Acidentes Envolvendo Mquinas com Dispositivos de Proteo: Erro do Usurio ou Erro de Concepo?

1 Jrgen Meisenbach Os planos originam-se do designer (responsvel pela concepo) - os erros s so descobertos mais tarde! Em sentido amplo, esta relao ainda parece se manifestar em muitos acidentes envolvendo mquinas. O cenrio do acidente abaixo sustenta essa idia. O alimentador de material de uma mquina automtica de solda sofre um bloqueio. O painel a ser soldado no transportado como deveria pelo cilindro elevador e fica fora de posio. O operador do equipamento suspeita de uma falha de contato no interruptor de fim de curso (non-contacting limit switch). Ele deixa seu console de controle e, sem desligar o equipamento, entra na rea fechada da zona de perigo ignorando o dispositivo de segurana, isto , contrariando as instrues. Na zona de perigo ele move o painel para a posio correta. Esse movimento dispara a operao automtica do equipamento. A aproximao do cilindro de elevao em relao ao painel prximo prende o operador, que pressionado contra containers de armazenamento, sendo gravemente ferido. H instrues de operaes disponveis para o equipamento. Essas instrues abordam a correo de falhas, probem o acesso ao equipamento durante operao e recomendam seu desligamento e reinicializao em caso de problemas. A zona de perigo fechada e claramente sinalizada como rea de perigo por meio de cartazes. As prcondies objetivas esto em conformidade com os regulamentos. Considerando esses antecedentes, para a preveno, no h necessidade de ao adicional. Acresce ainda o fato de o trabalhador acidentado estar sob influncia de lcool. A concluso bvia foi, portanto, considerar o acidente apenas como um caso trgico, porque ele foi causado pelo comportamento indubitavelmente incorreto da pessoa afetada.
1

Meisenbach, J Accidents despite protective devices mistakes by the user or by the designer? In Defren, W.; Kreutzkampf, F. (Org) Machine Safety in the European Community. Duisburg: Schmersal; 2003. (p. 193 a 199). Traduo livre de Ildeberto Muniz de Almeida. O tradutor agradece, em especial, as colaboraes do Engo Iderval Muniz de Almeida e da Enga e auditora fiscal do trabalho (DRT-MG) Ivone Corgosinho Baumecker na traduo de termos tcnicos.

Acidentes no tm apenas causas superficiais. Embora o acidente citado possa ser atribudo a comportamento flagrantemente incorreto, a sua anlise no foi concluda pela determinao dessa causa, mas abriu possibilidades de explorar questes adicionais. Agora, o fato a ser estabelecido foi se, naquelas circunstncias, condies operacionais poderiam ter promovido os erros que foram cometidos: a falta observada j era conhecida. A causa no incio da falha era a presena de rebarbas (burrs) no painel a ser soldado. O seu acmulo levou ao posicionamento incorreto do painel, ensejando a parada recorrente do equipamento. O sistema equipado com dispositivo de controle seqencial (sequence control system) que, depois do desligamento, s pode ser reiniciado no incio do ciclo (grifo da traduo). Cada nova reinicializao sempre associada com reajustes e, por isso mesmo, consomem tempo. A mquina de solda automtica representa um gargalo na produo. Alm disso, foi descoberto que a correo de falhas em condies similares j tinha sido realizada anteriormente com sucesso e com freqncia. Essa investigao suplementar resulta na apresentao do acidente de um modo ligeiramente diferente, at mesmo do ponto de vista daqueles que anteriormente declararam-se, eles mesmos, contras investigaes adicionais. Os erros previamente estabelecidos, isto , ignorar a proibio de acesso ao equipamento e a influncia do lcool, mantm, como antes, seu significado como causas. Logicamente, eles tambm resultam na adoo de aes apropriadas. Mas novas condies vieram luz, as quais incentivaram e contriburam para a situao desencadeada: isto , a presena de rebarba no painel e o equipamento de controle no amigvel e inconveniente. O aspecto particular dessas condies fronteirias que elas explicam parcialmente o comportamento incorreto e ainda podem ser efetivamente influenciadas pelos meios tcnicos. Nesse caso, ambas, as condies fronteirias e as razes para os comportamentos inadequados2 poderiam ser tecnicamente melhoradas e removidas.

No original, Meisenbach usou a expresso comportamento inseguro. Entre ns, me parece oportuno interromper sua utilizao em funo do histrico de uso em estreita associao com prticas de atribuio de culpa, desprezo pelas boas tcnicas de conduo de anlises e de defesa de interesses polticos de amesquinhamento das prticas de Segurana no Trabalho tendendo a colocar servios e profissionais da rea em posies subalternas e de submisso a interesses estranhos preveno de acidentes.

Hbitos inadequados podem estar sendo encobertos sem serem notados A abordagem escolhida para investigao - isto , no apenas a busca de causas bvias, mas tambm das condies que facilitam ou incentivam tais comportamentos - baseada em observaes psicolgicas e experincias. Isso porque na psicologia da aprendizagem, a formao de hbitos, - inclusive padres comportamentais inadequados usualmente segue a relao mostrada na fig 01. Figura 1. Da ao consciente ao hbito inadequado. Comportamento seguro

Esforo extra

Desvantagem, falha.

Mudana de comportamento

Comportamento imprpio

Vantagem, sucesso.

Repetio

Comportamento inadequado

Nesse caso o ponto de partida costuma ser o comportamento seguro. A ocorrncia de uma falha e os passos requeridos para sua correo implicam em aumento de esforos3,
3

Nota da traduo: A mesma situao apontada por outros autores. Em O que houve de Errado? (So Paulo. Makron Books) Trevor Kletz a denomina de situao que cria custo adicional para o operador e descreve acidente em situao que torna previsvel a utilizao de estratgia de cortar caminho, deixando de cumprir determinao de norma de segurana. Uma recomendao til para a gesto de segurana a de nunca aceitar que a segurana do sistema dependa apenas da adeso a esse tipo de norma em situao cujo desfecho possa ser considerado como potencialmente grave para a sade de trabalhadores ou que ameace a

isto : parar a mquina e reinici-la numa srie de passos complicados e que consomem tempo. O esforo extra vivenciado pela pessoa envolvida na falha. Falhas tm a tendncia de mudar comportamentos no caso, a mquina no foi parada e a falha foi corrigida mais rapidamente desconsiderando o dispositivo de segurana. O comportamento seguro anterior agora mudado para comportamento imprprio. A correo da falha, que agora toma menos esforo, incluindo o comportamento imprprio, tragicamente vivenciada como um sucesso. O comportamento bem sucedido tem a tendncia a ser repetido. Atravs da mltipla repetio, pouco a pouco, podem originar-se hbitos inadequados. Eles preparam o terreno para todos tipos de acidentes, incluindo acidentes com mquinas: inicialmente devido desobedincia (ato de ignorar) intencional ou desativao de dispositivos de segurana, os empregados tornam-se expostos a perigos que eles acreditam poder controlar tomando cuidados especiais. Com o passar do tempo, a conscincia do perigo torna-se embotada (blunt). Ento, at mesmo mudanas muito leves das condies fronteirias podem levar a acidentes graves. Suspeita-se que essa cadeia de causas e efeitos tem maior influncia nos acidentes com mquinas que o pensado anteriormente. Para confirmar essa suspeita, deveriam ser verificadas relaes de causas e efeito, tambm em outros acidentes e com outros perigos assim como deveriam ser desenvolvidas abordagens para a adoo de medidas efetivas. Da experincia com acidente acima citado, os seguintes aspectos foram decisivos na investigao: Desligar, contornar, inibir ou bypassar dispositivo de segurana representa ao intempestiva no permitida (impermissible tampering)4; Essa ao no permitida , primariamente, devida a circunstncias relacionadas operao e no a fatores da pessoa do operador.

prpria integridade do sistema. A noo de criao de custo adicional para os operadores tambm apontada como critrio de avaliao de escolha de medidas de preveno (Almeida 2006). De acordo com Amalberti, na situao de trabalho o ser humano estabelece compromisso baseado na necessidade objetiva de negociar trs objetivos: a) alcanar os objetivos do sistema; b) manter sua segurana e a do sistema e; c) manter o desempenho com o menor custo fsico, cognitivo e afetivo para si prprio. Por isso mesmo, passos percebidos como desnecessrios tendem a ser substitudos por outros que se mostrem adequados e de menor custo. 4 Nota da Traduo: De acordo com Apfeld (2007)em norma recentemente lanada (DIN EN ISO 1088 A1: 2007) sobre o bypass ou manobra de contorno para no uso de medida de proteo existente em mquina, o termo tampering definido como desativar ou tornar inoperante dispositivo de proteo tendo como resultado o fato de que a mquina passa a ser usada de modo no pretendido pelo seu designer ou sem as necessrias medidas de segurana.

Esses dois pressupostos tambm destacam de um modo fundamental o objetivo da investigao: preciso identificar aes no permitidas em equipamentos e as razes operacionais associadas s suas origens. As investigaes que exploram esse tipo de questo no so, em princpio, isentas de crticas. Elas devem ser conduzidas com o tato necessrio. Caso contrrio, aes no permitidas sero, no apenas negadas, mas intencionalmente escondidas de modo a evitar retaliaes. Em outras palavras, a cumplicidade (arrangement) com a falha e a ansiedade relativa s conseqncias so mais fortes do que o desejo de melhorar a situao. Por isso mesmo, os empregados daquelas reas que foram investigadas receberam informaes especficas sobre as razes e intenes da investigao planejada. E eles foram includos no desenvolvimento de um questionrio a ser usado como um instrumento para investigao. Isso facilita que o problema anteriormente enfatizado seja evitado - como mostraram o progresso adicional no inqurito e, acima de tudo, os seus resultados. Produo integrada e linhas de montagem foram investigadas em uma fbrica de peas terceirizada para indstria automobilstica. Nessas linhas, situaes perigosas tinham sido observadas certo nmero de vezes e acidentes tinham ocorrido. Das observaes, dos resultados de investigaes de acidentes e, acima de tudo, a partir de perguntas aos empregados, emergiram os seguintes motivos para acessos no permitidos a equipamentos, isto , sem primeiro deslig-los. (veja fig 02). Motivos: Monitoramento da produo, em particular para tomada de amostras aleatrias. Ajustes de processos, por exemplo, por mudanas de programas ou otimizao de parmetros do sistema. Alimentao de material, em particular, alimentadores contnuos (feeding of single parts) Limpeza / Conservao / manuteno (servicing) de mquinas e partes de sistemas. Correo de falhas, em particular com a remoo de partes desalinhadas, emperradas ou com defeito (misshapen or jammed parts). Todos os acessos identificados a sistemas e mquinas poderiam ser atribudos a esses motivos operacionais. Outros motivos, por exemplo, aqueles que poderiam ser

atribudos apenas prpria motivao dos empregados no foram encontrados. Era claro para todos os empregados que aes no permitidas estavam ocorrendo. Em relao a isso, as pressuposies feitas no inicio poderiam, em parte, ser confirmadas.

Motivos5 para acessos no permitidos para mquinas integradas

Razes para acessos no permitidos a mquinas em linhas de produo (chained machines) Defeitos na acurcia da produo Falta ou dificuldade de acesso e interveno Falta de parada de emergncia local Posio de elementos (componentes) no perigosos

Monitoramento produo Ajustes de processo Alimentao de material

de

X (ver fig 3)

X (ver fig 4)

X (ver fig 5) X (ver fig 7) X (ver fig 8)

Conservao / manuteno / limpeza (servicing) Correo de falhas X (ver fig 6)

X (ver fig 9)

Figura 2: Motivos e razes para acessos no permitidos em mquinas integradas

Para prosseguir, havia ainda as razes a serem pesquisadas: O que levava os empregados a no desligar os equipamentos como requerido, mas, ao invs, acessarem reas no permitidas durante sua operao? Comportamentos inadequados freqentemente tm razes operacionais. De modo similar aos motivos, foram encontradas razes operacionais sem exceo e elas podem ser descritas como se segue (ver fig 02). Razes:

Nota da Traduo. Nesse quadro, o autor chama de motivos as tarefas, ou seja, o que o trabalhador fazia na ocasio em que bypassou o dispositivo de proteo, por exemplo, adentrando a rea proibida e; de razes, o evento ou perturbao especfico ocorrido no curso daquela tarefa; ou ainda a caracterstica especfica do sistema que, na hora do acidente, atua como razo para o comportamento adotado para fazer frente a aquele evento ou dificuldade.

1. Defeitos na calibragem (accuracy) da mquina ou partes levam a falhas e, conseqentemente, ao acesso no permitido para impedir ou corrigir essas falhas; 2. A falta de mtodos de interveno e acesso torna impossvel, por exemplo, a tomada de amostras aleatrias para o monitoramento da produo; 3. A falta de dispositivos locais de desligamento (paradas de emergncia) significa que o equipamento no desligado quando se pretende acessar somente partes dele; 4. A posio de elementos no perigosos, por exemplo, containeres de estocagem ou unidades de conservao/manuteno, dentro das zonas protegidas, leva a acessos no permitidos. Os resultados dessa investigao, juntamente com os achados previamente descritos, fornecem confirmao suficiente de que o acesso no permitido feito, principalmente, devido a razes operacionais. A partir de ento, h necessidade de clareza, para estabelecer quais medidas podem ser tomadas com a esperana de sucesso. Design amigvel evita comportamentos inadequados. A seguir, so enfatizadas as combinaes de motivos e razes mais freqentemente encontradas, assim como os objetivos de proteo a serem conseguidos com as medidas tcnicas (veja a fig 02). Nos dispositivos de transporte, em particular, nas estaes de trabalho (reas de produo das mquinas)6 as interfaces devem viabilizar a passagem de peas de trabalho de modo seguro e preciso. Medidas de concepo aplicadas a equipamentos do tipo correias transportadoras (conveying) podem ser consideradas aqui como solues, por exemplo, dispositivos de alimentao (feed-in aids), equipamentos de posicionamento ou de medies automticas e pontos de inspeo (veja a figura 3). (positioning equipment or automatic measurement and inspection points ). Para a tomada de amostragens aleatrias de modo a monitorar o processo de produo, ainda no estgio de concepo, devem ser providenciados meios de acessos protegidos, bloqueios de material ou de entrada (veja a fig. 04). (protected means of access, material locks or entrances)

Nota da traduo: Esse cuidado tambm deve se aplicar, por exemplo, a pontos em que o sistema transportador muda a direo das peas transportadas e, por exemplo, pode dar origem a desalinhamentos ou outros problemas que, se no solucionados adequadamente, podem ensejar a necessidade de recuperao manual feita pelo operador ou algum de seus ajudantes.

A otimizao de parmetros do sistema, que s pode ser realizada durante a operao, requer meios de acesso protegidos (veja a fig 05). Meios de desligar sees limitadas do sistema facilitam a continuidade do trabalho sem perigo dentro de reas protegidas da seo desligada. Visando a continuidade das operaes nas sees prximas, se as circunstncias os exigirem, devem ser providenciados reas de estoques intermedirios (workpiece buffers) (veja fig 06).

Considere as tolerncias das peas de trabalho Desenvolva dispositivos de ajuda na alimentao. (Design feeding aids) Prover dispositivos de posicionamento Prover pontos de medio e inspeo. Figura 3: Interfaces no transporte de peas de trabalho

A localizao dos containeres de armazenamento (storage containers) para as partes de alimentao e peas de trabalho deve ser providenciada fora das reas protegidas se o sistema de alimentao em si no apresenta perigo (veja a fig 07).

Prover mtodos de acesso amigveis ao usurio. Figura 4. Pegando amostras aleatrias

Fig 5. Otimizar parmetros da mquina. Prover acessos seguros para otimizao

As unidades de limpeza/conservao/manuteno (service units) devem ser posicionadas de tal modo que, sempre que possvel, as verificaes realizadas regularmente e as tarefas de manuteno, por exemplo, o monitoramento do leo lubrificante de refrigerao (cooling lubricant) e o nvel de leo, assim como o re-abastecimento (refilling with) de leo, possam ser feitos de um ponto do lado de fora da guarda de proteo (veja a fig 08). Os acessos a equipamentos eltricos tambm com a preocupao da produo enxuta (lean)7 no devem ser domnio exclusivo de eletricistas treinados. Em uma estrutura operacional enxuta (slimmed-down) os eletricistas no podem estar em todos os locais. Por outro lado, apenas intervenes menores (minor intervention) podem ser resolvidas sem perigo por operador de mquina experiente / conhecedor. Na prtica, vrias solues tm sido bem avaliadas no curso da realizao de melhorias. Elas podem ser usadas como base para a concepo de futuros sistemas. Por exemplo, dispositivos eltricos atuadores (ou ativos?) (electrical actuation devices) podem ser colocados fora da rea de perigo e acomodados em cabines de controle (control cabinets) com portas divididas,
7

A Produo enxuta ou Lean Manufacturing surgiu no Japo, na fbrica de automveis Toyota, logo aps a segunda guerra mundial. Ela busca produzir mais usando menos de tudo. Em especial, menos recursos e menos mo de obra. Para alcanar seus objetivos combina mquinas e tcnicas gerenciais. A tradicional hierarquia gerencial substituda por equipes de trabalhadores com mltiplas habilidades atuando lado de mquinas automatizadas em regime que estimularia a cooperao e o aproveitamento dos saberes daqueles envolvidos na fabricao dos produtos. Os dois pilares do Sistema Toyota de Produo so o Just-in-time e a Autonomao. Sua implementao no se d sem conseqncias sociais como relatam Helena Hirata e Benjamim Coriat, entre outros.

acessveis separadamente para o operador da mquina e eletricista ou instaladas (housed ) desde o incio em cabines de controle separadas. Se esse tipo de soluo de segurana no pode ser realizada, ento os componentes perigosos devem, pelo menos, ser enclausurados (veja fig 09). Uma checagem final de segurana complementa os requisitos de segurana previamente descritos. Ela deve ser conduzida com a co-operao dos encarregados da concepo, operadores especializados (authority operating) e especialistas em segurana antes que o equipamento seja posto em operao. somente desse modo que algum pode se assegurar que as medidas de proteo planejadas sejam instaladas e exibam o efeito protetor requerido. Esse teste de comissionamento8 no suficiente para detectar aqueles defeitos que s se tornam aparentes depois de um longo perodo de uso. Conseqentemente, checagens adicionais devem ser conduzidas a intervalos de tempo razoveis, incluindo, primariamente, perigos / fatores de risco e medidas de proteo para falhas e sua correo, a limpeza, conservao / manuteno (servicing) do equipamento, assim como a alimentao de materiais. Com a realizao dessas atividades, sem as avaliaes e atividades de preveno, os motivos para acessos no permitidos se acumulam como j discutido. Eles no devem ser ignorados, mas ao contrrio, necessitam, em cada caso, de cuidadosa investigao e da remoo de suas causas (veja fig 10). Os requisitos de segurana descritos podem ser integrados em uma estratgia efetiva para aumentar a segurana de mquinas e equipamentos. Entretanto, eles tambm permitem uma resposta a ser dada questo colocada no ttulo deste artigo, de se, a despeito das medidas de proteo, acidentes devem ser atribudos a erros do operador ou a erros dos planejadores e responsveis pela concepo. A resposta : ambos. No apenas o erro ou m prtica do operador, mas tambm falhas no lado da concepo, isto , a soma de ambos que descreve a realidade completa. De modo similar, claro, entretanto, que os fatores

Nota da traduo: O teste de comissionamento de uma mquina um teste de funcionamento realizado com a finalidade de formalizar sua entrega para uso ou incio das garantias dadas pelo fabricante. Inclui verificao de todas as protees e modos de funcionamento da mquina visando certificar, por exemplo, se dispositivos de parada de emergncia; sistemas de proteo contra fogo, baixa ou alta presso, ou alta temperatura de componentes, etc esto realmente funcionando. Regra geral, os fabricantes elaboram manuais de comissionamento dos equipamentos e sua garantia comea aps a assinatura do cliente comprovando a realizao desses testes.

iniciadores9 esto, principalmente, no operador de equipamento cuja falha ajudada, incentivada, ou ainda possivelmente, provocada por erros de concepo.

Prover parada de emergncia local. Criar estoques intermedirios (buffers) de peas de trabalho Figura 6 Mtodos para desligamento

Posicione alimentadores de partes fora das protees. Figura 7 Posio dos containeres de armazenamento

Figura 8. Localizao das unidades de limpeza / conservao / manuteno.

NT: Aqui o autor refere-se noo de gatilho ou fator, geralmente situado nas proximidades do desfecho do acidente, que dispara esse acontecimento. Reason tambm os denomina de fatores ativos e afirma que eles so mais conseqncias do que causas. Por isso mesmo, deveriam ser considerados como de importncia menor para a preveno.

Em resumo, a seguinte estratgia para melhoria da segurana de mquinas e equipamentos pode ser recomendada (veja a fig 11):

Prover mtodos de corrigir falhas eltricas mnimas.

Figura 9. Acessos a equipamentos eltricos.

Faa testes de comissionamento e checagens peridicas das mquinas. Investigue desvios das condies operacionais.
Figura 10. Checagem de segurana

1. Gerentes operacionais e operadores devem tornar-se mais conscientes de que no devem satisfazer-se com o sucesso de curto prazo proveniente da correo de falhas. Este tipo de atitude leva muito rapidamente a uma acomodao com as falhas, a hbitos inadequados e, finalmente, a acidentes, mas no melhora a situao. Por isso mesmo, o preenchimento consistente dos requisitos de segurana deve ser demandado e obtido. Do ponto de vista operacional, a contribuio do pessoal de operao da mquina com sua experincia no pode e nem deve ser negada. Empregados que intencionalmente by-passam (contornam ou desativam) dispositivos de segurana, no devem, no futuro, contar com a lenincia sem conseqncias. Eles devem, acima de tudo, compreender as conseqncias que seus comportamentos faltosos possam ter. 2. O equipamento tcnico, incluindo aquele relacionado segurana, deve ser concebido para ser mais amigvel (user-friendly). Planejadores e designers devem tornar-se mais sensveis s demandas justificveis dos usurios com relao a dispositivos de segurana em mquinas, de modo a facilitar e promover seu uso e comportamentos seguros, ao invs de torn-los mais difceis. A segurana funcional

deve ser melhorada naqueles locais suscetveis a falhas: muitas falhas indicam pontos funcionalmente fracos em mquinas ou equipamentos. Elas prejudicam a capacidade de desempenho o que, freqentemente, resulta no operador da mquina sendo tentado a encontrar modos de mudar ou de parar a condio geradora da falha ainda que com impacto negativo na segurana do sistema. Se o dispositivo de proteo que for fornecido, representa uma dificuldade, estorvo, ou ento se revelar impraticvel, ento os acidentes esto esperando para acontecer. Conseqentemente, por outro lado, as causas tcnicas das falhas devem ser corrigidas ou no mnimo reduzidas e, por outro lado, a aceitao de dispositivos de proteo deve ser aumentada. A aceitao sendo maior, menor ser a freqncia de acessos necessrios em pontos de correo de falhas. 3. A observao continuada de equipamentos de produo deve ser realizada mais intensivamente, que anteriormente. somente fazendo isso que os defeitos de concepo sero descobertos, corrigidos e, acima de tudo, evitados na futura gerao de mquinas.

Figura 11. Estratgias para melhorar a segurana de mquinas

Se essas sugestes estratgicas bsicas forem mais bem consideradas durante o estgio de concepo (design) e durante a operao de mquinas e equipamentos complexos, ento no futuro uma contribuio significativa poder ser feita para a melhoria da segurana de mquinas. Tambm aqueles envolvidos na pesquisa e no ensino so chamados a dar sua contribuio.