FBIO KAZUO OSHIRO

TOMADA DE DECISES BASEADA EM METODOLOGIAS DE ANLISE DE CONFIABILIDADE HUMANA

So Paulo 2010

FBIO KAZUO OSHIRO

TOMADA DE DECISES BASEADA EM METODOLOGIAS DE ANLISE DE CONFIABILIDADE HUMANA

Monografia apresentada Escola Politcnica da Universidade de So Paulo para obteno de ttulo de especialista em Engenharia de Segurana do Trabalho

So Paulo 2010

FICHA CATALOGRFICA

Oshiro, Fbio Kazuo Tomada de decises baseada em metodologias de anlise de confiabilidade humana / F.K. Oshiro. -- So Paulo, 2010. 111 p. Monografia (Especializao em Engenharia de Segurana do Trabalho) - Escola Politcnica da Universidade de So Paulo. Programa de Educao Continuada em Engenharia. 1. Preveno de acidentes 2. Indstria petroqumica 3. Erro (Fatores humanos) I. Universidade de So Paulo. Escola Politcnica. Programa de Educao Continuada em Engenharia II. t.

LISTA DE ABREVIATURAS E SIGLAS

AAF ACH AQR ATHEANA CADET CES CETESB CM COGENT CREAM EPC GEMS HEA HEART HEP HFAM HITLINE HTA IDA IMAS IPL IR LOPA MVC NRC OAET PHA PHEA PIFs PGR PVC SPEAR SRK STAHR THERP
Anlise por rvore de Falhas Anlise de Confiabilidade Humana Anlise Quantitativa de Riscos A Technique for Human Error Analysis Critical Action and Decision Evaluation Technique Cognitive Environment Simulation Companhia Ambiental do Estado de So Paulo Confusion Matrices Cognitive Event Tree System Cognitive Reliability and Error Analysis Method Error Producing Conditions Generic Error-Modelling System Human Error Analysis Technique Human Error Assessment and Reduction Technique Human Error Probability Human Factor Analysis Methodology Human Interaction Timeline Hierarchical Task Analysis Influence Diagram Analysis Influence Modelling and Assessment Systems Independent Protection Layer ndice de Risco Layer of Protection Analysis Monocloreto de Vinila Nuclear Regulatory Commission Operator Action Event Trees Process Hazard Analysis Predictive Human Error Analysis Performace Influencing Factors Programa de Gerenciamento de Riscos Policloreto de Vinila Systems for Predicting Human Error and Recovery Skill-, Rule- and Knowledge-based Behaviour Socio-Technical Assessment of Human Reliability Technique for Human Reliability Analysis

RESUMO
Esta monografia tem o objetivo de analisar algumas metodologias de confiabilidade humana buscando avaliar as probabilidades de erros humanos levando em considerao fatores observveis e cognitivos. A motivao que atualmente no Brasil a frequncia da falha humana avaliada de forma subjetiva e conservativa quando comparada com falhas de equipamentos e sua quantificao poderia ser elaborada atravs de mtodos que poderiam representar com mais realidade o risco. O desenvolvimento consistiu da avaliao de algumas metodologias de confiabilidade humana e de tomada de deciso. Seguido de uma aplicao prtica da avaliao da confiabilidade humana no acidente ocorrido em 2004 na Formosa Plastics Corp. Illiopolis. Inicialmente atravs do mtodo analtico de ao orientada HTA (Hierarchical Task Analysis), seguido da anlise dos erros humanos atravs do desenvolvimento da PHEA (Predictive Human Error Analysis) e, da utilizao da metodologia SPEAR (Systems for Predicting Human Error and Recover) para avaliao qualitativa e quantificao atravs da AAF (Anlise por rvore de Falhas) e HEART (Human Error Assessment and Reduction Technique). A representao do cenrio acidental foi desenvolvida por duas formas diferentes, atravs do diagrama de influncia cuja efetividade das recomendaes foram analisadas atravs do Mtodo de Pontuao Ponderada representando o foco gerencial, e atravs do mtodo de HEART e AAF representando o foco operacional.

Palavras-chave: Tomada de deciso, Confiabilidade humana, Acidente de Formosa-IL, Probabilidade de erro humano, Fatores influenciadores de desempenho.

ABSTRACT
The objective of this study is to analyze some methodologies of human reliability considering the external (observable) and internal (cognitive) factors. The driver is that nowadays in Brazil the frequency of human failure is evaluated in a subjective and conservative way when compared to equipment failure and its quantification could be developed using methods that represent the risk with closer to reality. The development was based on the evaluation of some methodologies of human reliability and decision making. Followed by a practical application of human reliability assessment of an accident occurred in 2004 on Formosa Plastics Corp. Illiopolis. Initially through analytical methodology action oriented of HTA (Hierarchical Task Analysis), followed by human error analysis using PHEA (Predictive Human Error Analysis) and the qualitative analysis using SPEAR (Systems for Predicting Human Error Analysis) and quantitative assessment using FTA (Fault Tree Analysis) and HEART (Human Error Assessment and Reduction Technique). Accidental scenario was represented in two different forms, by an influence diagram which effectiveness of the recommendations was analyzed using Weighed Score Method representing the management focus and HEART and AAF methods representing the operational focus.

Keyword: decision making, human reliability, accident in Formosa-IL, human error probability, performance factors influence

SUMRIO

1 1.1 1.2 2

INTRODUO .................................................................................................8 OBJETIVO......................................................................................................10 JUSTIFICATIVA..............................................................................................11 REVISO DA LITERATURA .........................................................................12

2.1 CONFIABILIDADE HUMANA .........................................................................14 2.1.1 A Preveno de Acidentes do Ponto de Vista Tradicional ...........................15 2.1.2 A Engenharia dos Fatores Humanos e Ergonmicos ..................................16 2.1.2.1 Relao do Erro Humano e a Interface Homem- Mquina........................17 2.1.3 Soluo Tpica para o Erro Humano............................................................18 2.1.4 O Erro Humano da Perspectiva Cognitiva ...................................................19 2.1.4.1 Classificao do erro humano na perspectiva cognitiva............................21 2.1.4.2 Modelo de Escada Porttil ......................................................................22 2.1.5 Performance Influencing Factors (PIF) ........................................................23 2.1.6 Categorias das aplicaes de acordo com a viso SRK (Skill-, Rule- and Knowledge-based Behaviour) ......................................................................26 2.1.7 Generic Error-Modelling System (GEMS) ....................................................28 2.1.8 Perspectiva scio-tcnica ............................................................................30 2.1.8.1 Human Factor Analysis Methodology (HFAM) ..........................................30 2.2 TOMADA DE DECISO .................................................................................31 2.2.1 Processo de Deciso ...................................................................................32 2.3 ACIDENTE DA FORMOSA PLASTICS CORP. PLANTA DE PVC ILLIOPOLIS, ILLINOIS ..............................................................................................33 3 MATERIAIS E MTODOS .............................................................................34 3.1 METODOLOGIA UTILIZADA (PASSO A PASSO) .........................................34 3.2 CONFIABILIDADE HUMANA .........................................................................36 3.2.1 Mtodos Analticos.......................................................................................36 3.2.1.1 Anlise da Tarefa ......................................................................................36 3.2.1.2 Tcnicas de Aes Orientadas..................................................................36 3.2.1.3 Tcnicas de Anlises de Tarefas Cognitivas.............................................39 3.2.2 Human Error Analysis Technique (HEA)......................................................43 3.2.2.1 Predictive Human Error Analysis (PHEA)..................................................43 3.2.2.2 Checklists Ergonmicos ............................................................................45 3.2.3 MTODOS QUALITATIVOS E QUANTITATIVOS.......................................45 3.2.3.1 Systems for Predicting Human Error and Recovery (SPEAR)...................46 3.2.3.2 Processo Quantitativo ...............................................................................48 3.2.3.3 TCNICAS QUANTITATIVAS...................................................................49 3.2.3.4 Technique for Human Reliability Analysis (THERP)..................................52 3.2.3.5 Influence Diagram Analysis (IDA)..............................................................54 3.3 TOMADA DE DECISO .................................................................................56 3.3.1 Ferramentas de Tomada de Deciso...........................................................56 3.3.1.1 Anlise de Custo-Benefcio .......................................................................56 3.3.1.2 Mtodos de Votao .................................................................................56 3.3.1.3 Mtodo de Pontuao Ponderada.............................................................57 3.3.1.4 Processo de Hierarquia Analtica ..............................................................57

7 3.4 AVALIAO CRTICA SOBRE O ACIDENTE DA FORMOSA PLASTICS CORP. ILLIOPOLIS................................................................................................58 4 4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.2 4.2.1 4.2.2 4.2.3 4.3 4.4 4.5 5 5.1 5.2 5.3 5.4 5.5 5.6 5.7 6 7 8 RESULTADOS ...............................................................................................60 SPEAR (SYSTEMS FOR PREDICTING HUMAN ERROR AND RECOVERY) 60 HIERARCHICAL TASK ANALYSIS DE LIMPEZA DOS REATORES..........60 ANLISE DOS PIFs.....................................................................................62 METODOLOGIA DE HFAM .........................................................................64 ANLISE DOS ERROS HUMANOS (PHEA), DAS CONSEQUNCIAS E DA REDUO DOS ERROS.............................................................................65 REPRESENTAO DO EVENTO ATRAVS DE RVORE DE FALHAS .....69 Quantificao dos Eventos Bsicos.............................................................70 Anlise crtica das probabilidades dos eventos bsicos ..............................72 Quantificao do cenrio do acidente da Formosa-IL (evento topo)............73 IDA (INFLUENCE DIAGRAM ANALYSIS)......................................................74 FOCO DE GESTO .......................................................................................75 FOCO OPERACIONAL ..................................................................................77 DISCUSSES ................................................................................................78 ANLISE DOS PIFS.......................................................................................78 HFAM 79 PHEA 79 FOCO DE GESTO .......................................................................................80 FOCO OPERACIONAL ..................................................................................81 COMPARAO ENTRE O FOCO DE GESTO E O FOCO OPERACIONAL 82 COMENTRIOS FINAIS ................................................................................82 CONCLUSES ..............................................................................................84 REFERNCIAS ..............................................................................................85 GLOSSRIO ..................................................................................................89

APNDICE A - INTERFACE HOMEM-MQUINA (ADAPTADO DE WICKENS, 1984) 91 APNDICE B SUMRIO DO ACIDENTE DA FORMOSA PLASTICS CORP. PLANTA DE PVC ILLIOPOLIS, ILLINOIS ..............................................................94 APNDICE C CLCULO DA PROBABILIDADE DOS EVENTOS BSICOS ATRAVS DA METODOLOGIA HEART .................................................................109

1 INTRODUO
O interesse sobre o erro humano na confiabilidade do sistema teve origem em estudos de sistemas militares durante 1950, quando estava claro que a maior parte das falhas dos sistemas ocorria devido a erros no projeto, fabricao e construo. Houve uma intensificao da aplicao de tcnicas como anlises de rvores de falha para segurana das plantas nucleares e a ocorrncia do acidente de Three Mile Island despertou a necessidade da anlise preditiva dos erros humanos. Confiabilidade Humana a probabilidade que um trabalho ou tarefa ser completado com sucesso pelo indivduo em qualquer estgio operacional do sistema dentro de um tempo mnimo requerido (Meister, 1966). Inicialmente a avaliao da confiabilidade humana foi utilizada apenas para complementar os clculos especficos da engenharia de confiabilidade devido a necessidade de se utilizar valores de probabilidade de erros humanos nos clculos das rvores de falhas. Era uma necessidade considerada bastante mecanicista do ponto de vista de anlise de segurana, considerando o indivduo como um componente de hardware com uma determinada funo. A viso mecanicista inicial cujo interesse era apenas o valor probabilstico do erro humano despertou a necessidade da ampliao dos estudos para as demais reas que influenciam o fator humano. De acordo com estudo desenvolvido por Joshchek em 1981, 80% a 90% de todos os acidentes nas indstrias qumicas ocorrem devido ao erro humano. O erro humano associado a causa de acidentes vem sendo criticado devido a sua abordagem generalista. O estudo de 190 acidentes desenvolvido em 1989 por Rasmussen revelou que 34% dos acidentes ocorrem por falta de conhecimento, 32% devido a erros de projeto, 24% erros de procedimento e 16% por erros pessoais. Estes resultados demonstram que o erro humano pode possuir causas especficas de origens bastante distintas e que devem ser exploradas. A viso clssica dos fatores humanos e ergonmicos considera o comportamento humano como uma caixa preta baseada em entradas de informaes e sadas de aes de controle. A viso cognitiva abre a caixa preta. A perspectiva cognitiva mais moderna e baseada na psicologia cognitiva. Esta perspectiva se baseia no processamento da informao, preocupando-se na forma como as pessoas adquirem a informao, sua compreenso pessoal e o

9 resultado no seu comportamento. A diferena principal da viso clssica dos fatores humanos que a perspectiva cognitiva destaca as intenes, objetivos e significado como aspectos principais do comportamento humano. Cada vez mais a avaliao da confiabilidade humana deve abranger fatores externos e internos dos indivduos, ou seja, os fatores observveis e cognitivos devem ser considerados na anlise. Este trabalho foi basicamente dividido em trs fases, a primeira iniciou-se com o estudo das metodologias de confiabilidade humana e tomada de decises seguida da segunda fase de anlise do relatrio de investigao do acidente ocorrido em 2004 na Formosa Plastics Corp. Illiopolis pela US Chemical Safety and Hazard Investigation Board (CSB) e a ltima fase consistiu do desenvolvimento do mtodo sobre o acidente estudado obtendo-se uma nova avaliao do acidente com o objetivo de se obter um resultado utilizando-se das metodologias de confiabilidade humana citadas neste estudo.

10

1.1 OBJETIVO
O objetivo do presente estudo foi analisar algumas metodologias de confiabilidade humana buscando avaliar as probabilidades de erros humanos levando em considerao fatores observveis e cognitivos atravs da aplicao da metodologia de Avaliao de Confiabilidade Humana (ACH) de primeira gerao num estudo prtico limitado pelas informaes fornecidas no relatrio de investigao do acidente ocorrido em 2004 na Formosa Plastics Corp. Illiopolis.

11

1.2 JUSTIFICATIVA
Os estudos de anlise de riscos que so desenvolvidos para atender os requisitos legais dos rgos brasileiros como, por exemplo, a CETESB (Companhia Ambiental do Estado de So Paulo) possuem orientaes para aplicao de tcnicas de confiabilidade humana. O emprego da tcnica ainda abordado de forma mecanicista, no deixando evidncias de estudos relacionados aos aspectos cognitivos cuja abordagem vem se ampliando significativamente no cenrio internacional. Segundo o Manual de Orientao para a Elaborao de Estudos de Anlise de Risco P 4.261 publicado pela CETESB em maio de 2003, deve ser realizada uma estimativa da freqncia de ocorrncia dos cenrios acidentais identificados atravs de registros histricos constantes de bancos de dados ou de referncias bibliogrficas e atravs de AAF (Anlise por rvores de Falhas): A definio de AAF extrado do manual pode ser visualizada a seguir. A Anlise por rvore de Falhas (AAF) uma tcnica dedutiva que permite identificar as causas bsicas de acidentes e de falhas num determinado sistema, alm de possibilitar a estimativa da freqncia com que uma determinada falha pode ocorrer. Alm dos aspectos acima mencionados, a estimativa das freqncias de ocorrncia dos eventos iniciadores dever tambm considerar a aplicao de tcnicas de confiabilidade humana para a avaliao das probabilidades de erros antropognicos que possam contribuir para a ocorrncia dos cenrios acidentais. O erro humano, apesar de ser o principal fator envolvido nos grandes acidentes industriais, considerado nos estudos de risco de forma subjetiva sem a utilizao de metodologias com abordagem cognitiva, e analisada de forma bastante generalista. A preocupao mecanicista na busca de valores de probabilidade do erro humano ainda evidente. Este trabalho busca demonstrar e exemplificar metodologias que poderiam contribuir para um desenvolvimento dos estudos de anlise de risco considerando uma maneira de avaliao mais consistente dos fatores humanos.

12

2 REVISO DA LITERATURA
Pouca evidncia estatstica d sustentao a teoria da propenso a acidentes que demonstra que um pequeno nmero de indivduos foi responsvel pela maioria dos acidentes (Shaw e Sichel, 1971). Diante desta concepo, uma srie de programas de modificaes comportamentais foi desenvolvida com resultados positivos conforme McSween, 1993. Aps a II Guerra Mundial com resultado da utilizao de sistemas de armas complexas e dinmicas, a engenharia de fatores humanos se destacou com o objetivo de aperfeioar as relaes dos indivduos nos sistemas mquina-homem. Segundo Wilson e Corlett (1990) e Salvendy (1987), a freqncia do erro pode ser reduzida atravs do equilbrio entre demanda da tarefa e capacidade humana. Sugere-se que o erro humano evitado atravs da automatizao da planta que demonstra uma alocao da funo, onde o operador que controlava diretamente o processo passa a ser um monitor do sistema de controle baseado no computador. O interesse na questo psicolgica surgiu a partir de 1960. Estudos de carga de trabalho mental foram desenvolvidos demonstrando-se a capacidade dos humanos de lidar com nveis extremamente elevados de informaes em situaes como controle de trfego areo. Outros estudos como de vigilncias demonstraram o comportamento do homem em situaes de baixo nvel de estmulo como monitoramento de radares representando o extremo oposto do desempenho humano. Estudos demonstrados por Warm, (1984) remetem a baixa eficincia das pessoas nas atividades de monitoramento de sistemas automticos. A ACH (Anlise de Confiabilidade Humana) foi desenvolvida utilizando-se inmeras metodologias elaboradas e dividida em modelos de primeira gerao e de segunda gerao. Os de primeira gerao so na sua maioria representadas pelos modelos desenvolvidos at incio da dcada de 1990. Segundo Reason, 1990, mais de trinta metodologias de primeira gerao foram criadas, que no consideram as dependncias entre os PIFs (fatores influenciadores de desempenho) e que foram superados com o desenvolvimento dos modelos de segunda gerao. Os modelos de segunda gerao foram desenvolvidos utilizando-se a experincia operacional e passaram a incluir os erros de comisso que alteram significativamente a seqncia de um acidente. Estes erros correspondem no s a

13 falhas na execuo de determinados elementos do procedimento como especificado nos modelos de primeira gerao, mas a aes inadequadas e conscientes do operador aps avaliaes erradas das condies da planta. A caracterstica principal de um erro de comisso que sua conseqncia um estado de no disponibilidade de um componente, de um sistema ou de uma funo. Em contrapartida, um erro de omisso caracterizado pela falta de ao, e preserva conseqentemente o status de um sistema, de um componente ou de uma funo. Os erros de comisso causavam a impresso de aes sem lgicas e sem sentido e por isso foram tratadas durante muito tempo como deficincias operacionais da planta. Um estudo posterior da NRC (AEOD/E95-01, 1995) demonstrou que estes eventos relacionados a interveno do operador so importantes modos de falha que podem levar a acidentes catastrficos e por isso devem ser levados em considerao. Alguns exemplos, segundo Hollnagel 1988 de modelos de ACH da primeira gerao so: Matrizes de confuso (CM): (Potash et al., 1981) Avaliao scio-tcnica da confiabilidade humana (STAHR): (Phillips et al., 1983) Tcnica para previso de taxas de erros humanos (THERP): (Swain & Guttman, 1983) rvore de Eventos da Ao do Operador (OAET): (Hall et al. (1982) e Kirwan e Ainsworth (1993) Mtodo de ndice de Freqncia de Sucesso (SLIM): (Embrey et al., 1984) Alguns exemplos de modelos ACH de segunda gerao. Simulador de ambiente cognitivo (CES): Woods et al. (1988), Hollnagel (1998) Sistema de rvore de eventos cognitivos (COGENT): Gertman et al. (1992; 1993), Hollnagel (1998) Uma tcnica para anlise de eventos causados pelo homem (ATHEANA): Cooper et al. (1996), Hollnagel (1998) Mtodo de anlise de erros e confiabilidade cognitive (CREAM): Hollnagel (1998), Kim (2001).

14 A seguir encontra-se descrio e detalhes das metodologias estudadas para o desenvolvimento deste estudo.

2.1 CONFIABILIDADE HUMANA

A viso da engenharia sobre a segurana tradicional relaciona os acidentes e os erros humanos sendo estes as principais causas quando comparadas a falhas no sistema. Geralmente estes erros so associados a falta de motivao para o comportamento seguro, a falta de disciplina ou de conhecimento, que levam aos atos inseguros, e se combinados com situaes inseguras, provocam os grandes acidentes. A origem desta tendncia est na teoria da propenso do acidente que demonstra que um pequeno grupo de indivduos foi responsvel pela maioria dos acidentes (Shaw e Sichel, 1971). Outro elemento que contribui para a responsabilidade individual a dimenso da investigao da maioria dos acidentes que geralmente est preocupada em atribuir a culpa para indivduos como uma forma de compensao ao invs de identificar as possveis causas de erro do sistema. A perspectiva tradicional de preveno de acidentes consiste no controle das condies inseguras atravs de mtodos de eliminao da fonte ou no uso de salvaguardas ou equipamentos de proteo. Geralmente a maioria dos recursos direcionada para eliminao dos atos inseguros atravs da motivao ou treinamento com o intuito de mudar o comportamento do trabalhador considerando que o comportamento inseguro ocorre devido a falta de conhecimento, ou porque a forma correta da execuo da tarefa foi esquecida. A considerao bsica que o individuo tem a liberdade de escolha para se comportar de maneira insegura. Esta forma de anlise inibe outras causas como procedimentos, treinamentos e design inadequados e no d suporte para a investigao da causa raiz do acidente. Essa conotao de culpa associada ao erro incentiva os trabalhadores a omitirem incidentes mesmo em condies de perda do controle o que implica em poucas melhorias nas condies de induo ao erro relacionadas ao feedback dos gerentes e engenheiros aos operadores. A viso tradicional tem sido amplamente utilizada pela rea de segurana ocupacional uma vez que dados estatsticos das leses das pessoas so rapidamente obtidos. Tais acidentes so tratados atravs de mudanas no

15 comportamento, pois podem ser diretamente controladas e previstas. J nos casos de segurana de processo, as situaes no so to claras. A utilizao de controle computacional modifica as regras do operador, e este ter de tomar decises para corrigir anormalidades e emergncias no processo. Nesta situao, treinamentos e condicionamentos no so suficientes para evitar comportamentos induzidos para preveno de acidentes. essencial que o operador tenha flexibilidade diante de um grande nmero de situaes que podem no ser necessariamente previstas. Esta flexibilidade somente ser alcanada se o operador tiver suporte extensivo dos projetistas em relao a qualidade da apresentao das informaes do processo, procedimentos de alta qualidade e treinamento efetivo. 2.1.1 A Preveno de Acidentes do Ponto de Vista Tradicional Segundo AICHE/CCPS, as empresas promovem campanhas de segurana com a finalidade de levar as pessoas a pensarem ou agirem de forma segura. Estas campanhas so baseadas na condio de pouca motivao pessoal ou na falta de percepo do perigo. Existem pelo menos trs diferentes formas de campanhas motivacionais como psteres, filmes e prmios. Os psteres podem ser de quatro tipos distintos: apelativos em relao a percepo geral do perigo, podem conter avisos ou informaes para perigos especficos, expor informaes como por exemplo leis e induzir atravs do medo. Filmes geralmente possuem o mesmo contedo dos psteres, sendo de curta durao e utilizados durante os treinamentos. Muitas empresas utilizam os prmios como incentivos, provocando competies entre departamentos ou plantas. A efetividade das campanhas motivacionais no de fcil resposta. Pode ser medida atravs da taxa de acidentes. Entretanto as taxas de registros de acidentes variam de acordo com a realizao ou no dos registros dos eventos. A campanha pode reduzir o desejo do grupo de registrar um acidente ao invs de reduzir significativamente a ocorrncia dos acidentes e incidentes. Outra forma tradicional de medir a efetividade atravs dos indicadores de desempenho como o uso de equipamento de proteo individual. Segundo AICHE/CCPS, outra forma de preveno de acidentes so as auditorias dos sistemas de gerenciamento de segurana que possuem um conceito muito til e um alto grau de validao para a segurana ocupacional. utilizado para identificao de problemas bvios nas reas e de perigos da planta e para indicar

16 onde as estratgias para reduo dos erros so necessrias. A auditoria pode indicar um maior comprometimento da fora de trabalho com a segurana alm de promover a comunicao mais aberta dos problemas das reas entre supervisores e gerentes Promovem-se tambm treinamentos que so de extrema importncia para reduo das falhas humanas particularmente nas tarefas especficas. Entretanto, as organizaes lidam o problema do erro humano atravs de treinamentos e os departamentos de treinamentos se tornaram setores criados devido a fatores de mal design ou gerenciamento ruim. 2.1.2 A Engenharia dos Fatores Humanos e Ergonmicos Segundo AICHE/CCPS, a engenharia de fatores humanos tem o objetivo de aperfeioar as relaes dos indivduos nos sistemas mquina-homem. Destacou-se durante e aps a II Guerra Mundial. Nesta poca perdiam-se mais avies por erros humanos do que por ao do inimigo e ficou demonstrado a grande necessidade de se considerar fatores humanos com mesmo nvel de importncia de hardwares. Segundo AICHE/CCPS, as necessidades prticas dos sistemas militares e espaciais focam na interface homem-mquina com nfase nas informaes da tela e no design do controle para minimizao dos erros. Os modelos predominantes naquela poca, chamado de comportamental (behaviorism) no consideravam o processo do pensamento e outras caractersticas humanas e tinham objetivo apenas nas entradas e sadas do sistema. Esses sistemas militares possuam

procedimentos rgidos e no exigiam nveis elevados de habilidade como uma tomada de deciso ou soluo de problemas. Segundo AICHE/CCPS, a partir de 1960 houve um grande interesse na questo psicolgica. Estudos de carga de trabalho mental foram desenvolvidos demonstrando-se a capacidade dos humanos de lidar com nveis extremamente elevados de informaes em situaes como controle de trfego areo. Outros estudos como de vigilncias demonstraram o comportamento do homem em situaes de baixo nvel de estmulo como monitoramento de radares representando o extremo oposto do desempenho humano. Segundo AICHE/CCPS, este conceito do ser humano como um processador de canal nico da informao foi til para demonstrar a necessidade do design dos sistemas levarem em considerao as capacidades e limitaes humanas.

17 Entretanto, no consideram questes como o significado do trabalho para as pessoas, suas intenes, e tpicos como soluo de problemas, tomadas de decises e diagnsticos. Segundo AICHE/CCPS, o erro, do ponto de vista da engenharia dos fatores humanos, a conseqncia da impreciso entre as demandas da tarefa e a capacidade psquica e mental do indivduo ou do grupo operacional. A viso bsica para reduo de erros reduzir a probabilidade do erro atravs da aplicao de padres no design para ajustar a capacidade humana e a demanda da tarefa. A interface homem-mquina o foco de interesse da engenharia dos fatores humanos e ergonmicos. 2.1.2.1 Relao do Erro Humano e a Interface Homem- Mquina Os erros humanos podem ter origem nos estgios de percepo, tomada de deciso e ao de controle. A informao pode ser adquirida atravs da percepo por diversas vias sensoriais. Podem ser obtidas pela observao do comportamento dos registros grficos, telas da unidade visual na sala de controle, comunicao com os operadores de rea, ou observao direta das variveis do processo. Segundo RASMUSSEN, durante o estgio sensorial pode haver muitas fontes de informao e o operador pode ser incapaz de verificar todas elas no tempo disponvel. A informao pode no ser distinguida de imediato devido a sua incerteza ou no pode ser separada de outras informaes semelhantes do processo. A informao da entrada sensorial interpretada de acordo com o modelo mental do processo, que est armazenado na memria de longo prazo e uma representao interna do processo e sua dinmica, que sero utilizados para a tomada de deciso. Este modelo construdo com base na experincia do trabalhador na operao da planta onde ele adquire uma sensao intuitiva dos efeitos das vrias aes de controle. Entretanto, se o modelo baseado somente na experincia do operador durante condies operacionais normais, podem ocorrer erros diante de operaes anormais onde o modelo no se aplica. Segundo RASMUSSEN, no estgio de tomada de deciso, as informaes do processo so utilizadas com a memria de trabalho do indivduo em conjunto com o modelo mental de longo prazo para se decidir qual a melhor ao a ser tomada. A traduo entre o estado atual do sistema e o modelo mental mais facilmente compreendida atravs de diagramas esquemticos e da disponibilidade de sistemas

18 visuais organizados hierarquicamente que reduzem a carga de processamento de informao envolvido na traduo das informaes visuais da planta em representaes mentais internas do processo. Segundo WICKENS, a tomada de deciso pode envolver clculos, referncias a procedimentos e experincias passadas e outros tpicos da memria de longo prazo, e tudo isso contribui para a carga do trabalho mental. As demandas do processamento da informao podem ser reduzidas atravs da previso da informao na forma de auxiliadores do trabalho como diagramas de bloco ou rvores de deciso. A ltima etapa do processamento da informao consiste na seleo e execuo da ao de controle. Segundo Wickens, o nmero de alternativas das estratgias de controle, as caractersticas fsicas do controle a ser operado e a familiaridade com a ao de controle influenciam na complexidade da seleo do processo. Segundo AICHE/CCPS, para se minimizar os erros importante que a pessoa esteja capacidade mentalmente para suportar a carga mental do trabalho. Se a carga exceder sua capacidade de forma moderada, o indivduo capaz de utilizar a memria de curto prazo atravs de estratgias para manter o desempenho. Entretanto, tais estratgias envolvem elementos de tomada de deciso que aumentam os desafios psicolgicos. Em nveis elevados de carga mental de trabalho, mesmo que se utilizando de estratgias adequadas, os erros tendem a aumentar. Nestas situaes o processamento da informao baseado no conhecimento que demanda recursos mentais considerveis so requeridos para diagnosticar os possveis erros que podem ocorrer. A Interface Homem-Mquina (adaptado de Wickens, 1984) est apresentada e descrita no Apndice A. 2.1.3 Soluo Tpica para o Erro Humano Segundo AICHE/CCPS, a sugesto mais comum para se evitar o erro humano a automatizao da planta substituindo o controle manual do operador por acessrios automticos e computadores. Esse cenrio demonstra uma alocao da funo, onde o operador que controlava diretamente o processo passa a ser um monitor do sistema de controle baseado no computador. A viso da engenharia automatizar todas as funes que so tecnicamente viveis de serem controladas

19 por sistemas automticos, porm, surgem alguns problemas associados como confiabilidade dos controladores, caractersticas das matrias-primas, dentre outros que podem dificultar o projeto de um sistema automtico. Segundo AICHE/CCPS, os sistemas automticos requerem monitoramento do operador que em algumas situaes deve assumir o controle. Entretanto, as habilidades manuais se deterioram quando no so utilizadas regularmente. O operador deve possuir um conhecimento necessrio para lidar com as falhas do sistema automtico, diagnosticando o problema e tomando a devida ao. Essas habilidades cognitivas, como tomada de deciso, soluo de problemas, necessitam ser praticadas regularmente para manter o conhecimento na memria. Os melhores mtodos para se desenvolver a capacidade cognitiva so atravs da experincia e no atravs de mtodos tradicionais de ensino de sala de aula. Segundo AICHE/CCPS, o monitoramento do operador sobre sistema automtico pode ser denominado de tarefa de vigilncia. Nesta tarefa, o operador necessita ter um modelo do estado da planta de processo adequado para poder ter um bom diagnstico no caso da falha do sistema de controle automtico. Esse modelo mental leva tempo para ser construdo e numa necessidade de ao rpida, o operador pode tomar a deciso errada. 2.1.4 O Erro Humano da Perspectiva Cognitiva Segundo HOLLNAGEL, a perspectiva cognitiva serve como base para a previso e classificao dos erros das operaes nas indstrias qumicas de processo. A base para se organizar os tipos de erros semelhantes depende do sistema de classificao dos mesmos. essencial que tal classificao seja eficiente a fim de se agregar dados relevantes para se compreender melhor os erros, identificar os tipos de erros mais comuns, ou para o desenvolvimento de uma base de dados quantitativa das suas freqncias. Segundo AICHE/CCPS, a perspectiva clssica utiliza consideravelmente sistemas de classificao em termos de suas caractersticas externas, denominado de modo de erro externo como, por exemplo, ao omitida, ao tardia, ao em ordem errada. Observa-se que est teoria no foi desenvolvida considerando que a forma externa do erro no est relacionada com os processos mentais que levaram ao erro. Essa forma no permite que os erros sejam classificados de uma forma

20 sistemtica porque os modos de erros externos possuem um grande nmero de causas totalmente diferentes. Exemplo: Considere que um operador cometeu um erro fechando a vlvula B ao invs da vlvula A que a ao requerida no procedimento. As vlvulas A e B esto prximas uma da outra. A anlise do erro da perspectiva dos fatores humanos e ergonmicos seria generalizada por ao errada. A anlise do erro da viso cognitiva lista pelo menos cinco causas para este erro: Identificao errada da vlvula devido a falta de familiaridade ocasionando a inteno errada (com a identificao errada, o operador fechou a vlvula errada). As vlvulas esto prximas e poderiam estar sem identificao ou com a mesma deficiente. O operador pode no estar familiarizado com o posicionamento das vlvulas e pode escolher a vlvula errada. Falha na comunicao ocasionando uma inteno errada. O operador pode no ter ouvido corretamente a instruo que recebeu do supervisor e concluiu que a vlvula B que deveria ser fechada. Execuo errada da ao. Devido a proximidade das vlvulas, embora o operador tivesse a inteno de fechar a vlvula A, ele inadvertidamente fechou a vlvula B. Influncia da rotina e distrao externa. Como o operador frequentemente poderia ter a ao de fechar a vlvula B rotineiramente, ele poderia saber que teria que fechar a vlvula A, mas se distraiu e fechou a vlvula B. Violao resultada de uma informao errada e cultura informal da companhia em se concentrar na produo ao invs da segurana (inteno errada). O operador poderia saber que a vlvula A deveria ser fechada, entretanto acreditava, apesar de contrariar as instrues operacionais, que fechando a vlvula B, tinha um efeito similar ao fechar a vlvula A. evidente que a anlise do erro na viso do modo externo no esclarece tanto quanto a viso cognitiva. Se h necessidade de se desenvolver medidas para reduo dos erros devem-se avaliar exaustivamente os tipos especficos de erros que podem ocorrer diante das diversas condies especficas.

21 2.1.4.1 Classificao do erro humano na perspectiva cognitiva Segundo REASON, a classificao das formas do erro humano dada a seguir na Figura 2.1. Os deslizes e lapsos so erros cuja inteno correta, mas ocorre uma falha na execuo das atividades requeridas. J os enganos ocorrem quando a inteno incorreta que leva as seqncias de aes incorretas. Segundo AICHE/CCPS, os erros devido a deslizes esto na categoria baseada na habilidade e correspondem a erros de aplicao da competncia em atividades rotineiras envolvendo trabalhadores habilidosos. As categorias baseadas na habilidade no demandam muito controle da conscincia o que torna as distraes potenciais fontes de erros. Diferentemente, os enganos so erros baseados nas regras e conhecimentos. Os erros baseados nas regras podem surgir de diagnsticos incorretos que levam as aes incorretas. No caso de erros baseados no conhecimento, estes dependem de outros fatores como estresse, situao no familiar, rotinas e procedimentos. Nesta situao o individuo no ter regras para lidar com o desvio e suas caractersticas comportamentais sero essenciais para a soluo do problema.

Figura 2.1 Classificao do erro humano Fonte: (Reason, 1990) adaptado

22 2.1.4.2 Modelo de Escada Porttil O modelo de desempenho humano demonstra os vrios estgios que um operador passa durante a realizao do controle de um distrbio do processo. Este modelo foi desenvolvido por Rasmussen, 1986 e conhecido como modelo de Escada Porttil e pode ser visualizado na Figura 2.2.

Figura 2.2 Modelo de Tomada de Deciso que inclui feedback Fonte: (Rasmussen, 1986) adaptado

Conforme RASMUSSEN observa-se que aps o sinal de alerta do sistema, se a situao imediatamente conhecida uma resposta automtica executada no modo baseado na habilidade. Caso o problema no seja evidente, talvez seja necessrio passar para o nvel baseado na regra identificando o estado da planta. Se o diagnstico for conhecido, pode-se selecionar a resposta apropriada baseada na regra de ao e o controle retorna para o nvel baseado na habilidade. O ltimo nvel baseado no conhecimento ser alcanado caso o problema no seja resolvido no estgio da regra e funes mais complexas como avaliao e planejamento devero ser utilizadas. de extrema importncia sempre observar os feedbacks do sistema para se certificar que as atividades corretas esto sendo realizadas.

23 2.1.5 Performance Influencing Factors (PIF) Segundo EMBREY, PIF (Performance Influencing Factors) so fatores que determinam a freqncia do erro ou do desempenho da eficincia humana e no devem ser diretamente associados com o erro humano. Estes fatores podem ser representados pela qualidade dos procedimentos, o nvel do stress associado ao tempo, a efetividade do treinamento. Fazendo uma analogia com os hardwares, os PIFs corresponderiam aos fatores de design, operacionais e de manuteno que influenciam na confiabilidade do equipamento. Entretanto as variveis que influenciam o desempenho humano so muito mais numerosas que os parmetros de hardware o que torna o estudo da confiabilidade humana menos previsvel. Os fatores so utilizados principalmente em aplicaes como auditoria de uma planta existente para identificao de problemas de rea de forma pr ativa para reduo de erros. Pode ser utilizado como parte do processo para investigao de incidentes, em estudos de avaliao de riscos para anlise de aspectos da confiabilidade humana de forma qualitativa para previso de possveis erros e na avaliao das condies operacionais das atividades. Nestas anlises, deve-se avaliar a situao numa escala numrica. Segundo EMBREY, a estrutura de classificao dos PIFs baseada no modelo de desequilbrio entre demandas e recursos. As demandas representam os requerimentos para desempenho humano que surgem das caractersticas do ambiente de processo e da natureza da capacidade humana para satisfazer as demandas que so controladas pelos recursos de pessoas e pela eficincia do design. Quando a demanda maior que os recursos, erros so esperados. Segundo AICHE/CCPS, as demandas e os recursos so influenciados pela poltica de gerenciamento. A fim de se assegurar alocaes corretas da funo entre homem e mquina, as capacidades humanas devem ser ajustadas para atenderem as demandas e os recursos podem ser maximizados atravs da otimizao dos PIFs que podem ser classificados em trs categorias relacionando as demandas, recursos e polticas. A Tabela 2.1 demonstra uma possvel diviso dos itens, segundo

AICHE/CCPS, que classificam os fatores influenciadores de desempenho.

24
Grupo Tabela 2.1 Estrutura de classificao dos PIFs Categoria Intermediria Categorias Especficas Frequncia do envolvimento pessoal Complexidade dos eventos de processo Ambiente do Processo Qumico Percepo do perigo Dependncia do tempo Eventos sbitos Rudo Iluminao Ambiente do Trabalho Fsico Condies trmicas Condies atmosfricas Turno e descansos Regime do Trabalho Regime dos turnos e trabalhos noturnos Local/acesso Design do Equipamento Identificao Equipamentos de Proteo Individual Contedo e relevncia da informao Identificao dos displays e controles Design do Painel de Controle Compatibilidade com as expectativas dos usurios Grupo da informao Viso da informaes crticas e alarmes Clareza das intrues Nvel da descrio Especificao das condies de entrada/sada Auxiliadores de Trabalho e Qualidade das verificaes e avisos Procedimentos Grau do suporte do diagnstico de falha Compatibilidade com a experincia operacional Frequncia das atualizaes Conflitos entre segurana e requerimentos da produo Treinamento na utilizao de equipamentos novos Treinamento Prticas com situaes no familiares Treinamento na utilizao de procedimentos de emergncia Treinamento em trabalhos com sistemas automticos Grau de habilidade Experincia Experincia com eventos de processo stressantes Motivao Assumidor de riscos Teoria da homeostasi de risco Fatores de Personalidade Controle do loco Controle emocional Tipo "A" vs. Tipo "B" Condio Fsica e Idade Distribuio da carga de trabalho Clareza das responsabilidades Trabalho em Equipe e Comunicaes Comunicaes Autoridade e liderana Planejamento e organizao do grupo Comprometimento da gerncia Perigos da cultura "regra do livro" Polticas de Gerenciamento Excesso de confiana nos mtodos tcnicos de segurana Aprendizado organizacional

Ambiente Operacional

Caractersti cas da Tarefa

Caractersti cas do Operador

Fatores Organizacio nais e Sociais

25 Nas indstrias de processo, o trabalhador est sujeito a um combinao dos diferentes PIFs listados anteriormente. Importante observar que os PIFs no esto apenas associados a erros humanos mas tambm podem colaborar de forma positiva para o indivduo. O melhor desempenho do trabalhador ser atingido quando todos os fatores relevantes a uma situao particular forem eficazes. Os PIFs interagem entre eles de forma complexa. Segundo AICHE/CCPS, os PIFs podem ser negativos em condies adversas, por exemplo, durante situaes de emergncia onde o operador atua sob presso para adquirir informaes, interpret-las e tomar as decises corretas antes da ocorrncia de conseqncias srias. A emergncia se caracteriza por ter um ambiente de alto risco, alta dependncia do tempo, alta carga de tarefa e complexidade, condies de processo no-habituais, alto nvel de rudo devido aos alarmes e longas jornadas para execuo da tarefa. Nestas situaes, o trabalhador pode ter dificuldades na soluo de um problema e seu pensamento pode estar polarizado o que o torna mais vulnervel ao erro. Segundo AICHE/CCPS, os primeiros sintomas de estresse dos operadores surgem diante da relao entre os fatores estressantes e utilizao dos recursos disponveis. Fatores estressantes esto principalmente associados ao ambiente operacional, podendo ser externos tais como deficincias nos procedimentos, treinamentos, problemas na rea do grupo de trabalho e gerenciamento da segurana e internos como sobrecarga do operador, conflitos entre requisitos de produo e segurana, ambigidade nas regras dos operadores, deficincia na comunicao e coordenao da equipe. O impacto na confiabilidade humana pode ser negativo e diante de uma situao de emergncia, os operadores podem estar sob grande carga de estresse quando notarem que os recursos so insuficientes. O estudo de Kontogiannis e Lucas (1990) demonstra uma classificao do fenmeno cognitivo que ocorre sob estresse baseada em nmeros de casos de diversos setores industriais. O fenmeno cognitivo ilustra de uma forma prtica como o mecanismo psicolgico pode ocasionar erros sob estresse. Estes fenmenos que so nicos de cada indivduo e caracterizam as diferenas de desempenho durante situaes de emergncia explicam porque os PIFs variam nessas situaes. A Tabela 2.2 apresenta estes fenmenos.

26
Tabela 2.2 Fenmenos Individuais e Cognitivos sob Estresse (Kontogiannis e Lucas, 1990) Fenmeno Peculiaridades A pessoa deixa de focar sua ateno em atos ameaadores deixando de prestar Evitar como ato ateno nos perigos atravs da realizao de outras atividades para se distrair. Outra defensivo forma passar a atividade para outra pessoa tomar a deciso. Conformidade do grupo Tendncia do grupo de proteger seu consenso pressionando aqueles que discordam consolidada e mostrando informaes que "quebram" a complacncia do grupo. Indivduos tendem a assumir riscos "maiores" quando trabalham em grupo do que sozinhos. Possveis explicaes: iluso que o controle do sistema invulnervel, Assumidor de risco difuso da responsabilidade de problemas potenciais, presena de pessoas aumenta persuasivas que assumem posies de risco e o aumento da familiaridade do problema atravs de discusses. Vivenciar o passado Tendncia de assumir o controle da situao Adotar estratgia "esperar para ver" Paralisia mental temporria Grupos sob estresse procuram se concentrar em explicaes de fatos que j foram anulados por eventos recentes. Pessoas tendem a tentar controlar a situao ao invs de delegar responsabilidades. Como a crise se torna mais crtica, as pessoas ficam mais relutantes diante de tomada de decises imediatas e esperam para obter informaes redundantes. Incapacitao em curto prazo da capacidade do uso da informao disponvel. Mudana repentina da sob para supra estimulao em tempos de crise.

Concentrao reduzida Capacidade de prestar ateno reduzida com o estresse. em curto espao de tempo Conhecida como hiptese da "ancoragem". O operador tende a procurar informaes "Viso de tnel" que confirmem a hiptese formulada inicialmente sobre o estado de processo e cognitiva desconsidera a informao que no confirma a hiptese. Rigidez da soluo do Tendncia de se utilizar as solues "fora da prateleira" que no so problema necessariamente as mais eficientes. Polarizao do Tendncia de explicar o problema atravs de uma nica causa global ao invs de pensamento causas combinadas. Temtica de "vagabundo" ocorre quando os pensamentos das pessoas "voam" nas Formato de "cisto" e questes, tratando-as superficialmente. Formato de "cisto" ocorre quando tpicos temtica de desnecessrios prevalecem com excesso ou falta de detalhes enquanto que assuntos "vagabundo" importantes so desconsiderados. Esteretipo assumidor Reverso para uma forma de comportamento de modo habitual ou pr-programado do controle derivado de experincias do passado com uma situao similar. Pnico ocorre levando ruptura da linha de pensamento da pessoa. Uma pessoa pode Vigilncia excessiva falhar ao reconhecer todas as alternativas abertas a ele e se trancar apressadamente numa oferta que parece ser uma soluo imediata.

2.1.6 Categorias das aplicaes de acordo com a viso SRK (Skill-, Rule- and Knowledge-based Behaviour) Segundo AICHE/CCPS, a viso cognitiva de grande valor ao prover relaes entre o trabalho cognitivo dos psiclogos e as preocupaes prticas dos engenheiros nas indstrias de processo. Algumas aplicaes que representam essa relao foram desenvolvidas como estratgias de design para reduo dos erros, previso dos erros para anlise de segurana e identificao da causa-raiz dos erros nas anlises de acidentes. Essas aplicaes requerem categorizao das tarefas de

27 acordo com a viso SRK (Skill-, Rule- and Knowledge-based Behaviour), e esse processo est demonstrado, de forma simplificada, na Figura 2.3

Figura 2.3 Diagrama para classificao dos processos SRK Fonte: AICHE/CCPS

As tarefas devem ser classificadas como uma tendncia para determinada categoria, pois nunca estaro exatamente numa nica categoria. Uma tarefa classificada como predominantemente baseada na habilidade tem diversas implicaes nas propostas de reduo do erro. Segundo AICHE/CCPS, os treinamentos devem focar os aspectos prticos da tarefa com freqentes feedbacks para garantir que as aes esto sendo executadas de forma no consciente. Em relao a procedimentos, os mesmos no devem ser desenvolvidos extensivamente detalhando-se cada passo porque as aes baseadas na habilidade so executadas automaticamente. As formas mais apropriadas para facilitar o trabalho so atravs da utilizao de checklists

28 especificando o incio de cada seqncia de aes com alguns pontos especficos para checar se cada atividade foi corretamente executada. O modelo SRK pode ser usado para eliminao de erros com srias conseqncias antes que os mesmos ocorram. A partir das anlises de previso de erros, podem-se melhorar os procedimentos, treinamentos e design de

equipamentos reduzindo-se a freqncia de ocorrncia dos erros para nveis aceitveis. A anlise da causa-raiz dos erros nas anlises de acidentes pode ser desenvolvida de forma pr-ativa atravs do modelo SRK com o desenvolvimento do modelo de erro seqencial. O erro observado pode ter origem de vrias causas especficas. O diagrama de blocos representado na Figura 2.4 foi desenvolvido por Rasmussen (1981, 1986) como modelo seqencial da cadeia causal ocasionando um erro.

Figura 2.4 Modelo Sequncial da Cadeia Causal de Erros Fonte: AICHE/CCPS (Rasmussen, 1982) adaptado

Segundo RASMUSSEN, o modelo basicamente identifica os diversos processos que interferem entre o evento iniciador e a forma observada externa do erro (modo de erro externo). A consequncia deste erro incerta, dependendo de diversos fatores. Os modos de erros internos so intrnsecos da tendncia do erro e representa os diversos momentos em que o individuo atua. 2.1.7 Generic Error-Modelling System (GEMS) O GEMS (Generic Error-Modelling System) foi desenvolvido para

complementar a viso do SRK e foi descrito detalhadamente por Reason (1990). O

29 objetivo descrever como ocorre a transio entre os diferentes modos SRK nas tarefas da indstria qumica de processo. A Figura 2.5 representa a dinmica do modelo GEMS desenvolvido por Reason.

Figura 2.5 Dinmica do sistema do modelo do erro genrico (GEMS) Fonte: (Reason, 1990) adaptado

O primeiro nvel representa a execuo de uma srie de rotinas operacionais em que o operador tem muita prtica e executa as tarefas de forma automtica (nvel baseado na habilidade) monitorando os pontos indicados por pelo losango verde. Se num destes pontos, houver algum problema, por exemplo, atravs de alarmes, o trabalhador passar para o nvel baseado na regra a fim de se determinar a natureza do problema. Nesta etapa o operador talvez precise coletar informaes de vrias fontes como registros grficos, telas para poder realizar o diagnstico correto obtendo-se as possveis causas e posteriormente tomar a apropriada ao.

30 Se aps a execuo da ao, no houver mais problemas, o operador retornar ao estado original da seqncia baseada na habilidade. Caso o problema no esteja solucionado, o operador dever coletar mais informaes para tentar identificar os sintomas relacionados as possveis causas conhecidas. Caso o problema no seja resolvido aps a aplicao das regras (procedimentos) disponveis, o trabalhador dever passar para o nvel baseado no conhecimento. A primeira etapa neste nvel tentar encontrar uma analogia entre a situao no familiar com a lista de eventos em que as regras esto disponveis no nvel baseado na regra. Se houver relao entre este novo diagnstico e a regra, o operador retornar para o nvel baseado na regra. Entretanto, se no for encontrado uma analogia semelhante, ser necessrio recorrer ao conhecimento da engenharia para lidar com a situao. 2.1.8 Perspectiva scio-tcnica Segundo EMBREY, esta perspectiva surgiu com a percepo de que o desempenho humano em nveis operacionais no poderia estar desassociado dos fatores culturais, sociais e polticas de gerenciamento da empresa. A viso do sistema de cima para baixo, ou seja, deve comear da alta gerncia e devem-se levar em considerao as implicaes das polticas de gerenciamento a todos os nveis da organizao, principalmente relacionadas ao sistema de segurana, qualidade e produtividade. Segundo EMBREY, os piores acidentes ocorrem devido a uma combinao de erros ativos, falhas latentes e cultura inapropriada. necessrio ir alm das causas diretas dos erros, investigando as falhas gerenciais que podem afetar negativamente os fatores influenciadores de desempenho a nvel operacional. A poltica de gerenciamento pode influenciar a freqncia dos erros atravs de sua relao com a cultura organizacional da empresa. 2.1.8.1 Human Factor Analysis Methodology (HFAM) As primeiras descries desta metodologia foram desenvolvidas por

Pennycook e Embrey (1993) e se baseia no conceito de sistemas induzidos a erros onde o controle do erro deve ser realizado atravs de melhorias no ambiente ou no sistema de gerenciamento e no diretamente na mudana do comportamento. A

31 anlise dos fatores humanos desenvolvida atravs de uma srie de questes obtendo-se um diagnstico atravs de uma pontuao. A Tabela 2.3 mostra os fatores utilizados na anlise HFAM (Human Factor Analysis Methodology) conforme Embrey. Esses fatores so avaliados nos diversos nveis de profundidade e dependem das deficincias encontradas em cada resposta. O processo para soluo dos problemas encontrados no sero tratados nas deficincias especficas encontradas no nvel operacional por exemplo, mas sero consideradas mudanas na poltica de gerenciamento.
Tabela 2.3 Fatores Humanos para HFAM Fatores de Nvel Gerencial Fatores Genricos de Nvel Fatores Especficos do Operacional Trabalho de Nvel Operacional 1. Prioridades de segurana 8. Gerenciamento do processo 18. Sistemas baseado em 2. Grau de participao 9. Design e planejamento do computadores 3. Efetividade da comunicao trabalho 19. Design do painel de controle 4. Efetividade da investigao 10. Segurana do trabalho 20. Local do trabalho do incidente 11. Plano de resposta a 21. Manuteno emergncia 5. Efetividade do sistema de desenvolvimento de 12. Treinamento procedimentos 13. Fatores de grupo de 6. Efetividade do sistema de trabalho 14. Padro de trabalho treinamento 15. Fatores de estresse 7. Efetividade da poltica de design 16. Fatores individuais 17. Ferramentas e procedimentos de trabalho

2.2 TOMADA DE DECISO

Segundo AICHE/CCPS, a Tomada de Deciso conceitualmente associada a: a) Princpios de avaliao econmica, que considera o valor do dinheiro relacionado a investimentos e pagamentos. b) Regras de deciso, relacionadas aos critrios da empresa. c) Externalidades, representando os efeitos secundrios indiretos da ao. d) Valores da vida, incertezas e anlise de risco. Segundo AICHE/CCPS, decises de negcios, que envolvem riscos de processo, se tornaram mais complexas e crticas. Assim, e para garantir o sucesso da indstria na escolha das melhores decises, algumas ferramentas e mtodos foram desenvolvidos para dar suporte aos tomadores de decises. Historicamente, a tomada de deciso diretamente relacionada com a avaliao dos riscos, baseada em padres, experincias e boas prticas de

32 engenharia sem a necessidade de um processo de deciso formal. Este estudo aborda riscos relacionados a eventos com efeitos fsicos agudos como incndios, exploses, liberaes de gases txicos, dentre outros. Normalmente as indstrias de processo utilizam critrios quantitativos associados a segurana para avaliao do risco. Este critrio pode ser definido por rgos governamentais que especificam os limites para riscos individuais e sociais, acima dos quais no so tolerveis. O gerenciamento do risco de responsabilidade dos gerentes e o primeiro passo consiste na identificao dos perigos e avaliao dos riscos estabelecendo as possveis ameaas as pessoas, propriedade ou ao meio ambiente. Dependendo do nvel do risco, algumas decises devem ser tomadas para reduzir ou elimin-lo priorizando aqueles de nveis mais altos. Entretanto, nenhuma empresa possui recursos infinitos disponveis para investir neste controle que um processo repetitivo de tomada de deciso que pode se tornar complexo quando demandam grandes investimentos. Nestes casos, deve-se assegurar que os recursos sero utilizados de forma efetiva atravs de justificativas lgicas e consistentes. 2.2.1 Processo de Deciso Segundo AICHE/CCPS, o processo da tomada de deciso complexo possuindo um grande nmero de questes inter-relacionadas e tempo-dependente. Tambm influenciado pelas incertezas dos dados, confiabilidade, custo, tempo e visibilidade. Alm disso, pode ter objetivos mltiplos, por exemplo, satisfazer critrios relacionados a segurana das pessoas, proteo dos ativos, impactos ambientais, disponibilidade do tempo e minimizao dos custos. As perspectivas que dependem das decises das partes interessadas podem trazer diferentes valores, crenas e opinies interferindo na importncia das diferentes questes. A forma simplificada do processo de deciso pode ser visualizada, na Figura 2.6..
Problema Estimativa e Definio do Problema Avaliao do Risco Determinao das aes necessrias Identificar e Analisar as Alternativas

Analisar o Problema

Tomada de Deciso

Figura 2.6 Processo de Deciso de Risco Fonte: AICHE/CCPS

33 importante destacar que a escolha da ferramenta de deciso deve ser realizada baseada nas necessidades da organizao. Alguns aspectos que influenciam esta escolha so: disponibilidade de recursos, complexidade do problema, importncia da deciso, envolvimento do grupo e necessidade de quantificao. Do ponto de vista das ferramentas, elas se diferenciam principalmente em termos de recursos requeridos, complexidade da anlise, rigor lgico, foco do grupo, capacidade de quantificao e de registro.

2.3 ACIDENTE DA FORMOSA PLASTICS CORP. PLANTA DE PVC ILLIOPOLIS, ILLINOIS

Toda a descrio do acidente foi extrada e resumida do relatrio de investigao Investigation Report Vinyl Chloride Monomer Explosion publicado em maro de 2007 pela U.S. CHEMICAL SAFETY AND HAZARD INVESTIGATION BOARD CSB e est apresentada no APNDICE B.

34

3 MATERIAIS E MTODOS
Neste item esto apresentados os detalhes dos materiais e mtodos que foram considerados e utilizados para o desenvolvimento da avaliao do acidente da Formosa-IL ocorrida em 2003. A descrio simplificada do relatrio de investigao pode ser encontrada no APNDICE B. O lay-out da instalao da Formosa-IL pode ser observado na Figura 3.1.

Figura 3.1 Lay-out da planta de Formosa-IL (fonte: Investigation Report Vinyl Chloride Monomer Explosion CSB)

3.1 METODOLOGIA UTILIZADA (PASSO A PASSO)

A metodologia ACH utilizada neste estudo pode ser observada na Figura 3.2 SPEARFigura 3.2 a seguir.

Figura 3.2 SPEAR Fonte: AICHE/CCPS

35 1. A primeira etapa da metodologia de Avaliao de Confiabilidade Humana

consistiu nas Anlises gerais e identificao das interaes humanas. A atividade crtica j identificada pela CSB foi a atividade de limpeza dos reatores. Normalmente, diante de uma instalao, devem-se obter estas informaes das atividades mais crticas da operao e manuteno diretamente com a equipe operacional atravs do desenvolvimento de reunies que estimulem um dilogo transparente sobre as atividades realizadas na indstria.

2.

A segunda fase consistiu da aplicao da metodologia SPEAR (Systems for

Predicting Human Error and Recovery), cujo primeiro item foi a Anlise da tarefa. Foi utilizada a tcnica de ao orientada HTA (Hierarchical Task Analysis) na forma de organograma e na forma tabular para representao da atividade de limpeza do reator. Optou-se pela utilizao dessa tcnica devido a limitao das informaes sobre o acidente, uma vez que para a utilizao de tcnicas cognitivas como a CADET (Critical Action and Decision Evaluation Technique) e a IMAS (Influence Modelling and Assessment Systems) seria necessrio uma quantidade muito maior de informaes sobre a operao de limpeza do reator.

a. b.

A etapa de anlise dos PIFs foi desenvolvida conforme Tabela 2.1. As trs ltimas etapas do SPEAR foram elaboradas conforme a metodologia PHEA (Predictive Human Error Analysis) que obteve os resultados de forma tabular mantendo uma associao lgica entre os tipos de erros humanos, suas conseqncias e medidas de reduo de risco.

3.

A terceira etapa constituiu da representao do acidente da Formosa-IL.

Primeiramente foi elaborada a representao atravs de AAF e outra representao atravs de IDA ((Influence Diagram Analysis).

4.

Na ltima fase de quantificao foi utilizada a metodologia HEART (Human

Error Assessment and Reduction Technique) para estimativa da probabilidade do erro humano e quantificao da AAF e o Mtodo de Pontuao Ponderada para quantificao da IDA.

36

3.2 CONFIABILIDADE HUMANA

3.2.1 Mtodos Analticos 3.2.1.1 Anlise da Tarefa Segundo EMBREY, a anlise de tarefa pode ser utilizada de forma ampla englobando uma grande variedade de tcnicas de fatores humanos. Pode ser aplicado com a finalidade de eliminar as condies que levam aos erros durante o desenvolvimento do projeto ou para assegurar que a nova configurao no induzir aos erros. H duas vertentes, uma orientada na ao e outra na viso cognitiva. A primeira proporciona uma descrio dos aspectos observveis do comportamento do operador com algumas indicaes da estrutura da tarefa. J a viso cognitiva tem o foco no processo mental que constituem a base do comportamento observado. Segundo AICHE/CCPS, o mtodo muito eficiente para auxiliar no desenvolvimento de procedimentos operacionais para se atingir o objetivo da tarefa. Nas plantas de processo, procedimentos operacionais inadequados ou

desatualizados so fontes para gerar discrepncias entre as diversas formas que os operadores de diferentes turnos executam uma tarefa. Segundo KIRWAN, os resultados da anlise de tarefa possuem uma grande variedade de informaes que so teis para os mtodos de previso e preveno de erros. Esses resultados so os pontos de partida para a Anlise do Erro Humano que analisa com mais detalhes os aspectos que contribuem para o erro humano. Dependendo da finalidade que ser utilizada o estudo, pode-se elaborar uma combinao entre a Anlise da Tarefa e as tcnicas de Anlise do Erro Humano. 3.2.1.2 Tcnicas de Aes Orientadas 3.2.1.2.1 Hierarchical Task Analysis (HTA) Segundo EMBREY, a HTA (Hierarchical Task Analysis) um mtodo sistemtico para descrever como o trabalho organizado para atender o objetivo geral da tarefa. Abrange a identificao descendente, isto , a identificao do objetivo de cima para baixo, seguida das diversas subtarefas e as condies em que so realizadas para atingir o objetivo. Desta forma os planejamentos mais complexos das tarefas podem ser representados como uma hierarquia das operaes e dos planos. HTA foi desenvolvida por Annet et al. (1971) e

37 posteriormente elaborada por Duncan (1974) e Shepherd (1985) como um mtodo geral para representao de diversas tarefas industriais envolvendo um significativo planejamento. Embora a tcnica tenha sido desenvolvida para o treinamento do controle de processo, foi utilizada tambm em outras aplicaes como

desenvolvimento dos displays, procedimentos, organizao do trabalho e anlise do erro humano. HTA se baseia inicialmente no objetivo que a pessoa deve alcanar que desenvolvido com um conjunto de operaes e de planos especificando quando sero realizados. O plano essencial para a anlise, pois descreve as fontes de informaes que o trabalhador deve atender. Segundo AICHE/CCPS, na elaborao de um HTA, o detalhamento da descrio das operaes em suboperaes deve ser desenvolvido somente quando necessrio, pois pode ser um desperdcio de tempo e de esforo. Como a descrio hierrquica, o analista pode optar por descrev-la de forma geral ou especfica. Essa deciso deve estar baseada no modo de erro e nas conseqncias deste erro. A forma de se optar em detalhar ou no a operao pode ser denominada como regra da P x C (onde P a probabilidade e C o custo da conseqncia) o valor do produto determinar a necessidade de se descrever com mais detalhes a operao (Shepherd, 1985). H duas grandes desvantagens nesta avaliao: Ambas P e C so de difceis determinaes e necessitam de tcnicas de quantificao de freqncia de erros Conhecer as suboperaes e as conseqncias desta falha pode ser uma tarefa difcil se a operao for apresentada de forma genrica. Para auxiliar na avaliao das condies da operao, P e C, utiliza-se algumas consideraes dos PIFs que fornecem uma boa indicao da freqncia e consideraes das vulnerabilidades que indicam a conseqncias. Segundo AICHE/CCPS, o nvel de detalhamento da anlise depende das diferentes finalidades do estudo, que pode ser utilizado para anlise de risco, especificao de treinamentos ou descrio de procedimentos. Segundo AICHE/CCPS, h duas formas de apresentao, atravs de diagramas e de tabelas. Os diagramas so mais fceis de serem compreendidos e as tabelas podem ser mais detalhadas. Aspectos da tarefa como: interface homem-mquina, comunicao entre membros do time, caractersticas do tempo,

38 efeitos colaterais, conhecimento necessrio para executar a tarefa, etc devem ser consideradas durante a anlise. Informaes necessrias para desenvolvimento de tarefas so obtidas com os operadores, supervisores ou engenheiros atravs de protocolos verbais, anlise de atividades, procedimentos operacionais, procedimentos emergenciais, registros de incidentes crticos, dentre outros. Segundo AICHE/CCPS, um mtodo econmico de unir e organizar as informaes, e permite o analista focar aspectos relevantes da tarefa conforme seu interesse, e tambm que objetivos funcionais de relaes entre pessoal e sistemas automticos sejam especificados no projeto, melhora a qualidade da descrio da tarefa pois envolve os operadores, pode ser utilizado como uma mtodo para anlise do erro, e fornece dados para estudos quantitativos de risco. Desvantagens segundo AICHE/CCPS: o analista precisa adquirir habilidade para analisar a tarefa efetivamente, precisa de diversos modelos cognitivos de performance para analisar tarefas de tomadas de decises complexas, demanda comprometimento, tempo e esforo dos envolvidos. Exemplos de HTA podem ser observados na Figura 3.3 e Tabela 3.1.

Figura 3.3 Exemplo de diagrama de HTA (Isolamento do transmissor de nvel para manuteno)

39

Tabela 3.1 Exemplo de Tabela de HTA (Otimizao de alta presso numa coluna de destilao)
Passo da Tarefa Entradas (registros) Sadas (aes) Feed back Comunica o Caracters ticas do tempo Dependnc ias da tarefa Funes Coment secundrias rios , distraes

3.2.1.3 Tcnicas de Anlises de Tarefas Cognitivas Buscar os processos mentais que originam os erros ao invs das formas superficiais do erro importante, pois demonstra uma preocupao com aspectos operacionais que exigem elevado nvel das funes mentais como diagnosticar e solucionar problemas. Como as plantas esto cada vez mais automatizadas, estas funes aumentam e necessria a utilizao de mtodos analticos que podem avaliar estes aspectos de controle. Segundo HOLLNAGEL, em situaes que exigem decises do operador para lidar com estados anormais da planta e que no foram diagnosticadas pelos sistemas, necessrio desenvolver sistemas de suporte e treinamentos para garantir que a interveno tenha sucesso. Para se atingir este objetivo deve-se utilizar tcnicas de anlise da tarefa para avaliar o processo do pensamento e no apenas as aes observadas. Segundo AICHE/CCPS, os problemas associados ao processo cognitivo so muito maiores em relao aos mtodos de tarefa orientada, pois as causas dos erros cognitivos so menos conhecidas que os erros de aes. A seguir esto apresentadas tcnicas para identificao de erros cognitivos que podem ser utilizadas de modo pr-ativo e retrospectivo. 3.2.1.3.1 Critical Action and Decision Evaluation Technique (CADET) Segundo EMBREY, tcnica baseada no mtodo da escada porttil de Rasmussen, que se estrutura nas aes ou decises crticas que precisam ser tomadas pelo operador durante um estado anormal da planta. O CADET (Critical Action and Decision Evaluation Technique) definido baseado nas

consequncias, isto , se houver uma falha na tcnica da deciso e ao crtica,

40 certamente haver um efeito significativo na segurana, produo ou

disponibilidade. Segundo EMBREY, a primeira etapa consiste na identificao da deciso ou ao crtica no contexto de significativas mudanas de estado do sistema no se concentrando apenas na ao requerida, mas tambm na tomada de deciso que precede a ao. Seguido da etapa de identificao das falhas potenciais que podem ocorrer a cada um dos elementos identificados. A Tabela 3.2 mostra um exemplo de aplicao do CADET por EMBREY. Cada linha representa um elemento da escada porttil de Rasmussen demonstrando com detalhes como o operador processa o diagnstico da informao, eliminando as diversas possibilidades para se atingir o objetivo correto. A metodologia da anlise crtica da ao/deciso constitui-se de uma lista de questes estruturadas sobre potenciais erros de diagnstico. A tcnica pode ser usada para avaliao e suporte dos exerccios de treinamentos para avaliao do desempenho humano, de forma pr-ativa, identificando potenciais erros cognitivos e no desenvolvimento de estratgias para reduo dos erros baseadas nas causas razes identificadas no questionrio, e de forma retrospectiva na identificao de erros cognitivos que implicaram em acidentes. Pew et al. (1981) desenvolveu uma srie de diagramas de Murphy onde cada elemento de deciso do modelo de Rasmussen possui um diagrama de Murphy associado que identifica as causas internas de mal funcionamento que por sua vez, podem influenciar a causa primria.
Tabela 3.2 Elementos de deciso/ao do modelo de Rasmussen (Embrey, 1986) e exemplo de anlise CADET Elemen Padre Anlise to de s de Objetivo t1 t2 t3 t4 t5 (CADET) Decis erros o/Ao tpicos Alertar/Sinali Distra Alarme zar a o/ de deteco dos Absente Alerta temperat estgios smo / ura iniciais do Falta de (TIAH) problema ateno Temperat Condies Nvel do Conside H ura da da vaso de raes possibilidade Fluxo do Observao/ coluna alimentao refluxo no do operador refluxo Observ Coleta de TI-01 = FI-03 = Fluxo LI-06 = justific adquirir dados FI-07 = ao Temperat Normal Nvel alto veis / irrelevantes ou dados dos No flow ura alta (novo) (novo) Associa insuficientes? instrumentos (novo) (novo) FI-04 = Visor do es TI-02 = Normal vaso = familiare O operador

41
Elemen to de Decis o/Ao Objetivo t1 t2 Temperat ura muito alta (redundn cia) t3 t4 t5 Padre Anlise s de (CADET) erros tpicos s pode falhar no cruzamento das informaes para verificar se a indicao espria?

(redundncia Alto ) (redund TI-05 = ncia) Normal (novo)

Identificao Identific do estado do ao sistema

Indicao incomplet a, possibilid ade de ser alarme esprio

Cruzame nto das Interpretao informa Interpret do que pode aes/I es dos ter ocorrido e mplica indicador suas es es implicaes relaciona dos

Condie s Condies conforme conforme especific especificao ao. . Deve ser Deve ser Resfriam Resfriamento ento ineficiente. ineficient e. Nvel do vaso de refluxo est alto, Causas o que Diferentes possveis: possveis Falha na significa causas. bomba de que a condensa Verificar gua de condies resfriamento o est ocorrend da ou Falha na o. Deve alimenta bomba de o. refluxo de ser Falha topo na bomba de refluxo de topo Resfriame nto ineficiente ou Distrbio na alimenta o

Condi es fora de especific ao.

Sobreca rga de informa es / Atraso no tempo

O operador pode falhar em considerar todos os possveis estados dos sistema e causas do problema? O operador pode falhar na excuo da avaliao correta? O operador pode focar sua ao na causa errada?

Falha em Falha na consider bomba ar de causas refluxo alternati vas / de topo (confirma fixao na do) causa errada

3.2.1.3.2 Influence Modelling and Assessment Systems (IMAS) Segundo EMBREY, IMAS (Influence Modelling and Assessment Systems) foi desenvolvido como um sistema de suporte de deciso para os trabalhadores durante os diagnsticos em situaes de emergncia. A tcnica utilizada para elucidar os modelos mentais das anormalidades do processo atravs de representaes grficas das percepes do time operacional tendo em vista as diversas alternativas de causas que poderiam ter originado o distrbio, as vrias conseqncias que podem ocorrer da situao e indicadores tais como telas do VDU (visual display unit), medidores, registros grficos disponveis na sala de controle ou na planta e que esto associados as causas e conseqncias. Segundo AICHE/CCPS, o modelo pode ser desenvolvido com experincia de um indivduo ou um grupo de indivduos sem utilizao de recursos

42 sofisticados. O desenvolvimento do modelo mental se inicia a partir de um distrbio de um ponto especfico do processo e uma srie de perguntas aos operadores sobre os eventos que causam, levam ou indicam tal distrbio. A tarefa do operador identificar quais as alternativas de causas que levam ao padro de indicadores observados. Aplicaes dos IMAS segundo AICHE/CCPS Avaliao da preciso do modelo mental de um operador durante treinamento a avaliao do modelo mental em diversos estgios do treinamento permite o treinador avaliar o desenvolvimento e preciso da compreenso dos distrbios do processo. Um conjunto de representaes dos modelos mentais utilizando-se uma equipe operacional experiente pode ser utilizado como padro para definir os requerimentos de conhecimento para lidar com distrbios crticos da planta. Requerimentos das informaes para diagnsticos a identificao da informao necessria para se obter as causas dos distrbios pode se especificar as variveis crticas que precisam estar disponveis para a interface do controle do processo. Modelo do erro cognitivo para estudos quantitativos de risco previso de possveis erros de diagnstico atravs do exame do modelo gerado pelo operador e dos PIFs. A viso tradicional de AQR (anlises quantitativas de risco) considera somente falhas humanas em desempenhos de funes requeridas (geralmente erros de omisso). Entretanto ocorrem muitos erros crticos como mal diagnsticos levando a ao errada ou inapropriada com possveis srias conseqncias para a planta. Simulao do processo de pensamento do operador durante emergncias na planta h uma ferramenta denominada EXPLORE que permite que o analista especifique quais indicadores esto presentes e ausentes num particular cenrio. O utilitrio ir gerar um relatrio que simula o processo de pensamento do operador que ser um recurso para o analista avaliar a capacidade do operador em executar um diagnstico correto. Observa-se que o IMAS aborda aspectos de habilidade operacional, que so capacidades de diagnsticos e soluo de problemas, no analisadas pelas tcnicas mencionadas anteriormente. Diante disso, esta tcnica pode ser vista como um mtodo de anlise de tarefa cognitiva.

43 3.2.2 Human Error Analysis Technique (HEA) Segundo REASON, o HEA (Human Error Analysis Technique) tem o objetivo de prever os possveis erros humanos durante a execuo de uma tarefa e especificar medidas para eliminao das causas dos erros. Esta anlise deve ser realizada aps a anlise da tarefa com a finalidade de identificar as possveis falhas humanas com conseqncias significativas e para especificar

procedimentos de hardware, treinamentos e outros aspectos de projeto para prevenir a ocorrncia dos erros. Segundo AICHE/CCPS, uma aplicao bastante importante da tcnica de anlise de erro humano nas indstrias qumicas de processo no

desenvolvimento de estudos quantitativos de risco. Nestes estudos a avaliao dos modos de erro um processo no sistemtico, pois considera erros com falhas na execuo de uma funo pr-especificada e geralmente durante situaes de emergncia. Raramente erros devido a falhas no diagnstico, interface ruim ou procedimentos mal escritos so analisados nestes estudos. 3.2.2.1 Predictive Human Error Analysis (PHEA) Segundo EMBREY, a PHEA dividida em trs tipos. Anlise do plano prcondicionado que verifica possveis erros durante a etapa de planejamento da tarefa assegurando que as condies prvias sero atendidas. Anlise do plano incorporado que considera possveis erros que surgem do plano especificado na anlise de tarefa hierrquica e anlise dos elementos da tarefa que identifica sistematicamente a faixa de erros que podem ocorrer em cada etapa da tarefa. A anlise preditiva de erros humanos deve ser elaborada para as tarefas mais crticas com potenciais de risco mais elevados. Segundo AICHE/CCPS, os tipos de erros de uma anlise detalhada do elemento da tarefa podem ser visualizados na Tabela 3.3 a seguir.
Tabela 3.3 Classificao dos erros utilizados na Anlise Preditiva de Erros Humanos Erros de Ao Ao muito longa/curta Ao no momento errado Ao na direo errada Excesso/Falta de ao Desalinhamento Ao correta no objeto incorreto Ao incorreta no objeto correto Ao omitida Ao incompleta

44
Ao incorreta no objeto incorreto Omisso da checagem Checagem incompleta Checagem correta no objeto incorreto Erros de Checagem Checagem incorreta no objeto correto Checagem no momento incorreto Checagem incorreta no objeto incorreto Informao no obtida 1 Erro de Recuperao Informao incorreta transmitida Recuperao da informao incompleta Informao no transmitida Erro de Transmisso Transmisso da informao incorreta (comunicao) Transmisso da informao incompleta Seleo omitida 2 Erros de Seleo Seleo incorreta executada Pr-condies do planejamento ignoradas Erros de Planejamento Plano incorreto executado 1 Erros na recuperao da informao podem ser de fontes externas ou da memria. 2 Erros na seleo das alternativas das operaes

Segundo AICHE/CCPS, nesta etapa deve ser realizada uma avaliao das condies de induo ao erro devido aos PIFs como procedimentos mal escritos, dependncia do tempo, interface inadequada, dentre outros para determinar se eles podem ser causadores dos erros. Tomando-se como exemplo a Figura 3.3 pode ser visualizado na Tabela 3.4 um exemplo dos resultados da PHEA.
Passo da tarefa Tabela 3.4 Exemplo de resultados da Anlise de Erros Humanos Tipo da Tipo do Descrio Consequncias Recuperao tarefa erro Sistema pode Mudana operar com set- notvel do Set-point Ao mantido no point errado. valor da Ao omitida valor Perigos de varivel pode processo podem ocorrer no original ocorrer passo 1.2 Ao correta no objeto incorreto Ao incorreta no objeto correto Set-point alterado no controlador errado Set-point incorreto no controlador Estratgia para reduo do erro

Introduzir item no checklist

1.2 Alterar o set-point at o valor medido

Ao

Ver anterior

Ver anterior

Indicao clara dos controladores para distino dos controladores Introduzir item no checklist

Ao

Ver anterior

Ver anterior

Segundo EMBREY, para cada um dos erros crticos, suas implicaes e conseqncias, e possveis recuperaes dos erros so descritas no mesmo formato. Esta tcnica exaustiva e muito til na anlise de sistemas crticos onde o essencial que todos os modos de erros significativos sejam identificados. Pode ser usada na identificao de erros com conseqncias significativas nos

45 passos da tarefa que so includas em avisos nos procedimentos, sendo muito til nos treinamentos indicando as etapas que demandam maior ateno durante a atividade. Vantagens segundo AICHE/CCPS: tcnica rigorosa e exaustiva

assegurando que a maioria dos erros sero identificados, validao do estudo demonstrou que a tcnica pode prever em grande proporo (98%) os erros com conseqncias srias que realmente ocorreram numa tarefa de calibrao de equipamento durante um perodo de 5 anos (Murgatroyd e Tait, 1987). Atravs da PHEA, pode ser gerado um procedimento padronizado e consistente cobrindo alguns aspectos de erros cognitivos (erros de planejamento) com links especficos e explcitos. Desvantagens segundo AICHE/CCPS: requere investimento representativo (tempo e esforo), conhecimento detalhado e analista experiente. necessrio que seja realizado uma avaliao dos fatores influenciadores de desempenho (PIFs) separadamente da tcnica para prever os tipos de erros mais freqentes. 3.2.2.2 Checklists Ergonmicos Segundo AICHE/CCPS, o checklist ergonmico um mtodo para prever e reduzir erros humanos atravs de critrios ergonmicos como design e layout do painel de controle, sinalizao e locao do equipamento, utilizao dos procedimentos operacionais, aspectos de treinamento, comunicao da equipe e outros PIFs relevantes. A aplicao do checklist permite a identificao da condio de trabalho que pode induzir ao erro humano e especificar estratgias para reduo do risco. Segundo AICHE/CCPS, a tcnica de checklist til na transferncia de informaes, porm no independente devendo ser utilizada com outros mtodos de anlise de tarefa ou de erro humano. Ela no demonstra a importncia relativa dos diversos itens e suas conseqncias caso no sejam cumpridas. 3.2.3 MTODOS QUALITATIVOS E QUANTITATIVOS Os mtodos qualitativos de anlise de confiabilidade humana proporcionam uma maneira sistemtica e formal para se avaliar os fatores humanos que podem

46 contribuir na preveno de eventuais acidentes. Atualmente os rgos fiscalizadores vm demandando estudos mais detalhados e complexos

relacionados a interferncia humana. Inicialmente a confiabilidade humana era comparada a um equipamento e os estudos desenvolvidos estavam diretamente relacionados as estimativas de probabilidades de falha humana utilizando-se principalmente de ferramentas como rvores de falhas para seu clculo. Entretanto, neste clculo h determinadas incertezas que no podem ser desconsideradas. Devido as incertezas, importante que o mtodo seja criterioso e consistente para que falhas com efeitos significativos no sejam desconsideradas, avaliando-se fatores de gerenciamento, procedimentos, treinamentos,

comunicao e outros fatores sistmicos para se obter valores de interesse relacionados aos dados de falha genricos. As tcnicas qualitativas de previso de erros humanos devem ser priorizadas para avaliar e reduzir a contribuio dos erros humanos para o risco. 3.2.3.1 Systems for Predicting Human Error and Recovery (SPEAR) Segundo AICHE/CCPS, a estrutura do SPEAR (Systems for Predicting Human Error and Recovery) est demonstrada na Figura 3.4.

Figura 3.4 SPEAR Fonte: AICHE/CCPS

Segundo AICHE/CCPS, a primeira etapa consiste na identificao e descrio das interaes humanas crticas com o sistema. Geralmente essas interaes no ocorrem durante operao normal. O objetivo desta etapa reduzir a quantidade de anlises requeridas buscando os cenrios potenciais de acidentes, avaliando-se os perigos e as possveis interaes diretas ou indiretas com o homem e meio ambiente e suas freqncias.

47 Segundo AICHE/CCPS, aps a compreenso do sistema e suas interfaces com o homem, desenvolve-se o estudo qualitativo baseado nos PIFs seguido da construo de uma representao da estrutura da tarefa identificando os possveis erros e suas conseqncias. O ltimo estgio consiste da quantificao atravs de probabilidades ou freqncias dos erros humanos que devero ser estudados, posteriormente, associados as falhas do hardware, permitindo um clculo do risco de todo o sistema e suas interfaces. Segundo EMBREY, o estudo qualitativo inicia-se atravs de uma anlise da tarefa desenvolvendo uma descrio sistemtica e detalhada da estrutura da tarefa demonstrando alguns possveis erros que podem ocorrer. Esta estrutura deve ser combinada com os resultados da anlise dos PIFs que determinam a probabilidade de erro para o tipo de tarefa em estudo. A PHEA, mencionada anteriormente, consiste de uma anlise de previso de erros especficos associados a tarefa e passos da tarefa. Esta anlise inicia-se com o desenvolvimento da estrutura e os planos da tarefa e anlise dos PIFs. A estrutura deve possuir um nvel de detalhamento que permite a previso dos erros nos diferentes nveis da anlise, posteriormente desenvolve-se a anlise dos erros de planejamento e de operao. Segundo AICHE/CCPS, a anlise de conseqncias relacionadas a confiabilidade humana podem ser divididas, principalmente em trs tipos: Objetivo geral da tarefa no alcanado. Objetivo geral da tarefa no alcanado e outra conseqncia negativa ocorre. Objetivo geral da tarefa alcanado e outra conseqncia negativa ocorre (no relacionada com a tarefa primaria) As avaliaes de risco normalmente esto relacionadas com o primeiro tipo, pois o principal interesse da confiabilidade humana est no contexto de que as aes humanas esto diretamente relacionadas com respostas a emergncias. Os outros tipos devem ser considerados no estudo da anlise de conseqncias, pois contribuem para o risco. Algumas medidas para reduo de erros com conseqncias significativas cuja recuperao improvvel devem ser consideradas no estudo qualitativo. Estas medidas, desenvolvidas baseadas nos resultados da anlise dos PIFs,

48 devem reduzir o risco para nveis aceitveis e indicar as deficincias que devem ser melhoradas. A representao dos resultados da anlise qualitativa pode ser realizada atravs de rvores de falhas ou rvore de eventos e aps o desenvolvimento de um estudo meticuloso qualitativo, desenvolve-se o estudo quantitativo. Segundo AICHE/CCPS, h inmeras tcnicas de quantificao da probabilidade do erro, porm poucas delas so utilizadas nas avaliaes dos riscos. Os dados disponveis para quantificao, so limitados em termos de preciso e precisam ser utilizados com cautela durante o estudo quantitativo. 3.2.3.2 Processo Quantitativo Segundo AICHE/CCPS, o processo quantitativo inicia-se com o estgio do modelo da tarefa onde os aspectos de interesse so identificados, e sua avaliao dever ser especfica ou genrica. Geralmente as tarefas so divididas em subtarefas (passos) e so quantificadas. Esta aproximao conhecida como aproximao global ou decomposta. A vantagem do processo decomposto que h disponibilidade maior de banco de dados para as diversas probabilidades dos elementos das tarefas, os modelos de recuperao dos erros nas sub-tarefas so considerados, conseqncias em outros sistemas originados de falhas dos passos da tarefa so includos na avaliao do risco e as dependncias dos passos da tarefa podem ser consideradas. Segundo AICHE/CCPS, a segunda etapa do processo a representao do modo de falha atravs da decomposio da tarefa. Neste caso, os vrios elementos da tarefa e outras possveis falhas devem ser combinados para o clculo da probabilidade da tarefa. A tcnica mais comum de representao atravs de rvores de eventos. rvores de falhas so utilizadas para representar probabilidades de erros humanos discretos combinados com probabilidades de falhas de hardwares. Segundo AICHE/CCPS, a prxima etapa direcionar a probabilidade de erro para os passos da tarefa. Esta probabilidade deve ser obtida atravs de um julgamento de especialistas ou de dados empricos. Estes dados representam uma mdia e devem ser modificados por fatores que considerem as caractersticas especficas da situao sob avaliao.

49 Segundo AICHE/CCPS, a ltima etapa do processo quantitativo consiste da combinao das probabilidades dos elementos das tarefas para gerar a probabilidade de falha da tarefa. 3.2.3.3 TCNICAS QUANTITATIVAS Segundo KIRWAN, h diversas metodologias para quantificao da HEP (Human Error Probability) e deve-se ter cautela na sua aplicao, pois estes mtodos empricos podem ser imprecisos, mas com resultados que podem ser amplamente utilizados para aumentar a qualidade da escolha entre diversas alternativas de projetos, elevando ao mximo os benefcios relacionados a segurana na identificao de tarefas executadas pelo homem e na avaliao do risco. Segundo AICHE/CCPS, a crtica que as quantificaes das falhas humanas geralmente resultam em valores de freqncia de falhas elevados quando comparados com os valores de falha de hardwares. Esse valor mais elevado decorrente do elevado grau de conservadorismo quando se lida com erros humanos. Isso decorre do fato de que a maioria dos acidentes de origem humana. 3.2.3.3.1 Human Error Assessment and Reduction Technique (HEART) A tcnica HEART (Human Error Assessment and Reduction Technique) foi desenvolvida por Williams em 1986. Baseia-se num banco de dados que permite que o analista calcule o HEP utilizando-se um procedimento definido. A vantagem que as probabilidades podem ser obtidas rapidamente por uma nica pessoa. H basicamente quatro passo que podem ser observados na Figura 3.5 a seguir.
Identificar o Descritor Genrico da Tarefa

Identificar Condies de Produo de Erros aplicveis

Avaliar a Proporo de cada Condio de Produo de Erro

Calcular a Probabilidade de Erro para cada elemento da tarefa

Figura 3.5 Etapas da Avaliao do Erro Humano (HEART)

50
Fonte: (Williams, 1990)

Identificar o Descritor Genrico da Tarefa Segundo WILLIAMS, h nove descritores genricos da tarefa, cada um descrevendo um tipo diferente de tarefa. Estas descries variam desde Totalmente desconhecido, executado apressadamente, sem idia real das conseqncias at Responder corretamente ao comando do sistema mesmo quando h um sistema de controle automatizado fornecendo interpretao precisa do estado do sistema. As probabilidades de falha mdia nominal para execuo correta destes tipos de tarefas so, respectivamente, 0,55 e 0,00002, e Williams fornece as fronteiras do 5o ao 95o percentis que, se aplicadas, fornecem as probabilidades da tarefa noQuase que o melhor caso e no Quase que o pior caso. As tarefas genricas podem ser encontradas na Tabela 3.5.
Tabela 3.5 Tarefas Genricas Tarefa Genrica No familiar, executado apressadamente, sem idia real das conseqncias. Restaurar o sistema para um novo ou estado original em uma nica tentativa sem superviso ou procedimentos. Tarefa complexa que exige alto nvel de compreenso e habilidade. Tarefa bastante simples realizada rapidamente ou dada pouca ateno. Rotina, muita prtica, tarefa rpida que envolve baixo nvel de habilidade. Restaurar ou mudar um sistema para estado original ou novo, seguindo procedimentos com alguma verificao. Completamente familiarizado, bem projetado, muita prtica, tarefa rotineiras que ocorrem varias vezes por hora, realizada com mximo nvel de padro por pessoas altamente motivadas, altamente treinadas e experientes, totalmente consciente da implicao da falha, com tempo para corrigir erro potencial, mas sem o auxlio de ferramentas de auxlio. Responder corretamente ao comando do sistema mesmo quando h um sistema supervisrio automatizado fornecendo interpretao precisa do estado do sistema Tarefas diversas para as quais nenhuma descrio pode ser encontrada. No confiabilida de humana proposta 0,55 0,26 0,16 0,09 0,02 0,003 Fronteiras dos percentis o o 5 95 0,35 0,97 0,14 0,42 0,12 0,28 0,06 0,13 0,007 0,045 0,0008 0,007

A B C D E F

0,0004

0,00008 0,009

H I

0,00002 0,03

0,000006 0,0009 0,008 0,11

51 Identificar Error Producing Conditions (EPC) aplicveis Segundo WILLIAMS, para a seleo do EPC (Error Producing Conditions) aplicvel, o analista deve estar atento para no duplicar a contagem. Por exemplo, se uma tarefa genrica A selecionada ento no se deve utilizar o EPC falta de familiaridade. Embora de um total de 38 EPCs identificados, geralmente utiliza-se somente EPCs com valores multiplicadores de trs vezes ou mais. Os EPCs podem ser encontradas na
Tabela 3.6.

Calcular a Probabilidade de Erro para cada elemento da tarefa Segundo WILLIAMS, primeiramente necessrio calcular cada EPC identificado atravs da frmula abaixo: Efeito Calculado = ((Efeito Mximo 1) Proporo do Efeito) + 1 Segundo WILLIAMS, posteriormente, a probabilidade do erro HEP pode ser estimada.
Tabela 3.6 Condio para Error Producing Conditions (EPC) Quantidade nominal prevista mxima na qual a no Condio para Error Producing Conditions (EPC) confiabilidade pode mudar indo da condio boa para a ruim Falta de familiaridade com a situao que potencialmente x 17 importante, mas que ocorre com pouca freqncia ou que indita. Falta de tempo disponvel para deteco e correo de erros. x 11 Razo baixa de sinal-rudo. x 10 Um meio de suprimir ou de substituir informaes ou caractersticas x9 que so facilmente acessveis. Nenhum meio para fornecer informaes espaciais e funcionais aos x8 operadores de uma forma que eles possam facilmente assimilar. Desencontro entre a realidade do operador e aquele o modelo criado x8 pelo projetista. Nenhum meio bvio de reverter uma ao no intencional. x8 Sobrecarga da capacidade da via particularmente causada pela x6 presena simultnea de informao no redundante. Necessidade para desaprender uma tcnica e aplicar uma que x6 requere a aplicao da filosofia de forma oposta. Necessidade de transferir conhecimento especfico da tarefa para x 5,5 tarefa sem perdas Ambigidade nos padres de desempenho requeridos. x5 Desencontro entre percepo e risco real. x4 Sistema de feedback pobre, ambguo ou contagioso.. x4 Sem confirmao clara direta e programada de uma ao intencional. x4 Inexperincia do operador (ex. novo mas no expert) x3 Qualidade da informao deturpada transferida por procedimentos e x3

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

52
Condio para Error Producing Conditions (EPC) interao de pessoas. Pouca ou no independente checagem ou teste da sada Conflito entre objetivos imediatos e de longo prazo Sem diversidade de entrada de informao para confirmao das checagens. Desencontro entre o nvel educacional atingindo de um indivduo e dos requerimentos da tarefa. Um incentivo para utilizao de outro procedimento mais cuidadoso. Pouca oportunidade para exercitar a mente e o corpo fora do ambiente do trabalho. Instrumentao no confivel (percebido que suficiente) Necessidade para julgamento absoluto que esto alm da capacidade ou experincia de um operador. Falta de clareza na alocao da funo e responsabilidade. Caminha nada bvio para manter o progresso durante a atividade Um cuidado que exceder as capacidades fsicas. Tarefa com pouco ou nenhum significado intrnseco. Nvel de estresse emocional alto. Evidncia de operadores doentes, especialmente febre Moral baixa da fora de trabalho. Inconsistncia do significado dos displays e procedimentos. Um ambiente hostil e pobre (abaixo de 75 % de sade ou severidade de ameaa a vida) Inatividade prolongada ou ciclo de repetitividade alta de tarefas de baixa carga mental. Ciclos de interrupo de horas normais de sono. Tarefa improdutiva ocasionada pela interveno de outros. Membros adicionais no time acima do necessrio para executar normalmente a tarefa. Idade das pessoas que executam tarefas de percepo. Quantidade nominal prevista mxima na qual a no confiabilidade pode mudar indo da condio boa para a ruim x3 x 2,5 x 2,5 x2 x2 x 1,8 x 1,6 x 1,6 x 1,6 x 1,4 x 1,4 x 1,4 x 1,3 x 1,2 x 1,2 x 1,2 x 1,15 x 1,1 for 1 meia hora x 1,05 para aps cada hora x 1,1 x 1,06 x 1,03 por homem adicional x 1,02
a

17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Avaliar a Proporo de cada Error Producing Conditions (EPC) Segundo WILLIAMS, o analista deve avaliar a probabilidade numa escala de 0 (sem interferncia perceptvel) a 1 (mxima interferncia possvel) da proporo de cada EPC. A avaliao depende da experincia do analista em assuntos relacionados a fatores humanos. 3.2.3.4 Technique for Human Reliability Analysis (THERP) Segundo KIRWAN, a THERP (Technique for Human Reliability Analysis) a tcnica de quantificao de confiabilidade humana mais conhecida. Foi desenvolvida por Dr. A. D. Swain no final da dcada de 1960 para o controle da qualidade na estimativa de erros na montagem de ogivas nucleares. A anlise inicia-se com a diviso da tarefa em passos elementares, e a avaliao semelhante a estrutura utilizada nas rvores de eventos.

53 Segundo SWAIN, a definio do problema estabelecida atravs de visitas a planta e discusses com os analistas e se baseia em potenciais cenrios de alto risco. Previamente a quantificao, deve ser elaborada uma anlise da tarefa (qualitativa) cuja representao ser desenvolvida aps a identificao dos possveis erros. A Figura 3.6 representa um exemplo dos erros identificados na anlise THERP na forma de rvore de eventos.

A 0,01 0,99 Tomar ao No tomar ao at o alarme

0,1 0,9 Chave correta 0,1 Chave incorreta 0,9 Tomar ao Falha em tomar a ao aps t min de alarme

S
1

F1=0,1 0,9 Chave correta 0,1 Chave incorreta

F1=0,001

S
2

F1=0,001

Figura 3.6 Exemplo de representao THERP (rvore de Eventos) Fonte: (Kirwan, 1992)

Segundo Embrey, a etapa de quantificao deve ser realizada aps a representao da rvore de eventos. Primeiramente, analisam-se os dados necessrios de probabilidades de erros que devem ser selecionados, por exemplo, nas tabelas fornecidas em Swain e Guttmann (1983). Esses dados devem ser modificados para as condies especficas da tarefa avaliada, e posteriormente baseadas nas dependncias entre os passos. A probabilidade de erro da tarefa determinada atravs da combinao de todas as probabilidades de erros dos passos. Dependendo do valor da probabilidade de erro, ser necessrio que seja elaborado estratgias de reduo do erro para os casos em

54 que o valor estiver em nveis inaceitveis, o analista dever rever a estrutura e os PIFs analisados. A THERP muito eficiente em tarefas rotineiras, com pouco estresse, onde cada etapa crucial para concluso bem sucedida da tarefa. Segundo AICHE/CCPS freqentemente criticada por supor que todas as probabilidades de erros humanos podem ser quantificadas e previstas. 3.2.3.5 Influence Diagram Analysis (IDA) Segundo AICHE/CCPS, IDA (Influence Diagram Analysis) uma tcnica utilizada para avaliao de probabilidades de erros humanos em funo da complexa rede organizacional e outras influncias que podem impactar nestas probabilidades. capaz de representar os efeitos devido as influncias organizacionais e variveis polticas alm dos fatores diretos como

procedimentos, treinamentos entre outros. O diagrama deve ser construdo por um grupo de especialistas que conhecem a interaes entre os PIFs diretos e indiretos que determinam a probabilidade do erro. Segundo AICHE/CCPS, uma vez construdo o diagrama, avalia-se o estado atual dos fatores de nvel mais baixos avaliando-se a probabilidade do fator e se seu efeito positivo ou negativo. A prxima etapa consiste na avaliao dos efeitos combinados dos fatores individuais de nveis mais baixos sobre os de nveis mais altos. A Figura 3.7 representa um exemplo do diagrama de influncias utilizado por Embrey (1992). Neste diagrama, o nvel principal cujos fatores influenciam a probabilidade de erros se baseia na qualidade do treinamento, disponibilidade de instrues operacionais efetivas e presso do tempo. A qualidade do treinamento influenciada por dois fatores especficos, que representam a aplicao da anlise da tarefa no desenvolvimento dos treinamentos especficos e do feedback para modificar o regime existente. Segundo EMBREY, dois fatores influenciam a disponibilidade de instrues operacionais efetivas, a poltica para gerao das instrues que asseguram que as instrues esto atualizadas, projetadas conforme padres aceitveis. O outro o gerenciamento do projeto que determinam as definies requeridas para o trabalho garantindo que as instrues apropriadas estejam disponveis quando requisitadas. O gerenciamento do projeto tambm est associado a freqncia

55 com que os nveis da equipe esto adequados quando requisitados. Este fator, junto com as regras do trabalho e a complexidade da tarefa interfere no nvel da presso do tempo sobre o operador.

Figura 3.7 Diagrama de Influncia Fonte: (Embrey, 1992)

56

3.3 TOMADA DE DECISO

3.3.1 Ferramentas de Tomada de Deciso Segundo AICHE/CCPS, a literatura revela a existncia de centenas de ferramentas de tomada de decises. Neste trabalho esto sendo abordadas, resumidamente, apenas algumas delas que so mais conhecidas e utilizadas. As caractersticas significantes da classificao das ferramentas de deciso consistem na capacidade de fornecer uma resposta competitiva, na quantidade de alternativas consideradas, na quantidade de dados necessrios e se trata ou no de incertezas e valores. 3.3.1.1 Anlise de Custo-Benefcio Segundo AICHE/CCPS, anlise muito utilizada principalmente no setor pblico cujo objetivo ter um benefcio compatvel com o investimento. Estes so mensurados a partir da quantificao em valores tanto do custo das alternativas como de cada um de seus benefcios. O objetivo escolher a alternativa que maximiza o benefcio (benefcio menos os custos). A caracterstica da ferramenta que a entrada dos dados deve ser objetiva e as etapas principais consistem em: decidir o escopo da anlise, avaliar o custo e os efeitos de cada alternativa, aplicar a regra de deciso para escolha da alternativa. Segundo AICHE/CCPS, o princpio da anlise custo-benefcio est na capacidade de pagamento da sociedade para evitar os efeitos negativos ou ter os efeitos positivos. Geralmente os dados utilizados so valores de mercado dos produtos ou servios. H algumas limitaes da tcnica como falhas em considerar incertezas nos custos e efeitos, no balano quando um grupo recebe o benefcio e o outro grupo paga pelo benefcio e quando h dificuldade em se quantificar os mesmos. 3.3.1.2 Mtodos de Votao Segundo AICHE/CCPS, mtodo mais utilizado para escolha das alternativas. rpido, simples, de fcil compreenso e proporciona uma maneira justa para agregar opinio, alm de necessitar de poucos recursos. Dentre os mtodos de votao, o mais comum o mtodo da pluralidade em que a alternativa mais

57 desejada de uma lista de possveis alternativas escolhida pelo participante. A alternativa com maior nmero de votos a escolhida. Segundo AICHE/CCPS, a desvantagem que a opinio do participante e o conhecimento da verdadeira razo para escolha da alternativa ficam pouco conhecidos e no h possibilidade de realizar anlise de sensibilidade para saber se a deciso seria influenciada pela mudana de conhecimento ou valores dos participantes. Atualmente sabe-se que o mtodo de votao pode ser manipulado pelos candidatos. 3.3.1.3 Mtodo de Pontuao Ponderada Segundo AICHE/CCPS, neste mtodo as alternativas so pontuadas sob um conjunto de critrios de decises que so ponderados por importncia. bem utilizado para situaes de decises que demandam julgamentos de valores explcitos e em situaes em que dinheiro, tempo ou conhecimento analtico so fatores limitantes. Cada alternativa recebe uma pontuao que a caracteriza dentro do critrio de deciso. Sua pontuao ponderada atravs da sua multiplicao pelo seu peso. A alternativa com maior valor total ser escolhida. Segundo AICHE/CCPS, o mtodo realiza a quantificao atravs de julgamentos explcitos dos valores, rapidamente executado e com facilidade, com demanda de poucos recursos analticos. Uma desvantagem que os tomadores de deciso precisam confiar na intuio quando lidam com incertezas e as conseqncias positivas e negativas. A freqncia da conseqncia no explcita, mas deve ser considerada de forma implcita na anlise. Logo a pontuao no objetiva e pode interferir na consistncia da tomada de deciso. 3.3.1.4 Processo de Hierarquia Analtica Segundo AICHE/CCPS, o Processo de Hierarquia Analtica um mtodo de pontuao ponderada que consiste na diviso das decises em componentes, construindo uma estrutura que demonstra as relaes entre os componentes para facilitar a quantificao do julgamento e deve ser utilizada quando se necessita de modelo explcito. A estrutura do processo baseada na hierarquia da deciso em que cada nvel consiste de objetivos, critrio de deciso, ou alternativas onde uma escolha ser feita.

58 Segundo AICHE/CCPS, possui alguns pontos positivos como fcil

manipulao, estrutura em redes, capacidade de gerar julgamentos entre os critrios e velocidade computacional. Entretanto alguns crticos mencionam que os resultados podem ser arbitrrios, no refletindo as preferncias do tomador de decises. O processo no lida explicitamente com incertezas e h a necessidade de interpretao das consideraes implcitas nos resultados.

3.4 AVALIAO CRTICA SOBRE O ACIDENTE DA FORMOSA PLASTICS CORP. ILLIOPOLIS

A avaliao crtica deste acidente est sendo desenvolvida baseada nas metodologias citadas nesta monografia e nos comentrios elaborados pela U.S. Chemical Safety And Hazard Investigation Board. A principal causa descrita neste acidente est relacionada a fatores humanos, porm a CSB investigou e evidenciou as causas razes do acidente que constituem de combinaes de falhas que resultaram no acidente. As anlises desenvolvidas sobre este acidente esto sendo elaboradas com evidncias extradas do relatrio e conhecimento sobre

metodologias de confiabilidade humana adquirido pelo autor da monografia ao longo do desenvolvimento desta monografia. Uma anlise trivial e superficial do acidente da Formosa-IL nos leva a concluir que a causa bastante simples: o operador ao invs de virar para a esquerda virou para a direita e no notou que iria drenar o reator errado. Alm disso, desconectou o sistema de segurana e realizou a drenagem do reator, infelizmente do reator errado. O operador alcanou seu objetivo que era drenar o reator, porm ignorou as regras e drenou o reator errado. Provavelmente se esta investigao tivesse ocorrido h algumas dcadas, toda a culpa do acidente seria atribuda ao operador e justificada atravs das personalidades propensas a cometerem mais erros. Entretanto, a generalizao da falha humana no mais to aceita e suas causas especficas devem ser exploradas. A atividade de limpeza dos reatores era rotineira, pois a cada batelada o operador deveria iniciar o processo de limpeza. A operao de limpeza no era complexa e o operador, provavelmente, deveria realizar a atividade baseado na sua memria. A realizao do by-pass do sistema de intertravamento era autorizada por voz pelo supervisor, sem nenhum controle efetivo do registro da liberao e a nica

59 obrigao do operador era que ao final da atividade de limpeza, ele deveria entregar ao supervisor um checklist contendo registros das atividades de limpeza do reator. Analisando primeiramente o erro cometido do ponto de vista cognitivo, sem avaliar os fatores organizacionais e externos, que sero desenvolvidos

posteriormente, nota-se que houve uma combinao de tipos de erros. O primeiro erro cometido pelo operador seria um deslize ao se direcionar para o reator errado, como o posicionamento dos reatores era semelhante, o operador foi para uma posio relativa exatamente igual ao do reator D-306 s que no grupo de reatores errado e na realidade estava no D-310. Posteriormente a este erro, ele no respeitou o procedimento e no informou ao supervisor que faria o by-pass da vlvula de intertravamento de fundo do reator cometendo um engano baseado nas regras, pois no procedimento contemplava uma autorizao prvia do supervisor para liberao do by-pass, apesar de informal e pouco eficaz. Aps execuo do by-pass da vlvula de intertravamento iniciou-se a liberao do MVC que resultou na conseqncia catastrfica. A investigao demonstrou que essa falha humana ocorreu devido a diversas outras falhas nos diversos nveis da hierarquia da FPC USA, e melhorias neste sistema e nesta atividade j haviam sido questionadas pelo menos 10 anos antes do acidente e nenhuma medida realmente efetiva havia sido implementada. Esse conjunto de erros que levaram a favorecer a ocorrncia do acidente. Uma anlise sucinta utilizando-se de algumas ferramentas demonstradas nesta monografia e que no foram utilizadas pela CSB, ser desenvolvida evidenciando alguns pontos crticos que j podem ter sido levantados ou no pela CSB. As melhorias avaliadas suficientes pela planta da Formosa-IL estavam relacionadas a procedimentos operacionais. Inicialmente foi desenvolvida uma anlise da tarefa de limpeza do reator para agregar conhecimento mais detalhada da tarefa e fornecer subsidio para a anlise da confiabilidade humana atravs da metodologia SPEAR.

60

4 RESULTADOS
Os resultados da aplicao da ACH na investigao do acidente da planta de PVC Formosa-IL baseado no relatrio de investigao da CSB esto apresentados nos itens a seguir.

A primeira etapa da metodologia de Avaliao de Confiabilidade Humana consistiu nas Anlises gerais e identificao das interaes humanas, cuja atividade j foi identificada pela CSB.

4.1 SPEAR (SYSTEMS FOR PREDICTING HUMAN ERROR AND RECOVERY)

O resultado da aplicao da metodologia SPEAR est apresentado nos itens a seguir. 4.1.1 HIERARCHICAL TASK ANALYSIS DE LIMPEZA DOS REATORES Segundo o diagrama de influncia de Embrey (1992) Figura 3.7, a anlise da tarefa influencia diretamente na qualidade do treinamento dos operadores. A HTA apresentada na Figura 4.1 foi desenvolvida de maneira simplificada para verificao da atividade de limpeza do reator. Ela no representa detalhadamente todas as etapas da limpeza do reator. Uma anlise detalhada deve ser realizada envolvendo operadores e engenheiros responsveis da rea e demandam tempo e esforo significativo para ser elaborada. As consideraes no Plano 0 foram extradas do relatrio da CSB enquanto que as consideraes do Plano 1 foram atividades assumidas prximas da realidade.

61

Figura 4.1 Anlise Hierrquica da Tarefa de Limpeza do Reator

A partir da investigao do acidente, sabe-se que o operador da blaster se direcionou para o grupo de reatores errado, esta atividade corresponde ao passo 3.2 Localizar o reator que est em processo de limpeza da representao da HTA da tarefa de limpeza do reator (Figura 4.1). A fim de se detalhar esta etapa, foi desenvolvida a HTA na forma de tabela que est representada na Tabela 4.1. Nesta tabela apenas o sistema de comunicao e a localizao da identificao do reator foram apresentadas no relatrio do CSB. As demais informaes foram assumidas como prximas da realidade. A finalidade deste exerccio foi evidenciar algumas ferramentas que poderiam ter demonstrado onde as falhas estariam ocorrendo. Dentro de uma planta o ideal seria que estas anlises fossem desenvolvidas para todas as atividades criiticas existentes.

62
Tabela 4.1 Tabela de HTA (de Limpeza do Reator)
Passo da Tarefa 3.2 Localiza ro reator que est em process o de limpeza Entradas (registros ) Identifica o no inferior do reator e no painel de controle Sadas (aes) Operador deve checar se a identifica o do reator correspon de ao reator que est em processo de limpeza Feedba ck No H Comunicao Caracterstica s do tempo Atraso no incio da prxima batelada, consequentem ente atraso na produo. Depend ncias da tarefa Limpeza pode no ter sido realizada de forma apropriada , demandan do nova injeo de gua de lavagem. Funes secundri as, distrae s Operador da blaster pode estar executand o outras funes alm da limpeza do reator. Comentrios

Via voz, operador no nvel inferior deve se deslocar at os outros operadores/su pervisor para se comunicar. (No h interfones, nem utilizao rotineira de rdios)

Se o operador da poli no efetuar devidamente a purga do reator, vapores de MVC podem ser emitidos durante drenagem do reator podem causar leses no operador da blaster Perigos: Leso ao operador da blaster, liberao de gases inflamveis e possibilidade de exploso. Operadores de campo devem utilizar EPIs.

Observa-se na

Tabela 4.1 de HTA de limpeza do reator que a abertura indevida de um reator em operao durante a limpeza de um reator especfico no est sendo considerada como parte da tarefa. O HTA desenvolvido segue o conceito da metodologia, pois a mesma deve abordar com preciso e detalhamento as atividades que devem ser realizadas e no os possveis desvios. Estes devem ser analisados utilizando-se de outras ferramentas. O desenvolvimento da HTA permite que procedimentos sejam desenvolvidos mais adequadamente e os treinamentos sejam mais eficientes, entretanto no evidenciam os possveis erros que podem ocorrer. 4.1.2 ANLISE DOS PIFs Aps o desenvolvimento da anlise da tarefa onde foi possvel conhecermos com mais detalhes como a atividade considerada era realizada, importante avaliarmos os PIFs dos operadores durante a limpeza do reator. Consideraremos a escala para avaliao dos PIFs conforme Tabela 4.2 a seguir.

63
Tabela 4.2 Escalas consideradas para avaliao dos PIFs da atividade de limpeza do reator Escala de Avaliao do Procedimentos Ambiente de Trabalho Fsico PIF Alto nvel de rudo No h procedimentos escritos, ou Iluminao deficiente Pior 1 padres para execuo das atividades. Temperaturas altas ou muito baixas, No est integrado com treinamentos. alta umidade ou ventanias Procedimentos escritos disponveis, mas Nveis de rudo moderados nem sempre utilizados. Mdio 5 Temperatura e umidade variveis Mtodos padronizados para execuo da tarefa. Procedimentos detalhados e checklists Nveis de rudo em nveis ideais disponveis. Iluminao baseada em anlises de Melhor 9 Procedimentos desenvolvidos utilizandorequerimentos da tarefa se anlise da tarefa. Temperatura e umidade em nveis Integrado com treinamentos. ideais

A lista de PIFs padres apresentadas na Tabela 2.1 foi utilizada para obteno dos fatores que poderiam influenciar na atividade de limpeza do reator. Importante salientar que a lista da Tabela no uma definio formal dos PIFs. Dependendo das atividades realizadas numa planta industrial, esta listagem deve ser desenvolvida e revisada pelos analistas da planta. As avaliaes aqui apresentadas foram elaboradas baseadas nas descries do acidente pela CSB. Inmeras deficincias foram comentadas e foram consideradas na avaliao. Aqueles fatores que esto apresentados com valor 5, foram fatores considerados relevantes para o estudo porm sem informaes sobre os mesmos no relatrio do acidente. Ambiente Operacional: o Dependncia do tempo: 5 o Iluminao: 5 o Turno e descansos: 5 Caractersticas da Tarefa o Local/acesso: 3 o Identificao: 2 o Identificao dos displays e controles: 3 o Viso das informaes crticas e alarmes: 3 o Clareza das instrues: 1 o Qualidade das verificaes e avisos: 1 o Grau do suporte do diagnstico de falha: 1 o Conflitos entre segurana e requerimentos da produo: 2 o Treinamento na utilizao de procedimentos de emergncia: 1

64 Caractersticas do Operador o Grau de habilidade: 5 o Assumidor de riscos: 5 Fatores Organizacionais e Sociais: o Clareza das responsabilidades: 3 o Comunicaes: 1 o Autoridade e liderana: 2 o Comprometimento da gerncia: 2 o Excesso de confiana nos mtodos tcnicos de segurana: 2 o Aprendizado organizacional: 1 4.1.3 METODOLOGIA DE HFAM Outra forma de anlise dos PIFs poderia ser elaborada atravs de uma perspectiva scio-tcnica utilizando a HFAM. Os fatores esto apresentados na Tabela 2.3 que devem ser avaliados nos diversos nveis de profundidade e dependem das deficincias encontradas em cada resposta. Para exemplificar, como a Formosa-IL confiava nos procedimentos para garantir atividades seguras, analisaremos o fator genrico de nvel operacional ferramentas e procedimentos de trabalho. 13 Ferramentas e Procedimentos de trabalho 13.1 Gerenciamento da documentao Adequado 13.2 Contedo e confiabilidade Inadequada 13.3 Formatao e apresentao Adequadas 13.4 Implementao Adequado 13.5 Manuteno e atualizao Adequadas Encontrado deficincias nos fatores genricos de nvel operacional, deve-se avaliar em nvel mais detalhado de fatores especficos do trabalho de nvel operacional. 13.2 Contedo e confiabilidade 13.2.1 Procedimentos so tecnicamente adequados Inadequados 13.2.2 Procedimentos definem os passos lgicos para completar a tarefa Adequada 13.2.3 Procedimentos so claros e sem ambigidade Adequada

65 13.2.4 Erros potenciais, recuperao e conseqncias dos erros foram identificados - Inadequado Identificar o fator de nvel gerencial que causa as deficincias. 5 Efetividade do sistema de desenvolvimento de procedimentos 5.1 5.2 Existncia do sistema Inadequado Utilizado mtodos de desenvolvimento de procedimentos

Inadequado 5.3 5.4 Desenvolvimento de treinamentos Inadequado Participao dos operadores Inadequado

A HFAM possui uma forma estruturada de auditoria, identificando os tpicos inadequados. O resumo dos elementos avaliados como inadequados podem ser observados na Tabela 4.3.
Tabela 4.3 Resumo Resultados HFAM 13 13.1 13.2 13.3 13.4 13.5 13.2.1 13.2.2 13.2.3 13.2.4 5.1 5.2 5.3 5.4 Fatores Genricos de Nivel Operacional Ferramentas e Procedimentos de trabalho Gerenciamento da documentao Contedo e confiabilidade Formatao e apresentao Implementao Manuteno e atualizao Fatores especficos do trabalho de nvel operacionaL Procedimentos so tecnicamente adequados Procedimentos definem os passos lgicos para completar a tarefa Procedimentos so claros e sem ambigidade Erros potenciais, recuperao e conseqncias dos erros foram identificados Fator de nvel gerencial que causa as deficincias. Existncia do sistema Utilizado mtodos de desenvolvimento de procedimentos Desenvolvimento de treinamentos Participao dos operadores Adequado X X X X X X X X X X X X Inadequado X

4.1.4 ANLISE DOS ERROS HUMANOS (PHEA), DAS CONSEQUNCIAS E DA REDUO DOS ERROS A lista dos tipos de erros foi extrada da metodologia da PHEA e pode ser visualizados na Tabela 3.3. A Tabela 4.4 apresenta a PHEA, metodologia que analisa o erro humano da perspectiva cognitiva, desenvolvida para avaliar o passo da tarefa de 3.2 - Localizar o reator que est em processo de limpeza. Foram considerados aqueles erros

66 considerados relevantes para os resultados deste trabalho. H outros tipos de erros que poderiam ser analisados e avaliados pela equipe da planta. As informaes foram todas extradas do relatrio do acidente da CSB, porm a lgica foi elaborada durante a elaborao da metodologia. Observa-se que a anlise das conseqncias do SPEAR est associada a cada um dos tipos de erros humanos definidos pela PHEA. Dessa forma, as conseqncias esto associadas a uma causa que foi identificada durante o estudo. Baseado na conseqncia, deve-se elaborar uma estratgia para reduo do erro que dependendo da criticidade da conseqncia deve ser obrigatria ou no .

67

Passo da tarefa

Tipo da tarefa Ao

Ao

Ao Ao 3.2 Localizar o reator que est em processo de limpeza

Checagem

Checagem

Checagem

Checagem

Recuperao
1

Tabela 4.4 Anlise de Erros Humanos (PHEA) da atividade de limpeza dos reatores (passo 3.2) Tipo do 1 Descrio Consequncias Recuperao Estratgia para reduo do erro erro Ao na Operador estar no Identificao do reator no Virar no sentido errado do Otimizar lay-out dos reatores de direo grupo de reatores fundo do reator e no grupo de reatores desejado modo a facilitar a identificao errada errado painel de controle - Sistema de evacuao Operador efetua o by-pass do Ao correta Grande liberao de - Estudo das camadas de proteo sistema de intertravamento e Nenhuma no objeto MVC seguida de - Anlise histrica efetua a drenagem do reator incorreto exploso e incndio - Melhorar procedimentos e em operao treinamentos Falta de Ausncia Atraso na drenagem Nenhuma ao Ao Ausncia Atraso na drenagem Nenhuma omitida Impossibilidade da Operador no checa a Indicao no painel de Omisso da Incluir no checklist atividade de drenagem do reator identificao do reator que controle de atuao do checagem checagem do reator a ser drenado devido a atuao do seria drenado intertravamento intertravamento Checagem Operador da blaster confirma Impossibilidade da Indicao no painel de Incluir no checklist atividade de correta no o reator que est em processo drenagem do reator controle de atuao do checagem do reator a ser drenado objeto de limpeza, porm est no devido a atuao do intertravamento incorreto reator errado intertravamento Operador se dirige a Checagem Operador da blaster est no outro reator e no Operador do nvel Melhorar procedimentos e incorreta no reator correto porm confirma efetuar a drenagem superior ir corrigir o treinamentos objeto que outro reator est em devido a atuao do reator da blaster correto processo de limpeza intertravamento Operador se dirige a Checagem Operador da blaster est no outro reator e no Operador do nvel Melhorar procedimentos e incorreta no reator errado e confirmar outra efetuar a drenagem superior ir corrigir o treinamentos objeto reator em processo de devido a atuao do reator da blaster incorreto limpeza intertravamento Operador deve ir at o Operador da blaster no tem Operador estar no Informao nvel superior e verificar confirmao sobre qual reator grupo de reatores no obtida qual o reator est em est em processo de lmpeza errado processo de limpeza

Estratgias para reduo do erro devem ser relacionadas, principalmente, a mudanas no procedimento, treinamento, equipamentos e design.

68

Os resultados da PHEA permitem que os principais PIFs que contribuem para o risco sejam analisados. Os tipos de erros analisados na PHEA podem ser relacionados aos PIFs apresentados naTabela 2.1. Importante salientar que esta lista de PIFs correspondem a alguns exemplos que devem ser adaptados conforme avaliao de um analista de confiabilidade. A Tabela 4.5 a seguir apresenta os PIFs relacionados aos tipos de erros avaliados na PHEA.

Tabela 4.5 Identificao dos PIFs mais crticos durante atividade de limpeza do reatore Fatores Influenciadores de Tipo do erro Desempenho (PIFs) - Distrao Ao na direo errada - Prticas com situaes no familiares - Identificao deficiente - Distrao - Identificao deficiente Ao correta no objeto incorreto - Iluminao deficiente - Identificao dos displays e controles - Comunicao deficiente - Prticas com situaes no familiares Falta de ao - Turno e descansos - Prticas com situaes no familiares - Turno e descansos Ao omitida - Distrao - Distrao Omisso da checagem - Comunicao deficiente - Distrao - Identificao deficiente Checagem correta no objeto - Iluminao deficiente incorreto - Identificao dos displays e controles - Comunicao deficiente - Distrao - Identificao deficiente Checagem incorreta no objeto - Iluminao deficiente correto - Identificao dos displays e controles - Comunicao deficiente - Distrao - Identificao deficiente Checagem incorreta no objeto - Iluminao deficiente incorreto - Identificao dos displays e controles - Comunicao deficiente - Comunicao deficiente Informao no obtida - Autoridade e liderana deficiente

69

4.2 REPRESENTAO DO EVENTO ATRAVS DE RVORE DE FALHAS

A rvore de falhas que representa o desenvolvimento do acidente est apresentada na Figura 4.2. Observa-se que as causas razes no so apresentadas. Essas causas j esto sendo consideradas nos eventos bsicos que so representados pela letra E1 a E5 que correspondem a falhas do

operador/empregados que sero posteriormente quantificadas.

Fatalidades e Leses

* G0

Presena de empregados na regio dos reatores * G2

Exploso seguida de incndio * G1

Empregados falham na evacuao da rea E4

Operadores presentes para o processo de limpeza do reator

Fonte de ignio

Grande liberao de MVC * G3

E5

E1

Porto

Operador se direciona indevidamente a reator em operao e acredita estar no reator em processo de limpeza

Operador utiliza o by-pass para abrir a vlvula de fundo do reator em operao

E2

E3

Figura 4.2 Representao da rvore de Falhas do cenrio de Grande liberao de MVC seguida de exploso e incndio ocasionando fatalidades

Os eventos bsicos so diretamente influenciados pelas causas razes que contribuem para a ocorrncia do evento topo (acidente). Entende-se por causa raiz, a causa especfica que contribui para a ocorrncia do evento bsico. Essas causas razes so fatores que influenciam na probabilidade de ocorrncia dos eventos bsicos. Observe que dependem diretamente das caractersticas da planta. A seguir esto listadas as causas razes relacionadas a cada evento bsico: Todas as informaes foram obtidas do relatrio da CSB.

70

Evento Bsico E2 - Operador se direciona indevidamente ao reator em operao e acredita estar no reator em processo de limpeza No h indicador de status do reator Lay-out dos reatores simtricos Semelhana dos reatores Sobrecarga do operador da blaster

Evento Bsico E3 - Operador utiliza o by-pass para abrir a vlvula de fundo do operador em operao Vlvula de fundo do reator no abre (intertravamento do sistema presso acima de 10 psi) Sistema de by-pass existente Nenhum controle fsico nas mangueiras de injeo de ar de emergncia Inexistncia de procedimento de utilizao do by-pass durante operao normal Indisponibilidade do supervisor

Evento Bsico E4 - Empregados falham na evacuao da rea Procedimentos ambguos sobre como controlar grandes liberaes de MVC Treinamentos de evacuao insuficientes Prtica de simulados no rotineiras 4.2.1 Quantificao dos Eventos Bsicos A quantificao um importante passo para se definir os impactos de possveis melhorias no projeto do reator. Para quantificao da rvore de falhas necessrio conhecer uma estimativa das probabilidades de falha dos eventos bsicos. As HEPs esto estimadas atravs da HEART. A partir da Tabela 3.5 e considerando as caractersticas especficas de cada evento bsico e Tabela 3.6 podemos julgar que:

71

O Evento Bsico E2 (Operador se direciona indevidamente a reator em operao e acredita estar no reator em processo de limpeza) possui a probabilidade de falha associada de:

Tabela 4.6 Probabilidade de falha do Evento Bsico E2 o o Evento Bsico E2 Central 5 percentil 95 percentil Tarefa Genrica E 0,02 0,007 0,045 Condio para Erro de Produo (EPC) Proporo Clculo Sobrecarga da capacidade da via particularmente causada pela presena simultnea de informao 0,2 (6-1) x 0,2 +1 = 2,0 no redundante (x 6) Sem confirmao clara direta e programada de 0,3 (4-1) x 0,3 +1 = 1,9 uma ao intencional (x 4) Probabilidade de falha 0,02 x 2 x 1,9 = 0,076 avaliada

Evento Bsico E3 (Operador utiliza o by-pass para abrir a vlvula de fundo do operador em operao) possui a probabilidade de falha associada de:

Tabela 4.7 - Probabilidade de falha do Evento Bsico E3 o o Evento Bsico E3 Central 5 percentil 95 percentil Tarefa Genrica B 0,26 0,14 0,42 Condio para Erro de Produo (EPC) Proporo Clculo Sem confirmao clara direta e programada de 0,1 (4-1) x 0,1 +1 = 1,3 uma ao intencional. (x 4) Pouca ou no independente checagem ou teste da 0,2 (3-1) x 0,2 +1 = 1,4 sada (x 3) Probabilidade de falha 0,26 x 1,3 x 1,4 = 0,47 avaliada

Evento Bsico E4 (Empregados falham na evacuao da rea) possui a probabilidade de falha associada de:

Tabela 4.8 - Probabilidade de falha do Evento Bsico E4 o o Evento Bsico E3 Central 5 percentil 95 percentil Tarefa Genrica I 0,03 0,008 0,11 Condio para Erro de Produo (EPC) Proporo Clculo Falta de familiaridade com a situao que potencialmente importante, mas que ocorre com 0,5 (17-1) x 0,5 +1 = 9 pouca freqncia ou que indita.. (x 17) Probabilidade de falha 0,03 x 9 = 0,27 avaliada

Evento Bsico E1 (Fonte de ignio) possui a probabilidade de ignio segundo o Purple Book da TNO de 30%. Evento Bsico E5 (Operadores presentes para o processo de limpeza do reator) possui a probabilidade de 4/24 que representa 4hr do dia (dia e noite) no nvel inferior.

72

4.2.2 Anlise crtica das probabilidades dos eventos bsicos A Tabela 4.9 apresenta resumidamente as probabilidades da ocorrncia dos eventos bsicos calculados anteriormente. Posteriormente, encontra-se a discusso de cada probabilidade sugerida.
Tabela 4.9 Probabilidade de ocorrncia dos eventos bsicos Id Descrio do Evento Bsico Probabilidade 1 Fonte de ignio 30 % Operador se direciona indevidamente a reator em operao e acredita estar no reator em 2 7,6 % processo de limpeza 3 Operador utiliza o by-pass para abrir a vlvula de fundo do operador em operao 47 % 4 Empregados falham na evacuao da rea 27 % 5 Operadores presentes para o processo de limpeza do reator 16,7 %

1. A probabilidade de ignio de um determinado fluido inflamvel depende de alguns parmetros como peso molecular do fluido, taxa de descarga do vazamento, temperatura de auto-ignio, energia e presena da fonte de ignio. Ela varia dependendo do fluido e das condies operacionais de estocagem que influenciam na sua taxa de liberao. O clculo da ignio poderia ser determinado utilizando-se softwares avanados, mas o valor de 30 % definido no Purple Book (TNO) consistente para a finalidade deste estudo. 2. Assume-se que o deslocamento do operador at um dos reatores para executar o processo de limpeza faz parte da rotina de suas atividades e ocorre diariamente. Os reatores possuem indicaes no fundo e no painel de controle. A probabilidade de 7,6 %, relativamente baixa em comparao com as outras pode ser aceita, pois a nica deficincia avaliada est na disposio idntica dos reatores. 3. A probabilidade de utilizao do by-pass para abrir a vlvula de fundo do operador corresponde a 47 % que um valor alto para utilizao de by-pass de sistemas de segurana. Padres normais de segurana no permitem que sistemas de segurana fiquem desativados, mesmo durante manutenes. Como esse procedimento da Formosa-IL de by-pass dessa vlvula de segurana era comum na companhia o valor est bem representativo. 4. Normalmente a falha dos operadores na evacuao em grandes acidentes devem corresponder a valores muito baixos, o valor de 27 % que

73

corresponderia a praticamente 1 falha a cada 3 vezes bastante representativo. 5. Est sendo considerado que h operadores nas redondezas do reator durante o processo de limpeza por aproximadamente 4 hs do dia. 4.2.3 Quantificao do cenrio do acidente da Formosa-IL (evento topo) Utilizando-se os dados de probabilidade calculados atravs da metodologia HEART, pode-se quantificar a rvore de falha do acidente da Formosa-IL apresentada na Figura 4.3. A funo dessa quantificao no obter um valor de probabilidade do acidente, uma vez que a viso mecanicista de quantificao dos erros humanos no to bem compreendida e aceita. A finalidade desse clculo para conhecermos com maior clareza o impacto de cada mudana de projeto proposta posteriormente, ou seja, o valor do evento topo ser utilizado apenas como base para manter consistncia na comparao entre as recomendaes propostas.
Fatalidades e Leses

* G0

P=4,82E-4

Presena de empregados na regio dos reatores * G2 P=4,50E-2

Exploso seguida de incndio * G1 P=1,07E-2

Empregados falham na evacuao da rea E4 P=2,70E-1

Operadores presentes para o processo de limpeza do reator

Fonte de ignio

Grande liberao de MVC * G3 P=3,57E-2

E5 P=1,67E-1

E1 P=3,00E-1

Operador se direciona indevidamente a reator em operao e acredita estar no reator em processo de limpeza

Operador utiliza o by-pass para abrir a vlvula de fundo do reator em operao

E2 P=7,60E-2

E3 P=4,70E-1

Figura 4.3 Representao e Quantificao da rvore de Falhas do cenrio de Grande liberao de MVC seguida de exploso e incndio ocasionando fatalidades

74

4.3 IDA (INFLUENCE DIAGRAM ANALYSIS)

A representao do acidente tambm foi desenvolvida atravs da IDA que permite uma viso bastante simplificada e detalhada dos diversos fatores que influenciam o evento. A Figura 4.4 corresponde ao modelo de diagrama de influncias desenvolvido para esta anlise. Observa-se que o IDA mostra explicitamente as influncias e os fatores considerados neste modelo. Os elementos principais que afetam o cenrio so representados pela elipse, enquanto que o quadrado branco representa a incerteza que levou ao acidente. Os hexgonos correspondem as possibilidades de investimentos que precisariam ser realizados. Estes investimentos esto

representados em azul. O IDA permite um rpido e prtico modelo de deciso e seu grande valor do diagrama seu poder de comunicao por ser de fcil compreenso e permitir que uma grande quantidade de informaes seja considerada. As informaes necessrias para o desenvolvimento do diagrama foram obtidas das anlises anteriores.
Custos em Comunicaes/ MOC
Limpeza do Reator

Disponibilidade do supervisor

Custos em Procedimentos
Deslocar-se para reator indevido Comunicaes

Liberao Controlada

Limpeza da rea

Procedimentos para utilizao de by-pass em operao normal

Ignio

Exploso

Fatalidades

Efetuar by-pass da vlvula de fundo do reator ?

Liberao de MVC Alarme de MVC Evacuao da rea

PHA 1992 Recomendaes

Estudos de LOPA

PHA 1999 Revalidao

Eventos similares

Deteco manual do vazamento

Acionamento do dilvio

Plano de evacuao

Custos em PHA 1992

Custos em estudos de LOPA

Deteco automtica do vazamento

Custos em simulados/trein amentos

Figura 4.4 Diagrama de influncias do acidente da Formosa-IL

O Diagrama evidencia com bastante clareza os possveis investimentos, porm no deixa claro qual deles a melhor opo. Estudos quantitativos detalhados poderiam evidenciar quais seriam os investimentos prioritrios, porm so necessrios muito tempo, esforos e conhecimentos para seu desenvolvimento.

75

O problema de priorizao dos melhores investimentos ser tratado de duas formas. A primeira com um ponto de vista de gesto utilizando-se de informaes mais genricas da organizao que foram obtidas atravs da anlise dos fatores influenciadores de desempenho e da aplicao da HFAM. Ser utilizada a ferramenta de tomada de deciso do Mtodo de Pontuao Ponderada e a escolha desta ferramenta de tomada de deciso se deve as seguintes caractersticas abaixo da atividade de priorizao das recomendaes. Recurso financeiro e tempo limitado Investimentos so independentes um do outro H fatores que podem no terem sido considerados, mas a lgica do diagrama consistente Avaliao pode ser desenvolvida por um grupo, porm a aprovao est direcionada a uma nica pessoa (o gerente) A quantificao de todo o cenrio no to precisa Alguns registros significantes e consistentes precisam ser evidenciados para justificar a escolha A outra forma ser atravs de um foco operacional baseado na estimativa da probabilidade do erro humano atravs da tcnica de reduo e avaliao de erros humanos HEART e da quantificao do cenrio acidental pelo desenvolvimento da rvore de falhas. Abaixo esto demonstradas as recomendaes que foram sugeridas a Formosa-IL onde nenhuma foi levada em considerao. Foram elaboradas as avaliaes a seguir para priorizar as recomendaes. Recomendao A - Aumentar a disponibilidade do supervisor Recomendao B - Implementao de Estudos de LOPA Recomendao C - Implementao Recomendaes da PHA1992 Recomendao D - Procedimentos para utilizao de by-pass em operao normal

4.4 FOCO DE GESTO

A gesto no possui informaes detalhadas da operao, consequentemente a tomada de deciso deve estar baseada em tcnicas generalistas que no necessitem de informaes especficas da atividade em questo. A viso generalista

76

permite uma avaliao do sistema como um todo, garantindo que as interaes dos diversos setores ocorram da melhor forma possvel. A partir do diagrama de influncia do acidente de Formosa-IL, utilizando-se a tcnica de tomada de decises de Mtodo de Pontuao Ponderada, avalia-se cada recomendao atravs de uma pontuao que ser utilizada na avaliao de cada recomendao. Esta tcnica pode ser executada por diversos gestores de diferentes setores atravs de uma avaliao individual das diversas partes interessadas, obtendo-se uma mdia final. A Tabela 4.10 apresenta um sugesto do peso efetivo e inefetivo de cada uma das recomendaes que foram consideradas para a quantificao do IDA. A Tabela 4.11 demonstra os resultados da quantificao do IDA.
Tabela 4.10 Peso das evidncias Peso da evidncia Qual o peso da evidncia de procedimentos para utilizao de by-pass em operao normal para garantir by-pass do intertravamento com segurana Qual o peso da evidncia da implementao das Recomendaes do PHA 1992 para garantir by-pass do intertravamento com segurana Qual o peso da evidncia da implementao de Estudos de LOPA para garantir by-pass do intertravamento com segurana Qual o peso da evidncia de aumentar a disponibilidade do supervisor para garantir by-pass do intertravamento com segurana Efetivo 0,3 0,6 0,8 0,2 Inefetivo 0,7 0,4 0,2 0,8

Tabela 4.11 - Peso da evidncia de efetuar o by-pass da vlvula de fundo do reator com
Se E E E Sucess o Peso Falha Pondera do Total Sucesso Ponderad o Falha Ponderada

D C B A O procedimentos Implementa Implement Aumentar a para utilizao de byo PHA 1992 ao de disponibilida pass em operao Recomenda Estudos de de do normal for es for LOPA supervisor for for Efetivo Efetivo Efetivo Efetivo Efetivo Efetivo Efetivo Inefetivo Inefetivo Efetivo Efetivo Efetivo Inefetivo Inefetivo Efetivo Efetivo Inefetivo Efetivo Efetivo Inefetivo Efetivo Efetivo Inefetivo Efetivo Inefetivo Inefetivo Efetivo Efetivo Efetivo Inefetivo Efetivo Efetivo Efetivo Inefetivo Inefetivo Inefetivo Efetivo Inefetivo Efetivo Inefetivo Efetivo Efetivo Inefetivo Inefetivo

0,95 0,90 0,90 0,90 0,85 0,80 0,70 0,60 0,60 0,50 0,50

0,05 0,10 0,10 0,10 0,15 0,20 0,30 0,40 0,40 0,50 0,50

0,0288 0,1152 0,0672 0,0448 0,269 0,0192 0,0768 0,0168 0,0072 0,0288 0,1792

2,7% 10,4% 6,0% 4,0% 22,8% 1,5% 5,4% 1,0% 0,4% 1,4% 9,0%

0,1% 1,2% 0,7% 0,4% 4,0% 0,4% 2,3% 0,7% 0,3% 1,4% 9,0%

77

Se

E Sucess o Peso Falha Pondera do Total Sucesso Ponderad o Falha Ponderada

D C B A O procedimentos Implementa Implement Aumentar a para utilizao de byo PHA 1992 ao de disponibilida pass em operao Recomenda Estudos de de do normal for es for LOPA supervisor for for Inefetivo Efetivo Inefetivo Inefetivo Efetivo Inefetivo Efetivo Inefetivo Inefetivo Inefetivo Inefetivo Inefetivo Inefetivo Inefetivo Inefetivo Inefetivo Efetivo Efetivo Inefetivo Inefetivo

0,40 0,40 0,30 0,10 0,01

0,60 0,60 0,70 0,90 0,99

0,0672 0,0048 0,0112 0,0192 0,0448

2,7% 0,2% 0,3% 0,2% 0,0% 68,2%

4,0% 0,3% 0,8% 1,7% 4,4% 31,8%

4.5 FOCO OPERACIONAL

A avaliao das recomendaes com foco operacional ser realizada atravs da quantificao do evento acidental atravs da rvore de falhas e estimativas das probabilidades dos erros humanos baseadas no mtodo HEART. Para cada recomendao proposta, ser re-avaliada o EPC, considerando a frao que de reduo no seu valor e quantificando-se novamente o evento topo da rvore de falhas. Dessa forma possvel observar quanto cada recomendao pode contribuir para reduo da probabilidade de ocorrncia do evento topo. O clculo da probabilidade dos eventos bsicos atravs da metodologia HEART est apresentado no Apndice C.

78

5 DISCUSSES
5.1 ANLISE DOS PIFS
Foram atribudas algumas notas 5 para determinados PIFs que foram avaliados relevantes para a atividade, mas h pouca informao sobre determinado fator. Observa-se que as avaliaes foram realizadas posteriormente a investigao ao acidente, onde as falhas j haviam sido analisadas. Provavelmente se esta avaliao ocorresse antes do acidente, os julgamentos seriam diferentes e as a notas mais altas. Esses resultados demonstram que havia deficincias principalmente nos grupos "Caractersticas da Tarefa" e "Fatores Organizacionais e Sociais". Dentro do grupo "Caractersticas da Tarefa", categorias especficas como "Clareza das instrues", "Qualidade das verificaes e avisos", "Grau de suporte do diagnstico de falha" obtiveram as piores avaliaes. Estas deficincias poderiam estar ocorrendo devido a ausncia de um supervisor. A sua indisponibilidade, permitiu que houvesse uma distncia hierrquica entre o nvel operacional e gerencial muito grande, e possivelmente o nvel gestor no se interessou em conhecer melhor o nvel operacional. Pode-se dizer que a categoria Treinamento na utilizao de procedimentos de emergncia foi a mais crtica, pois os efeitos do acidente seriam diferentes se os operadores estivessem adequadamente treinados para evacuao da rea. No grupo Fatores Organizacionais e Sociais, as categorias especficas Comunicaes e Aprendizado organizacional foram as piores categorias, apesar de outras como Autoridade e liderana, Comprometimento da gerncia, Excesso de confiana nos mtodos tcnicos de segurana tambm serem considerados crticos. Essas avaliaes podem ser justificadas, principalmente, porque j havia evidncias da criticidade do procedimento de by-pass do intertravamento de segurana e nenhuma modificao realmente efetiva foi realizada, seno modificar o procedimento operacional. Alm disso, no havia uma rotina de comunicao como rdios e interfones, nem disponibilidade adequada do supervisor, e essas evidncias no foram levadas em considerao pela gerncia.

79

5.2 HFAM
A avaliao do fator genrico de nvel operacional Ferramentas e Procedimentos de trabalho foi considerada inadequada, possivelmente devido a existncia de recomendaes originadas em estudos de risco anteriores, relacionadas a instalao de acessrios mecnicos que impediriam o operador de realizar a utilizao do ar de instrumento de segurana sem solicitar a autorizao do supervisor. A Formosa-IL modificou o procedimento operacional e avaliou que o sistema de intertravamento de segurana atendia o critrio de segurana. Dessa forma, o procedimento operacional tinha um contedo e confiabilidade relativamente baixa, apesar da avaliao interna ter considerado confivel. Analisando-se o nvel detalhado de fatores especficos do trabalho de nvel operacional, observa-se que o item Procedimentos so tecnicamente adequados e Erros potenciais, recuperao e conseqncias dos erros foram identificados foram considerados inadequados, pois o procedimento como citado anteriormente no era confivel, elaborado baseado no julgamento da gesto, e no existia estudos especficos, como LOPA, para se avaliar a efetividade das salvaguardas e as conseqncias dos cenrios acidentais. Essas inadequaes, da perspectiva scio-tcnica da metodologia da HFAM, so consideradas como falhas da gesto, e por isso a metodologia requer que o fator de nvel gerencial seja avaliado. O procedimento no confivel demonstra deficincia na poltica de gerao de procedimentos, provavelmente por no utilizarse de metodologias adequadas para o desenvolvimento do mesmo, como por exemplo, a HTA o que compromete toda a estrutura de treinamentos e provavelmente a participao efetiva dos operadores.

5.3 PHEA
Observando-se as possveis conseqncias, verifica-se que o sistema de intertravamento o recurso que teoricamente impediria uma drenagem indevida nos diversos erros que poderiam ser realizados pelos operadores, e na atuao do by-pass do mesmo, o evento acidental de grande liberao de MVC iria ocorrer. Fica evidente que o intertravamento do sistema de presso a ltima barreira de proteo preventiva do sistema. Porm, sua real eficincia deveria ter sido avaliada atravs de estudos de LOPA.

80

A relao dos possveis tipos de erros com os PIFs, demonstra que os fatores Distrao, e Turnos e descansos contribuem diretamente para os erros relacionados ao estado fsico operador. J os fatores, Identificao dos displays e controles, Identificao Deficiente e Iluminao deficiente esto relacionados aos fatores visuais que influenciam as tomadas de decises do operador e os fatores Autoridade e liderana deficiente, Comunicao deficiente se referem a poltica organizacional e o fator Prticas com situaes no familiares com a experincia do operador.

5.4 FOCO DE GESTO

O Mtodo de Pontuao Ponderada (obtida atravs da quantificao da IDA) determina as possveis combinaes entre as recomendaes e apresenta um sucesso ponderado de aceitao. Os resultados esto apresentados na Tabela 4.11. Nesta tabela, est apresentado todas as combinaes possveis entre as recomendaes e seu sucesso ponderado para cada uma das combinaes. Devese observar aquelas combinaes que possuem o maior sucesso ponderado e verificar o custo da sua implantao. A implantao das recomendaes B e C correspondem a combinao que mais atra os gestores e a probabilidade de sucesso ponderado corresponde a 22,8%. A implementao apenas da

recomendao B bastante efetiva, porm o sucesso ponderado da atividade de apenas 9% sendo a terceira favorita. A segunda combinao preferida corresponde as combinaes B, C e D com 10,4% de probabilidade de sucesso na atividade. Observa-se que a implantao de todas as recomendaes, obtendo-se a maior probabilidade de sucesso est na oitava posio. A recomendao A foi avaliada de baixa efetividade (sucesso ponderado de apenas 0,3%) e consequentemente a sua implementao deixa de contribuir significativamente nas diversas combinaes existente. Importante salientar que esta anlise est baseada no julgamento subjetivo de possveis integrantes do grupo gestor. Os valores utilizados neste estudo foram estimados.

81

5.5 FOCO OPERACIONAL

A Tabela 5.1 apresenta a probabilidade da ocorrncia do acidente e a sua respectiva reduo relativa considerando-se a implementao de cada

recomendao atravs do clculoa da AAF auxiliada da HEART. Do ponto do vista operacional, a recomendao B tem a maior reduo de 92 % na probabilidade seguido da recomendao A com 50 % de reduo. A terceira maior reduo com 34 % est relacionada a recomendao D.
Tabela 5.1 Impacto na implantao das recomendaes Id Recomendao E2 E3 E4 AAF 4,82E-04 3,88E-05 2,43E-04 3,18E-04 3,59E-04 1,65E-05 Reduo 92% 50% 34% 26% 97%

0 Sem Recomendas B Implementao de Estudos de LOPA Aumentar a disponibilidade do A supervisor Procedimentos para utilizao de byD pass em operao normal Implementao Recomendaes da C PHA1992 A+B+C+D

0,076 Reduo 0,47 Reduo 0,27 Reduo 0,076 0% 0,34 29% 0,03 89% 0,04 0,076 0,076 0,04 47% 0% 0% 47% 0,45 0,31 0,35 0,27 6% 35% 26% 42% 0,27 0,27 0,27 0,03 0% 0% 0% 89%

82

5.6 COMPARAO ENTRE O FOCO DE GESTO E O FOCO OPERACIONAL

Os resultados dos dois focos so semelhantes demonstrando que a recomendao B correspondente a implementao de estudos de LOPA, se implementada tem uma reduo maior na preveno do acidente. Entretanto a recomendao A relacionada em aumentar a disponibilidade do supervisor no est bem qualificada no foco de gesto, e a segunda melhor opo segundo o foco operacional. Possivelmente esta diferena ocorre devido ao desejo do grupo de gesto em no considerar esta recomendao. A recomendao C associada a implementao das recomendaes da PHA1992 teve maior destaque do ponto de vista de gesto do que do operacional. J a recomendao D de implementao de procedimentos para utilizao de by-pass em operao normal tem a mesma classificao em ambos os focos.

5.7 COMENTRIOS FINAIS

A primeira etapa de anlises gerais e identificao e descrio das interaes humanas crticas com o sistema consistiu na compreenso do acidente (APNDICE B). A tarefa crtica considerada foi a atividade de Limpeza do Reator. Posteriormente foi desenvolvido a HTA da tarefa de limpeza dos reatores provendo informaes detalhadas sobre os diversos passos para a realizao da atividade. O primeiro estgio da atividade foi dividido em quatro planos principais e estes foram segmentados em diversas atividades sendo que a atividade 3.2 Localizar o reator que est em processo de limpeza foi considerado o evento iniciador do acidente. O estudo qualitativo foi desenvolvido utilizando-se a anlise dos PIFs e HFAM obtendo-se as categorias e grupos em condies deficientes do sistema organizacional. A anlise das conseqncias foi desenvolvida atravs da PHEA e algumas recomendaes puderam ser sugeridas. A Tabela 5.2 apresenta os resultados principais da etapa qualitativa.

83

Tabela 5.2 Resumo dos Principais Resultados (SPEAR) ANLISE DOS FATORES METODOLOGIA DE ANLISE ANLISE PREDITIVA DE INFLUENCIADORES DE DE FATORES HUMANOS ERROS HUMANOS (PHEA) DESEMPENHO (HFAM) Deficincias em: Inadequaes em: Caractersticas da Tarefa Ferramentas e Procedimentos - Clareza das instrues de trabalho Sistema de Intertravamento a - Qualidade das verificaes e - Procedimentos so ltima barreira de proteo avisos tecnicamente adequados contra aberturas indevidas de - Grau de suporte do diagnstico - Erros potenciais, recuperao vlvulas no fundo do reator de falha e conseqncias dos erros - Treinamento na utilizao de foram identificados procedimentos de emergncia PIFs relacionados: - Distrao - Prticas com situaes no Deficincias em: Inadequaes em: familiares Fatores Organizacionais e Sociais - Existncia do sistema - Comunicaes - Utilizado mtodos de - Identificao deficiente - Aprendizado organizacional desenvolvimento de - Comunicao deficiente - Autoridade e liderana procedimentos - Iluminao deficiente - Comprometimento da gerncia - desenvolvimento de - Identificao dos displays e controles - Excesso de confiana nos treinamentos - Turno e descansos mtodos tcnicos de segurana - Participao dos operadores - Autoridade e liderana deficiente

A etapa quantitativa foi desenvolvida com a representao do cenrio acidental atravs do diagrama de influncias e posteriormente foi elaborada a quantificao considerando-se dois pontos de vista. O foco de gesto, avaliando-se as recomendaes atravs do Mtodo de Pontuao Ponderada e o foco operacional atravs da aplicao de AAF e HEART. Os resultados das anlises quantitativas foram semelhantes, com exceo da recomendao A relacionada em aumentar a disponibilidade do supervisor porm o mtodo de tomada de deciso pode conter uma avaliao subjetiva com tendncias aos interesses dos gestores e pouca objetividade. Consequentemente fica claro a necessidade de uma avaliao que considere as preocupaes operacionaisl

84

6 CONCLUSES
As metodologias analisadas revelam que h uma grande quantidade de estudos relacionados ao comportamento humano, e cada uma delas possui caractersticas especficas. Basicamente elas esto diferenciadas em focos externos (observveis) e internos (cognitivos). A metodologia a ser escolhida para anlise depende da disponibilidade da informao e nem sempre o desenvolvimento da anlise cognitiva pode ser vivel. A avaliao da probabilidade do erro humano foi calculada baseada nos dois focos observveis e cognitivos seguindo a estrutura da metodologia SPEAR. Os fatores observveis foram obtidos a partir da HTA e os fatores cognitivos foram analisados com a aplicao da PHEA. A etapa mais importante que garantiu que ambos os fatores foram considerados no clculo da probabilidade do erro humano a etapa do desenvolvimento da AAF que deve estar baseada nas causas e conseqncias evidenciadas na PHEA. O desenvolvimento do IDA tambm deve ser elaborado baseado nos resultados da anlise das tarefas e da anlise dos erros humanos, pois permiti uma visualizao das variveis e incertezas do processo de deciso que deve ser desenvolvido pelos gestores. Os resultados do foco gestor podem ser menos transparentes que o foco operacional, pois possuem mais subjetividade e podem estar relacionados com os interesses dos tomadores de deciso. J os resultados do foco operacional levam em consideraes fatores mais objetivos com indicadores mais precisos, pois sua avaliao se baseia em modelos mentais do processo da planta, o que facilita o seu julgamento. Esses diferentes resultados das avaliaes demonstram a necessidade de se levar em conta o ambiente operacional na tomada de decises e essencial para o clculo das probabilidades dos erros humanos. Este trabalho deixa evidente que os estudos cognitivos no so simples e nem sempre so viveis. Devem-se ponderar os esforos para o clculo da probabilidade dos erros humanos, pois os resultados podem no compensar os esforos necessrios para sua obteno. Embora o objetivo tenha sido avaliar a probabilidade do erro humano, os resultados desse estudo cognitivo fornecem informaes e possveis recomendaes que contribuem para a reduo do risco da planta.

85

7 REFERNCIAS
AICHE/CCPS. Tools for Making Acute Risk Decisions with Chemical Process Safety Applications. New York, AIChE, 1994.

AICHE/CCPS. Guidelines for Preventing Human Error in Process Safety. New York, AIChE, 1994

ANNET, J. DUNCAN, K. D.; STAMMERS, R. B.; GRAY, M. J. Task Analysis. London, Her Majestys Stationery Office, 1971.

CETESB. Manual de orientao para a elaborao de estudos de anlise de riscos. So Paulo, 2003.

CLEMEN, R. T.; REILLY, T. Making Hard Decisions with Decisions Tools. California, Duxbury, 2. ed., 2001.

DUNCAN, K. D. Analytic Techniques in Training Design. In E. Edwards; F. P. Lees (Eds), The Human Operator in Process Control, Washington, DC., Taylor & Francis, 1974.

DROGUETT, E. L.; MENEZES, R. C. S. Anlise de confiabilidade humana vias redes Bayesianas: uma aplicao manuteno de linhas de transmisso, Revista Produo, v.17, 2007. p. 162-185.

EMBREY, D. E. Incorporationg Management and Organizational Factors into Probabilistic Safety Assessment. Reliability Engineering and System Safety 38, 1992. p. 199-208.

EMBREY, D. E.; HUMPHREYS, P.; ROSA, E. A.; KIRWAN, B.; REA, K. SLIMMAUD. An approach to assessing human error probabilities using structured expert judgment (NUREG/CR-3518), Washington, D.C:USNRC, 1984.

86

ESTADOS UNIDOS. U.S. Chemical Safety and Hazard Investigation Board. Investigation Report: Vinyl Chloride Monomer Explosion. Report No. 2004-10-IIL, 2007.

FEEMA: Instruo Tcnica para elaborao de Estudo de Anlise de Risco para Instalaes Convencionais.

HOLLNAGEL, E. Cognitive Reliability and Error Analysis Method. England, Elsevier Science, 1998.

KIM, I. S. Human reliability analysis in the man-machine interface design review. Annals of Nuclear Energy.v. 28, p. 1069-1081, 2001.

KONTOGIANNIS, T.; LUCAS, D. Operator Performance Under High Stress: An Evaluation of Cognitive Modes, Case Studies and Countermeasures. Report No. R90/03 prepared for the Nuclear Power Engineering Test Center, Tokyo, Human Reliability Associates, Dalton, Wigan, Lancashire, UK, 1990.

IMA: Norma Tcnica NT 01/2009 Gerenciamento de Risco no Estado da Bahia. 2009.

KIRWAN, B.; AINSWORTH, L. A Guide to Task Analysis. Taylor & Francis, 1992.

LEES, FRANK P. Loss prevention in the process industries, 2nd Ed., Vol. 1. Butterworths, London, 1996.

MCSWEEN, T. E. Improve Your Safety Program with a Behavioural Approach. Hydrocarbon Processing, August, 1993.

MURGATROYD, R. A.; TAIT, J. F. A Case Study of the Application of the SHERPA Technique to the Dinorwig Spiral Casing Ultrasonic Testing System. Human Reliability Associates, 1 School House Higher Lane, Dalton, Wigan, Lancs.,UK, 1987.

87

PENNYCOOK, W. A.; EMBREY, D. E. An Operating Approach to Error Analysis. In Proceedings of the First Biennial Canadian Conference on Process Safety and Loss Management, Edmonton, 24th Apri, Waterloo, Ontario, Canada, Institute for Risk Research, University of Waterloo, 1993.

PEW, R. W.; MILLER, D. C.; FEEHER, C. E. Evaluation of Proposed Control Room Improvements Through Analysis of Critical Operator Decisions. EPRI/NP-192, Cambridge MA, Bolt Beranek & Newman, Inc., 1981.

PHILLIPS, L., D.; HUMPHREYS, P. C.; EMBREY, D. E. A socio-technical approach to assessing human reliability (83-4). OAK Ridge, TN: OAK Ridge National Laboratory, 1983.

POTASH, L., M.; DIETZ, P. E.; LEWIS, C. M.; DOUGHERTY, E. M. Jr. Experience in integrating the operator contributions in the PRA of actual operating plants. (AND/ENS Topical Meeting on Probabilistic Risk Assessment, Port Chester,NY) LaGrange, IL; American Nuclear Society, 1981.

RASMUSSEN, J. Information Processing and Human-Machine Interaction. Amsterdam, North Holland, 1986.

RASMUSSEN, J. Models of Mental Strategies in Process Control. In J. Rasmussen, W. Rouse (Eds.), Human Detection and Diagnosis of System Failures, New York, Plenum Press, 1981.

REASON, J. T. Human Error. Cambridge, Cambridge University Press, 1990.

SALVENDY, G. Handbook of Human Factors. Wiley, 1987.

SHAW, L. S.; SICHEL, H. S. Accident Proneness, Oxford, Pergamon, 1971.

SHEPHERD, A. Hierarchical Task Analysis and Training Decisions. Programmed Learning and Educational Technology 22, 1985. p. 162-176.

88

SWAIN, A. D. Accident Sequence Evaluation Program Human Reliability Analysis Procedure. NUREG/CR-4772, Washington, DC, US Nuclear Regulatory Commission, 1987.

SWAIN, A. D.; GUTTMANN, H. E. Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications. NUREG/CR-1278, Washington, DC, US Nuclear Regulatory Commission, 1983.

WARM, J. S. Sustained Attention in Human Performance. New York, Wiley, 1984.

WICKENS, C. D. Engineering Psychology and Human Performance. Columbus, Ohio, Charles Merril, 1984.

WILLIAMS. J. C. HEART A proposed method for assessing and reducing human error. Proc 9th Advances in Reliability Technology Symposium, University of Bradford, 1986.

WILSON, J. R., & CORLETT, E. N. Evaluation of Human Work. A Practical Ergonomics Methodology, Taylor and Francis, Washington, 1990.

WOODS, D. D.; ROTH, E. M.; POPLE, H. JR. Modeling human intention formation for human reliability assessment. In G. E. APOSTOLAKI, P. K.; MANCINI, G. (Eds). Accident sequence modlling Human actions, system response, intelligent decision support. London: Elsevier Applied Science, 1988.

89

8 GLOSSRIO
A Technique for Human Error Analysis: Tcnica para Anlise de Eventos Causados pelo Homem Checklist: Lista de verificao Critical Action and Decision Evaluation Technique: Tcnica de Avaliao da Ao/Deciso Crtica Cognitive Environment Simulation: Simulador de Ambiente Cognitivo Confusion Matrices: Matrizes de Confuso Cognitive Event Tree System: Sistema de rvore de Eventos Cognitivos Cognitive Reliability and Error Analysis Method: Mtodo de Anlise de Erros e Confiabilidade Cognitiva Error Producing Conditions: Condio para Erro de Produo Generic Error-Modelling System: Sistema do Modelo do Erro Genrico Human Error Analysis Technique: Tecnicas para analises de erros humanos Human Error Assessment and Reduction Technique: Tcnica de Reduo e Avaliao do Erro Humano Human Error Probability: Probabilidade do Erro Humano Human Factor Analysis Methodology: Metodologia de Anlise de Fatores Humanos Human Interaction Timeline: Linha do Tempo da Interao Humana Hierarchical Task Analysis: Anlise Hierrquica das Tarefas Influence Diagram Analysis: Diagrama de Influncias Influence Modelling and Assessment Systems: Sistema de Avaliao e Modelo de Influncia Independent Protection Layer: Camada de Proteo Independente Layer of Protection Analysis: Analise da Camada de Proteo Operator Action Event Trees: rvore de Eventos da Ao do Operador Process Hazard Analysis: Anlise de Perigos de Processo Predictive Human Error Analysis: Anlise Preditiva de Erros Humanos Performace Influencing Factors: Fatores Influenciadores de Desempenho Systems for Predicting Human Error and Recovery: Sistema para Previso de Anlise e Reduo de Erros Skill-, Rule- and Knowledge-based Behaviour: Habilidade, Regra e Conhecimento

90

Socio-Technical Assessment of Human Reliability: Avaliao scio-tcnica da confiabilidade humana Technique for Human Reliability Analysis: Tcnica para Previso de Taxas de Erros Humanos

91

APNDICE A - INTERFACE HOMEM-MQUINA (ADAPTADO DE WICKENS, 1984)

A interface homem-mquina, geralmente abreviada para interface, um importante foco de interesse dentre os fatores humanos na reduo do erro humano. A interface a fronteira em que a informao do processo transmitida por sensores e convertidas para a interpretao dos controladores humanos do processo. Permitem que aes de controle sejam tomadas para mudana de estado do sistema. O primeiro estgio, senso e percepo, correspondem a forma em que a informao capturada pelo canal sensitivo, por exemplo, viso, posteriormente ser armazenada numa capacidade limitada denominada memria ativa. A forma em que a informao adquirida ser influenciada pelo conhecimento e experincia do mundo, que parte da memria de longo prazo. Por exemplo, um operador analisando um painel de controle para indicaes de problemas tender a focar em fontes de informaes (ex: passado. A interpretao da informao na memria ativa est relacionada com o uso de conhecimento e experincias da memria de longo prazo. Por exemplo: baseado na experincia, o operador de painel pode interpretar um rpido aumento da temperatura como um indicativo de situao perigosa. O processo para diagnosticar e ento decidir e selecionar a resposta apropriada ocorre aps a interpretao da informao. Finalmente inicia-se uma resposta apropriada (por exemplo: fechar a vlvula), que ir alterar o estado do sistema. Esta mudana ir ser demonstrada pela interface completando o loop do processo. O modelo de Wickens se baseia em processamento de informaes ou recursos disponveis finitos. Estes recursos podem ser distribudos de diferentes maneiras mas no podem aumentar. A interpretao de informaes complexas ou pouco comuns demonstradas na interface deixar poucos recursos disponveis para anlise da seleo da resposta e demandas de tomadas de deciso. Nas indstrias qumicas de processo, a interface mais estudada a sala de controle em plantas automatizadas onde as informaes do processo so mostradas na unidade de display visual (VDU) e as aes de controle requeridas so alarmes) que eram consideradas importantes no

92

executadas pelos operadores. Nos casos de plantas altamente automatizadas, os operadores respondem a contingncias inesperadas que no foram antecipadas pelo projetista do controle automtico e sistema de proteo. Mesmo em plantas consideradas de automatizao elevada, a interveno humana atravs da sala de controle comum. Embora as grandes maiorias das pesquisas dos fatores humanos para o controle de processo esto direcionadas para a sala de controle, muito importante que o conceito de interface homem-mquina seja considerado para todas as situaes em que o operador tem que tomar uma ao relacionada ao estado do processo baseado numa informao adquirida diretamente ou indiretamente. Negligncias de consideraes de operabilidade pelos projetistas frequentemente levam os erros no design da planta como, por exemplo, posicionamento de indicadores em pontos inacessveis da planta. Resumidamente a interface possui as seguintes funes: apresentar

informaes do processo consistentes com as necessidades e expectativas dos operadores, prover feedback imediato para as aes de controle, dar suporte para os diagnsticos, tomadas de deciso e planejamento, facilitar a seleo das aes de controle corretas e minimizar a ativao acidental de controles.

93

Estado da Planta - Temperatura - Presso - Vazo - etc

SENSORES

Displays - Alarmes - Dials - Gravadores - VDU (Visual Display Unit) - Visores de vidro - etc Controles - Botes - Knobs - Mouses - Teclados - Chaves de funes - etc

Senso e Percepo - Viso - Cheiro - Audio - etc

Diagnstico, Tomada de Deciso e Seleo da Resposta

Aes de Controle

ATUADORES

Memria Ativa

Shared Attentional Resources

Memria de Longo Prazo

PROCESSO

INTERFACE
Figura A 1 - Interface Homem-Mquina Fonte: (Wickens, 1984) adaptado

OPERADOR HUMANO

94

APNDICE B SUMRIO DO ACIDENTE DA FORMOSA PLASTICS CORP. PLANTA DE PVC ILLIOPOLIS, ILLINOIS
Em 23 de abril de 2004, uma exploso e incndio na Formosa Plastics Corporation, Illiopolis, Illinois, (Formosa-IL), planta de produo de policloreto de vinila (PVC) ocasionou cinco fatalidades e leses srias em trs trabalhadores. A exploso e o incndio destruram a maior parte das instalaes dos reatores e armazns vizinhos e houve a ignio de resinas de PVC em um dos armazns. A fumaa atingiu a comunidade local e as autoridades locais ordenaram a evacuao da comunidade por dois dias. A planta foi desativada e no h previso de reativao. Monocloreto de vinila (MVC) altamente inflamvel e carcinognico e utilizado como matria-prima para produo de PVC. A planta de Illiopolis foi adquirida da Borden Chemical pela Formosa Plastics Corporation, USA (FPC USA) e foi operada por aproximadamente dois anos antes do incidente. A US Chemical Safety and Hazard Investigation Board (CSB) determinou que este incidente ocorreu quando um operador drenou um reator de PVC cheio, aquecido, em operao. A CSB acredita que o operador realizando a limpeza de um reator, abriu a vlvula de fundo de um reator que estava prximo e em operao, liberando o contedo altamente inflamvel. A abertura da vlvula de fundo de um reator em operao requisita o by-pass do intertravamento de presso. As salvaguardas para prevenir o by-pass do intertravamento no foram suficientes para o alto risco associado a esta atividade. Dois incidentes similares de outras plantas da FPC USA PVC j haviam revelados problemas com as salvaguardas projetadas para prevenir descarga inadvertida do reator em operao. Dois operadores trabalhando com o supervisor de turno tentaram lidar com a liberao, no evacuaram e morreram. O CSB determinou que os procedimentos de emergncia da instalao para evacuao eram ambguos e a equipe no participava de simulados de emergncias relacionados a grandes liberaes de MVC havia mais de 10 anos. A investigao identificou as seguintes causas bsicas (razes) do acidente: 1. A Borden Chemical no tratou adequadamente os potenciais para erros humanos:

95

a. No implementou as recomendaes da anlise de perigos do processo (PHA) de 1992 para mudana no by-bass do intertravamento da vlvula de fundo do reator reduzindo o potencial de uso inadequado. b. No PHA de 1999, a Borden Chemical identificou potenciais conseqncias crticas na abertura da vlvula do fundo de um reator em operao, mas considerou que o intertravamento, controlado por procedimentos e treinamentos era salvaguarda eficiente. 2. A Formosa-IL no tratou adequadamente os potenciais para erros humanos: a. Aps um incidente em 2003 na instalao da FPC USAs Baton Rouge, Formosa-IL no reconheceu que um incidente similar poderia ocorrer na instalao de Illiopolis e no tomou nenhuma ao de preveno. b. A gerncia da planta de Formosa-IL no implementou as aes corretivas identificadas na investigao de um incidente similar em fevereiro de 2004 na Formosa-IL. 3. A Formosa-IL confiou em um procedimento escrito para controlar um perigo com potencial conseqncia catastrfica. A investigao identificou as seguintes causas que contriburam para o acidente: 1. A FPC USA no tinha procedimentos escritos para direcionar salvaguardas com risco. 2. A FPC USA no tinha padres detalhados e bem definidos para o gerenciamento dos intertravamentos das instalaes de PVC. 3. A FPC USA no reconheceu e no direcionou elementos comuns entre os srios incidentes nas suas instalaes de PVC. 4. Os empregados da Formosa-IL na estavam preparados para lidar com grandes liberaes de MVC.

1 DESCRIO DA PLANTA
A planta de PVC da Formosa-IL foi comprada da Borden Chemical, incluindo o commodity do processo da resina de PVC (PVC1) e um processo especial da resina de PVC (chamado Paste). Estes dois processos utilizavam 24 reatores para produzir at 180 mil toneladas de resina de PVC por ano. No prdio dos reatores estavam localizadas as duas reas de produo de PVC PVC1 e Paste.

96

O lay-out da instalao da Formosa-IL pode ser observada na .Figura B 1.

Figura B 1 Lay-out da planta de Formosa-IL (fonte: Investigation Report Vinyl Chloride Monomer Explosion CSB)

2 DESCRIO DO PROCESSO
A rea da PVC1 da planta de Formosa-IL produz PVC atravs da polimerizao de monocloreto de vinila (MVC). MVC lquido, gua, agentes suspensos, e iniciadores da reao reagem num reator sob presso e calor. Aps o trmino da reao, o PVC transferido para outros equipamentos para remover MVC residual, para secagem, peneirao e transporte do PVC para silos. O esquemtico do processo de produo do PVC pode ser observado na Figura B 2.

97

Figura B 2 Esquemtico do processo (fonte: Investigation Report Vinyl Chloride Monomer Explosion CSB)

3 DESCRIO DA OPERAO DA PVC1

Na rea de PVC1, local do acidente, seis operadores trabalhavam por turno. Dois operadores, um operador da poli, e um operador da blaster foram responsveis pelo incidente que ocorreu no reator. O operador da poli trabalhava exclusivamente no nvel superior do prdio onde se localizavam os controladores e indicadores, enquanto que o operador da blaster trabalhava em todos os nveis. A Figura B 3 mostra a vista da elevao do prdio dos reatores.

98

Figura B 3 Vista da elevalo do prdio dos reatores (fonte: Investigation Report Vinyl Chloride Monomer Explosion CSB)

Na fabricao da batelada de PVC, o operador da poli responsvel na preparao do reator, adicionando a matria-prima e o aquecimento do reator. A temperatura automaticamente controlada atravs da injeo de vapor ou gua de resfriamento na jaqueta do reator. O operador da poli monitora a temperatura e presso do reator que a batelada esteja completa, e despressuriza o reator e comunica o operador da blaster para transferir a batelada para a retificadora. A transferncia da batelada para a retificadora realizada pelo operador da blaster no nvel inferior atravs da abertura das vlvulas de fundo do reator. Quando a transferncia completada, o operador da blaster fecha a vlvula de transferncia e o operador da poli purga os gases perigosos do reator e prepara o reator para a limpeza. O operador da blaster limpa o reator seguindo os seguintes passos: 1. Abre a boca de visita do reator; 2. Limpa o resduo de PVC das paredes do reator com lavagem de alta presso e; 3. Abre a vlvula de fundo do reator (se no deixada aberta aps processo de transferncia) e vlvula dreno para esvaziar o reator liberando o efluente para drenos no cho. Uma vez terminada a limpeza do reator pelo operador do blaster, ele fecha a vlvula de fundo do reator e a vlvula do dreno e fornece ao operador da poli um

99

completo checklist indicando que o reator est pronto para a prxima batelada de PVC.

4 PROCEDIMENTO DE EMERGNCIA DO REATOR

A transformao de MVC em PVC gera calor que se no for removido ocasiona uma reao descontrolada podendo levar ao aumento da presso do reator a valores acima do valor de setpoint do sistema de alvio de presso provocando a liberao do contedo do reator atravs da vlvula de alvio de presso (PSV), incluindo MVC para a atmosfera. O procedimento para controle da sobrepresso do reator e reduzir a possibilidade de liberao para atmosfera requere que no caso de presso ou temperatura anormal, o operador da poli deveria: 1. Ajustar manualmente o controle da temperatura do reator para resfriar o reator; 2. Adicionar um inibidor de reao para reduzir ou parar a reao de PVC; 3. Despressurizar manualmente o reator atravs do vent. Se a presso no for controlada, os operadores deveriam seguir um procedimento de transferncia que requereria que eles abrissem as vlvulas de fundo e de transferncia do reator, conectando o reator a um reator vazio. Este procedimento foi desenvolvido pela Borden Chemical que concluiu que conectando dois reatores promoveria a mistura do inibidor da reao, aumentando o resfriamento e provendo maior volume, reduzindo a presso do reator.

5 INTERTRAVAMENTO DA VLVULA DE FUNDO DO REATOR

A abertura da vlvula de fundo do reator durante a operao pode resultar em liberaes catastrficas de MVC dentro do prdio dos reatores e para prevenir este cenrio, a vlvula de fundo do reator possui um intertravamento de segurana que impede sua abertura atravs da chave de controle quando a presso do reator exceder 10 psi. O procedimento de emergncia de transferncia, desenvolvido pela Borden, requere que o operador abra as vlvulas de fundo e de transferncia do reator para conectar o reator em carga a outro reator vazio. Entretanto, durante uma transferncia de emergncia a presso do reator est acima de 10 psi e o intertravamento de segurana no permite a abertura da vlvula de fundo do reator.

100

A fim de atender a transferncia de emergncia e permitir que os operadores pudessem reduzir a presso, a Borden adicionou um by-pass manual do intertravamento. O by-pass incorporou acessrios de engate rpido as mangueiras de ar para que os operadores pudessem desconectar o atuador da vlvula do seu controlador e abrir a vlvula atravs da conexo com a mangueira de ar de emergncia diretamente no atuador. Este procedimento de transferncia de emergncia requeria autorizao do supervisor, mas no necessariamente testemunhas durante o by-pass do intertravamento.

6 SISTEMA DE ALARME DE MVC

A planta possui um sistema de monitoramento de concentraes de MVC no ar e de alerta de nveis perigosos. Uma vez atingida a concentrao mxima ou acima permissvel, o sistema aciona alertas visuais e sonoros em todas as entradas das reas. O procedimento requisita que se o alarme for acionado, o pessoal de rea deveria utilizar os equipamentos de proteo respiratria ou evacuar.

7 SISTEMA DE DILVIO
Formosa-IL e outros fabricantes de PVC geralmente utilizam sistema de dilvio, ou spray de gua para proteo contra incndio e controle de perdas. Estes sistemas utilizam sprinklers e tubulaes conectadas a sistema pressurizados de gua para cobrir uma determinada rea. O sistema de dilvio da Formosa-IL era ativado por: 1. Sensores de alta temperatura (para deteco de incndio); 2. Monitores de vapor de MVC configurados na metade do limite inferior de flamabilidade para o MVC; 3. Perda de presso de ar de instrumento; 4. Estaes de acionamento manual localizadas nas instalaes.

8 DESCRIO DO INCIDENTE
A planta estava em estado normal antes do incidente e aproximadamente s 10: 30 pm o reator D-306 estava em processo de limpeza. Alguns minutos aps s 10: 30pm, alguns trabalhadores dizem ter ouvido um barulho de um jato e odor de MVC. O supervisor de turno e operadores da unidade Paste (parte sul do prdio dos

101

reatores) ouviram que o alarme do sistema de dilvio da seo da Paste estava ativado. O supervisor de turno da sala de controle da Paste deixou a sala de controle para checar as leituras do sistema de deteco de MVC. Ele notou que duas reas estavam com nveis acima do limite do instrumento, o que sugeria uma grande liberao. No seu caminho para investigar a liberao, ele atravessou uma porta na rea da PVC1 prximo do reator D-310 e viu material sendo liberado do fundo do D310 e formando uma mistura espumosa no cho de aproximadamente 45 cm de altura. Ele imediatamente foi para o nvel superior. De acordo com o supervisor de turno, operadores do nvel superior da PVC1 relataram que a presso no reator D-310 estava baixando. Ele informou a dois operadores que viu material sendo liberado do fundo do D-310 e eles imediatamente comearam a checar as vlvulas e controles do D-310. O supervisor e um operador tentaram ir ao nvel abaixo atravs da escada interior, mas encontram fortes concentraes de MVC no ar e foram obrigados a voltar. O supervisor de turno instruiu os operadores a abrirem as vlvulas de vent do reator D-310 para aliviar a presso e diminuir a liberao. Neste momento ele observou que a presso do reator j estava abaixo de 10 psi, indicando uma grande liberao. Na tentativa de ir de novo para o nvel inferior, o supervisor utilizou a escada exterior quando uma srie de exploses ocorreu. As exploses derrubaram dois tanques de recuperao de MVC de 3 mil gales, levantou alguns secadores de algumas toneladas de seu suporte e destruiu o laboratrio, escritrios de segurana e engenharia. O incndio se espalhou para o armazm de PVC a oeste do prdio dos reatores, queimou por horas e emitiu uma pluma de fumaa sobre a comunidade (vide Figura B 4). Quatro operadores foram mortos pela exploso: dois que

trabalhavam prximos ao topo de reator e dois no nvel inferior. Um quinto operador faleceu no hospital duas semanas depois. O supervisor de turno e dois trabalhadores ficaram hospitalizados e quatro trabalhadores foram tratados no local.

102

Figura B 4 Pluma de fumaa sobre a planta da Formosa-IL um dia aps a exploso (fonte: Investigation Report Vinyl Chloride Monomer Explosion CSB)

Os danos aps o trmino da emergncia produziram impactos na comunidade, onde uma fumaa atingiu a reas da comunidade sendo necessrio a evacuao de aproximadamente 150 residentes que moravam a 1,6 km da planta e as rodovias nas proximidades da planta foram isoladas. A exploso destruiu boa parte da planta, derrubando o teto do prdio dos reatores e rompeu os isolamentos das tubulaes. Houve danos tambm a escritrios e a instalao est fechada. No houve danos ambientais severos.

9 CENRIO MAIS PROVVEL

O reator D-310 foi encontrado vazio com as vlvulas de fundo e de dreno abertas e seus respectivos swithces no painel de controle estavam na posio abertas. A condio do D-306 indicou que estava em processo de limpeza: boca de visita aberta, o lavador de presso estava inserido no reator, vlvula de fundo aberta e vlvulas de dreno e de transferncia estavam fechadas. O prximo passo que o operador de blaster deveria fazer era abrir a vlvula do dreno e esvaziar o reator. Essas condies dos reatores D-306 e D-310 levaram a CSB a concluir que o operador de blaster estava limpando o D-306 e foi indevidamente ao D-310 e tentou abrir a vlvula de fundo para esvaziar o reator. A vlvula de fundo do D-310 no abriria, pois o reator estava com o intertravamento acionado. Como o operador acreditou que estava no reator correto (D-306) ele acreditou que a vlvula de fundo

103

do D-310 estava com mal funcionamento. O CSB concluiu que por causa do atuador da vlvula de fundo foi encontrada desconectada e a mangueira do ar de emergncia utilizada para o by-pass do intertravamento foi encontrada conectada, o operador do blaster, que acreditou que o reator continha apenas gua de limpeza, utilizou a mangueira de ar de emergncia para o by-pass do intertravamento de presso da vlvula de fundo e abriu a vlvula de fundo do reator enquanto o reator estava operando, liberando seu contedo. O supervisor de turno afirmou que o operador do blaster no requisitou permisso para o by-pass do intertravamento (exigido por procedimento) ou informou algum que ele tinha feito o by-pass. Consequentemente, os operadores tentando controlar a liberao acreditavam que havia uma falha ou mal funcionamento e tentaram aliviar a presso dentro do reator para reduzir a liberao. A nuvem de vapor inflamvel de MVC ignitou e explodiu enquanto os operadores estavam trabalhando no controle do reator.

10 ANLISE DO INCIDENTE
Neste acidente, muitos fatores combinados ocorreram para fazer com que o erro humano fosse a mais provvel causa. Deve-se avaliar os fatores que isoladamente no criam condies de alto-risco, mas combinados, tornam o erro humano mais provvel. Layout dos Reatores: grupos de quatro com um painel de controle a cada dois reatores. Ambos os reatores D-306 e D-310 estavam na mesma posio relativa no grupo de quatro reatores. O controle das vlvulas de fundo e de dreno so realizados no painel de controle do nvel inferior. Os painis de controle possuem indicao do nmero do reator correspondente e possuem indicadores luminosos mostrando a posio das vlvulas de fundo e de dreno. A Figura B 5 mostra a disposio dos reatores.

104

Figura B 5 Disposio dos grupos de reatores e painel de controle (fonte: Investigation Report Vinyl Chloride Monomer Explosion CSB)

10.1 COMUNICAO
No havia meio de comunicao entre os diferentes nveis (superior e inferior). O operador no nvel inferior aps constatar algum desvio, deveria ir ao nvel superior para verificar o status do reator. O CSB obteve a informao que os operadores das outras plantas ou carregavam rdios ou tinham acesso ao sistema de interfones no nvel inferior.

10.2 MUDANAS NA EQUIPE

Na aquisio da instalao em 2002 pela FPC USA, houve reduo da equipe. O CSB investigou e comparou a filosofia operacional das plantas da Formosa. A Borden Chemical possua operadores e um lder de grupo (supervisor de operao) para cada rea. O lder do grupo dava suporte aos seus operadores da rea. Os empregados entrevistados indicaram que o lder do grupo possua uma posio respeitada na instalao de Illiopolis e tinham grandes responsabilidades. Quando um operador tinha algum problema, o lder do grupo da rea tinha habilidade e estava disponvel. O gerenciamento da FPC USA eliminou os lderes de grupo na aquisio da planta dois anos antes. Consequentemente, cada rea no tinha mais um lder de grupo, somente um supervisor de turno que era responsvel pela planta toda e este no estava sempre disponvel quando algum operador necessitasse de assistncia. Como o supervisor no estava disponvel para responder rapidamente, a Formosa-IL requisitou que o supervisor apenas autorizasse, mas no testemunhasse

105

os controles e by-pass dos intertravamentos dos reatores. Esta falta de disponibilidade, combinado com dificuldades de comunicao e a utilizao do bypass do intertravamento no monitorado e o aumento da ao independente do operador contriburam para o by-pass no autorizado de um intertravamento de segurana.

10.3 SIMILARIDADES COM INCIDENTES ANTERIORES

Houve incidentes anteriores de aberturas indevidas da vlvula de fundo do reator em outra planta (FPC USA Baton Rouge) e tambm na mesma planta da Formosa-IL e mesmo assim o grupo de HSE nunca reconheceu semelhanas entre os incidentes. Alm destes incidentes, observa-se na Tabela B 1 que outros acidentes semelhantes j haviam ocorrido.
Tabela B 1 Acidentes em Plantas de PVC envolvendo descarga inadvertida do reator Ano Local Causa Resultado Quatro fatalidades, oito leses Contedo do restor errado foi na planta e duas fora da planta. 1961 Japo descarregado Danos estruturais severos na planta. Operador abriu vlvula de fundo Uma fatalidade. Planta 1966 Nova Jersey de reator errado, descarregando destruda. o contedo Operador abriu vlvula de fundo Duas pessoas lesionadas, 1980 Massachusetts de reator errado, descarregando danos acima de 1 milho de matria-prima dlares. Design inapropriado de vlvula 1980 Califrnia permitiu eu a mesma ficasse Danos severos na planta. parcialmente aberta

10.4 ANLISES DE RISCO ANTERIORES:

Em 1992 foi realizada uma anlise de risco (PHA) que recomendava modificaes na filosofia operacional da planta impedindo que qualquer

intertravamento fosse desativado sem aprovao direta do supervisor e com testemunhas. Outra recomendao seria de substituio do sistema de ar de emergncia por uma que requisitasse a chave do supervisor para destravamento. Essas recomendaes nunca foram implementadas. Em 1999 foi parcialmente revalidado o PHA onde a equipe julgou que o intertravamento de segurana da vlvula de fundo, os procedimentos e treinamento eram salvaguardas eficientes para controle de um cenrio de risco alto. Essas protees administrativas so inapropriadas para cenrios de alto risco. importante mencionar que o PHA desenvolvido no cobria o procedimento de limpeza do reator.

106

10.5 ANLISES SEMI-QUANTITATIVAS DE RISCO

Nem sempre uma PHA qualitativa que baseada na experincia e conhecimento da equipe pode indicar a recomendao mais adequada para determinado cenrio de alto-risco. A validao do PHA de 1999 concluiu que as salvaguardas existentes eram suficientes, o que no foi verdade. Recomenda-se que a eficincia das salvaguardas seja avaliada atravs de novas metodologias, por exemplo, LOPA (Layer of Protection Analysis). LOPA basicamente um mtodo que classifica as conseqncias, possui um critrio para determinar a tolerncia ao risco, sistemtico possuindo um procedimento para desenvolvimento do cenrio, possui regras para garantir independncia das salvaguardas, tem procedimentos para clculo do risco e procedimentos para determinar se o risco est salvaguardado. A metodologia poderia ter sido utilizada para determinar se o intertravamento da vlvula do fundo do reator uma camada de proteo independente (IPL), e se uma salvaguarda cuja efetividade pudesse ser medida e auditada. Poderia ser utilizado tambm na verificao da adequao da efetividade de todas as IPLs combinadas para controlar o risco.

10.6 CONTROLE DO BY-PASS

A equipe gerencial da Formosa-IL acreditava que o intertravamento da vlvula de fundo do reator era uma salvaguarda eficiente na proteo contra transferncia acidental ou liberao indevida do contedo do reator, mesmo que o intertravamento pudesse ser by-passado facilmente. O CSB identificou outros sistemas de segurana que poderiam ser by-passados: sistema de dilvio era desativado com bloqueios de madeira durante a manuteno para se evitar acionamentos indevidos. Esses bloqueios, a principio eram para ser utilizados apenas por pessoal autorizado, entretanto no havia controle do uso dos bloqueios de madeira. O sistema de deteco de MVC era desativado atravs de uma chave durante a manuteno e no havia nenhuma outra indicao que o sistema estava desativado alm da posio da chave.

107

10.7 DESIGN DO BY-PASS

O projeto do by-pass deve ser de alta confiabilidade, efetivo e seguro. A falha na sinalizao da utilizao do by-pass pode comprometer a efetivadade do equipamento de segurana.

10.8 POLTICA ORGANIZACIONAL DE USO DO BY-PASS

A recomendao do PHA de 1992 sobre o controle dos intertravamentos no foi implementada. A CCPS oferece um guia de melhores prticas para by-pass de intertravamentos que contm: poltica formal de by-pass de intertravamentos e um procedimento escrito e implementado que exige monitoramento do processo enquanto o intertravamento by-passado, anlise do mtodo de by-pass mais apropriado, um limite de tempo para o by-pass e documentao e comunicao para todo pessoal envolvido.

10.9 PLANO DE AO DE EMERGNCIAS

As aes dos trabalhadores demonstraram que eles no estavam preparados para uma liberao catastrfica de MVC. O supervisor foi ao local onde os dois operadores estavam tentando controlar a liberao ao invs de solicitar evacuao. A estimativa da CSB que os operadores tentaram por 5 minutos controlar a liberao at a ocorrncia da exploso. Os operadores no colocaram a proteo respiratria, no ativaram os alarmes de emergncia e no evacuaram do local. A planta da Formosa-IL possua seis diferentes procedimentos relacionados a liberaes emergenciais de MVC.

10.10 SISTEMA DE DILVIO PARA PREVENIR INCNDIOS E EXPLOSES

O sistema de dilvio pode prevenir incndios e exploses em nuvem da seguinte forma: dispersando o vapor e induzindo o fluxo de ar para o vazamento, reduzindo a concentrao de vapor para valores abaixo do LFL, absorvendo a substncia liberada (depende da solubilidade da substncia na gua), resfriando e condensando vapores do material com alto ponto de ebulio, prevenindo a ignio atravs da reduo de potencial eletricidade esttica e resfriando superfcies quentes. O sistema de dilvio da Formosa-IL no foi ativado durante o incidente,

108

porm mesmo assim, o CSB concluiu que o sistema no evitaria a exploso do prdio dos reatores, pois o prdio era fechado evitando a disperso dos vapores de MVC, o MVC pouco solvel na gua e seus vapores no podem ser condensados por neblinas de gua devido ao baixo ponto de ebulio do MVC na atmosfera.

109

APNDICE C CLCULO DA PROBABILIDADE DOS EVENTOS BSICOS ATRAVS DA METODOLOGIA HEART RECOMENDAO A - AUMENTAR A DISPONIBILIDADE DO SUPERVISOR
Tabela C 1 Probabilidade do E2 considerando a Recomendao A Evento Bsico E2 Operador se direciona indevidamente a reator em operao e acredita estar no reator em processo de limpeza Tarefa Genrica E - Rotina, muita prtica, tarefa rpida que envolve baixo nvel de habilidade o o 5 percentil Central 95 percentil No confiabilidade proposta 0,007 0,02 0,045 Condio para Erro de Produo mxima na qual a no confiabilidade (EPC)
pode mudar indo da condio boa para a ruim Quantidade nominal prevista

Proporo

Clculo

EPC 8 - Sobrecarga da capacidade da via particularmente causada pela presena 6 0,2 simultnea de informao no redundante (x 6) EPC 14 - Sem confirmao clara direta e 4 0 programada de uma ao intencional (x 4) PROBABILIDADE FALHA 4,00E-02 RECOMENDAES Influencia no Evento Basico ? EPC ? Aumentar a disponibilidade do supervisor SIM EPC 14

2,0

1,0 Grau de eficincia 100%

Tabela C 2 - Probabilidade do E3 considerando a Recomendao A Evento Bsico E3 Operador utiliza o by-pass para abrir a vlvula de fundo do reator em Tarefa Genrica B - Restaurar o sistema para um novo ou estado original em uma nica tentativa sem superviso ou procedimentos o o 5 percentil Central 95 percentil No confiabilidade proposta 0,14 0,26 0,42 Condio para Erro de Produo (EPC) EPC 14 - Sem confirmao clara direta e programada de uma ao intencional (x 4) EPC 17 - Pouca ou no independente checagem ou teste da sada PROBABILIDADE FALHA RECOMENDAES Aumentar a disponibilidade do supervisor
Quantidade nominal prevista mxima na qual a no confiabilidade pode mudar indo da condio boa para a ruim

Proporo 0,08 0,2

Clculo 1,2 1,4 Grau de eficincia 25%

4 3 Influencia no Evento Basico ? SIM

4,5E-01 EPC ? EPC 14

110

RECOMENDAO B - IMPLEMENTAO DE ESTUDOS DE LOPA

Tabela C 3 - Probabilidade do E3 considerando a Recomendao B Evento Bsico E3 Operador utiliza o by-pass para abrir a vlvula de fundo do reator em Tarefa Genrica B - Restaurar o sistema para um novo ou estado original em uma nica tentativa sem superviso ou procedimentos o o 5 percentil Central 95 percentil No confiabilidade proposta 0,14 0,26 0,42 Condio para Erro de Produo (EPC) EPC 14 - Sem confirmao clara direta e programada de uma ao intencional (x 4) EPC 17 - Pouca ou no independente checagem ou teste da sada PROBABILIDADE FALHA RECOMENDAES Implementao de Estudos de LOPA
Quantidade nominal prevista mxima na qual a no confiabilidade pode mudar indo da condio boa para a ruim

Proporo 0,1 0 EPC ? EPC 17

Clculo 1,3 1,0 Grau de eficincia 100%

4 3 3,4E-01 Influencia no Evento Basico ? SIM

Tabela C 4 - Probabilidade do E4 considerando a Recomendao B Evento Bsico E4 Tarefa Genrica Empregados falham na evacuao da rea I - Tarefas diversas para as quais nenhuma descrio pode ser o o 5 percentil Central 95 percentil No confiabilidade proposta 0,008 0,03 0,11 Condio para Erro de Produo (EPC) EPC 1 - Falta de familiaridade com a situao que potencialmente importante, mas que ocorre com pouca freqncia ou que indita PROBABILIDADE FALHA AVALIADA RECOMENDAES Implementao de Estudos de LOPA
Quantidade nominal prevista mxima na qual a no confiabilidade pode mudar indo da condio boa para a ruim

Proporo

Clculo

17

1,0

3,00E-02 Influencia no Evento Basico ? SIM EPC ? EPC 1 Grau de eficincia 100%

111

RECOMENDAO C - IMPLEMENTAO RECOMENDAES DA PHA1992

Tabela C 5 - Probabilidade do E3 considerando a Recomendao C Evento Bsico E3 Operador utiliza o by-pass para abrir a vlvula de fundo do reator em Tarefa Genrica operao B - Restaurar o sistema para um novo ou estado original em uma nica tentativa sem superviso ou procedimentos o o 5 percentil Central 95 percentil No confiabilidade proposta 0,14 0,26 0,42 Condio para Erro de Produo (EPC) EPC 14 - Sem confirmao clara direta e programada de uma ao intencional (x 4) EPC 17 - Pouca ou no independente checagem ou teste da sada PROBABILIDADE FALHA AVALIADA RECOMENDAES Implementao Recomendaes da PHA1992
Quantidade nominal prevista mxima na qual a no confiabilidade pode mudar indo da condio boa para a ruim

Proporo 0,10 0,02

Cclulo 1,3 1,0 Grau de eficincia ? 90%

4 3 3,5E-01 Influencia no Evento Basico ? SIM

EPC ? EPC 17

RECOMENDAO D - PROCEDIMENTOS PARA UTILIZAO DE BY-PASS EM OPERAO NORMAL

Tabela C 6 - Probabilidade do E3 considerando a Recomendao D Evento Bsico E3 Operador utiliza o by-pass para abrir a vlvula de fundo do reator em Tarefa Genrica operao B - Restaurar o sistema para um novo ou estado original em uma nica tentativa sem superviso ou procedimentos o o 5 percentil Central 95 percentil No confiabilidade proposta 0,14 0,26 0,42 Condio para Erro de Produo (EPC) EPC 14 - Sem confirmao clara direta e programada de uma ao intencional (x 4) EPC 17 - Pouca ou no independente checagem ou teste da sada PROBABILIDADE FALHA AVALIADA RECOMENDAES Procedimentos para utilizao de by-pass em operao normal
Quantidade nominal prevista mxima na qual a no confiabilidade pode mudar indo da condio boa para a ruim

Proporo 0,03 0,05 EPC ? EPC 14 e 17

Cclulo 1,1 1,1 Grau de eficincia 75%

4 3 3,1E-01 Influencia no Evento Basico ? SIM