Modelos de acidentes

Acidentes chegam sem aviso, e os inúmeros eventos ocorrem em espaços curtos de tempo, fazendo com que as testemunhas ou participantes tenham seus sentimentos e percepções distorcidas, dificultando a análise do que realmente aconteceu. Por conta disso, vários modelos de acidentes foram propostos e discutidos ao longo das décadas passadas.

O que se pode notar pela pesquisa na literatura é que os modelos de acidentes mais bem conceituados e citados utilizam uma abordagem sócio-técnica para explicar como os acidentes ocorrem, ou seja, os erros humanos são um aspecto chave no entendimento da sequência de um acidente ou propagação de uma falha.

Kumamoto e Henley (1996) propõem um modelo genérico de acidentes chamado de MACHINE (Model of Accident Causation Using Hierarchical Influence

Network Elicitation). Esse modelo genérico, apresentado na Figura 17, assume que

as causas diretas dos acidentes, apresentadas na camada de eventos, são combinações de erros humanos, falhas de equipamentos e eventos externos.

Kristiansen (2005) também apresenta alguns modelos de acidentes e de reconstrução de eventos. Dentre eles, o Loss Causation Model (LCM), cujo principio é que todas as perdas ou problemas de segurança podem ser rastreados até a perda do controle pela gerência. Esse modelo foi desenvolvido por Bird e Germain (1992) do International Loss Control Institute Inc. (ILCI), e é a abordagem de gerenciamento de segurança promovida pela DNV (Det Norske Veritas). Os componentes do modelo, apresentados na Figura 18, são: perda do controle pela gerência, causas básicas e imediatas, incidente e perdas de pessoas ou de

propriedade. O primeiro elemento da cadeia é o que os autores chamam de “controle inadequado”, o que é uma inovação do modelo, pois coloca mais peso sobre a gerência que sobre os operadores.

Figura 17 – Modelo genérico de acidente – adaptado de (KUMAMOTO; HENLEY, 1996, p. 69)

Figura 18 – Modelo de acidente LCM – adaptado de (KRISTIANSEN, 2005, p. 378)

Ren et al. (2008) também apresentam um modelo para avaliação de segurança baseado em fatores humanos e organizacionais. Eles propõem que as seguintes premissas podem ser consideradas sobre acidentes:

 Acidentes não ocorrem devido a uma causa única, mas são o resultado de uma combinação de falhas ou erros, ou uma cadeia de erros.

Erros Humanos Falha de

hardware ExternosFatores

Ativos Latente Recuperação

Treinamento Procedimentos Supervisão Combinação _demanda/ recursos Equilíbrio Produção/ segurança Feedback operacional Gerenciamento De Recursos Humanos Gerenciamento de Riscos

Projeto _{Comunicação}Sistema de Induzidas por humanos Aleatória Acidente Definição de responsabilidades Causas diretas Nível 1: Influências causais Nível 2: Influências Causais (políticas) Eventos PERDADOCONTROLE PELAGERÊNCIA: PROGRAMAS INADEQUADOS, COMPLACÊNCIA COMNORMASE PROCEDIMENTOS CAUSASBÁSICAS: FATORESPESSOAIS EDOTRABALHO QUELEVAMA: CAUSAS IMEDIATAS: CONDIÇÕES ANORMAISEAÇÕES QUERESULTAMEM: INCIDENTE: CONTATOCOM ENERGIAOU SUBSTÂNCIAQUE RESULTAEM: PERDAS: DEPESSOAS, PROPRIEDADES, E PROCESSOS, QUE PODEMSER MENORESOU CATASTRÓFICOS

 Acidentes não são causados por uma ocorrência súbita de uma condição desfavorável, mas frequentemente são causados por fatores humanos e organizacionais que disparam um evento iniciador.

 Todos os acidentes possuem uma causa iniciadora e uma causa raiz.  Os fatores de risco possuem uma natureza dinâmica, e a análise de

risco deve ser capaz de refletir estas propriedades dinâmicas e lidar com informações dinâmicas.

O entendimento de Reason sobre acidentes organizacionais também é muito bem aceito nos trabalhos da área de análise de risco e confiabilidade, sendo uma literatura quase obrigatória no meio acadêmico. Reason (1997) afirma que os acidentes podem ser divididos em dois tipos:

 Acidentes individuais: são frequentes, com consequências limitadas, com poucas ou nenhuma barreira. Suas causas são limitadas e podem ser simplesmente um deslize, lapso ou um engano.

 Acidentes organizacionais: são raros, mas com consequências amplas. Podem ter várias causas e barreiras, envolvendo julgamento e decisão.

O modelo de acidentes de Reason é chamado de “modelo do queijo suíço”, onde as barreiras são as medidas que impedem que um perigo se propague para um incidente. Estas barreiras não são perfeitas, e possuem vários “buracos”, que são as falhas ativas ou latentes do sistema. Quando um perigo encontra um caminho entre buracos de todas as barreiras, o incidente ocorre.

Vários autores utilizam este modelo como base para modelos mais específicos, como, por exemplo, Mosleh e Dias (2004 apud DIAS et al., 2007b). Estes expandiram o modelo do queijo suíço de forma a explicitar o evento iniciador (ou evento gatilho), e as barreiras entre a causa e a condição perigosa, entre a condição perigosa e incidente, e entre incidente e consequências. Este modelo, ilustrado na Figura 19, se preocupa tanto com a prevenção do acidente, evidenciando as barreiras anteriores ao incidente, quanto com as medidas de contingência, as quais se referem à gestão do incidente, tanto no caso da perda da função simplesmente, quanto diante da ocorrência de danos.

Figura 19 – Modelo da corrente causal para análise de perigo

e trajetória de incidentes através de barreiras – adaptado de (DIAS et al., 2007b, p. 9)

Nem sempre é óbvio introduzir barreiras que evitam que um perigo evolua para um acidente. Na realidade, as falhas acopladas estão entre as deficiências que mais requerem uma análise sistemática do risco para serem descobertas. Estes acoplamentos podem ser:

 Acoplamento funcional: quando o sistema A fornece as condições sob as quais o sistema B deve funcionar. Se A falha, B pode não atingir seu funcionamento, pois as condições de operação estão fora do limite de projeto de B. Se A falha, B falha em sequência.

 Acoplamento por unidade comum: os sistemas A e B possuem uma mesma unidade que permite o funcionamento de ambos, por exemplo, mesma alimentação elétrica.

 Acoplamento por proximidade: o elemento A falha, e por consequência, B também falha por estar perto de A. Por exemplo, uma bomba d’água de emergência pega fogo durante um incêndio, e a bomba reserva, no mesmo compartimento, também falha.

Causa ou condição Condição perigosa Evento iniciador

+

Defesas falhas ou ausentes: Falhas ativas ou latentes

Incidente barreiras

 Acoplamento humano: são dependências introduzidas por atividades humanas, como erros de omissão ou comissão. Exemplo, um operador interpreta um alarme erroneamente, e por isso realiza um comando que não deveria.

O modelo de Reason aborda vários aspectos relacionados aos fatores humanos e organizacionais, e por isso, será discutido em maior profundidade no capítulo seguinte.