubo falhou em cada um dos quatro condensadores em aproximadamente cada três anos. Caso um tubo de condensador venha a falhar, o condensador afetado pode ser retirado de serviço, fechando-se as quatro válvulas de isolamento (válvula de entrada de vapor de propano, válvula de saída de propano líquido, válvula de abastecimento de água para resfriamento e válvula de retorno de água para resfriamento). No entanto, caso um tubo venha a falhar, é essencial que o operador feche as duas válvulas de isolamento d propano antes de fechar as duas válvulas de isolamento de água. Fechar as duas válvulas de água iria permitir que a pressão aumentasse na lateral do tubo do condensador e viesse a romper a cabeça do tubo.
CONDIÇÕES DO SISTEMA ANALISADAS • • •
•
•
Um tubo falhou no condensador. O alarme de baixa pressão do despropanizador soou na sala de controle. O operador de campo, experiente, observou gás e água sendo expelidos da ventilação de hidrocarboneto na torre de resfriamento. O operador de campo grita pelo rádio que uma nuvem de vapor de propano parece estar se formando e está se movimentando em direção à sala de controle. O operador da sala de controle deu instruções ao operador de campo para isolar o condensador que falhou o mais rápido possível, de maneira que não seja necessária uma parada da unidade. O operador de campo identificou corretamente o condensador com o tubo que falhou através do som do propano em expansão e pela visível condensação/congelamento na carcaça.
RESULTADOS DE ACH QUALITATIVA O primeiro passo da análise é identificar as ações humanas e falhas de equipamentos que podem conduzir a falha no interesse. Uma árvore de eventos ACH (Figura 15) é então construída para ilustrar os erros humanos potenciais (representados pelas letras maiúsculas em português) e as falhas potenciais de equipamento (representadas pelas letras gregas). A série de eventos que irá conduzir à falha no
interesse é identificada por um F i ao final do último galho da árvore de eventos. Todos os outros resultados são considerados sucessos, ainda que a liberação de propano não seja isolada nos resultados S 2 e S3, de maneira que o processo precisa ser interrompido. A inspeção da árvore de eventos ACH revela que o erro humano dominante é o Erro A: o operador falha ao não isolar primeiro as válvulas de propano. Os outros erros humanos potenciais são fatores somente se uma válvula de isolamento de propano se mantiver aberta. Com base somente nestes resultados qualitativos, um(a) gerente poderá decidir treinar periodicamente os operadores no procedimento apropriado para isolar um condensador que falhou e para assegurar que os operadores estejam cientes dos perigos potenciais. O(a) gerente poderá também decidir solicitar manutenção preventiva regular para as válvulas de isolamento de propano para ajudar a assegurar que elas se fecharão de maneira apropriada quando necessário.
RESULTADOS QUANTITATIVOS DE ACH
Este(a) gerente solicitou resultados quantitativos, de maneira que o analista deve estimar a probabilidade de cada falha ou erro incluídos na árvore de eventos. Dados para toda as falhas e erros neste problema em particular estão disponíveis nas tabelas contidas no Manual . O analista deve modificar estes dados na medida do necessário, para levar em consideração as características específicas da situação de trabalho, tais como níveis de stress, características do projeto do equipamento e dependências entre operadores. A Tabela 10 resume os dados utilizados neste problema. Existe um procedimento escrito para o isolamento do condensador, mas isso é normalmente uma simples tarefa passo a passo que se constitui numa Segunda natureza para o operador e é realizada de memória. No entanto, sob a ameaça de uma explosão em potencial de uma nuvem de vapor, o operador pode esquecer de fechar primeiro as válvulas de propano (Erro A). O PEH na nota de rodapé (0,01)da Tabela 20-7 #5 do Manual é aumentada por um fator de 5 de acordo com a Tabela 20-16 #6a do Manual para ser responsável pelo stress.
Tabela 10 Eventos Incluídos na Árvore de Eventos ACH Símbolo de Descrição da Falha Probabilidade Falha Estimada A O operador falha em fechar primeiro as 0,05 #5 válvulas de propano Válvula de entrada de propano fica aberta 0,001 Σ1 14 Válvula de saída de propano fica aberta 0,001 Σ2 14 B Operador falha em detectar uma 0,025 válvula emperrada C Operador decide fechar as válvulas de 0,25 água de resfriamento para interromper a liberação de propano
Fonte de Dados nota de rodapé T20-7 x 5, por T20-16 #6 a nota de rodapé T20nota de rodapé T20T20-14 #3 x 5, por T20-16 #6a T20-16 #7a
A probabilidade de uma válvula permanecer aberta não é afetada pelo nível de stress do operador (a despeito da lei de Murphy), mas a probabilidade do operador falhar na detecção da válvula emperrada (Erro B) é aumentada. O PEH na Tabela 20-14 #3 do Manual é aumentada por um fator de 5 de acordo com a Tabela 20-16 #6a do Manual . O terceiro erro humano potencial (Erro C) é que o operador irá decidir fechar as válvulas de água de resfriamento ainda que ele/ela diagnostique que a válvula de propano não está fechada. A probabilidade de tal erro (uma decisão dinâmica numa situação ameaçadora) está listada como 0,25 na Tabela 20-16 #7 a do Manual . O analista pode então calcular a probabilidade total de falha (F T ) através do somatório da probabilidade de todos os caminhos de falhas (F 1-5 ). A probabilidade de um caminho específico é calculada através da multiplicação das probabilidades de cada parte de sucesso ou falha naquele caminho. (Nota: A soma das probabilidades de sucesso e falha chega a 1,0 para cada ponto do galho. Por exemplo, a probabilidade de Erro B é de 0,025, e a probabilidade de Sucesso b é de 0,975.) A Tabela 11 resume os cálculos dos resultados de ACH, que são normalmente arredondados para um dígito significativo depois que os cálculos imediatos são completados.
Tabela 11 Resultados de ACH F1 = A = 5,0 x 10-2 F2 = aΣ1B = 2,4 x 10-5 F3 = aΣ1bC = 2,3 x 10-4 F4 = aσ1Σ B = 2,4 x 10-5 F5 = aσ1ΣbC = 2,4 x 10-4 FT = F1 +...+ F5 ~~0,05 Finalmente, o analista de ACH irá calcular a frequência esperada de rupturas do condensador como resultado de isolamento impróprio. A frequência de falhas do tubo do condensador é de 0,33 por ano (uma a cada 3 anos), e a probabilidade calculada de isolamento inadequado é de 0,05. A multiplicação destes dois números mostra que a frequência esperada de isolamento inadequado de um condensador que
