Você está na página 1de 112

FÁBIO KAZUO OSHIRO

TOMADA DE DECISÕES BASEADA EM METODOLOGIAS DE


ANÁLISE DE CONFIABILIDADE HUMANA

São Paulo
2010
FÁBIO KAZUO OSHIRO

TOMADA DE DECISÕES BASEADA EM METODOLOGIAS DE


ANÁLISE DE CONFIABILIDADE HUMANA

Monografia apresentada à Escola


Politécnica da Universidade de São
Paulo para obtenção de título de
especialista em Engenharia de
Segurança do Trabalho

São Paulo
2010
FICHA CATALOGRÁFICA

Oshiro, Fábio Kazuo


Tomada de decisões baseada em metodologias de análise
de confiabilidade humana / F.K. Oshiro. -- São Paulo, 2010.
111 p.

Monografia (Especialização em Engenharia de Segurança


do Trabalho) - Escola Politécnica da Universidade de São Paulo.
Programa de Educação Continuada em Engenharia.

1. Prevenção de acidentes 2. Indústria petroquímica 3. Erro


(Fatores humanos) I. Universidade de São Paulo. Escola Poli-
técnica. Programa de Educação Continuada em Engenharia II. t.
LISTA DE ABREVIATURAS E SIGLAS
AAF Análise por Árvore de Falhas
ACH Análise de Confiabilidade Humana
AQR Análise Quantitativa de Riscos
ATHEANA A Technique for Human Error Analysis
CADET Critical Action and Decision Evaluation Technique
CES Cognitive Environment Simulation
CETESB Companhia Ambiental do Estado de São Paulo
CM Confusion Matrices
COGENT Cognitive Event Tree System
CREAM Cognitive Reliability and Error Analysis Method
EPC Error Producing Conditions
GEMS Generic Error-Modelling System
HEA Human Error Analysis Technique
HEART Human Error Assessment and Reduction Technique
HEP Human Error Probability
HFAM Human Factor Analysis Methodology
HITLINE Human Interaction Timeline
HTA Hierarchical Task Analysis
IDA Influence Diagram Analysis
IMAS Influence Modelling and Assessment Systems
IPL Independent Protection Layer
IR Índice de Risco
LOPA Layer of Protection Analysis
MVC Monocloreto de Vinila
NRC Nuclear Regulatory Commission
OAET Operator Action Event Trees
PHA Process Hazard Analysis
PHEA Predictive Human Error Analysis
PIFs Performace Influencing Factors
PGR Programa de Gerenciamento de Riscos
PVC Policloreto de Vinila
SPEAR Systems for Predicting Human Error and Recovery
SRK Skill-, Rule- and Knowledge-based Behaviour
STAHR Socio-Technical Assessment of Human Reliability
THERP Technique for Human Reliability Analysis
RESUMO

Esta monografia tem o objetivo de analisar algumas metodologias de


confiabilidade humana buscando avaliar as probabilidades de erros humanos
levando em consideração fatores observáveis e cognitivos. A motivação é que
atualmente no Brasil a frequência da falha humana é avaliada de forma subjetiva e
conservativa quando comparada com falhas de equipamentos e sua quantificação
poderia ser elaborada através de métodos que poderiam representar com mais
realidade o risco. O desenvolvimento consistiu da avaliação de algumas
metodologias de confiabilidade humana e de tomada de decisão. Seguido de uma
aplicação prática da avaliação da confiabilidade humana no acidente ocorrido em
2004 na Formosa Plastics Corp. Illiopolis. Inicialmente através do método analítico
de ação orientada HTA (Hierarchical Task Analysis), seguido da análise dos erros
humanos através do desenvolvimento da PHEA (Predictive Human Error Analysis) e,
da utilização da metodologia SPEAR (Systems for Predicting Human Error and
Recover) para avaliação qualitativa e quantificação através da AAF (Análise por
Árvore de Falhas) e HEART (Human Error Assessment and Reduction Technique). A
representação do cenário acidental foi desenvolvida por duas formas diferentes,
através do diagrama de influência cuja efetividade das recomendações foram
analisadas através do Método de Pontuação Ponderada representando o foco
gerencial, e através do método de HEART e AAF representando o foco operacional.

Palavras-chave: Tomada de decisão, Confiabilidade humana, Acidente de


Formosa-IL, Probabilidade de erro humano, Fatores influenciadores de desempenho.
ABSTRACT

The objective of this study is to analyze some methodologies of human


reliability considering the external (observable) and internal (cognitive) factors. The
driver is that nowadays in Brazil the frequency of human failure is evaluated in a
subjective and conservative way when compared to equipment failure and its
quantification could be developed using methods that represent the risk with closer to
reality. The development was based on the evaluation of some methodologies of
human reliability and decision making. Followed by a practical application of human
reliability assessment of an accident occurred in 2004 on Formosa Plastics Corp.
Illiopolis. Initially through analytical methodology action oriented of HTA (Hierarchical
Task Analysis), followed by human error analysis using PHEA (Predictive Human
Error Analysis) and the qualitative analysis using SPEAR (Systems for Predicting
Human Error Analysis) and quantitative assessment using FTA (Fault Tree Analysis)
and HEART (Human Error Assessment and Reduction Technique). Accidental
scenario was represented in two different forms, by an influence diagram which
effectiveness of the recommendations was analyzed using Weighed Score Method
representing the management focus and HEART and AAF methods representing the
operational focus.

Keyword: decision making, human reliability, accident in Formosa-IL, human


error probability, performance factors influence
6
SUMÁRIO

1 INTRODUÇÃO .................................................................................................8
1.1 OBJETIVO......................................................................................................10
1.2 JUSTIFICATIVA..............................................................................................11
2 REVISÃO DA LITERATURA .........................................................................12
2.1 CONFIABILIDADE HUMANA .........................................................................14
2.1.1 A Prevenção de Acidentes do Ponto de Vista Tradicional ...........................15
2.1.2 A Engenharia dos Fatores Humanos e Ergonômicos ..................................16
2.1.2.1 Relação do Erro Humano e a Interface Homem- Máquina........................17
2.1.3 Solução Típica para o Erro Humano............................................................18
2.1.4 O Erro Humano da Perspectiva Cognitiva ...................................................19
2.1.4.1 Classificação do erro humano na perspectiva cognitiva............................21
2.1.4.2 Modelo de “Escada Portátil” ......................................................................22
2.1.5 Performance Influencing Factors (PIF) ........................................................23
2.1.6 Categorias das aplicações de acordo com a visão SRK (Skill-, Rule- and
Knowledge-based Behaviour) ......................................................................26
2.1.7 Generic Error-Modelling System (GEMS) ....................................................28
2.1.8 Perspectiva sócio-técnica ............................................................................30
2.1.8.1 Human Factor Analysis Methodology (HFAM) ..........................................30
2.2 TOMADA DE DECISÃO .................................................................................31
2.2.1 Processo de Decisão ...................................................................................32
2.3 ACIDENTE DA FORMOSA PLASTICS CORP. PLANTA DE PVC –
ILLIOPOLIS, ILLINOIS ..............................................................................................33
3 MATERIAIS E MÉTODOS .............................................................................34
3.1 METODOLOGIA UTILIZADA (PASSO A PASSO) .........................................34
3.2 CONFIABILIDADE HUMANA .........................................................................36
3.2.1 Métodos Analíticos.......................................................................................36
3.2.1.1 Análise da Tarefa ......................................................................................36
3.2.1.2 Técnicas de Ações Orientadas..................................................................36
3.2.1.3 Técnicas de Análises de Tarefas Cognitivas.............................................39
3.2.2 Human Error Analysis Technique (HEA)......................................................43
3.2.2.1 Predictive Human Error Analysis (PHEA)..................................................43
3.2.2.2 Checklists Ergonômicos ............................................................................45
3.2.3 MÉTODOS QUALITATIVOS E QUANTITATIVOS.......................................45
3.2.3.1 Systems for Predicting Human Error and Recovery (SPEAR)...................46
3.2.3.2 Processo Quantitativo ...............................................................................48
3.2.3.3 TÉCNICAS QUANTITATIVAS...................................................................49
3.2.3.4 Technique for Human Reliability Analysis (THERP)..................................52
3.2.3.5 Influence Diagram Analysis (IDA)..............................................................54
3.3 TOMADA DE DECISÃO .................................................................................56
3.3.1 Ferramentas de Tomada de Decisão...........................................................56
3.3.1.1 Análise de Custo-Benefício .......................................................................56
3.3.1.2 Métodos de Votação .................................................................................56
3.3.1.3 Método de Pontuação Ponderada.............................................................57
3.3.1.4 Processo de Hierarquia Analítica ..............................................................57
7
3.4 AVALIAÇÃO CRÍTICA SOBRE O ACIDENTE DA FORMOSA PLASTICS
CORP. – ILLIOPOLIS................................................................................................58
4 RESULTADOS ...............................................................................................60
4.1 SPEAR (SYSTEMS FOR PREDICTING HUMAN ERROR AND RECOVERY)
60
4.1.1 HIERARCHICAL TASK ANALYSIS DE LIMPEZA DOS REATORES..........60
4.1.2 ANÁLISE DOS PIFs.....................................................................................62
4.1.3 METODOLOGIA DE HFAM .........................................................................64
4.1.4 ANÁLISE DOS ERROS HUMANOS (PHEA), DAS CONSEQUÊNCIAS E DA
REDUÇÃO DOS ERROS.............................................................................65
4.2 REPRESENTAÇÃO DO EVENTO ATRAVÉS DE ÁRVORE DE FALHAS .....69
4.2.1 Quantificação dos Eventos Básicos.............................................................70
4.2.2 Análise crítica das probabilidades dos eventos básicos ..............................72
4.2.3 Quantificação do cenário do acidente da Formosa-IL (evento topo)............73
4.3 IDA (INFLUENCE DIAGRAM ANALYSIS)......................................................74
4.4 FOCO DE GESTÃO .......................................................................................75
4.5 FOCO OPERACIONAL ..................................................................................77
5 DISCUSSÕES ................................................................................................78
5.1 ANÁLISE DOS PIFS.......................................................................................78
5.2 HFAM 79
5.3 PHEA 79
5.4 FOCO DE GESTÃO .......................................................................................80
5.5 FOCO OPERACIONAL ..................................................................................81
5.6 COMPARAÇÃO ENTRE O FOCO DE GESTÃO E O FOCO OPERACIONAL
82
5.7 COMENTÁRIOS FINAIS ................................................................................82
6 CONCLUSÕES ..............................................................................................84

7 REFERÊNCIAS ..............................................................................................85

8 GLOSSÁRIO ..................................................................................................89

APÊNDICE A - INTERFACE HOMEM-MÁQUINA (ADAPTADO DE WICKENS, 1984)


91

APÊNDICE B – SUMÁRIO DO ACIDENTE DA FORMOSA PLASTICS CORP.


PLANTA DE PVC – ILLIOPOLIS, ILLINOIS ..............................................................94

APÊNDICE C – CÁLCULO DA PROBABILIDADE DOS EVENTOS BÁSICOS


ATRAVÉS DA METODOLOGIA HEART .................................................................109
8

1 INTRODUÇÃO

O interesse sobre o erro humano na confiabilidade do sistema teve origem em


estudos de sistemas militares durante 1950, quando estava claro que a maior parte
das falhas dos sistemas ocorria devido a erros no projeto, fabricação e construção.
Houve uma intensificação da aplicação de técnicas como análises de árvores de
falha para segurança das plantas nucleares e a ocorrência do acidente de Three
Mile Island despertou a necessidade da análise preditiva dos erros humanos.
Confiabilidade Humana é a probabilidade que um trabalho ou tarefa será
completado com sucesso pelo indivíduo em qualquer estágio operacional do sistema
dentro de um tempo mínimo requerido (Meister, 1966).
Inicialmente a avaliação da confiabilidade humana foi utilizada apenas para
complementar os cálculos específicos da engenharia de confiabilidade devido a
necessidade de se utilizar valores de probabilidade de erros humanos nos cálculos
das árvores de falhas. Era uma necessidade considerada bastante mecanicista do
ponto de vista de análise de segurança, considerando o indivíduo como um
componente de hardware com uma determinada função.
A visão mecanicista inicial cujo interesse era apenas o valor probabilístico do
erro humano despertou a necessidade da ampliação dos estudos para as demais
áreas que influenciam o fator humano. De acordo com estudo desenvolvido por
Joshchek em 1981, 80% a 90% de todos os acidentes nas indústrias químicas
ocorrem devido ao erro humano. O erro humano associado a causa de acidentes
vem sendo criticado devido a sua abordagem generalista.
O estudo de 190 acidentes desenvolvido em 1989 por Rasmussen revelou que
34% dos acidentes ocorrem por falta de conhecimento, 32% devido a erros de
projeto, 24% erros de procedimento e 16% por erros pessoais. Estes resultados
demonstram que o erro humano pode possuir causas específicas de origens
bastante distintas e que devem ser exploradas.
A visão clássica dos fatores humanos e ergonômicos considera o
comportamento humano como uma “caixa preta” baseada em entradas de
informações e saídas de ações de controle. A visão cognitiva abre a “caixa preta”.
A perspectiva cognitiva é mais moderna e é baseada na psicologia cognitiva.
Esta perspectiva se baseia no processamento da informação, preocupando-se na
forma como as pessoas adquirem a informação, sua compreensão pessoal e o
9
resultado no seu comportamento. A diferença principal da visão clássica dos fatores
humanos é que a perspectiva cognitiva destaca as intenções, objetivos e significado
como aspectos principais do comportamento humano.
Cada vez mais a avaliação da confiabilidade humana deve abranger fatores
externos e internos dos indivíduos, ou seja, os fatores observáveis e cognitivos
devem ser considerados na análise.
Este trabalho foi basicamente dividido em três fases, a primeira iniciou-se com
o estudo das metodologias de confiabilidade humana e tomada de decisões seguida
da segunda fase de análise do relatório de investigação do acidente ocorrido em
2004 na Formosa Plastics Corp. Illiopolis pela US Chemical Safety and Hazard
Investigation Board (CSB) e a última fase consistiu do desenvolvimento do método
sobre o acidente estudado obtendo-se uma nova avaliação do acidente com o
objetivo de se obter um resultado utilizando-se das metodologias de confiabilidade
humana citadas neste estudo.
10

1.1 OBJETIVO

O objetivo do presente estudo foi analisar algumas metodologias de


confiabilidade humana buscando avaliar as probabilidades de erros humanos
levando em consideração fatores observáveis e cognitivos através da aplicação da
metodologia de Avaliação de Confiabilidade Humana (ACH) de primeira geração
num estudo prático limitado pelas informações fornecidas no relatório de
investigação do acidente ocorrido em 2004 na Formosa Plastics Corp. Illiopolis.
11

1.2 JUSTIFICATIVA

Os estudos de análise de riscos que são desenvolvidos para atender os


requisitos legais dos órgãos brasileiros como, por exemplo, a CETESB (Companhia
Ambiental do Estado de São Paulo) possuem orientações para aplicação de técnicas
de confiabilidade humana. O emprego da técnica ainda é abordado de forma
mecanicista, não deixando evidências de estudos relacionados aos aspectos
cognitivos cuja abordagem vem se ampliando significativamente no cenário
internacional.
Segundo o Manual de Orientação para a Elaboração de Estudos de Análise de
Risco P 4.261 publicado pela CETESB em maio de 2003, deve ser realizada uma
estimativa da freqüência de ocorrência dos cenários acidentais identificados através
de registros históricos constantes de bancos de dados ou de referências
bibliográficas e através de AAF (Análise por Árvores de Falhas): A definição de AAF
extraído do manual pode ser visualizada a seguir.
“A Análise por Árvore de Falhas (AAF) é uma técnica dedutiva que permite
identificar as causas básicas de acidentes e de falhas num determinado sistema,
além de possibilitar a estimativa da freqüência com que uma determinada falha pode
ocorrer. Além dos aspectos acima mencionados, a estimativa das freqüências de
ocorrência dos eventos iniciadores deverá também considerar a aplicação de
técnicas de confiabilidade humana para a avaliação das probabilidades de erros
antropogênicos que possam contribuir para a ocorrência dos cenários acidentais.”
O erro humano, apesar de ser o principal fator envolvido nos grandes acidentes
industriais, é considerado nos estudos de risco de forma subjetiva sem a utilização
de metodologias com abordagem cognitiva, e analisada de forma bastante
generalista. A preocupação mecanicista na busca de valores de probabilidade do
erro humano ainda é evidente. Este trabalho busca demonstrar e exemplificar
metodologias que poderiam contribuir para um desenvolvimento dos estudos de
análise de risco considerando uma maneira de avaliação mais consistente dos
fatores humanos.
12

2 REVISÃO DA LITERATURA

Pouca evidência estatística dá sustentação a teoria da propensão a acidentes


que demonstra que um pequeno número de indivíduos foi responsável pela maioria
dos acidentes (Shaw e Sichel, 1971). Diante desta concepção, uma série de
programas de modificações comportamentais foi desenvolvida com resultados
positivos conforme McSween, 1993.
Após a II Guerra Mundial com resultado da utilização de sistemas de armas
complexas e dinâmicas, a engenharia de fatores humanos se destacou com o
objetivo de aperfeiçoar as relações dos indivíduos nos sistemas máquina-homem.
Segundo Wilson e Corlett (1990) e Salvendy (1987), a freqüência do erro pode
ser reduzida através do equilíbrio entre demanda da tarefa e capacidade humana.
Sugere-se que o erro humano é evitado através da automatização da planta
que demonstra uma alocação da função, onde o operador que controlava
diretamente o processo passa a ser um monitor do sistema de controle baseado no
computador.
O interesse na questão psicológica surgiu a partir de 1960. Estudos de carga
de trabalho mental foram desenvolvidos demonstrando-se a capacidade dos
humanos de lidar com níveis extremamente elevados de informações em situações
como controle de tráfego aéreo. Outros estudos como de vigilâncias demonstraram
o comportamento do homem em situações de baixo nível de estímulo como
monitoramento de radares representando o extremo oposto do desempenho
humano. Estudos demonstrados por Warm, (1984) remetem a baixa eficiência das
pessoas nas atividades de monitoramento de sistemas automáticos.
A ACH (Análise de Confiabilidade Humana) foi desenvolvida utilizando-se
inúmeras metodologias elaboradas e dividida em modelos de primeira geração e de
segunda geração. Os de primeira geração são na sua maioria representadas pelos
modelos desenvolvidos até início da década de 1990. Segundo Reason, 1990, mais
de trinta metodologias de primeira geração foram criadas, que não consideram as
dependências entre os PIFs (fatores influenciadores de desempenho) e que foram
superados com o desenvolvimento dos modelos de segunda geração.
Os modelos de segunda geração foram desenvolvidos utilizando-se a
experiência operacional e passaram a incluir os erros de comissão que alteram
significativamente a seqüência de um acidente. Estes erros correspondem não só a
13
falhas na execução de determinados elementos do procedimento como especificado
nos modelos de primeira geração, mas a ações inadequadas e conscientes do
operador após avaliações erradas das condições da planta.
A característica principal de um erro de comissão é que sua conseqüência é
um estado de não disponibilidade de um componente, de um sistema ou de uma
função. Em contrapartida, um erro de omissão é caracterizado pela falta de ação, e
preserva conseqüentemente o status de um sistema, de um componente ou de uma
função.
Os erros de comissão causavam a impressão de ações sem lógicas e sem
sentido e por isso foram tratadas durante muito tempo como deficiências
operacionais da planta. Um estudo posterior da NRC (AEOD/E95-01, 1995)
demonstrou que estes eventos relacionados a intervenção do operador são
importantes modos de falha que podem levar a acidentes catastróficos e por isso
devem ser levados em consideração.
Alguns exemplos, segundo Hollnagel 1988 de modelos de ACH da primeira
geração são:
 Matrizes de confusão (CM): (Potash et al., 1981)
 Avaliação sócio-técnica da confiabilidade humana (STAHR): (Phillips et al.,
1983)
 Técnica para previsão de taxas de erros humanos (THERP): (Swain & Guttman,
1983)
 Árvore de Eventos da Ação do Operador (OAET): (Hall et al. (1982) e Kirwan e
Ainsworth (1993)
 Método de Índice de Freqüência de Sucesso (SLIM): (Embrey et al., 1984)
Alguns exemplos de modelos ACH de segunda geração.
 Simulador de ambiente cognitivo (CES): Woods et al. (1988), Hollnagel (1998)
 Sistema de árvore de eventos cognitivos (COGENT): Gertman et al. (1992;
1993), Hollnagel (1998)
 Uma técnica para análise de eventos causados pelo homem (ATHEANA):
Cooper et al. (1996), Hollnagel (1998)
 Método de análise de erros e confiabilidade cognitive (CREAM): Hollnagel
(1998), Kim (2001).
14
A seguir encontra-se descrição e detalhes das metodologias estudadas para o
desenvolvimento deste estudo.

2.1 CONFIABILIDADE HUMANA

A visão da engenharia sobre a segurança tradicional relaciona os acidentes e


os erros humanos sendo estes as principais causas quando comparadas a falhas no
sistema. Geralmente estes erros são associados a falta de motivação para o
comportamento seguro, a falta de disciplina ou de conhecimento, que levam aos
atos inseguros, e se combinados com situações inseguras, provocam os grandes
acidentes. A origem desta tendência está na teoria da propensão do acidente que
demonstra que um pequeno grupo de indivíduos foi responsável pela maioria dos
acidentes (Shaw e Sichel, 1971).
Outro elemento que contribui para a responsabilidade individual é a dimensão
da investigação da maioria dos acidentes que geralmente está preocupada em
atribuir a culpa para indivíduos como uma forma de compensação ao invés de
identificar as possíveis causas de erro do sistema.
A perspectiva tradicional de prevenção de acidentes consiste no controle das
condições inseguras através de métodos de eliminação da fonte ou no uso de
salvaguardas ou equipamentos de proteção. Geralmente a maioria dos recursos é
direcionada para eliminação dos atos inseguros através da motivação ou
treinamento com o intuito de mudar o comportamento do trabalhador considerando
que o comportamento inseguro ocorre devido a falta de conhecimento, ou porque a
forma correta da execução da tarefa foi esquecida. A consideração básica é que o
individuo tem a liberdade de escolha para se comportar de maneira insegura.
Esta forma de análise inibe outras causas como procedimentos, treinamentos e
design inadequados e não dá suporte para a investigação da causa raiz do acidente.
Essa conotação de culpa associada ao erro incentiva os trabalhadores a omitirem
incidentes mesmo em condições de perda do controle o que implica em poucas
melhorias nas condições de indução ao erro relacionadas ao feedback dos gerentes
e engenheiros aos operadores.
A visão tradicional tem sido amplamente utilizada pela área de segurança
ocupacional uma vez que dados estatísticos das lesões das pessoas são
rapidamente obtidos. Tais acidentes são tratados através de mudanças no
15
comportamento, pois podem ser diretamente controladas e previstas. Já nos casos
de segurança de processo, as situações não são tão claras. A utilização de controle
computacional modifica as regras do operador, e este terá de tomar decisões para
corrigir anormalidades e emergências no processo. Nesta situação, treinamentos e
condicionamentos não são suficientes para evitar comportamentos induzidos para
prevenção de acidentes. É essencial que o operador tenha flexibilidade diante de um
grande número de situações que podem não ser necessariamente previstas. Esta
flexibilidade somente será alcançada se o operador tiver suporte extensivo dos
projetistas em relação a qualidade da apresentação das informações do processo,
procedimentos de alta qualidade e treinamento efetivo.

2.1.1 A Prevenção de Acidentes do Ponto de Vista Tradicional

Segundo AICHE/CCPS, as empresas promovem campanhas de segurança


com a finalidade de levar as pessoas a pensarem ou agirem de forma segura. Estas
campanhas são baseadas na condição de pouca motivação pessoal ou na falta de
percepção do perigo. Existem pelo menos três diferentes formas de campanhas
motivacionais como pôsteres, filmes e prêmios.
Os pôsteres podem ser de quatro tipos distintos: apelativos em relação a
percepção geral do perigo, podem conter avisos ou informações para perigos
específicos, expor informações como por exemplo leis e induzir através do medo.
Filmes geralmente possuem o mesmo conteúdo dos pôsteres, sendo de curta
duração e utilizados durante os treinamentos. Muitas empresas utilizam os prêmios
como incentivos, provocando competições entre departamentos ou plantas.
A efetividade das campanhas motivacionais não é de fácil resposta. Pode ser
medida através da taxa de acidentes. Entretanto as taxas de registros de acidentes
variam de acordo com a realização ou não dos registros dos eventos. A campanha
pode reduzir o desejo do grupo de registrar um acidente ao invés de reduzir
significativamente a ocorrência dos acidentes e incidentes. Outra forma tradicional
de medir a efetividade é através dos indicadores de desempenho como o uso de
equipamento de proteção individual.
Segundo AICHE/CCPS, outra forma de prevenção de acidentes são as
auditorias dos sistemas de gerenciamento de segurança que possuem um conceito
muito útil e um alto grau de validação para a segurança ocupacional. É utilizado para
identificação de problemas óbvios nas áreas e de perigos da planta e para indicar
16
onde as estratégias para redução dos erros são necessárias. A auditoria pode
indicar um maior comprometimento da força de trabalho com a segurança além de
promover a comunicação mais aberta dos problemas das áreas entre supervisores e
gerentes
Promovem-se também treinamentos que são de extrema importância para
redução das falhas humanas particularmente nas tarefas específicas. Entretanto, as
organizações lidam o problema do erro humano através de treinamentos e os
departamentos de treinamentos se tornaram setores criados devido a fatores de mal
design ou gerenciamento ruim.

2.1.2 A Engenharia dos Fatores Humanos e Ergonômicos

Segundo AICHE/CCPS, a engenharia de fatores humanos tem o objetivo de


aperfeiçoar as relações dos indivíduos nos sistemas máquina-homem. Destacou-se
durante e após a II Guerra Mundial. Nesta época perdiam-se mais aviões por erros
humanos do que por ação do inimigo e ficou demonstrado a grande necessidade de
se considerar fatores humanos com mesmo nível de importância de hardwares.
Segundo AICHE/CCPS, as necessidades práticas dos sistemas militares e
espaciais focam na interface homem-máquina com ênfase nas informações da tela e
no design do controle para minimização dos erros. Os modelos predominantes
naquela época, chamado de comportamental (“behaviorism”) não consideravam o
processo do pensamento e outras características humanas e tinham objetivo apenas
nas entradas e saídas do sistema. Esses sistemas militares possuíam
procedimentos rígidos e não exigiam níveis elevados de habilidade como uma
tomada de decisão ou solução de problemas.
Segundo AICHE/CCPS, a partir de 1960 houve um grande interesse na
questão psicológica. Estudos de carga de trabalho mental foram desenvolvidos
demonstrando-se a capacidade dos humanos de lidar com níveis extremamente
elevados de informações em situações como controle de tráfego aéreo. Outros
estudos como de vigilâncias demonstraram o comportamento do homem em
situações de baixo nível de estímulo como monitoramento de radares representando
o extremo oposto do desempenho humano.
Segundo AICHE/CCPS, este conceito do ser humano como um processador de
canal único da informação foi útil para demonstrar a necessidade do design dos
sistemas levarem em consideração as capacidades e limitações humanas.
17
Entretanto, não consideram questões como o significado do trabalho para as
pessoas, suas intenções, e tópicos como solução de problemas, tomadas de
decisões e diagnósticos.
Segundo AICHE/CCPS, o erro, do ponto de vista da engenharia dos fatores
humanos, é a conseqüência da imprecisão entre as demandas da tarefa e a
capacidade psíquica e mental do indivíduo ou do grupo operacional. A visão básica
para redução de erros é reduzir a probabilidade do erro através da aplicação de
padrões no design para ajustar a capacidade humana e a demanda da tarefa. A
interface homem-máquina é o foco de interesse da engenharia dos fatores humanos
e ergonômicos.

2.1.2.1 Relação do Erro Humano e a Interface Homem- Máquina

Os erros humanos podem ter origem nos estágios de percepção, tomada de


decisão e ação de controle. A informação pode ser adquirida através da percepção
por diversas vias sensoriais. Podem ser obtidas pela observação do comportamento
dos registros gráficos, telas da unidade visual na sala de controle, comunicação com
os operadores de área, ou observação direta das variáveis do processo.
Segundo RASMUSSEN, durante o estágio sensorial pode haver muitas fontes
de informação e o operador pode ser incapaz de verificar todas elas no tempo
disponível. A informação pode não ser distinguida de imediato devido a sua
incerteza ou não pode ser separada de outras informações semelhantes do
processo. A informação da entrada sensorial é interpretada de acordo com o modelo
mental do processo, que está armazenado na memória de longo prazo e é uma
representação interna do processo e sua dinâmica, que serão utilizados para a
tomada de decisão. Este modelo é construído com base na experiência do
trabalhador na operação da planta onde ele adquire uma sensação intuitiva dos
efeitos das várias ações de controle. Entretanto, se o modelo é baseado somente na
experiência do operador durante condições operacionais normais, podem ocorrer
erros diante de operações anormais onde o modelo não se aplica.
Segundo RASMUSSEN, no estágio de tomada de decisão, as informações do
processo são utilizadas com a memória de trabalho do indivíduo em conjunto com o
modelo mental de longo prazo para se decidir qual a melhor ação a ser tomada. A
tradução entre o estado atual do sistema e o modelo mental é mais facilmente
compreendida através de diagramas esquemáticos e da disponibilidade de sistemas
18
visuais organizados hierarquicamente que reduzem a carga de processamento de
informação envolvido na tradução das informações visuais da planta em
representações mentais internas do processo.
Segundo WICKENS, a tomada de decisão pode envolver cálculos, referências
a procedimentos e experiências passadas e outros tópicos da memória de longo
prazo, e tudo isso contribui para a carga do trabalho mental. As demandas do
processamento da informação podem ser reduzidas através da previsão da
informação na forma de auxiliadores do trabalho como diagramas de bloco ou
árvores de decisão.
A última etapa do processamento da informação consiste na seleção e
execução da ação de controle. Segundo Wickens, o número de alternativas das
estratégias de controle, as características físicas do controle a ser operado e a
familiaridade com a ação de controle influenciam na complexidade da seleção do
processo.
Segundo AICHE/CCPS, para se minimizar os erros é importante que a pessoa
esteja capacidade mentalmente para suportar a carga mental do trabalho. Se a
carga exceder sua capacidade de forma moderada, o indivíduo é capaz de utilizar a
memória de curto prazo através de estratégias para manter o desempenho.
Entretanto, tais estratégias envolvem elementos de tomada de decisão que
aumentam os desafios psicológicos. Em níveis elevados de carga mental de
trabalho, mesmo que se utilizando de estratégias adequadas, os erros tendem a
aumentar. Nestas situações o processamento da informação baseado no
conhecimento que demanda recursos mentais consideráveis são requeridos para
diagnosticar os possíveis erros que podem ocorrer.
A Interface Homem-Máquina (adaptado de Wickens, 1984) está apresentada e
descrita no Apêndice A.

2.1.3 Solução Típica para o Erro Humano

Segundo AICHE/CCPS, a sugestão mais comum para se evitar o erro humano


é a automatização da planta substituindo o controle manual do operador por
acessórios automáticos e computadores. Esse cenário demonstra uma alocação da
função, onde o operador que controlava diretamente o processo passa a ser um
monitor do sistema de controle baseado no computador. A visão da engenharia é
automatizar todas as funções que são tecnicamente viáveis de serem controladas
19
por sistemas automáticos, porém, surgem alguns problemas associados como
confiabilidade dos controladores, características das matérias-primas, dentre outros
que podem dificultar o projeto de um sistema automático.
Segundo AICHE/CCPS, os sistemas automáticos requerem monitoramento do
operador que em algumas situações deve assumir o controle. Entretanto, as
habilidades manuais se deterioram quando não são utilizadas regularmente. O
operador deve possuir um conhecimento necessário para lidar com as falhas do
sistema automático, diagnosticando o problema e tomando a devida ação. Essas
habilidades cognitivas, como tomada de decisão, solução de problemas, necessitam
ser praticadas regularmente para manter o conhecimento na memória. Os melhores
métodos para se desenvolver a capacidade cognitiva são através da experiência e
não através de métodos tradicionais de ensino de sala de aula.
Segundo AICHE/CCPS, o monitoramento do operador sobre sistema
automático pode ser denominado de tarefa de vigilância. Nesta tarefa, o operador
necessita ter um modelo do estado da planta de processo adequado para poder ter
um bom diagnóstico no caso da falha do sistema de controle automático. Esse
modelo mental leva tempo para ser construído e numa necessidade de ação rápida,
o operador pode tomar a decisão errada.

2.1.4 O Erro Humano da Perspectiva Cognitiva

Segundo HOLLNAGEL, a perspectiva cognitiva serve como base para a


previsão e classificação dos erros das operações nas indústrias químicas de
processo. A base para se organizar os tipos de erros semelhantes depende do
sistema de classificação dos mesmos. É essencial que tal classificação seja eficiente
a fim de se agregar dados relevantes para se compreender melhor os erros,
identificar os tipos de erros mais comuns, ou para o desenvolvimento de uma base
de dados quantitativa das suas freqüências.
Segundo AICHE/CCPS, a perspectiva clássica utiliza consideravelmente
sistemas de classificação em termos de suas características externas, denominado
de modo de erro externo como, por exemplo, ação omitida, ação tardia, ação em
ordem errada. Observa-se que está teoria não foi desenvolvida considerando que a
forma externa do erro não está relacionada com os processos mentais que levaram
ao erro. Essa forma não permite que os erros sejam classificados de uma forma
20
sistemática porque os modos de erros externos possuem um grande número de
causas totalmente diferentes.
Exemplo: Considere que um operador cometeu um erro fechando a válvula B
ao invés da válvula A que é a ação requerida no procedimento. As válvulas A e B
estão próximas uma da outra.
A análise do erro da perspectiva dos fatores humanos e ergonômicos seria
generalizada por ação errada.
A análise do erro da visão cognitiva lista pelo menos cinco causas para este
erro:
• Identificação errada da válvula devido a falta de familiaridade ocasionando a
intenção errada (com a identificação errada, o operador fechou a válvula
errada). As válvulas estão próximas e poderiam estar sem identificação ou
com a mesma deficiente. O operador pode não estar familiarizado com o
posicionamento das válvulas e pode escolher a válvula errada.
• Falha na comunicação ocasionando uma intenção errada. O operador pode
não ter ouvido corretamente a instrução que recebeu do supervisor e concluiu
que a válvula B que deveria ser fechada.
• Execução errada da ação. Devido a proximidade das válvulas, embora o
operador tivesse a intenção de fechar a válvula A, ele inadvertidamente
fechou a válvula B.
• Influência da rotina e distração externa. Como o operador frequentemente
poderia ter a ação de fechar a válvula B rotineiramente, ele poderia saber que
teria que fechar a válvula A, mas se distraiu e fechou a válvula B.
• Violação resultada de uma informação errada e cultura informal da companhia
em se concentrar na produção ao invés da segurança (intenção errada). O
operador poderia saber que a válvula A deveria ser fechada, entretanto
acreditava, apesar de contrariar as instruções operacionais, que fechando a
válvula B, tinha um efeito similar ao fechar a válvula A.
É evidente que a análise do erro na visão do modo externo não esclarece tanto
quanto a visão cognitiva. Se há necessidade de se desenvolver medidas para
redução dos erros devem-se avaliar exaustivamente os tipos específicos de erros
que podem ocorrer diante das diversas condições específicas.
21
2.1.4.1 Classificação do erro humano na perspectiva cognitiva

Segundo REASON, a classificação das formas do erro humano é dada a seguir


na Figura 2.1. Os deslizes e lapsos são erros cuja intenção é correta, mas ocorre
uma falha na execução das atividades requeridas. Já os enganos ocorrem quando a
intenção é incorreta que leva as seqüências de ações incorretas.
Segundo AICHE/CCPS, os erros devido a deslizes estão na categoria baseada
na habilidade e correspondem a erros de aplicação da competência em atividades
rotineiras envolvendo trabalhadores habilidosos. As categorias baseadas na
habilidade não demandam muito controle da consciência o que torna as distrações
potenciais fontes de erros. Diferentemente, os enganos são erros baseados nas
regras e conhecimentos. Os erros baseados nas regras podem surgir de
diagnósticos incorretos que levam as ações incorretas. No caso de erros baseados
no conhecimento, estes dependem de outros fatores como estresse, situação não
familiar, rotinas e procedimentos. Nesta situação o individuo não terá regras para
lidar com o desvio e suas características comportamentais serão essenciais para a
solução do problema.

Figura 2.1 – Classificação do erro humano


Fonte: (Reason, 1990) adaptado
22
2.1.4.2 Modelo de “Escada Portátil”

O modelo de desempenho humano demonstra os vários estágios que um


operador passa durante a realização do controle de um distúrbio do processo. Este
modelo foi desenvolvido por Rasmussen, 1986 e é conhecido como modelo de
“Escada Portátil” e pode ser visualizado na Figura 2.2.

Figura 2.2 – Modelo de Tomada de Decisão que inclui feedback


Fonte: (Rasmussen, 1986) adaptado

Conforme RASMUSSEN observa-se que após o sinal de alerta do sistema, se


a situação é imediatamente conhecida uma resposta automática é executada no
modo baseado na habilidade. Caso o problema não seja evidente, talvez seja
necessário passar para o nível baseado na regra identificando o estado da planta.
Se o diagnóstico for conhecido, pode-se selecionar a resposta apropriada baseada
na regra de ação e o controle retorna para o nível baseado na habilidade. O último
nível baseado no conhecimento será alcançado caso o problema não seja resolvido
no estágio da regra e funções mais complexas como avaliação e planejamento
deverão ser utilizadas. É de extrema importância sempre observar os feedbacks do
sistema para se certificar que as atividades corretas estão sendo realizadas.
23
2.1.5 Performance Influencing Factors (PIF)

Segundo EMBREY, PIF (Performance Influencing Factors) são fatores que


determinam a freqüência do erro ou do desempenho da eficiência humana e não
devem ser diretamente associados com o erro humano. Estes fatores podem ser
representados pela qualidade dos procedimentos, o nível do stress associado ao
tempo, a efetividade do treinamento. Fazendo uma analogia com os hardwares, os
PIFs corresponderiam aos fatores de design, operacionais e de manutenção que
influenciam na confiabilidade do equipamento. Entretanto as variáveis que
influenciam o desempenho humano são muito mais numerosas que os parâmetros
de hardware o que torna o estudo da confiabilidade humana menos previsível.
Os fatores são utilizados principalmente em aplicações como auditoria de uma
planta existente para identificação de problemas de área de forma pró ativa para
redução de erros. Pode ser utilizado como parte do processo para investigação de
incidentes, em estudos de avaliação de riscos para análise de aspectos da
confiabilidade humana de forma qualitativa para previsão de possíveis erros e na
avaliação das condições operacionais das atividades. Nestas análises, deve-se
avaliar a situação numa escala numérica.
Segundo EMBREY, a estrutura de classificação dos PIFs é baseada no modelo
de desequilíbrio entre demandas e recursos. As demandas representam os
requerimentos para desempenho humano que surgem das características do
ambiente de processo e da natureza da capacidade humana para satisfazer as
demandas que são controladas pelos recursos de pessoas e pela eficiência do
design. Quando a demanda é maior que os recursos, erros são esperados.
Segundo AICHE/CCPS, as demandas e os recursos são influenciados pela
política de gerenciamento. A fim de se assegurar alocações corretas da função entre
homem e máquina, as capacidades humanas devem ser ajustadas para atenderem
as demandas e os recursos podem ser maximizados através da otimização dos PIFs
que podem ser classificados em três categorias relacionando as demandas,
recursos e políticas.
A Tabela 2.1 demonstra uma possível divisão dos itens, segundo
AICHE/CCPS, que classificam os fatores influenciadores de desempenho.
24
Tabela 2.1 – Estrutura de classificação dos PIFs
Grupo Categoria Intermediária Categorias Específicas
Frequência do envolvimento pessoal
Complexidade dos eventos de processo
Ambiente do Processo Químico Percepção do perigo
Dependência do tempo
Eventos súbitos
Ambiente
Ruído
Operacional
Iluminação
Ambiente do Trabalho Físico
Condições térmicas
Condições atmosféricas
Turno e descansos
Regime do Trabalho
Regime dos turnos e trabalhos noturnos
Local/acesso
Design do Equipamento Identificação
Equipamentos de Proteção Individual
Conteúdo e relevância da informação
Identificação dos displays e controles
Design do Painel de Controle Compatibilidade com as expectativas dos usuários
Grupo da informação
Visão da informações críticas e alarmes
Clareza das intruções
Característi
Nível da descrição
cas da
Tarefa Especificação das condições de entrada/saída
Auxiliadores de Trabalho e
Qualidade das verificações e avisos
Procedimentos
Grau do suporte do diagnóstico de falha
Compatibilidade com a experiência operacional
Frequência das atualizações
Conflitos entre segurança e requerimentos da produção
Treinamento na utilização de equipamentos novos
Treinamento Práticas com situações não familiares
Treinamento na utilização de procedimentos de emergência
Treinamento em trabalhos com sistemas automáticos
Grau de habilidade
Experiência
Experiência com eventos de processo stressantes
Motivação
Característi Assumidor de riscos
cas do Teoria da homeostasi de risco
Operador Fatores de Personalidade
Controle do loco
Controle emocional
Tipo "A" vs. Tipo "B"
Condição Física e Idade -
Distribuição da carga de trabalho
Clareza das responsabilidades
Trabalho em Equipe e
Comunicações
Fatores Comunicações
Autoridade e liderança
Organizacio
Planejamento e organização do grupo
nais e
Sociais Comprometimento da gerência
Perigos da cultura "regra do livro"
Políticas de Gerenciamento
Excesso de confiança nos métodos técnicos de segurança
Aprendizado organizacional
25
Nas indústrias de processo, o trabalhador está sujeito a um combinação dos
diferentes PIFs listados anteriormente. Importante observar que os PIFs não estão
apenas associados a erros humanos mas também podem colaborar de forma
positiva para o indivíduo. O melhor desempenho do trabalhador será atingido
quando todos os fatores relevantes a uma situação particular forem eficazes. Os
PIFs interagem entre eles de forma complexa.
Segundo AICHE/CCPS, os PIFs podem ser negativos em condições adversas,
por exemplo, durante situações de emergência onde o operador atua sob pressão
para adquirir informações, interpretá-las e tomar as decisões corretas antes da
ocorrência de conseqüências sérias. A emergência se caracteriza por ter um
ambiente de alto risco, alta dependência do tempo, alta carga de tarefa e
complexidade, condições de processo não-habituais, alto nível de ruído devido aos
alarmes e longas jornadas para execução da tarefa. Nestas situações, o trabalhador
pode ter dificuldades na solução de um problema e seu pensamento pode estar
polarizado o que o torna mais vulnerável ao erro.
Segundo AICHE/CCPS, os primeiros sintomas de estresse dos operadores
surgem diante da relação entre os fatores estressantes e utilização dos recursos
disponíveis. Fatores estressantes estão principalmente associados ao ambiente
operacional, podendo ser externos tais como deficiências nos procedimentos,
treinamentos, problemas na área do grupo de trabalho e gerenciamento da
segurança e internos como sobrecarga do operador, conflitos entre requisitos de
produção e segurança, ambigüidade nas regras dos operadores, deficiência na
comunicação e coordenação da equipe. O impacto na confiabilidade humana pode
ser negativo e diante de uma situação de emergência, os operadores podem estar
sob grande carga de estresse quando notarem que os recursos são insuficientes.
O estudo de Kontogiannis e Lucas (1990) demonstra uma classificação do
fenômeno cognitivo que ocorre sob estresse baseada em números de casos de
diversos setores industriais. O fenômeno cognitivo ilustra de uma forma prática como
o mecanismo psicológico pode ocasionar erros sob estresse. Estes fenômenos que
são únicos de cada indivíduo e caracterizam as diferenças de desempenho durante
situações de emergência explicam porque os PIFs variam nessas situações. A
Tabela 2.2 apresenta estes fenômenos.
26

Tabela 2.2 – Fenômenos Individuais e Cognitivos sob Estresse (Kontogiannis e Lucas, 1990)
Fenômeno Peculiaridades
A pessoa deixa de focar sua atenção em atos ameaçadores deixando de prestar
Evitar como ato
atenção nos perigos através da realização de outras atividades para se distrair. Outra
defensivo
forma é passar a atividade para outra pessoa tomar a decisão.
Conformidade do grupo Tendência do grupo de proteger seu consenso pressionando aqueles que discordam
consolidada e mostrando informações que "quebram" a complacência do grupo.
Indivíduos tendem a assumir riscos "maiores" quando trabalham em grupo do que
sozinhos. Possíveis explicações: ilusão que o controle do sistema é invulnerável,
Assumidor de risco
difusão da responsabilidade de problemas potenciais, presença de pessoas
aumenta
persuasivas que assumem posições de risco e o aumento da familiaridade do
problema através de discussões.
Grupos sob estresse procuram se concentrar em explicações de fatos que já foram
Vivenciar o passado
anulados por eventos recentes.
Tendência de assumir o
Pessoas tendem a tentar controlar a situação ao invés de delegar responsabilidades.
controle da situação
Adotar estratégia Como a crise se torna mais crítica, as pessoas ficam mais relutantes diante de
"esperar para ver" tomada de decisões imediatas e esperam para obter informações redundantes.
Paralisia mental Incapacitação em curto prazo da capacidade do uso da informação disponível.
temporária Mudança repentina da sob para supra estimulação em tempos de crise.
Concentração reduzida
em curto espaço de Capacidade de prestar atenção é reduzida com o estresse.
tempo
Conhecida como hipótese da "ancoragem". O operador tende a procurar informações
"Visão de túnel"
que confirmem a hipótese formulada inicialmente sobre o estado de processo e
cognitiva
desconsidera a informação que não confirma a hipótese.
Rigidez da solução do Tendência de se utilizar as soluções "fora da prateleira" que não são
problema necessariamente as mais eficientes.
Polarização do Tendência de explicar o problema através de uma única causa global ao invés de
pensamento causas combinadas.
Temática de "vagabundo" ocorre quando os pensamentos das pessoas "voam" nas
Formato de "cisto" e
questões, tratando-as superficialmente. Formato de "cisto" ocorre quando tópicos
temática de
desnecessários prevalecem com excesso ou falta de detalhes enquanto que assuntos
"vagabundo"
importantes são desconsiderados.
Estereótipo assumidor Reversão para uma forma de comportamento de modo habitual ou pré-programado
do controle derivado de experiências do passado com uma situação similar.
Pânico ocorre levando ruptura da linha de pensamento da pessoa. Uma pessoa pode
Vigilância excessiva falhar ao reconhecer todas as alternativas abertas a ele e se trancar apressadamente
numa oferta que parece ser uma solução imediata.

2.1.6 Categorias das aplicações de acordo com a visão SRK (Skill-, Rule- and
Knowledge-based Behaviour)

Segundo AICHE/CCPS, a visão cognitiva é de grande valor ao prover relações


entre o trabalho cognitivo dos psicólogos e as preocupações práticas dos
engenheiros nas indústrias de processo. Algumas aplicações que representam essa
relação foram desenvolvidas como estratégias de design para redução dos erros,
previsão dos erros para análise de segurança e identificação da causa-raiz dos erros
nas análises de acidentes. Essas aplicações requerem categorização das tarefas de
27
acordo com a visão SRK (Skill-, Rule- and Knowledge-based Behaviour), e esse
processo está demonstrado, de forma simplificada, na Figura 2.3

Figura 2.3 – Diagrama para classificação dos processos SRK


Fonte: AICHE/CCPS

As tarefas devem ser classificadas como uma tendência para determinada


categoria, pois nunca estarão exatamente numa única categoria. Uma tarefa
classificada como predominantemente baseada na habilidade tem diversas
implicações nas propostas de redução do erro.
Segundo AICHE/CCPS, os treinamentos devem focar os aspectos práticos da
tarefa com freqüentes feedbacks para garantir que as ações estão sendo
executadas de forma não consciente. Em relação a procedimentos, os mesmos não
devem ser desenvolvidos extensivamente detalhando-se cada passo porque as
ações baseadas na habilidade são executadas automaticamente. As formas mais
apropriadas para facilitar o trabalho são através da utilização de checklists
28
especificando o início de cada seqüência de ações com alguns pontos específicos
para checar se cada atividade foi corretamente executada.
O modelo SRK pode ser usado para eliminação de erros com sérias
conseqüências antes que os mesmos ocorram. A partir das análises de previsão de
erros, podem-se melhorar os procedimentos, treinamentos e design de
equipamentos reduzindo-se a freqüência de ocorrência dos erros para níveis
aceitáveis.
A análise da causa-raiz dos erros nas análises de acidentes pode ser
desenvolvida de forma pró-ativa através do modelo SRK com o desenvolvimento do
modelo de erro seqüencial. O erro observado pode ter origem de várias causas
específicas. O diagrama de blocos representado na Figura 2.4 foi desenvolvido por
Rasmussen (1981, 1986) como modelo seqüencial da cadeia causal ocasionando
um erro.

Figura 2.4 – Modelo Sequêncial da Cadeia Causal de Erros


Fonte: AICHE/CCPS (Rasmussen, 1982) adaptado

Segundo RASMUSSEN, o modelo basicamente identifica os diversos


processos que interferem entre o evento iniciador e a forma observada externa do
erro (modo de erro externo). A consequência deste erro é incerta, dependendo de
diversos fatores. Os modos de erros internos são intrínsecos da tendência do erro e
representa os diversos momentos em que o individuo atua.

2.1.7 Generic Error-Modelling System (GEMS)

O GEMS (Generic Error-Modelling System) foi desenvolvido para


complementar a visão do SRK e foi descrito detalhadamente por Reason (1990). O
29
objetivo é descrever como ocorre a transição entre os diferentes modos SRK nas
tarefas da indústria química de processo.
A Figura 2.5 representa a dinâmica do modelo GEMS desenvolvido por
Reason.

Figura 2.5 – Dinâmica do sistema do modelo do erro genérico (GEMS)


Fonte: (Reason, 1990) adaptado

O primeiro nível representa a execução de uma série de rotinas operacionais


em que o operador tem muita prática e executa as tarefas de forma automática
(nível baseado na habilidade) monitorando os pontos indicados por pelo losango
verde. Se num destes pontos, houver algum problema, por exemplo, através de
alarmes, o trabalhador passará para o nível baseado na regra a fim de se determinar
a natureza do problema. Nesta etapa o operador talvez precise coletar informações
de várias fontes como registros gráficos, telas para poder realizar o diagnóstico
correto obtendo-se as possíveis causas e posteriormente tomar a apropriada ação.
30
Se após a execução da ação, não houver mais problemas, o operador
retornará ao estado original da seqüência baseada na habilidade. Caso o problema
não esteja solucionado, o operador deverá coletar mais informações para tentar
identificar os sintomas relacionados as possíveis causas conhecidas.
Caso o problema não seja resolvido após a aplicação das regras
(procedimentos) disponíveis, o trabalhador deverá passar para o nível baseado no
conhecimento. A primeira etapa neste nível é tentar encontrar uma analogia entre a
situação não familiar com a lista de eventos em que as regras estão disponíveis no
nível baseado na regra. Se houver relação entre este novo diagnóstico e a regra, o
operador retornará para o nível baseado na regra. Entretanto, se não for encontrado
uma analogia semelhante, será necessário recorrer ao conhecimento da engenharia
para lidar com a situação.

2.1.8 Perspectiva sócio-técnica

Segundo EMBREY, esta perspectiva surgiu com a percepção de que o


desempenho humano em níveis operacionais não poderia estar desassociado dos
fatores culturais, sociais e políticas de gerenciamento da empresa. A visão do
sistema é de cima para baixo, ou seja, deve começar da alta gerência e devem-se
levar em consideração as implicações das políticas de gerenciamento a todos os
níveis da organização, principalmente relacionadas ao sistema de segurança,
qualidade e produtividade.
Segundo EMBREY, os piores acidentes ocorrem devido a uma combinação de
erros ativos, falhas latentes e cultura inapropriada. É necessário ir além das causas
diretas dos erros, investigando as falhas gerenciais que podem afetar negativamente
os fatores influenciadores de desempenho a nível operacional. A política de
gerenciamento pode influenciar a freqüência dos erros através de sua relação com a
cultura organizacional da empresa.

2.1.8.1 Human Factor Analysis Methodology (HFAM)

As primeiras descrições desta metodologia foram desenvolvidas por


Pennycook e Embrey (1993) e se baseia no conceito de sistemas induzidos a erros
onde o controle do erro deve ser realizado através de melhorias no ambiente ou no
sistema de gerenciamento e não diretamente na mudança do comportamento. A
31
análise dos fatores humanos é desenvolvida através de uma série de questões
obtendo-se um diagnóstico através de uma pontuação.
A Tabela 2.3 mostra os fatores utilizados na análise HFAM (Human Factor
Analysis Methodology) conforme Embrey. Esses fatores são avaliados nos diversos
níveis de profundidade e dependem das deficiências encontradas em cada resposta.
O processo para solução dos problemas encontrados não serão tratados nas
deficiências específicas encontradas no nível operacional por exemplo, mas serão
consideradas mudanças na política de gerenciamento.

Tabela 2.3 –Fatores Humanos para HFAM


Fatores de Nível Gerencial Fatores Genéricos de Nível Fatores Específicos do
Operacional Trabalho de Nível
Operacional
1. Prioridades de segurança 8. Gerenciamento do processo 18. Sistemas baseado em
2. Grau de participação 9. Design e planejamento do computadores
3. Efetividade da comunicação trabalho 19. Design do painel de
4. Efetividade da investigação 10. Segurança do trabalho controle
do incidente 11. Plano de resposta a 20. Local do trabalho
5. Efetividade do sistema de emergência 21. Manutenção
desenvolvimento de 12. Treinamento
procedimentos 13. Fatores de grupo de
6. Efetividade do sistema de trabalho
treinamento 14. Padrão de trabalho
7. Efetividade da política de 15. Fatores de estresse
design 16. Fatores individuais
17. Ferramentas e
procedimentos de trabalho

2.2 TOMADA DE DECISÃO

Segundo AICHE/CCPS, a Tomada de Decisão é conceitualmente associada a:


a) Princípios de avaliação econômica, que considera o valor do dinheiro
relacionado a investimentos e pagamentos.
b) Regras de decisão, relacionadas aos critérios da empresa.
c) Externalidades, representando os efeitos secundários indiretos da ação.
d) Valores da vida, incertezas e análise de risco.
Segundo AICHE/CCPS, decisões de negócios, que envolvem riscos de
processo, se tornaram mais complexas e críticas. Assim, e para garantir o sucesso
da indústria na escolha das melhores decisões, algumas ferramentas e métodos
foram desenvolvidos para dar suporte aos tomadores de decisões.
Historicamente, a tomada de decisão é diretamente relacionada com a
avaliação dos riscos, baseada em padrões, experiências e boas práticas de
32
engenharia sem a necessidade de um processo de decisão formal. Este estudo
aborda riscos relacionados a eventos com efeitos físicos agudos como incêndios,
explosões, liberações de gases tóxicos, dentre outros.
Normalmente as indústrias de processo utilizam critérios quantitativos
associados a segurança para avaliação do risco. Este critério pode ser definido por
órgãos governamentais que especificam os limites para riscos individuais e sociais,
acima dos quais não são toleráveis.
O gerenciamento do risco é de responsabilidade dos gerentes e o primeiro
passo consiste na identificação dos perigos e avaliação dos riscos estabelecendo as
possíveis ameaças as pessoas, propriedade ou ao meio ambiente. Dependendo do
nível do risco, algumas decisões devem ser tomadas para reduzir ou eliminá-lo
priorizando aqueles de níveis mais altos. Entretanto, nenhuma empresa possui
recursos infinitos disponíveis para investir neste controle que é um processo
repetitivo de tomada de decisão que pode se tornar complexo quando demandam
grandes investimentos. Nestes casos, deve-se assegurar que os recursos serão
utilizados de forma efetiva através de justificativas lógicas e consistentes.

2.2.1 Processo de Decisão

Segundo AICHE/CCPS, o processo da tomada de decisão é complexo


possuindo um grande número de questões inter-relacionadas e tempo-dependente.
Também é influenciado pelas incertezas dos dados, confiabilidade, custo, tempo e
visibilidade. Além disso, pode ter objetivos múltiplos, por exemplo, satisfazer critérios
relacionados a segurança das pessoas, proteção dos ativos, impactos ambientais,
disponibilidade do tempo e minimização dos custos. As perspectivas que dependem
das decisões das partes interessadas podem trazer diferentes valores, crenças e
opiniões interferindo na importância das diferentes questões. A forma simplificada do
processo de decisão pode ser visualizada, na Figura 2.6..
Problema

Estimativa e Determinação Identificar e


Definição do Analisar o Tomada de
Avaliação do das ações Analisar as
Problema Problema Decisão
Risco necessárias Alternativas

Figura 2.6 – Processo de Decisão de Risco


Fonte: AICHE/CCPS
33

É importante destacar que a escolha da ferramenta de decisão deve ser


realizada baseada nas necessidades da organização. Alguns aspectos que
influenciam esta escolha são: disponibilidade de recursos, complexidade do
problema, importância da decisão, envolvimento do grupo e necessidade de
quantificação. Do ponto de vista das ferramentas, elas se diferenciam principalmente
em termos de recursos requeridos, complexidade da análise, rigor lógico, foco do
grupo, capacidade de quantificação e de registro.

2.3 ACIDENTE DA FORMOSA PLASTICS CORP. PLANTA DE PVC –


ILLIOPOLIS, ILLINOIS

Toda a descrição do acidente foi extraída e resumida do relatório de


investigação “Investigation Report – Vinyl Chloride Monomer Explosion” publicado
em março de 2007 pela U.S. CHEMICAL SAFETY AND HAZARD INVESTIGATION
BOARD – CSB e está apresentada no APÊNDICE B.
34

3 MATERIAIS E MÉTODOS

Neste item estão apresentados os detalhes dos materiais e métodos que foram
considerados e utilizados para o desenvolvimento da avaliação do acidente da
Formosa-IL ocorrida em 2003. A descrição simplificada do relatório de investigação
pode ser encontrada no APÊNDICE B. O lay-out da instalação da Formosa-IL pode
ser observado na Figura 3.1.

Figura 3.1 – Lay-out da planta de Formosa-IL


(fonte: “Investigation Report – Vinyl Chloride Monomer Explosion” – CSB)

3.1 METODOLOGIA UTILIZADA (PASSO A PASSO)

A metodologia ACH utilizada neste estudo pode ser observada na Figura 3.2 –
SPEARFigura 3.2 a seguir.

Figura 3.2 – SPEAR


Fonte: AICHE/CCPS
35
1. A primeira etapa da metodologia de Avaliação de Confiabilidade Humana
consistiu nas Análises gerais e identificação das interações humanas. A atividade
crítica já identificada pela CSB foi a atividade de limpeza dos reatores.
Normalmente, diante de uma instalação, devem-se obter estas informações das
atividades mais críticas da operação e manutenção diretamente com a equipe
operacional através do desenvolvimento de reuniões que estimulem um diálogo
transparente sobre as atividades realizadas na indústria.

2. A segunda fase consistiu da aplicação da metodologia SPEAR (Systems for


Predicting Human Error and Recovery), cujo primeiro item foi a Análise da tarefa. Foi
utilizada a técnica de ação orientada HTA (Hierarchical Task Analysis) na forma de
organograma e na forma tabular para representação da atividade de limpeza do
reator. Optou-se pela utilização dessa técnica devido a limitação das informações
sobre o acidente, uma vez que para a utilização de técnicas cognitivas como a
CADET (Critical Action and Decision Evaluation Technique) e a IMAS (Influence
Modelling and Assessment Systems) seria necessário uma quantidade muito maior
de informações sobre a operação de limpeza do reator.

a. A etapa de análise dos PIFs foi desenvolvida conforme Tabela 2.1.


b. As três últimas etapas do SPEAR foram elaboradas conforme a
metodologia PHEA (Predictive Human Error Analysis) que obteve os
resultados de forma tabular mantendo uma associação lógica entre os
tipos de erros humanos, suas conseqüências e medidas de redução de
risco.

3. A terceira etapa constituiu da representação do acidente da Formosa-IL.


Primeiramente foi elaborada a representação através de AAF e outra representação
através de IDA ((Influence Diagram Analysis).

4. Na última fase de quantificação foi utilizada a metodologia HEART (Human


Error Assessment and Reduction Technique) para estimativa da probabilidade do
erro humano e quantificação da AAF e o Método de Pontuação Ponderada para
quantificação da IDA.
36
3.2 CONFIABILIDADE HUMANA

3.2.1 Métodos Analíticos

3.2.1.1 Análise da Tarefa

Segundo EMBREY, a análise de tarefa pode ser utilizada de forma ampla


englobando uma grande variedade de técnicas de fatores humanos. Pode ser
aplicado com a finalidade de eliminar as condições que levam aos erros durante o
desenvolvimento do projeto ou para assegurar que a nova configuração não induzirá
aos erros. Há duas vertentes, uma orientada na ação e outra na visão cognitiva. A
primeira proporciona uma descrição dos aspectos observáveis do comportamento do
operador com algumas indicações da estrutura da tarefa. Já a visão cognitiva tem o
foco no processo mental que constituem a base do comportamento observado.
Segundo AICHE/CCPS, o método é muito eficiente para auxiliar no
desenvolvimento de procedimentos operacionais para se atingir o objetivo da tarefa.
Nas plantas de processo, procedimentos operacionais inadequados ou
desatualizados são fontes para gerar discrepâncias entre as diversas formas que os
operadores de diferentes turnos executam uma tarefa.
Segundo KIRWAN, os resultados da análise de tarefa possuem uma grande
variedade de informações que são úteis para os métodos de previsão e prevenção
de erros. Esses resultados são os pontos de partida para a Análise do Erro Humano
que analisa com mais detalhes os aspectos que contribuem para o erro humano.
Dependendo da finalidade que será utilizada o estudo, pode-se elaborar uma
combinação entre a Análise da Tarefa e as técnicas de Análise do Erro Humano.

3.2.1.2 Técnicas de Ações Orientadas

3.2.1.2.1 Hierarchical Task Analysis (HTA)


Segundo EMBREY, a HTA (Hierarchical Task Analysis) é um método
sistemático para descrever como o trabalho é organizado para atender o objetivo
geral da tarefa. Abrange a identificação descendente, isto é, a identificação do
objetivo de cima para baixo, seguida das diversas subtarefas e as condições em que
são realizadas para atingir o objetivo. Desta forma os planejamentos mais
complexos das tarefas podem ser representados como uma hierarquia das
operações e dos planos. HTA foi desenvolvida por Annet et al. (1971) e
37
posteriormente elaborada por Duncan (1974) e Shepherd (1985) como um método
geral para representação de diversas tarefas industriais envolvendo um significativo
planejamento. Embora a técnica tenha sido desenvolvida para o treinamento do
controle de processo, foi utilizada também em outras aplicações como
desenvolvimento dos displays, procedimentos, organização do trabalho e análise do
erro humano.
HTA se baseia inicialmente no objetivo que a pessoa deve alcançar que é
desenvolvido com um conjunto de operações e de planos especificando quando
serão realizados. O plano é essencial para a análise, pois descreve as fontes de
informações que o trabalhador deve atender.
Segundo AICHE/CCPS, na elaboração de um HTA, o detalhamento da
descrição das operações em suboperações deve ser desenvolvido somente quando
necessário, pois pode ser um desperdício de tempo e de esforço. Como a descrição
é hierárquica, o analista pode optar por descrevê-la de forma geral ou específica.
Essa decisão deve estar baseada no modo de erro e nas conseqüências deste erro.
A forma de se optar em detalhar ou não a operação pode ser denominada como
regra da P x C (onde P é a probabilidade e C é o custo da conseqüência) o valor do
produto determinará a necessidade de se descrever com mais detalhes a operação
(Shepherd, 1985).
Há duas grandes desvantagens nesta avaliação:
• Ambas P e C são de difíceis determinações e necessitam de técnicas de
quantificação de freqüência de erros
• Conhecer as suboperações e as conseqüências desta falha pode ser uma
tarefa difícil se a operação for apresentada de forma genérica.
Para auxiliar na avaliação das condições da operação, P e C, utiliza-se
algumas considerações dos PIFs que fornecem uma boa indicação da freqüência e
considerações das vulnerabilidades que indicam a conseqüências.
Segundo AICHE/CCPS, o nível de detalhamento da análise depende das
diferentes finalidades do estudo, que pode ser utilizado para análise de risco,
especificação de treinamentos ou descrição de procedimentos.
Segundo AICHE/CCPS, há duas formas de apresentação, através de
diagramas e de tabelas. Os diagramas são mais fáceis de serem compreendidos
e as tabelas podem ser mais detalhadas. Aspectos da tarefa como: interface
homem-máquina, comunicação entre membros do time, características do tempo,
38
efeitos colaterais, conhecimento necessário para executar a tarefa, etc devem ser
consideradas durante a análise.
Informações necessárias para desenvolvimento de tarefas são obtidas com
os operadores, supervisores ou engenheiros através de protocolos verbais,
análise de atividades, procedimentos operacionais, procedimentos emergenciais,
registros de incidentes críticos, dentre outros.
Segundo AICHE/CCPS, é um método econômico de unir e organizar as
informações, e permite o analista focar aspectos relevantes da tarefa conforme
seu interesse, e também que objetivos funcionais de relações entre pessoal e
sistemas automáticos sejam especificados no projeto, melhora a qualidade da
descrição da tarefa pois envolve os operadores, pode ser utilizado como uma
método para análise do erro, e fornece dados para estudos quantitativos de risco.
Desvantagens segundo AICHE/CCPS: o analista precisa adquirir habilidade
para analisar a tarefa efetivamente, precisa de diversos modelos cognitivos de
performance para analisar tarefas de tomadas de decisões complexas, demanda
comprometimento, tempo e esforço dos envolvidos.
Exemplos de HTA podem ser observados na Figura 3.3 e Tabela 3.1.

Figura 3.3 – Exemplo de diagrama de HTA (Isolamento do transmissor de nível para


manutenção)
39

Tabela 3.1 – Exemplo de Tabela de HTA (Otimização de alta pressão numa coluna de
destilação)
Passo Caracterís Dependênc Funções
Entradas Saídas Feed Comunicaç Comentá
da ticas do ias da secundárias
(registros) (ações) back ão rios
Tarefa tempo tarefa , distrações

3.2.1.3 Técnicas de Análises de Tarefas Cognitivas

Buscar os processos mentais que originam os erros ao invés das formas


superficiais do erro é importante, pois demonstra uma preocupação com aspectos
operacionais que exigem elevado nível das funções mentais como diagnosticar e
solucionar problemas. Como as plantas estão cada vez mais automatizadas,
estas funções aumentam e é necessária a utilização de métodos analíticos que
podem avaliar estes aspectos de controle.
Segundo HOLLNAGEL, em situações que exigem decisões do operador
para lidar com estados anormais da planta e que não foram diagnosticadas pelos
sistemas, é necessário desenvolver sistemas de suporte e treinamentos para
garantir que a intervenção tenha sucesso. Para se atingir este objetivo deve-se
utilizar técnicas de análise da tarefa para avaliar o processo do pensamento e não
apenas as ações observadas.
Segundo AICHE/CCPS, os problemas associados ao processo cognitivo são
muito maiores em relação aos métodos de tarefa orientada, pois as causas dos
erros cognitivos são menos conhecidas que os erros de ações. A seguir estão
apresentadas técnicas para identificação de erros cognitivos que podem ser
utilizadas de modo pró-ativo e retrospectivo.

3.2.1.3.1 Critical Action and Decision Evaluation Technique (CADET)


Segundo EMBREY, técnica baseada no método da “escada portátil” de
Rasmussen, que se estrutura nas ações ou decisões críticas que precisam ser
tomadas pelo operador durante um estado anormal da planta. O CADET (Critical
Action and Decision Evaluation Technique) é definido baseado nas
consequências, isto é, se houver uma falha na técnica da decisão e ação crítica,
40
certamente haverá um efeito significativo na segurança, produção ou
disponibilidade.
Segundo EMBREY, a primeira etapa consiste na identificação da decisão ou
ação crítica no contexto de significativas mudanças de estado do sistema não se
concentrando apenas na ação requerida, mas também na tomada de decisão que
precede a ação. Seguido da etapa de identificação das falhas potenciais que
podem ocorrer a cada um dos elementos identificados.
A Tabela 3.2 mostra um exemplo de aplicação do CADET por EMBREY.
Cada linha representa um elemento da “escada portátil” de Rasmussen
demonstrando com detalhes como o operador processa o diagnóstico da
informação, eliminando as diversas possibilidades para se atingir o objetivo
correto. A metodologia da análise crítica da ação/decisão constitui-se de uma lista
de questões estruturadas sobre potenciais erros de diagnóstico. A técnica pode
ser usada para avaliação e suporte dos exercícios de treinamentos para avaliação
do desempenho humano, de forma pró-ativa, identificando potenciais erros
cognitivos e no desenvolvimento de estratégias para redução dos erros baseadas
nas causas raízes identificadas no questionário, e de forma retrospectiva na
identificação de erros cognitivos que implicaram em acidentes.
Pew et al. (1981) desenvolveu uma série de diagramas de Murphy onde
cada elemento de decisão do modelo de Rasmussen possui um diagrama de
Murphy associado que identifica as causas internas de mal funcionamento que
por sua vez, podem influenciar a causa primária.

Tabela 3.2 – Elementos de decisão/ação do modelo de Rasmussen (Embrey, 1986) e exemplo


de análise CADET
Elemen Padrõe
to de s de Análise
Objetivo t1 t2 t3 t4 t5
Decisã erros (CADET)
o/Ação típicos
Alertar/Sinali Distraçã
Alarme
zar a o/
de
detecção dos Absente
Alerta temperat
estágios ísmo /
ura
iniciais do Falta de
(TIAH)
problema atenção
Temperat Condições Nível do Conside Há
ura da da vaso de rações possibilidade
Fluxo do
Observação/ coluna alimentação refluxo não do operador
refluxo
Observ Coleta de TI-01 = FI-03 = Fluxo LI-06 = justificá adquirir dados
FI-07 =
ação dados dos Temperat Normal Nível alto veis / irrelevantes ou
No flow
instrumentos ura alta (novo) (novo) Associa insuficientes?
(novo)
(novo) FI-04 = Visor do ções
TI-02 = Normal vaso = familiare O operador
41
Elemen Padrõe
to de s de Análise
Objetivo t1 t2 t3 t4 t5
Decisã erros (CADET)
o/Ação típicos
Temperat (redundância Alto s pode falhar no
ura muito ) (redundâ cruzamento
alta TI-05 = ncia) das
(redundân Normal informações
cia) (novo) para verificar
se a indicação
é espúria?
Condiçõe
Indicação Resfriame s
Condições Sobreca
incomplet nto conforme
conforme Condiçõ rga de
a, ineficiente especific O operador
Identificação especificação es fora informa
Identific possibilid ou ação. pode falhar em
do estado do . de ções /
ação ade de Distúrbio Deve ser considerar
sistema Deve ser especific Atraso
ser na Resfriam todos os
Resfriamento ação. no
alarme alimentaç ento possíveis
ineficiente. tempo
espúrio ão ineficient estados dos
e. sistema e
Nível do causas do
vaso de problema?
refluxo
Falha
Causas está alto, O operador
em
Cruzame Diferentes possíveis: o que pode falhar na
Falha na consider
nto das possíveis Falha na significa excução da
Interpretação bomba ar
Interpret informaç causas. bomba de que a avaliação
do que pode de causas
ações/I ões dos Verificar água de condensa correta?
ter ocorrido e refluxo alternati
mplicaç indicador condições resfriamento ção está
suas de topo vas /
ões es da ou Falha na ocorrend O operador
implicações (confirma fixação
relaciona alimentaç bomba de o. Deve pode focar sua
do) na
dos ão. refluxo de ser Falha ação na causa
causa
topo na errada?
errada
bomba
de refluxo
de topo

3.2.1.3.2 Influence Modelling and Assessment Systems (IMAS)


Segundo EMBREY, IMAS (Influence Modelling and Assessment Systems) foi
desenvolvido como um sistema de suporte de decisão para os trabalhadores
durante os diagnósticos em situações de emergência. A técnica é utilizada para
elucidar os modelos mentais das anormalidades do processo através de
representações gráficas das percepções do time operacional tendo em vista as
diversas alternativas de causas que poderiam ter originado o distúrbio, as várias
conseqüências que podem ocorrer da situação e indicadores tais como telas do
VDU (visual display unit), medidores, registros gráficos disponíveis na sala de
controle ou na planta e que estão associados as causas e conseqüências.
Segundo AICHE/CCPS, o modelo pode ser desenvolvido com experiência
de um indivíduo ou um grupo de indivíduos sem utilização de recursos
42
sofisticados. O desenvolvimento do modelo mental se inicia a partir de um
distúrbio de um ponto específico do processo e uma série de perguntas aos
operadores sobre os eventos que causam, levam ou indicam tal distúrbio. A tarefa
do operador é identificar quais as alternativas de causas que levam ao padrão de
indicadores observados.
Aplicações dos IMAS segundo AICHE/CCPS
Avaliação da precisão do modelo mental de um operador durante
treinamento – a avaliação do modelo mental em diversos estágios do treinamento
permite o treinador avaliar o desenvolvimento e precisão da compreensão dos
distúrbios do processo. Um conjunto de representações dos modelos mentais
utilizando-se uma equipe operacional experiente pode ser utilizado como padrão
para definir os requerimentos de conhecimento para lidar com distúrbios críticos
da planta.
Requerimentos das informações para diagnósticos – a identificação da
informação necessária para se obter as causas dos distúrbios pode se especificar
as variáveis críticas que precisam estar disponíveis para a interface do controle
do processo.
Modelo do erro cognitivo para estudos quantitativos de risco – previsão de
possíveis erros de diagnóstico através do exame do modelo gerado pelo operador
e dos PIFs. A visão tradicional de AQR (análises quantitativas de risco) considera
somente falhas humanas em desempenhos de funções requeridas (geralmente
erros de omissão). Entretanto ocorrem muitos erros críticos como mal
diagnósticos levando a ação errada ou inapropriada com possíveis sérias
conseqüências para a planta.
Simulação do processo de pensamento do operador durante emergências
na planta – há uma ferramenta denominada EXPLORE que permite que o analista
especifique quais indicadores estão presentes e ausentes num particular cenário.
O utilitário irá gerar um relatório que simula o processo de pensamento do
operador que será um recurso para o analista avaliar a capacidade do operador
em executar um diagnóstico correto.
Observa-se que o IMAS aborda aspectos de habilidade operacional, que são
capacidades de diagnósticos e solução de problemas, não analisadas pelas
técnicas mencionadas anteriormente. Diante disso, esta técnica pode ser vista
como um método de análise de tarefa cognitiva.
43
3.2.2 Human Error Analysis Technique (HEA)

Segundo REASON, o HEA (Human Error Analysis Technique) tem o objetivo


de prever os possíveis erros humanos durante a execução de uma tarefa e
especificar medidas para eliminação das causas dos erros. Esta análise deve ser
realizada após a análise da tarefa com a finalidade de identificar as possíveis
falhas humanas com conseqüências significativas e para especificar
procedimentos de hardware, treinamentos e outros aspectos de projeto para
prevenir a ocorrência dos erros.
Segundo AICHE/CCPS, uma aplicação bastante importante da técnica de
análise de erro humano nas indústrias químicas de processo é no
desenvolvimento de estudos quantitativos de risco. Nestes estudos a avaliação
dos modos de erro é um processo não sistemático, pois considera erros com
falhas na execução de uma função pré-especificada e geralmente durante
situações de emergência. Raramente erros devido a falhas no diagnóstico,
interface ruim ou procedimentos mal escritos são analisados nestes estudos.

3.2.2.1 Predictive Human Error Analysis (PHEA)

Segundo EMBREY, a PHEA é dividida em três tipos. Análise do plano pré-


condicionado que verifica possíveis erros durante a etapa de planejamento da
tarefa assegurando que as condições prévias serão atendidas. Análise do plano
incorporado que considera possíveis erros que surgem do plano especificado na
análise de tarefa hierárquica e análise dos elementos da tarefa que identifica
sistematicamente a faixa de erros que podem ocorrer em cada etapa da tarefa. A
análise preditiva de erros humanos deve ser elaborada para as tarefas mais
críticas com potenciais de risco mais elevados.
Segundo AICHE/CCPS, os tipos de erros de uma análise detalhada do
elemento da tarefa podem ser visualizados na Tabela 3.3 a seguir.

Tabela 3.3 – Classificação dos erros utilizados na Análise Preditiva de Erros Humanos
Erros de Ação Ação muito longa/curta
Ação no momento errado
Ação na direção errada
Excesso/Falta de ação
Desalinhamento
Ação correta no objeto incorreto
Ação incorreta no objeto correto
Ação omitida
Ação incompleta
44
Ação incorreta no objeto incorreto
Omissão da checagem
Checagem incompleta
Checagem correta no objeto incorreto
Erros de Checagem
Checagem incorreta no objeto correto
Checagem no momento incorreto
Checagem incorreta no objeto incorreto
Informação não obtida
1
Erro de Recuperação Informação incorreta transmitida
Recuperação da informação incompleta
Informação não transmitida
Erro de Transmissão
Transmissão da informação incorreta
(comunicação)
Transmissão da informação incompleta
2 Seleção omitida
Erros de Seleção
Seleção incorreta executada
Pré-condições do planejamento ignoradas
Erros de Planejamento
Plano incorreto executado
1
– Erros na recuperação da informação podem ser de fontes externas ou da memória.
2
– Erros na seleção das alternativas das operações

Segundo AICHE/CCPS, nesta etapa deve ser realizada uma avaliação das
condições de indução ao erro devido aos PIFs como procedimentos mal escritos,
dependência do tempo, interface inadequada, dentre outros para determinar se
eles podem ser causadores dos erros. Tomando-se como exemplo a Figura 3.3
pode ser visualizado na Tabela 3.4 um exemplo dos resultados da PHEA.

Tabela 3.4 –Exemplo de resultados da Análise de Erros Humanos


Passo da Tipo da Tipo do Estratégia para
Descrição Consequências Recuperação
tarefa tarefa erro redução do erro
Sistema pode Mudança
Set-point operar com set- notável do
Ação mantido no point errado. valor da Introduzir item no
Ação
omitida valor Perigos de variável pode checklist
original processo podem ocorrer no
1.2 ocorrer passo 1.2
Alterar o Indicação clara
set-point Ação Set-point dos
até o correta no alterado no controladores
Ação Ver anterior Ver anterior
valor objeto controlador para distinção
medido incorreto errado dos
controladores
Ação
Set-point
incorreta Introduzir item no
Ação incorreto no Ver anterior Ver anterior
no objeto checklist
controlador
correto

Segundo EMBREY, para cada um dos erros críticos, suas implicações e


conseqüências, e possíveis recuperações dos erros são descritas no mesmo
formato. Esta técnica é exaustiva e muito útil na análise de sistemas críticos onde
o essencial é que todos os modos de erros significativos sejam identificados.
Pode ser usada na identificação de erros com conseqüências significativas nos
45
“passos” da tarefa que são incluídas em avisos nos procedimentos, sendo muito
útil nos treinamentos indicando as etapas que demandam maior atenção durante
a atividade.
Vantagens segundo AICHE/CCPS: técnica rigorosa e exaustiva
assegurando que a maioria dos erros serão identificados, validação do estudo
demonstrou que a técnica pode prever em grande proporção (98%) os erros com
conseqüências sérias que realmente ocorreram numa tarefa de calibração de
equipamento durante um período de 5 anos (Murgatroyd e Tait, 1987). Através da
PHEA, pode ser gerado um procedimento padronizado e consistente cobrindo
alguns aspectos de erros cognitivos (erros de planejamento) com links específicos
e explícitos.
Desvantagens segundo AICHE/CCPS: requere investimento representativo
(tempo e esforço), conhecimento detalhado e analista experiente. É necessário
que seja realizado uma avaliação dos fatores influenciadores de desempenho
(PIFs) separadamente da técnica para prever os tipos de erros mais freqüentes.

3.2.2.2 Checklists Ergonômicos

Segundo AICHE/CCPS, o checklist ergonômico é um método para prever e


reduzir erros humanos através de critérios ergonômicos como design e layout do
painel de controle, sinalização e locação do equipamento, utilização dos
procedimentos operacionais, aspectos de treinamento, comunicação da equipe e
outros PIFs relevantes. A aplicação do checklist permite a identificação da
condição de trabalho que pode induzir ao erro humano e especificar estratégias
para redução do risco.
Segundo AICHE/CCPS, a técnica de checklist é útil na transferência de
informações, porém não é independente devendo ser utilizada com outros
métodos de análise de tarefa ou de erro humano. Ela não demonstra a
importância relativa dos diversos itens e suas conseqüências caso não sejam
cumpridas.

3.2.3 MÉTODOS QUALITATIVOS E QUANTITATIVOS

Os métodos qualitativos de análise de confiabilidade humana proporcionam


uma maneira sistemática e formal para se avaliar os fatores humanos que podem
46
contribuir na prevenção de eventuais acidentes. Atualmente os órgãos
fiscalizadores vêm demandando estudos mais detalhados e complexos
relacionados a interferência humana. Inicialmente a confiabilidade humana era
comparada a um equipamento e os estudos desenvolvidos estavam diretamente
relacionados as estimativas de probabilidades de falha humana utilizando-se
principalmente de ferramentas como árvores de falhas para seu cálculo.
Entretanto, neste cálculo há determinadas incertezas que não podem ser
desconsideradas.
Devido as incertezas, é importante que o método seja criterioso e
consistente para que falhas com efeitos significativos não sejam desconsideradas,
avaliando-se fatores de gerenciamento, procedimentos, treinamentos,
comunicação e outros fatores sistêmicos para se obter valores de interesse
relacionados aos dados de falha genéricos. As técnicas qualitativas de previsão
de erros humanos devem ser priorizadas para avaliar e reduzir a contribuição dos
erros humanos para o risco.

3.2.3.1 Systems for Predicting Human Error and Recovery (SPEAR)

Segundo AICHE/CCPS, a estrutura do SPEAR (Systems for Predicting


Human Error and Recovery) está demonstrada na Figura 3.4.

Figura 3.4 – SPEAR


Fonte: AICHE/CCPS

Segundo AICHE/CCPS, a primeira etapa consiste na identificação e


descrição das interações humanas críticas com o sistema. Geralmente essas
interações não ocorrem durante operação normal. O objetivo desta etapa é
reduzir a quantidade de análises requeridas buscando os cenários potenciais de
acidentes, avaliando-se os perigos e as possíveis interações diretas ou indiretas
com o homem e meio ambiente e suas freqüências.
47
Segundo AICHE/CCPS, após a compreensão do sistema e suas interfaces
com o homem, desenvolve-se o estudo qualitativo baseado nos PIFs seguido da
construção de uma representação da estrutura da tarefa identificando os
possíveis erros e suas conseqüências. O último estágio consiste da quantificação
através de probabilidades ou freqüências dos erros humanos que deverão ser
estudados, posteriormente, associados as falhas do hardware, permitindo um
cálculo do risco de todo o sistema e suas interfaces.
Segundo EMBREY, o estudo qualitativo inicia-se através de uma análise da
tarefa desenvolvendo uma descrição sistemática e detalhada da estrutura da
tarefa demonstrando alguns possíveis erros que podem ocorrer. Esta estrutura
deve ser combinada com os resultados da análise dos PIFs que determinam a
probabilidade de erro para o tipo de tarefa em estudo.
A PHEA, mencionada anteriormente, consiste de uma análise de previsão de
erros específicos associados a tarefa e passos da tarefa. Esta análise inicia-se
com o desenvolvimento da estrutura e os planos da tarefa e análise dos PIFs. A
estrutura deve possuir um nível de detalhamento que permite a previsão dos erros
nos diferentes níveis da análise, posteriormente desenvolve-se a análise dos
erros de planejamento e de operação.
Segundo AICHE/CCPS, a análise de conseqüências relacionadas a
confiabilidade humana podem ser divididas, principalmente em três tipos:
 Objetivo geral da tarefa não é alcançado.
 Objetivo geral da tarefa não é alcançado e outra conseqüência negativa
ocorre.
 Objetivo geral da tarefa é alcançado e outra conseqüência negativa ocorre
(não relacionada com a tarefa primaria)
As avaliações de risco normalmente estão relacionadas com o primeiro tipo,
pois o principal interesse da confiabilidade humana está no contexto de que as
ações humanas estão diretamente relacionadas com respostas a emergências.
Os outros tipos devem ser considerados no estudo da análise de conseqüências,
pois contribuem para o risco.
Algumas medidas para redução de erros com conseqüências significativas
cuja recuperação é improvável devem ser consideradas no estudo qualitativo.
Estas medidas, desenvolvidas baseadas nos resultados da análise dos PIFs,
48
devem reduzir o risco para níveis aceitáveis e indicar as deficiências que devem
ser melhoradas.
A representação dos resultados da análise qualitativa pode ser realizada
através de árvores de falhas ou árvore de eventos e após o desenvolvimento de
um estudo meticuloso qualitativo, desenvolve-se o estudo quantitativo. Segundo
AICHE/CCPS, há inúmeras técnicas de quantificação da probabilidade do erro,
porém poucas delas são utilizadas nas avaliações dos riscos. Os dados
disponíveis para quantificação, são limitados em termos de precisão e precisam
ser utilizados com cautela durante o estudo quantitativo.

3.2.3.2 Processo Quantitativo

Segundo AICHE/CCPS, o processo quantitativo inicia-se com o estágio do


modelo da tarefa onde os aspectos de interesse são identificados, e sua avaliação
deverá ser específica ou genérica. Geralmente as tarefas são divididas em sub-
tarefas (passos) e são quantificadas. Esta aproximação é conhecida como
aproximação global ou decomposta. A vantagem do processo decomposto é que
há disponibilidade maior de banco de dados para as diversas probabilidades dos
elementos das tarefas, os modelos de recuperação dos erros nas sub-tarefas são
considerados, conseqüências em outros sistemas originados de falhas dos
passos da tarefa são incluídos na avaliação do risco e as dependências dos
passos da tarefa podem ser consideradas.
Segundo AICHE/CCPS, a segunda etapa do processo é a representação do
modo de falha através da decomposição da tarefa. Neste caso, os vários
elementos da tarefa e outras possíveis falhas devem ser combinados para o
cálculo da probabilidade da tarefa. A técnica mais comum de representação é
através de árvores de eventos. Árvores de falhas são utilizadas para representar
probabilidades de erros humanos discretos combinados com probabilidades de
falhas de hardwares.
Segundo AICHE/CCPS, a próxima etapa é direcionar a probabilidade de erro
para os passos da tarefa. Esta probabilidade deve ser obtida através de um
julgamento de especialistas ou de dados empíricos. Estes dados representam
uma média e devem ser modificados por fatores que considerem as
características específicas da situação sob avaliação.
49
Segundo AICHE/CCPS, a última etapa do processo quantitativo consiste da
combinação das probabilidades dos elementos das tarefas para gerar a
probabilidade de falha da tarefa.

3.2.3.3 TÉCNICAS QUANTITATIVAS

Segundo KIRWAN, há diversas metodologias para quantificação da HEP


(Human Error Probability) e deve-se ter cautela na sua aplicação, pois estes
métodos empíricos podem ser imprecisos, mas com resultados que podem ser
amplamente utilizados para aumentar a qualidade da escolha entre diversas
alternativas de projetos, elevando ao máximo os benefícios relacionados a
segurança na identificação de tarefas executadas pelo homem e na avaliação do
risco.
Segundo AICHE/CCPS, a crítica é que as quantificações das falhas
humanas geralmente resultam em valores de freqüência de falhas elevados
quando comparados com os valores de falha de hardwares. Esse valor mais
elevado é decorrente do elevado grau de conservadorismo quando se lida com
erros humanos. Isso decorre do fato de que a maioria dos acidentes é de origem
humana.

3.2.3.3.1 Human Error Assessment and Reduction Technique (HEART)


A técnica HEART (Human Error Assessment and Reduction Technique) foi
desenvolvida por Williams em 1986. Baseia-se num banco de dados que permite
que o analista calcule o HEP utilizando-se um procedimento definido. A vantagem
é que as probabilidades podem ser obtidas rapidamente por uma única pessoa.
Há basicamente quatro passo que podem ser observados na Figura 3.5 a seguir.
Identificar o Descritor Genérico da Tarefa

Identificar Condições de Produção de Erros aplicáveis

Avaliar a Proporção de cada Condição de Produção de Erro

Calcular a Probabilidade de Erro para cada elemento da tarefa

Figura 3.5 – Etapas da Avaliação do Erro Humano (HEART)


50
Fonte: (Williams, 1990)

Identificar o Descritor Genérico da Tarefa

Segundo WILLIAMS, há nove descritores genéricos da tarefa, cada um


descrevendo um tipo diferente de tarefa. Estas descrições variam desde
“Totalmente desconhecido, executado apressadamente, sem idéia real das
conseqüências” até “Responder corretamente ao comando do sistema mesmo
quando há um sistema de controle automatizado fornecendo interpretação precisa
do estado do sistema”. As probabilidades de falha média nominal para execução
correta destes tipos de tarefas são, respectivamente, 0,55 e 0,00002, e Williams
fornece as fronteiras do 5o ao 95o percentis que, se aplicadas, fornecem as
probabilidades da tarefa no“Quase que o melhor caso” e no “Quase que o pior
caso”. As tarefas genéricas podem ser encontradas na Tabela 3.5.

Tabela 3.5 – Tarefas Genéricas


Não Fronteiras
confiabilida dos
Tarefa Genérica
de humana percentis
o o
proposta 5 – 95
Não familiar, executado apressadamente, sem idéia real das
A 0,55 0,35 – 0,97
conseqüências.
Restaurar o sistema para um novo ou estado original em uma única
B 0,26 0,14 – 0,42
tentativa sem supervisão ou procedimentos.
C Tarefa complexa que exige alto nível de compreensão e habilidade. 0,16 0,12 – 0,28
Tarefa bastante simples realizada rapidamente ou dada pouca
D 0,09 0,06 – 0,13
atenção.
Rotina, muita prática, tarefa rápida que envolve baixo nível de 0,007 –
E 0,02
habilidade. 0,045
Restaurar ou mudar um sistema para estado original ou novo, 0,0008 –
F 0,003
seguindo procedimentos com alguma verificação. 0,007
Completamente familiarizado, bem projetado, muita prática, tarefa
rotineiras que ocorrem varias vezes por hora, realizada com máximo
nível de padrão por pessoas altamente motivadas, altamente 0,00008 –
G 0,0004
treinadas e experientes, totalmente consciente da implicação da 0,009
falha, com tempo para corrigir erro potencial, mas sem o auxílio de
ferramentas de auxílio.
Responder corretamente ao comando do sistema mesmo quando
0,000006 –
H há um sistema supervisório automatizado fornecendo interpretação 0,00002
0,0009
precisa do estado do sistema
Tarefas diversas para as quais nenhuma descrição pode ser 0,008 –
I 0,03
encontrada. 0,11
51
Identificar Error Producing Conditions (EPC) aplicáveis

Segundo WILLIAMS, para a seleção do EPC (Error Producing Conditions)


aplicável, o analista deve estar atento para não duplicar a contagem. Por
exemplo, se uma tarefa genérica A é selecionada então não se deve utilizar o
EPC “falta de familiaridade”. Embora de um total de 38 EPCs identificados,
geralmente utiliza-se somente EPCs com valores multiplicadores de três vezes ou
mais. Os EPCs podem ser encontradas na
Tabela 3.6.

Calcular a Probabilidade de Erro para cada elemento da tarefa

Segundo WILLIAMS, primeiramente é necessário calcular cada EPC


identificado através da fórmula abaixo:

Efeito Calculado = ((Efeito Máximo– 1) × Proporção do Efeito) + 1

Segundo WILLIAMS, posteriormente, a probabilidade do erro HEP pode ser


estimada.

Tabela 3.6 – Condição para Error Producing Conditions (EPC)


Quantidade nominal prevista
máxima na qual a não
Condição para Error Producing Conditions (EPC)
confiabilidade pode mudar indo
da condição “boa” para a “ruim”
Falta de familiaridade com a situação que é potencialmente
1 x 17
importante, mas que ocorre com pouca freqüência ou que é inédita.
2 Falta de tempo disponível para detecção e correção de erros. x 11
3 Razão baixa de sinal-ruído. x 10
Um meio de suprimir ou de substituir informações ou características
4 x9
que são facilmente acessíveis.
Nenhum meio para fornecer informações espaciais e funcionais aos
5 x8
operadores de uma forma que eles possam facilmente assimilar.
Desencontro entre a realidade do operador e aquele o modelo criado
6 x8
pelo projetista.
7 Nenhum meio óbvio de reverter uma ação não intencional. x8
Sobrecarga da capacidade da via particularmente causada pela
8 x6
presença simultânea de informação não redundante.
Necessidade para “desaprender” uma técnica e aplicar uma que
9 x6
requere a aplicação da filosofia de forma oposta.
Necessidade de transferir conhecimento específico da tarefa para
10 x 5,5
tarefa sem perdas
11 Ambigüidade nos padrões de desempenho requeridos. x5
12 Desencontro entre percepção e risco real. x4
13 Sistema de feedback pobre, ambíguo ou contagioso.. x4
14 Sem confirmação clara direta e programada de uma ação intencional. x4
15 Inexperiência do operador (ex. novo mas não expert) x3
16 Qualidade da informação deturpada transferida por procedimentos e x3
52
Quantidade nominal prevista
máxima na qual a não
Condição para Error Producing Conditions (EPC)
confiabilidade pode mudar indo
da condição “boa” para a “ruim”
interação de pessoas.
17 Pouca ou não independente checagem ou teste da saída x3
18 Conflito entre objetivos imediatos e de longo prazo x 2,5
Sem diversidade de entrada de informação para confirmação das
19 x 2,5
checagens.
Desencontro entre o nível educacional atingindo de um indivíduo e
20 x2
dos requerimentos da tarefa.
21 Um incentivo para utilização de outro procedimento mais cuidadoso. x2
Pouca oportunidade para exercitar a mente e o corpo fora do
22 x 1,8
ambiente do trabalho.
23 Instrumentação não confiável (percebido que é suficiente) x 1,6
Necessidade para julgamento absoluto que estão além da capacidade
24 x 1,6
ou experiência de um operador.
25 Falta de clareza na alocação da função e responsabilidade. x 1,6
26 Caminha nada óbvio para manter o progresso durante a atividade x 1,4
27 Um cuidado que excederá as capacidades físicas. x 1,4
28 Tarefa com pouco ou nenhum significado intrínseco. x 1,4
29 Nível de estresse emocional alto. x 1,3
30 Evidência de operadores doentes, especialmente febre x 1,2
31 Moral baixa da força de trabalho. x 1,2
32 Inconsistência do significado dos displays e procedimentos. x 1,2
Um ambiente hostil e pobre (abaixo de 75 % de saúde ou severidade
33 x 1,15
de ameaça a vida)
a
Inatividade prolongada ou ciclo de repetitividade alta de tarefas de x 1,1 for 1 meia hora x 1,05 para
34
baixa carga mental. após cada hora
35 Ciclos de interrupção de horas normais de sono. x 1,1
36 Tarefa improdutiva ocasionada pela intervenção de outros. x 1,06
Membros adicionais no time acima do necessário para executar
37 x 1,03 por homem adicional
normalmente a tarefa.
38 Idade das pessoas que executam tarefas de percepção. x 1,02

Avaliar a Proporção de cada Error Producing Conditions (EPC)

Segundo WILLIAMS, o analista deve avaliar a probabilidade numa escala de


0 (sem interferência perceptível) a 1 (máxima interferência possível) da proporção
de cada EPC. A avaliação depende da experiência do analista em assuntos
relacionados a fatores humanos.

3.2.3.4 Technique for Human Reliability Analysis (THERP)

Segundo KIRWAN, a THERP (Technique for Human Reliability Analysis) é a


técnica de quantificação de confiabilidade humana mais conhecida. Foi
desenvolvida por Dr. A. D. Swain no final da década de 1960 para o controle da
qualidade na estimativa de erros na montagem de ogivas nucleares. A análise
inicia-se com a divisão da tarefa em passos elementares, e a avaliação é
semelhante a estrutura utilizada nas árvores de eventos.
53
Segundo SWAIN, a definição do problema é estabelecida através de visitas
a planta e discussões com os analistas e se baseia em potenciais cenários de alto
risco. Previamente a quantificação, deve ser elaborada uma análise da tarefa
(qualitativa) cuja representação será desenvolvida após a identificação dos
possíveis erros. A Figura 3.6 representa um exemplo dos erros identificados na
análise THERP na forma de árvore de eventos.

0,01
0,99
Não tomar ação até
Tomar ação
o alarme

0,1
0,9 Falha em tomar a
0,1
0,9 Tomar ação ação após t min
Chave
Chave correta de alarme
incorreta

F1=0,001
S F1=0,1
1 0,9 0,1
Chave Chave
correta incorreta

S F1=0,001
2

Figura 3.6 – Exemplo de representação THERP (Árvore de Eventos)


Fonte: (Kirwan, 1992)

Segundo Embrey, a etapa de quantificação deve ser realizada após a


representação da árvore de eventos. Primeiramente, analisam-se os dados
necessários de probabilidades de erros que devem ser selecionados, por
exemplo, nas tabelas fornecidas em Swain e Guttmann (1983). Esses dados
devem ser modificados para as condições específicas da tarefa avaliada, e
posteriormente baseadas nas dependências entre os passos. A probabilidade de
erro da tarefa é determinada através da combinação de todas as probabilidades
de erros dos passos. Dependendo do valor da probabilidade de erro, será
necessário que seja elaborado estratégias de redução do erro para os casos em
54
que o valor estiver em níveis inaceitáveis, o analista deverá rever a estrutura e os
PIFs analisados.
A THERP é muito eficiente em tarefas rotineiras, com pouco estresse, onde
cada etapa é crucial para conclusão bem sucedida da tarefa. Segundo
AICHE/CCPS é freqüentemente criticada por supor que todas as probabilidades
de erros humanos podem ser quantificadas e previstas.

3.2.3.5 Influence Diagram Analysis (IDA)

Segundo AICHE/CCPS, IDA (Influence Diagram Analysis) é uma técnica


utilizada para avaliação de probabilidades de erros humanos em função da
complexa rede organizacional e outras influências que podem impactar nestas
probabilidades. É capaz de representar os efeitos devido as influências
organizacionais e variáveis políticas além dos fatores diretos como
procedimentos, treinamentos entre outros. O diagrama deve ser construído por
um grupo de especialistas que conhecem a interações entre os PIFs diretos e
indiretos que determinam a probabilidade do erro.
Segundo AICHE/CCPS, uma vez construído o diagrama, avalia-se o estado
atual dos fatores de nível mais baixos avaliando-se a probabilidade do fator e se
seu efeito é positivo ou negativo. A próxima etapa consiste na avaliação dos
efeitos combinados dos fatores individuais de níveis mais baixos sobre os de
níveis mais altos.
A Figura 3.7 representa um exemplo do diagrama de influências utilizado por
Embrey (1992). Neste diagrama, o nível principal cujos fatores influenciam a
probabilidade de erros se baseia na qualidade do treinamento, disponibilidade de
instruções operacionais efetivas e pressão do tempo. A qualidade do treinamento
é influenciada por dois fatores específicos, que representam a aplicação da
análise da tarefa no desenvolvimento dos treinamentos específicos e do feedback
para modificar o regime existente.
Segundo EMBREY, dois fatores influenciam a disponibilidade de instruções
operacionais efetivas, a política para geração das instruções que asseguram que
as instruções estão atualizadas, projetadas conforme padrões aceitáveis. O outro
é o gerenciamento do projeto que determinam as definições requeridas para o
trabalho garantindo que as instruções apropriadas estejam disponíveis quando
requisitadas. O gerenciamento do projeto também está associado a freqüência
55
com que os níveis da equipe estão adequados quando requisitados. Este fator,
junto com as regras do trabalho e a complexidade da tarefa interfere no nível da
pressão do tempo sobre o operador.

Figura 3.7 – Diagrama de Influência


Fonte: (Embrey, 1992)
56

3.3 TOMADA DE DECISÃO

3.3.1 Ferramentas de Tomada de Decisão

Segundo AICHE/CCPS, a literatura revela a existência de centenas de


ferramentas de tomada de decisões. Neste trabalho estão sendo abordadas,
resumidamente, apenas algumas delas que são mais conhecidas e utilizadas. As
características significantes da classificação das ferramentas de decisão consistem
na capacidade de fornecer uma resposta competitiva, na quantidade de alternativas
consideradas, na quantidade de dados necessários e se trata ou não de incertezas e
valores.

3.3.1.1 Análise de Custo-Benefício

Segundo AICHE/CCPS, análise muito utilizada principalmente no setor público


cujo objetivo é ter um benefício compatível com o investimento. Estes são
mensurados a partir da quantificação em valores tanto do custo das alternativas
como de cada um de seus benefícios. O objetivo é escolher a alternativa que
maximiza o benefício (benefício menos os custos). A característica da ferramenta é
que a entrada dos dados deve ser objetiva e as etapas principais consistem em:
decidir o escopo da análise, avaliar o custo e os efeitos de cada alternativa, aplicar a
regra de decisão para escolha da alternativa.
Segundo AICHE/CCPS, o princípio da análise custo-benefício está na
capacidade de pagamento da sociedade para evitar os efeitos negativos ou ter os
efeitos positivos. Geralmente os dados utilizados são valores de mercado dos
produtos ou serviços. Há algumas limitações da técnica como falhas em considerar
incertezas nos custos e efeitos, no balanço quando um grupo recebe o benefício e o
outro grupo paga pelo benefício e quando há dificuldade em se quantificar os
mesmos.

3.3.1.2 Métodos de Votação

Segundo AICHE/CCPS, método mais utilizado para escolha das alternativas. É


rápido, simples, de fácil compreensão e proporciona uma maneira “justa” para
agregar opinião, além de necessitar de poucos recursos. Dentre os métodos de
votação, o mais comum é o método da pluralidade em que a alternativa mais
57
desejada de uma lista de possíveis alternativas é escolhida pelo participante. A
alternativa com maior número de votos é a escolhida.
Segundo AICHE/CCPS, a desvantagem é que a opinião do participante e o
conhecimento da verdadeira razão para escolha da alternativa ficam pouco
conhecidos e não há possibilidade de realizar análise de sensibilidade para saber se
a decisão seria influenciada pela mudança de conhecimento ou valores dos
participantes. Atualmente sabe-se que o método de votação pode ser manipulado
pelos candidatos.

3.3.1.3 Método de Pontuação Ponderada

Segundo AICHE/CCPS, neste método as alternativas são pontuadas sob um


conjunto de critérios de decisões que são ponderados por importância. É bem
utilizado para situações de decisões que demandam julgamentos de valores
explícitos e em situações em que dinheiro, tempo ou conhecimento analítico são
fatores limitantes. Cada alternativa recebe uma pontuação que a caracteriza dentro
do critério de decisão. Sua pontuação é ponderada através da sua multiplicação pelo
seu “peso”. A alternativa com maior valor total será escolhida.
Segundo AICHE/CCPS, o método realiza a quantificação através de
julgamentos explícitos dos valores, é rapidamente executado e com facilidade, com
demanda de poucos recursos analíticos. Uma desvantagem é que os tomadores de
decisão precisam confiar na intuição quando lidam com incertezas e as
conseqüências positivas e negativas. A freqüência da conseqüência não é explícita,
mas deve ser considerada de forma implícita na análise. Logo a pontuação não é
objetiva e pode interferir na consistência da tomada de decisão.

3.3.1.4 Processo de Hierarquia Analítica

Segundo AICHE/CCPS, o Processo de Hierarquia Analítica é um método de


pontuação ponderada que consiste na divisão das decisões em componentes,
construindo uma estrutura que demonstra as relações entre os componentes para
facilitar a quantificação do julgamento e deve ser utilizada quando se necessita de
modelo explícito. A estrutura do processo é baseada na hierarquia da decisão em
que cada nível consiste de objetivos, critério de decisão, ou alternativas onde uma
escolha será feita.
58
Segundo AICHE/CCPS, possui alguns pontos positivos como fácil
manipulação, estrutura em redes, capacidade de gerar julgamentos entre os critérios
e velocidade computacional. Entretanto alguns críticos mencionam que os
resultados podem ser arbitrários, não refletindo as preferências do tomador de
decisões. O processo não lida explicitamente com incertezas e há a necessidade de
interpretação das considerações implícitas nos resultados.

3.4 AVALIAÇÃO CRÍTICA SOBRE O ACIDENTE DA FORMOSA


PLASTICS CORP. – ILLIOPOLIS

A avaliação crítica deste acidente está sendo desenvolvida baseada nas


metodologias citadas nesta monografia e nos comentários elaborados pela U.S.
Chemical Safety And Hazard Investigation Board. A principal causa descrita neste
acidente está relacionada a fatores humanos, porém a CSB investigou e evidenciou
as causas raízes do acidente que constituem de combinações de falhas que
resultaram no acidente. As análises desenvolvidas sobre este acidente estão sendo
elaboradas com evidências extraídas do relatório e conhecimento sobre
metodologias de confiabilidade humana adquirido pelo autor da monografia ao longo
do desenvolvimento desta monografia.
Uma análise trivial e superficial do acidente da Formosa-IL nos leva a concluir
que a causa é bastante simples: o operador ao invés de virar para a esquerda virou
para a direita e não notou que iria drenar o reator errado. Além disso, desconectou o
sistema de segurança e realizou a drenagem do reator, infelizmente do reator
errado. O operador alcançou seu objetivo que era drenar o reator, porém ignorou as
regras e drenou o reator errado. Provavelmente se esta investigação tivesse
ocorrido há algumas décadas, toda a culpa do acidente seria atribuída ao operador e
justificada através das personalidades propensas a cometerem mais erros.
Entretanto, a generalização da falha humana não é mais tão aceita e suas causas
específicas devem ser exploradas.
A atividade de limpeza dos reatores era rotineira, pois a cada batelada o
operador deveria iniciar o processo de limpeza. A operação de limpeza não era
complexa e o operador, provavelmente, deveria realizar a atividade baseado na sua
memória. A realização do by-pass do sistema de intertravamento era autorizada por
voz pelo supervisor, sem nenhum controle efetivo do registro da liberação e a única
59
obrigação do operador era que ao final da atividade de limpeza, ele deveria entregar
ao supervisor um checklist contendo registros das atividades de limpeza do reator.
Analisando primeiramente o erro cometido do ponto de vista cognitivo, sem
avaliar os fatores organizacionais e externos, que serão desenvolvidos
posteriormente, nota-se que houve uma combinação de tipos de erros. O primeiro
erro cometido pelo operador seria um deslize ao se direcionar para o reator errado,
como o posicionamento dos reatores era semelhante, o operador foi para uma
posição relativa exatamente igual ao do reator D-306 só que no grupo de reatores
errado e na realidade estava no D-310. Posteriormente a este erro, ele não respeitou
o procedimento e não informou ao supervisor que faria o by-pass da válvula de
intertravamento de fundo do reator cometendo um engano baseado nas regras, pois
no procedimento contemplava uma autorização prévia do supervisor para liberação
do by-pass, apesar de informal e pouco eficaz. Após execução do by-pass da
válvula de intertravamento iniciou-se a liberação do MVC que resultou na
conseqüência catastrófica.
A investigação demonstrou que essa falha humana ocorreu devido a diversas
outras falhas nos diversos níveis da hierarquia da FPC USA, e melhorias neste
sistema e nesta atividade já haviam sido questionadas pelo menos 10 anos antes do
acidente e nenhuma medida realmente efetiva havia sido implementada. Esse
conjunto de erros é que levaram a favorecer a ocorrência do acidente. Uma análise
sucinta utilizando-se de algumas ferramentas demonstradas nesta monografia e que
não foram utilizadas pela CSB, será desenvolvida evidenciando alguns pontos
críticos que já podem ter sido levantados ou não pela CSB.
As melhorias avaliadas suficientes pela planta da Formosa-IL estavam
relacionadas a procedimentos operacionais. Inicialmente foi desenvolvida uma
análise da tarefa de limpeza do reator para agregar conhecimento mais detalhada da
tarefa e fornecer subsidio para a análise da confiabilidade humana através da
metodologia SPEAR.
60

4 RESULTADOS

Os resultados da aplicação da ACH na investigação do acidente da planta


de PVC Formosa-IL baseado no relatório de investigação da CSB estão
apresentados nos itens a seguir.

A primeira etapa da metodologia de Avaliação de Confiabilidade Humana


consistiu nas Análises gerais e identificação das interações humanas, cuja
atividade já foi identificada pela CSB.

4.1 SPEAR (SYSTEMS FOR PREDICTING HUMAN ERROR AND


RECOVERY)

O resultado da aplicação da metodologia SPEAR está apresentado nos itens a


seguir.

4.1.1 HIERARCHICAL TASK ANALYSIS DE LIMPEZA DOS REATORES

Segundo o diagrama de influência de Embrey (1992) Figura 3.7, a análise da


tarefa influencia diretamente na qualidade do treinamento dos operadores. A HTA
apresentada na Figura 4.1 foi desenvolvida de maneira simplificada para verificação
da atividade de limpeza do reator. Ela não representa detalhadamente todas as
etapas da limpeza do reator. Uma análise detalhada deve ser realizada envolvendo
operadores e engenheiros responsáveis da área e demandam tempo e esforço
significativo para ser elaborada. As considerações no Plano 0 foram extraídas do
relatório da CSB enquanto que as considerações do Plano 1 foram atividades
assumidas próximas da realidade.
61

Figura 4.1 – Análise Hierárquica da Tarefa de Limpeza do Reator

A partir da investigação do acidente, sabe-se que o operador da blaster se


direcionou para o grupo de reatores errado, esta atividade corresponde ao passo 3.2
– Localizar o reator que está em processo de limpeza da representação da HTA da
tarefa de limpeza do reator (Figura 4.1). A fim de se detalhar esta etapa, foi
desenvolvida a HTA na forma de tabela que está representada na
Tabela 4.1. Nesta tabela apenas o sistema de comunicação e a localização da
identificação do reator foram apresentadas no relatório do CSB. As demais
informações foram assumidas como próximas da realidade.
A finalidade deste exercício foi evidenciar algumas ferramentas que poderiam
ter demonstrado onde as falhas estariam ocorrendo. Dentro de uma planta o ideal
seria que estas análises fossem desenvolvidas para todas as atividades criiticas
existentes.
62
Tabela 4.1 –Tabela de HTA (de Limpeza do Reator)
Funções
Passo Entradas Dependê secundári
Saídas Feedba Característica
da (registros Comunicação ncias da as, Comentários
(ações) ck s do tempo
Tarefa ) tarefa distraçõe
s
3.2 Identificaç Operador Não Há Via voz, Atraso no início Limpeza Operador Se o operador da poli
Localiza ão no deve operador no da próxima pode não da blaster não efetuar
ro inferior do checar se nível inferior batelada, ter sido pode estar devidamente a purga
reator reator e a deve se consequentem realizada executand do reator, vapores de
que no painel identificaç deslocar até ente atraso na de forma o outras MVC podem ser
está em de ão do os outros produção. apropriada funções emitidos durante
process controle reator operadores/su , além da drenagem do reator
o de correspon pervisor para demandan limpeza podem causar lesões
limpeza de ao se comunicar. do nova do reator. no operador da
reator injeção de blaster
que está (Não há água de Perigos: Lesão ao
em interfones, lavagem. operador da blaster,
processo nem utilização liberação de gases
de rotineira de inflamáveis e
limpeza rádios) possibilidade de
explosão.

Operadores de
campo devem utilizar
EPIs.

Observa-se na
Tabela 4.1 de HTA de limpeza do reator que a abertura indevida de um reator
em operação durante a limpeza de um reator específico não está sendo considerada
como parte da tarefa. O HTA desenvolvido segue o conceito da metodologia, pois a
mesma deve abordar com precisão e detalhamento as atividades que devem ser
realizadas e não os possíveis desvios. Estes devem ser analisados utilizando-se de
outras ferramentas. O desenvolvimento da HTA permite que procedimentos sejam
desenvolvidos mais adequadamente e os treinamentos sejam mais eficientes,
entretanto não evidenciam os possíveis erros que podem ocorrer.

4.1.2 ANÁLISE DOS PIFs

Após o desenvolvimento da análise da tarefa onde foi possível conhecermos


com mais detalhes como a atividade considerada era realizada, é importante
avaliarmos os PIFs dos operadores durante a limpeza do reator. Consideraremos a
escala para avaliação dos PIFs conforme Tabela 4.2 a seguir.
63
Tabela 4.2 – Escalas consideradas para avaliação dos PIFs da atividade de limpeza do reator
Escala de
Avaliação do Procedimentos Ambiente de Trabalho Físico
PIF
Alto nível de ruído
Não há procedimentos escritos, ou
Iluminação deficiente
Pior – 1 padrões para execução das atividades.
Temperaturas altas ou muito baixas,
Não está integrado com treinamentos.
alta umidade ou ventanias
Procedimentos escritos disponíveis, mas
nem sempre utilizados. Níveis de ruído moderados
Médio – 5
Métodos padronizados para execução da Temperatura e umidade variáveis
tarefa.
Procedimentos detalhados e checklists Níveis de ruído em níveis ideais
disponíveis. Iluminação baseada em análises de
Melhor – 9 Procedimentos desenvolvidos utilizando- requerimentos da tarefa
se análise da tarefa. Temperatura e umidade em níveis
Integrado com treinamentos. ideais

A lista de PIFs padrões apresentadas na Tabela 2.1 foi utilizada para obtenção
dos fatores que poderiam influenciar na atividade de limpeza do reator. Importante
salientar que a lista da Tabela não é uma definição formal dos PIFs. Dependendo
das atividades realizadas numa planta industrial, esta listagem deve ser
desenvolvida e revisada pelos analistas da planta. As avaliações aqui apresentadas
foram elaboradas baseadas nas descrições do acidente pela CSB. Inúmeras
deficiências foram comentadas e foram consideradas na avaliação. Aqueles fatores
que estão apresentados com valor 5, foram fatores considerados relevantes para o
estudo porém sem informações sobre os mesmos no relatório do acidente.
• Ambiente Operacional:
o Dependência do tempo: 5
o Iluminação: 5
o Turno e descansos: 5
• Características da Tarefa
o Local/acesso: 3
o Identificação: 2
o Identificação dos displays e controles: 3
o Visão das informações críticas e alarmes: 3
o Clareza das instruções: 1
o Qualidade das verificações e avisos: 1
o Grau do suporte do diagnóstico de falha: 1
o Conflitos entre segurança e requerimentos da produção: 2
o Treinamento na utilização de procedimentos de emergência: 1
64
• Características do Operador
o Grau de habilidade: 5
o Assumidor de riscos: 5
• Fatores Organizacionais e Sociais:
o Clareza das responsabilidades: 3
o Comunicações: 1
o Autoridade e liderança: 2
o Comprometimento da gerência: 2
o Excesso de confiança nos métodos técnicos de segurança: 2
o Aprendizado organizacional: 1

4.1.3 METODOLOGIA DE HFAM

Outra forma de análise dos PIFs poderia ser elaborada através de uma
perspectiva sócio-técnica utilizando a HFAM. Os fatores estão apresentados na
Tabela 2.3 que devem ser avaliados nos diversos níveis de profundidade e
dependem das deficiências encontradas em cada resposta. Para exemplificar, como
a Formosa-IL confiava nos procedimentos para garantir atividades seguras,
analisaremos o fator genérico de nível operacional ferramentas e procedimentos de
trabalho.
13 Ferramentas e Procedimentos de trabalho
13.1 Gerenciamento da documentação – Adequado
13.2 Conteúdo e confiabilidade – Inadequada
13.3 Formatação e apresentação – Adequadas
13.4 Implementação – Adequado
13.5 Manutenção e atualização – Adequadas
Encontrado deficiências nos fatores genéricos de nível operacional, deve-se
avaliar em nível mais detalhado de fatores específicos do trabalho de nível
operacional.
13.2 Conteúdo e confiabilidade
13.2.1 Procedimentos são tecnicamente adequados – Inadequados
13.2.2 Procedimentos definem os passos lógicos para completar a tarefa –
Adequada
13.2.3 Procedimentos são claros e sem ambigüidade – Adequada
65
13.2.4 Erros potenciais, recuperação e conseqüências dos erros foram
identificados - Inadequado
Identificar o fator de nível gerencial que causa as deficiências.
5 Efetividade do sistema de desenvolvimento de procedimentos
5.1 Existência do sistema – Inadequado
5.2 Utilizado métodos de desenvolvimento de procedimentos –
Inadequado
5.3 Desenvolvimento de treinamentos – Inadequado
5.4 Participação dos operadores – Inadequado

A HFAM possui uma forma estruturada de auditoria, identificando os tópicos


inadequados. O resumo dos elementos avaliados como inadequados podem ser observados
na Tabela 4.3.
Tabela 4.3 – Resumo – Resultados HFAM
Fatores Genéricos de Nivel Operacional
13 Ferramentas e Procedimentos de trabalho Adequado Inadequado
13.1 Gerenciamento da documentação X
13.2 Conteúdo e confiabilidade X
13.3 Formatação e apresentação X
13.4 Implementação X
13.5 Manutenção e atualização X
Fatores específicos do trabalho de nível operacionaL
13.2.1 Procedimentos são tecnicamente adequados X
13.2.2 Procedimentos definem os passos lógicos para completar a tarefa X
13.2.3 Procedimentos são claros e sem ambigüidade X
Erros potenciais, recuperação e conseqüências dos erros foram
13.2.4 identificados X
Fator de nível gerencial que causa as deficiências.
5.1 Existência do sistema X
5.2 Utilizado métodos de desenvolvimento de procedimentos X
5.3 Desenvolvimento de treinamentos X
5.4 Participação dos operadores X

4.1.4 ANÁLISE DOS ERROS HUMANOS (PHEA), DAS CONSEQUÊNCIAS E DA


REDUÇÃO DOS ERROS

A lista dos tipos de erros foi extraída da metodologia da PHEA e pode ser
visualizados na Tabela 3.3.
A Tabela 4.4 apresenta a PHEA, metodologia que analisa o erro humano da
perspectiva cognitiva, desenvolvida para avaliar o passo da tarefa de 3.2 - Localizar
o reator que está em processo de limpeza. Foram considerados aqueles erros
66
considerados relevantes para os resultados deste trabalho. Há outros tipos de erros
que poderiam ser analisados e avaliados pela equipe da planta. As informações
foram todas extraídas do relatório do acidente da CSB, porém a lógica foi elaborada
durante a elaboração da metodologia.
Observa-se que a análise das conseqüências do SPEAR está associada a
cada um dos tipos de erros humanos definidos pela PHEA. Dessa forma, as
conseqüências estão associadas a uma causa que foi identificada durante o estudo.
Baseado na conseqüência, deve-se elaborar uma estratégia para redução do erro
que dependendo da criticidade da conseqüência deve ser obrigatória ou não
.
67

Tabela 4.4 – Análise de Erros Humanos (PHEA) da atividade de limpeza dos reatores (passo 3.2)
Passo da Tipo da Tipo do 1
Descrição Consequências Recuperação Estratégia para redução do erro
tarefa tarefa erro
Ação na Operador estará no Identificação do reator no
Virar no sentido errado do Otimizar lay-out dos reatores de
Ação direção grupo de reatores fundo do reator e no
grupo de reatores desejado modo a facilitar a identificação
errada errado painel de controle
- Sistema de evacuação
Operador efetua o by-pass do
Ação correta Grande liberação de - Estudo das camadas de proteção
sistema de intertravamento e
Ação no objeto MVC seguida de Nenhuma - Análise histórica
efetua a drenagem do reator
incorreto explosão e incêndio - Melhorar procedimentos e
em operação
treinamentos
Falta de
Ação Ausência Atraso na drenagem Nenhuma
ação
Ação
Ação Ausência Atraso na drenagem Nenhuma
omitida
Impossibilidade da
Operador não checa a Indicação no painel de
3.2 Omissão da drenagem do reator Incluir no checklist atividade de
Checagem identificação do reator que controle de atuação do
Localizar checagem devido a atuação do checagem do reator a ser drenado
seria drenado intertravamento
o reator intertravamento
que está Checagem Operador da blaster confirma Impossibilidade da
Indicação no painel de
em correta no o reator que está em processo drenagem do reator Incluir no checklist atividade de
Checagem controle de atuação do
processo objeto de limpeza, porém está no devido a atuação do checagem do reator a ser drenado
de intertravamento
incorreto reator errado intertravamento
limpeza Operador se dirige a
Checagem Operador da blaster está no
outro reator e não Operador do nível
incorreta no reator correto porém confirma Melhorar procedimentos e
Checagem efetuará a drenagem superior irá corrigir o
objeto que outro reator está em treinamentos
devido a atuação do reator da blaster
correto processo de limpeza
intertravamento
Operador se dirige a
Checagem Operador da blaster está no
outro reator e não Operador do nível
incorreta no reator errado e confirmar outra Melhorar procedimentos e
Checagem efetuará a drenagem superior irá corrigir o
objeto reator em processo de treinamentos
devido a atuação do reator da blaster
incorreto limpeza
intertravamento
Operador deve ir até o
Operador da blaster não tem Operador estará no
Informação nível superior e verificar
Recuperação confirmação sobre qual reator grupo de reatores
não obtida qual o reator está em
está em processo de lmpeza errado
processo de limpeza
1
– Estratégias para redução do erro devem ser relacionadas, principalmente, a mudanças no procedimento, treinamento, equipamentos e design.
68

Os resultados da PHEA permitem que os principais PIFs que contribuem para o


risco sejam analisados. Os tipos de erros analisados na PHEA podem ser
relacionados aos PIFs apresentados naTabela 2.1. Importante salientar que esta
lista de PIFs correspondem a alguns exemplos que devem ser adaptados conforme
avaliação de um analista de confiabilidade. A Tabela 4.5 a seguir apresenta os PIFs
relacionados aos tipos de erros avaliados na PHEA.

Tabela 4.5 – Identificação dos PIFs mais críticos durante atividade de limpeza do reatore
Fatores Influenciadores de
Tipo do erro
Desempenho (PIFs)
- Distração
Ação na direção errada - Práticas com situações não familiares
- Identificação deficiente
- Distração
- Identificação deficiente
Ação correta no objeto incorreto - Iluminação deficiente
- Identificação dos displays e controles
- Comunicação deficiente
- Práticas com situações não familiares
Falta de ação
- Turno e descansos
- Práticas com situações não familiares
Ação omitida - Turno e descansos
- Distração
- Distração
Omissão da checagem
- Comunicação deficiente
- Distração
- Identificação deficiente
Checagem correta no objeto
- Iluminação deficiente
incorreto
- Identificação dos displays e controles
- Comunicação deficiente
- Distração
- Identificação deficiente
Checagem incorreta no objeto
- Iluminação deficiente
correto
- Identificação dos displays e controles
- Comunicação deficiente
- Distração
- Identificação deficiente
Checagem incorreta no objeto
- Iluminação deficiente
incorreto
- Identificação dos displays e controles
- Comunicação deficiente
- Comunicação deficiente
Informação não obtida
- Autoridade e liderança deficiente
69

4.2 REPRESENTAÇÃO DO EVENTO ATRAVÉS DE ÁRVORE DE FALHAS

A árvore de falhas que representa o desenvolvimento do acidente está


apresentada na Figura 4.2. Observa-se que as causas raízes não são apresentadas.
Essas causas já estão sendo consideradas nos eventos básicos que são
representados pela letra E1 a E5 que correspondem a falhas do
operador/empregados que serão posteriormente quantificadas.

Fatalidades e Lesões

*
G0

Presença de
Explosão seguida de
empregados na região
incêndio
dos reatores

* *
G2 G1

Operadores presentes para


Empregados falham Grande liberação de
o processo de limpeza do Fonte de ignição
na evacuação da área reator MVC

E4 E5 E1 *
G3

Operador se direciona
Operador utiliza o by-pass para
indevidamente a reator em
abrir a válvula de fundo do reator
operação e acredita estar no reator
em operação
em processo de limpeza
Portão
E2 E3

Figura 4.2 – Representação da Árvore de Falhas do cenário de Grande liberação de MVC


seguida de explosão e incêndio ocasionando fatalidades

Os eventos básicos são diretamente influenciados pelas causas raízes que


contribuem para a ocorrência do evento topo (acidente). Entende-se por causa raiz,
a causa específica que contribui para a ocorrência do evento básico. Essas causas
raízes são fatores que influenciam na probabilidade de ocorrência dos eventos
básicos. Observe que dependem diretamente das características da planta. A seguir
estão listadas as causas raízes relacionadas a cada evento básico: Todas as
informações foram obtidas do relatório da CSB.
70

Evento Básico E2 - Operador se direciona indevidamente ao reator em


operação e acredita estar no reator em processo de limpeza
 Não há indicador de status do reator
 Lay-out dos reatores simétricos
 Semelhança dos reatores
 Sobrecarga do operador da blaster

Evento Básico E3 - Operador utiliza o by-pass para abrir a válvula de fundo do


operador em operação
 Válvula de fundo do reator não abre (intertravamento do sistema – pressão
acima de 10 psi)
 Sistema de by-pass existente
 Nenhum controle físico nas mangueiras de injeção de ar de emergência
 Inexistência de procedimento de utilização do by-pass durante operação
normal
 Indisponibilidade do supervisor

Evento Básico E4 - Empregados falham na evacuação da área


 Procedimentos ambíguos sobre como controlar grandes liberações de MVC
 Treinamentos de evacuação insuficientes
 Prática de simulados não rotineiras

4.2.1 Quantificação dos Eventos Básicos

A quantificação é um importante passo para se definir os impactos de possíveis


melhorias no projeto do reator. Para quantificação da árvore de falhas é necessário
conhecer uma estimativa das probabilidades de falha dos eventos básicos. As HEPs
estão estimadas através da HEART.

A partir da Tabela 3.5 e considerando as características específicas de cada


evento básico e

Tabela 3.6 podemos julgar que:


71

• O Evento Básico E2 (Operador se direciona indevidamente a reator em


operação e acredita estar no reator em processo de limpeza) possui a
probabilidade de falha associada de:

Tabela 4.6 – Probabilidade de falha do Evento Básico E2


o o
Evento Básico E2 Central 5 percentil 95 percentil
Tarefa Genérica E 0,02 0,007 0,045
Condição para Erro de Produção (EPC) Proporção Cálculo
Sobrecarga da capacidade da via particularmente
causada pela presença simultânea de informação 0,2 (6-1) x 0,2 +1 = 2,0
não redundante (x 6)
Sem confirmação clara direta e programada de
0,3 (4-1) x 0,3 +1 = 1,9
uma ação intencional (x 4)
Probabilidade de falha
0,02 x 2 x 1,9 = 0,076
avaliada

• Evento Básico E3 (Operador utiliza o by-pass para abrir a válvula de fundo do


operador em operação) possui a probabilidade de falha associada de:

Tabela 4.7 - Probabilidade de falha do Evento Básico E3


o o
Evento Básico E3 Central 5 percentil 95 percentil
Tarefa Genérica B 0,26 0,14 0,42
Condição para Erro de Produção (EPC) Proporção Cálculo
Sem confirmação clara direta e programada de
0,1 (4-1) x 0,1 +1 = 1,3
uma ação intencional. (x 4)
Pouca ou não independente checagem ou teste da
0,2 (3-1) x 0,2 +1 = 1,4
saída (x 3)
Probabilidade de falha
0,26 x 1,3 x 1,4 = 0,47
avaliada

• Evento Básico E4 (Empregados falham na evacuação da área) possui a


probabilidade de falha associada de:

Tabela 4.8 - Probabilidade de falha do Evento Básico E4


o o
Evento Básico E3 Central 5 percentil 95 percentil
Tarefa Genérica I 0,03 0,008 0,11
Condição para Erro de Produção (EPC) Proporção Cálculo
Falta de familiaridade com a situação que é
potencialmente importante, mas que ocorre com 0,5 (17-1) x 0,5 +1 = 9
pouca freqüência ou que é inédita.. (x 17)
Probabilidade de falha
0,03 x 9 = 0,27
avaliada

• Evento Básico E1 (Fonte de ignição) possui a probabilidade de ignição


segundo o Purple Book da TNO de 30%.
• Evento Básico E5 (Operadores presentes para o processo de limpeza do
reator) possui a probabilidade de 4/24 que representa 4hr do dia (dia e noite)
no nível inferior.
72

4.2.2 Análise crítica das probabilidades dos eventos básicos

A Tabela 4.9 apresenta resumidamente as probabilidades da ocorrência dos


eventos básicos calculados anteriormente. Posteriormente, encontra-se a discussão
de cada probabilidade sugerida.

Tabela 4.9 – Probabilidade de ocorrência dos eventos básicos


Id Descrição do Evento Básico Probabilidade
1 Fonte de ignição 30 %
Operador se direciona indevidamente a reator em operação e acredita estar no reator em
2 7,6 %
processo de limpeza
3 Operador utiliza o by-pass para abrir a válvula de fundo do operador em operação 47 %
4 Empregados falham na evacuação da área 27 %
5 Operadores presentes para o processo de limpeza do reator 16,7 %

1. A probabilidade de ignição de um determinado fluido inflamável depende de


alguns parâmetros como peso molecular do fluido, taxa de descarga do
vazamento, temperatura de auto-ignição, energia e presença da fonte de
ignição. Ela varia dependendo do fluido e das condições operacionais de
estocagem que influenciam na sua taxa de liberação. O cálculo da ignição
poderia ser determinado utilizando-se softwares avançados, mas o valor de
30 % definido no Purple Book (TNO) é consistente para a finalidade deste
estudo.
2. Assume-se que o deslocamento do operador até um dos reatores para
executar o processo de limpeza faz parte da rotina de suas atividades e
ocorre diariamente. Os reatores possuem indicações no fundo e no painel de
controle. A probabilidade de 7,6 %, relativamente baixa em comparação com
as outras pode ser aceita, pois a única deficiência avaliada está na disposição
idêntica dos reatores.
3. A probabilidade de utilização do by-pass para abrir a válvula de fundo do
operador corresponde a 47 % que é um valor alto para utilização de by-pass
de sistemas de segurança. Padrões normais de segurança não permitem que
sistemas de segurança fiquem desativados, mesmo durante manutenções.
Como esse procedimento da Formosa-IL de by-pass dessa válvula de
segurança era comum na companhia o valor está bem representativo.
4. Normalmente a falha dos operadores na evacuação em grandes acidentes
devem corresponder a valores muito baixos, o valor de 27 % que
73

corresponderia a praticamente 1 falha a cada 3 vezes é bastante


representativo.
5. Está sendo considerado que há operadores nas redondezas do reator durante
o processo de limpeza por aproximadamente 4 hs do dia.

4.2.3 Quantificação do cenário do acidente da Formosa-IL (evento topo)

Utilizando-se os dados de probabilidade calculados através da metodologia


HEART, pode-se quantificar a árvore de falha do acidente da Formosa-IL
apresentada na Figura 4.3. A função dessa quantificação não é obter um valor de
probabilidade do acidente, uma vez que a visão mecanicista de quantificação dos
erros humanos não é tão bem compreendida e aceita.
A finalidade desse cálculo é para conhecermos com maior clareza o impacto de
cada mudança de projeto proposta posteriormente, ou seja, o valor do evento topo
será utilizado apenas como base para manter consistência na comparação entre as
recomendações propostas.

Fatalidades e Lesões

* P=4,82E-4
G0

Presença de
Explosão seguida de
empregados na região
incêndio
dos reatores

* P=4,50E-2 * P=1,07E-2
G2 G1

Operadores presentes para


Empregados falham Grande liberação de
o processo de limpeza do Fonte de ignição
na evacuação da área reator MVC

E4 E5 E1 * P=3,57E-2
G3
P=2,70E-1 P=1,67E-1 P=3,00E-1
Operador se direciona
Operador utiliza o by-pass para
indevidamente a reator em
abrir a válvula de fundo do reator
operação e acredita estar no reator
em operação
em processo de limpeza

E2 E3

P=7,60E-2 P=4,70E-1

Figura 4.3 – Representação e Quantificação da Árvore de Falhas do cenário de Grande


liberação de MVC seguida de explosão e incêndio ocasionando fatalidades
74

4.3 IDA (INFLUENCE DIAGRAM ANALYSIS)

A representação do acidente também foi desenvolvida através da IDA que


permite uma visão bastante simplificada e detalhada dos diversos fatores que
influenciam o evento.
A Figura 4.4 corresponde ao modelo de diagrama de influências desenvolvido
para esta análise. Observa-se que o IDA mostra explicitamente as influências e os
fatores considerados neste modelo. Os elementos principais que afetam o cenário
são representados pela elipse, enquanto que o quadrado branco representa a
incerteza que levou ao acidente. Os hexágonos correspondem as possibilidades de
investimentos que precisariam ser realizados. Estes investimentos estão
representados em azul. O IDA permite um rápido e prático modelo de decisão e seu
grande valor do diagrama é seu poder de comunicação por ser de fácil compreensão
e permitir que uma grande quantidade de informações seja considerada.
As informações necessárias para o desenvolvimento do diagrama foram
obtidas das análises anteriores.
Custos em
Comunicações/
MOC
Limpeza do
Reator

Disponibilidade
do supervisor
Custos em
Procedimentos Liberação Limpeza da
Deslocar-se Controlada área
para reator Comunicações
indevido

Procedimentos
para utilização Ignição Explosão Fatalidades
de by-pass em
operação Efetuar by-pass da
Liberação de
normal válvula de fundo do
MVC
reator ? Alarme de Evacuação
MVC da área

PHA 1992 Estudos de PHA 1999 Eventos


Recomendações Revalidação similares Plano de
LOPA Detecção
manual do Acionamento evacuação
vazamento do dilúvio

Custos em Detecção Custos em


Custos em PHA estudos de automática do simulados/trein
1992 LOPA vazamento amentos

Figura 4.4 – Diagrama de influências do acidente da Formosa-IL

O Diagrama evidencia com bastante clareza os possíveis investimentos, porém


não deixa claro qual deles é a melhor opção. Estudos quantitativos detalhados
poderiam evidenciar quais seriam os investimentos prioritários, porém são
necessários muito tempo, esforços e conhecimentos para seu desenvolvimento.
75

O problema de priorização dos melhores investimentos será tratado de duas


formas. A primeira com um ponto de vista de gestão utilizando-se de informações
mais genéricas da organização que foram obtidas através da análise dos fatores
influenciadores de desempenho e da aplicação da HFAM. Será utilizada a
ferramenta de tomada de decisão do Método de Pontuação Ponderada e a escolha
desta ferramenta de tomada de decisão se deve as seguintes características abaixo
da atividade de priorização das recomendações.
 Recurso financeiro e tempo limitado
 Investimentos são independentes um do outro
 Há fatores que podem não terem sido considerados, mas a lógica do
diagrama é consistente
 Avaliação pode ser desenvolvida por um grupo, porém a aprovação está
direcionada a uma única pessoa (o gerente)
 A quantificação de todo o cenário não é tão precisa
 Alguns registros significantes e consistentes precisam ser evidenciados para
justificar a escolha
A outra forma será através de um foco operacional baseado na estimativa da
probabilidade do erro humano através da técnica de redução e avaliação de erros
humanos HEART e da quantificação do cenário acidental pelo desenvolvimento da
árvore de falhas.
Abaixo estão demonstradas as recomendações que foram sugeridas a
Formosa-IL onde nenhuma foi levada em consideração. Foram elaboradas as
avaliações a seguir para priorizar as recomendações.
• Recomendação A - Aumentar a disponibilidade do supervisor
• Recomendação B - Implementação de Estudos de LOPA
• Recomendação C - Implementação Recomendações da PHA1992
• Recomendação D - Procedimentos para utilização de by-pass em operação
normal

4.4 FOCO DE GESTÃO

A gestão não possui informações detalhadas da operação, consequentemente


a tomada de decisão deve estar baseada em técnicas generalistas que não
necessitem de informações específicas da atividade em questão. A visão generalista
76

permite uma avaliação do sistema como um todo, garantindo que as interações dos
diversos setores ocorram da melhor forma possível.
A partir do diagrama de influência do acidente de Formosa-IL, utilizando-se a
técnica de tomada de decisões de Método de Pontuação Ponderada, avalia-se cada
recomendação através de uma pontuação que será utilizada na avaliação de cada
recomendação. Esta técnica pode ser executada por diversos gestores de diferentes
setores através de uma avaliação individual das diversas partes interessadas,
obtendo-se uma média final. A Tabela 4.10 apresenta um sugestão do peso efetivo e
inefetivo de cada uma das recomendações que foram consideradas para a
quantificação do IDA. A Tabela 4.11 demonstra os resultados da quantificação do
IDA.

Tabela 4.10 – Peso das evidências


Peso da evidência Efetivo Inefetivo
Qual o peso da evidência de procedimentos para utilização de by-pass em
0,3 0,7
operação normal para garantir by-pass do intertravamento com segurança
Qual o peso da evidência da implementação das Recomendações do PHA
0,6 0,4
1992 para garantir by-pass do intertravamento com segurança
Qual o peso da evidência da implementação de Estudos de LOPA para
0,8 0,2
garantir by-pass do intertravamento com segurança
Qual o peso da evidência de aumentar a disponibilidade do supervisor para
0,2 0,8
garantir by-pass do intertravamento com segurança

Tabela 4.11 - Peso da evidência de efetuar o by-pass da válvula de fundo do reator com

Se E E E

D C B A Peso Sucesso
Sucess Falha
O procedimentos Implementaçã Implement Aumentar a Falha Pondera Ponderad
o Ponderada
para utilização de by- o PHA 1992 ação de disponibilida do Total o
pass em operação Recomendaçõ Estudos de de do
normal for es for LOPA supervisor
for for
Efetivo Efetivo Efetivo Efetivo 0,95 0,05 0,0288 2,7% 0,1%
Efetivo Efetivo Efetivo Inefetivo 0,90 0,10 0,1152 10,4% 1,2%
Inefetivo Efetivo Efetivo Efetivo 0,90 0,10 0,0672 6,0% 0,7%
Inefetivo Inefetivo Efetivo Efetivo 0,90 0,10 0,0448 4,0% 0,4%

Inefetivo Efetivo Efetivo Inefetivo 0,85 0,15 0,269 22,8% 4,0%

Efetivo Inefetivo Efetivo Efetivo 0,80 0,20 0,0192 1,5% 0,4%


Efetivo Inefetivo Efetivo Inefetivo 0,70 0,30 0,0768 5,4% 2,3%
Inefetivo Efetivo Inefetivo Efetivo 0,60 0,40 0,0168 1,0% 0,7%

Efetivo Efetivo Inefetivo Efetivo 0,60 0,40 0,0072 0,4% 0,3%

Efetivo Efetivo Inefetivo Inefetivo 0,50 0,50 0,0288 1,4% 1,4%


Inefetivo Inefetivo Efetivo Inefetivo 0,50 0,50 0,1792 9,0% 9,0%
77

Se E E E

D C B A Peso Sucesso
Sucess Falha
O procedimentos Implementaçã Implement Aumentar a Falha Pondera Ponderad
o Ponderada
para utilização de by- o PHA 1992 ação de disponibilida do Total o
pass em operação Recomendaçõ Estudos de de do
normal for es for LOPA supervisor
for for
Inefetivo Efetivo Inefetivo Inefetivo 0,40 0,60 0,0672 2,7% 4,0%

Efetivo Inefetivo Inefetivo Efetivo 0,40 0,60 0,0048 0,2% 0,3%

Inefetivo Inefetivo Inefetivo Efetivo 0,30 0,70 0,0112 0,3% 0,8%


Efetivo Inefetivo Inefetivo Inefetivo 0,10 0,90 0,0192 0,2% 1,7%
Inefetivo Inefetivo Inefetivo Inefetivo 0,01 0,99 0,0448 0,0% 4,4%
68,2% 31,8%

4.5 FOCO OPERACIONAL

A avaliação das recomendações com foco operacional será realizada através


da quantificação do evento acidental através da árvore de falhas e estimativas das
probabilidades dos erros humanos baseadas no método HEART. Para cada
recomendação proposta, será re-avaliada o EPC, considerando a fração que de
redução no seu valor e quantificando-se novamente o evento topo da árvore de
falhas. Dessa forma é possível observar quanto cada recomendação pode contribuir
para redução da probabilidade de ocorrência do evento topo.
O cálculo da probabilidade dos eventos básicos através da metodologia
HEART está apresentado no Apêndice C.
78

5 DISCUSSÕES

5.1 ANÁLISE DOS PIFS

Foram atribuídas algumas notas 5 para determinados PIFs que foram avaliados
relevantes para a atividade, mas há pouca informação sobre determinado fator.
Observa-se que as avaliações foram realizadas posteriormente a investigação ao
acidente, onde as falhas já haviam sido analisadas. Provavelmente se esta
avaliação ocorresse antes do acidente, os julgamentos seriam diferentes e as a
notas mais altas.
Esses resultados demonstram que havia deficiências principalmente nos
grupos "Características da Tarefa" e "Fatores Organizacionais e Sociais". Dentro do
grupo "Características da Tarefa", categorias específicas como "Clareza das
instruções", "Qualidade das verificações e avisos", "Grau de suporte do diagnóstico
de falha" obtiveram as piores avaliações.
Estas deficiências poderiam estar ocorrendo devido a ausência de um
supervisor. A sua indisponibilidade, permitiu que houvesse uma distância hierárquica
entre o nível operacional e gerencial muito grande, e possivelmente o nível gestor
não se interessou em conhecer melhor o nível operacional.
Pode-se dizer que a categoria “Treinamento na utilização de procedimentos de
emergência” foi a mais crítica, pois os efeitos do acidente seriam diferentes se os
operadores estivessem adequadamente treinados para evacuação da área.
No grupo “Fatores Organizacionais e Sociais”, as categorias específicas
“Comunicações” e “Aprendizado organizacional” foram as piores categorias, apesar
de outras como “Autoridade e liderança”, “Comprometimento da gerência”, “Excesso
de confiança nos métodos técnicos de segurança” também serem considerados
críticos.
Essas avaliações podem ser justificadas, principalmente, porque já havia
evidências da criticidade do procedimento de by-pass do intertravamento de
segurança e nenhuma modificação realmente efetiva foi realizada, senão modificar o
procedimento operacional.
Além disso, não havia uma rotina de comunicação como rádios e interfones,
nem disponibilidade adequada do supervisor, e essas evidências não foram levadas
em consideração pela gerência.
79

5.2 HFAM

A avaliação do fator genérico de nível operacional “Ferramentas e


Procedimentos de trabalho” foi considerada inadequada, possivelmente devido a
existência de recomendações originadas em estudos de risco anteriores,
relacionadas a instalação de acessórios mecânicos que impediriam o operador de
realizar a utilização do ar de instrumento de segurança sem solicitar a autorização
do supervisor. A Formosa-IL modificou o procedimento operacional e avaliou que o
sistema de intertravamento de segurança atendia o critério de segurança. Dessa
forma, o procedimento operacional tinha um conteúdo e confiabilidade relativamente
baixa, apesar da avaliação interna ter considerado confiável.
Analisando-se o nível detalhado de fatores específicos do trabalho de nível
operacional, observa-se que o item “Procedimentos são tecnicamente adequados” e
“Erros potenciais, recuperação e conseqüências dos erros foram identificados” foram
considerados inadequados, pois o procedimento como citado anteriormente não era
confiável, elaborado baseado no julgamento da gestão, e não existia estudos
específicos, como LOPA, para se avaliar a efetividade das salvaguardas e as
conseqüências dos cenários acidentais.
Essas inadequações, da perspectiva sócio-técnica da metodologia da HFAM,
são consideradas como falhas da gestão, e por isso a metodologia requer que o
fator de nível gerencial seja avaliado. O procedimento não confiável demonstra
deficiência na política de geração de procedimentos, provavelmente por não utilizar-
se de metodologias adequadas para o desenvolvimento do mesmo, como por
exemplo, a HTA o que compromete toda a estrutura de treinamentos e
provavelmente a participação efetiva dos operadores.

5.3 PHEA

Observando-se as possíveis conseqüências, verifica-se que o sistema de


intertravamento é o recurso que teoricamente impediria uma drenagem indevida
nos diversos erros que poderiam ser realizados pelos operadores, e na atuação
do by-pass do mesmo, o evento acidental de grande liberação de MVC iria
ocorrer. Fica evidente que o intertravamento do sistema de pressão é a última
barreira de proteção preventiva do sistema. Porém, sua real eficiência deveria ter
sido avaliada através de estudos de LOPA.
80

A relação dos possíveis tipos de erros com os PIFs, demonstra que os


fatores “Distração”,” e “Turnos e descansos” contribuem diretamente para os erros
relacionados ao estado físico operador. Já os fatores, “Identificação dos displays
e controles”, “Identificação Deficiente” e “Iluminação deficiente estão relacionados
aos fatores visuais que influenciam as tomadas de decisões do operador e os
fatores “Autoridade e liderança deficiente”, “Comunicação deficiente” se referem a
política organizacional e o fator “Práticas com situações não familiares” com a
experiência do operador.

5.4 FOCO DE GESTÃO

O Método de Pontuação Ponderada (obtida através da quantificação da IDA)


determina as possíveis combinações entre as recomendações e apresenta um
sucesso ponderado de aceitação. Os resultados estão apresentados na Tabela 4.11.
Nesta tabela, está apresentado todas as combinações possíveis entre as
recomendações e seu sucesso ponderado para cada uma das combinações. Deve-
se observar aquelas combinações que possuem o maior sucesso ponderado e
verificar o custo da sua implantação. A implantação das recomendações B e C
correspondem a combinação que mais atraí os gestores e a probabilidade de
sucesso ponderado corresponde a 22,8%. A implementação apenas da
recomendação B é bastante efetiva, porém o sucesso ponderado da atividade é de
apenas 9% sendo a terceira favorita. A segunda combinação preferida corresponde
as combinações B, C e D com 10,4% de probabilidade de sucesso na atividade.
Observa-se que a implantação de todas as recomendações, obtendo-se a maior
probabilidade de sucesso está na oitava posição.
A recomendação A foi avaliada de baixa efetividade (sucesso ponderado de
apenas 0,3%) e consequentemente a sua implementação deixa de contribuir
significativamente nas diversas combinações existente.
Importante salientar que esta análise está baseada no julgamento subjetivo de
possíveis integrantes do grupo gestor. Os valores utilizados neste estudo foram
estimados.
81

5.5 FOCO OPERACIONAL

A Tabela 5.1 apresenta a probabilidade da ocorrência do acidente e a sua


respectiva redução relativa considerando-se a implementação de cada
recomendação através do cálculoa da AAF auxiliada da HEART. Do ponto do vista
operacional, a recomendação B tem a maior redução de 92 % na probabilidade
seguido da recomendação A com 50 % de redução. A terceira maior redução com 34
% está relacionada a recomendação D.

Tabela 5.1 – Impacto na implantação das recomendações


Id Recomendação E2 E3 E4 AAF
0 Sem Recomendaçõs 0,076 Redução 0,47 Redução 0,27 Redução 4,82E-04 Redução
B Implementação de Estudos de LOPA 0,076 0% 0,34 29% 0,03 89% 3,88E-05 92%
Aumentar a disponibilidade do
A 0,04 47% 0,45 6% 0,27 0% 2,43E-04 50%
supervisor
Procedimentos para utilização de by-
D 0,076 0% 0,31 35% 0,27 0% 3,18E-04 34%
pass em operação normal
Implementação Recomendações da
C 0,076 0% 0,35 26% 0,27 0% 3,59E-04 26%
PHA1992
A+B+C+D 0,04 47% 0,27 42% 0,03 89% 1,65E-05 97%
82

5.6 COMPARAÇÃO ENTRE O FOCO DE GESTÃO E O FOCO


OPERACIONAL

Os resultados dos dois focos são semelhantes demonstrando que a


recomendação B correspondente a implementação de estudos de LOPA, se
implementada tem uma redução maior na prevenção do acidente. Entretanto a
recomendação A relacionada em aumentar a disponibilidade do supervisor não está
bem qualificada no foco de gestão, e é a segunda melhor opção segundo o foco
operacional. Possivelmente esta diferença ocorre devido ao desejo do grupo de
gestão em não considerar esta recomendação. A recomendação C associada a
implementação das recomendações da PHA1992 teve maior destaque do ponto de
vista de gestão do que do operacional. Já a recomendação D de implementação de
procedimentos para utilização de by-pass em operação normal tem a mesma
classificação em ambos os focos.

5.7 COMENTÁRIOS FINAIS

A primeira etapa de análises gerais e identificação e descrição das interações


humanas críticas com o sistema consistiu na compreensão do acidente (APÊNDICE
B).
A tarefa crítica considerada foi a atividade de Limpeza do Reator.
Posteriormente foi desenvolvido a HTA da tarefa de limpeza dos reatores provendo
informações detalhadas sobre os diversos passos para a realização da atividade. O
primeiro estágio da atividade foi dividido em quatro planos principais e estes foram
segmentados em diversas atividades sendo que a atividade 3.2 “Localizar o reator
que está em processo de limpeza” foi considerado o evento iniciador do acidente.
O estudo qualitativo foi desenvolvido utilizando-se a análise dos PIFs e HFAM
obtendo-se as categorias e grupos em condições deficientes do sistema
organizacional. A análise das conseqüências foi desenvolvida através da PHEA e
algumas recomendações puderam ser sugeridas. A Tabela 5.2 apresenta os
resultados principais da etapa qualitativa.
83

Tabela 5.2 – Resumo dos Principais Resultados (SPEAR)


ANÁLISE DOS FATORES METODOLOGIA DE ANÁLISE
ANÁLISE PREDITIVA DE
INFLUENCIADORES DE DE FATORES HUMANOS
ERROS HUMANOS (PHEA)
DESEMPENHO (HFAM)
Deficiências em:
Inadequações em:
Características da Tarefa
Ferramentas e Procedimentos
- Clareza das instruções
de trabalho Sistema de Intertravamento é a
- Qualidade das verificações e
- Procedimentos são última barreira de proteção
avisos
tecnicamente adequados contra aberturas indevidas de
- Grau de suporte do diagnóstico
- Erros potenciais, recuperação válvulas no fundo do reator
de falha
e conseqüências dos erros
- Treinamento na utilização de
foram identificados
procedimentos de emergência
PIFs relacionados:
- Distração
Deficiências em: Inadequações em: - Práticas com situações não
Fatores Organizacionais e Sociais - Existência do sistema familiares
- Comunicações - Utilizado métodos de - Identificação deficiente
- Aprendizado organizacional desenvolvimento de - Comunicação deficiente
- Autoridade e liderança procedimentos - Iluminação deficiente
- Comprometimento da gerência - desenvolvimento de - Identificação dos displays e
- Excesso de confiança nos treinamentos controles
métodos técnicos de segurança - Participação dos operadores - Turno e descansos
- Autoridade e liderança
deficiente

A etapa quantitativa foi desenvolvida com a representação do cenário acidental


através do diagrama de influências e posteriormente foi elaborada a quantificação
considerando-se dois pontos de vista. O foco de gestão, avaliando-se as
recomendações através do Método de Pontuação Ponderada e o foco operacional
através da aplicação de AAF e HEART. Os resultados das análises quantitativas
foram semelhantes, com exceção da recomendação A relacionada em aumentar a
disponibilidade do supervisor porém o método de tomada de decisão pode conter
uma avaliação subjetiva com tendências aos interesses dos gestores e pouca
objetividade. Consequentemente fica claro a necessidade de uma avaliação que
considere as preocupações operacionaisl
84

6 CONCLUSÕES

As metodologias analisadas revelam que há uma grande quantidade de


estudos relacionados ao comportamento humano, e cada uma delas possui
características específicas. Basicamente elas estão diferenciadas em focos externos
(observáveis) e internos (cognitivos). A metodologia a ser escolhida para análise
depende da disponibilidade da informação e nem sempre o desenvolvimento da
análise cognitiva pode ser viável.
A avaliação da probabilidade do erro humano foi calculada baseada nos dois
focos observáveis e cognitivos seguindo a estrutura da metodologia SPEAR. Os
fatores observáveis foram obtidos a partir da HTA e os fatores cognitivos foram
analisados com a aplicação da PHEA. A etapa mais importante que garantiu que
ambos os fatores foram considerados no cálculo da probabilidade do erro humano é
a etapa do desenvolvimento da AAF que deve estar baseada nas causas e
conseqüências evidenciadas na PHEA.
O desenvolvimento do IDA também deve ser elaborado baseado nos
resultados da análise das tarefas e da análise dos erros humanos, pois permiti uma
visualização das variáveis e incertezas do processo de decisão que deve ser
desenvolvido pelos gestores. Os resultados do foco gestor podem ser menos
transparentes que o foco operacional, pois possuem mais subjetividade e podem
estar relacionados com os interesses dos tomadores de decisão.
Já os resultados do foco operacional levam em considerações fatores mais
objetivos com indicadores mais precisos, pois sua avaliação se baseia em modelos
mentais do processo da planta, o que facilita o seu julgamento. Esses diferentes
resultados das avaliações demonstram a necessidade de se levar em conta o
ambiente operacional na tomada de decisões e é essencial para o cálculo das
probabilidades dos erros humanos.
Este trabalho deixa evidente que os estudos cognitivos não são simples e nem
sempre são viáveis. Devem-se ponderar os esforços para o cálculo da probabilidade
dos erros humanos, pois os resultados podem não compensar os esforços
necessários para sua obtenção. Embora o objetivo tenha sido avaliar a probabilidade
do erro humano, os resultados desse estudo cognitivo fornecem informações e
possíveis recomendações que contribuem para a redução do risco da planta.
85

7 REFERÊNCIAS

AICHE/CCPS. Tools for Making Acute Risk Decisions with Chemical Process
Safety Applications. New York, AIChE, 1994.

AICHE/CCPS. Guidelines for Preventing Human Error in Process Safety. New


York, AIChE, 1994

ANNET, J. DUNCAN, K. D.; STAMMERS, R. B.; GRAY, M. J. Task Analysis.


London, Her Majesty’s Stationery Office, 1971.

CETESB. Manual de orientação para a elaboração de estudos de análise de


riscos. São Paulo, 2003.

CLEMEN, R. T.; REILLY, T. Making Hard Decisions with Decisions Tools.


California, Duxbury, 2. ed., 2001.

DUNCAN, K. D. Analytic Techniques in Training Design. In E. Edwards; F. P.


Lees (Eds), The Human Operator in Process Control, Washington, DC., Taylor &
Francis, 1974.

DROGUETT, E. L.; MENEZES, R. C. S. Análise de confiabilidade humana vias


redes Bayesianas: uma aplicação à manutenção de linhas de transmissão,
Revista Produção, v.17, 2007. p. 162-185.

EMBREY, D. E. Incorporationg Management and Organizational Factors into


Probabilistic Safety Assessment. Reliability Engineering and System Safety 38,
1992. p. 199-208.

EMBREY, D. E.; HUMPHREYS, P.; ROSA, E. A.; KIRWAN, B.; REA, K. SLIM-
MAUD. An approach to assessing human error probabilities using structured
expert judgment (NUREG/CR-3518), Washington, D.C:USNRC, 1984.
86

ESTADOS UNIDOS. U.S. Chemical Safety and Hazard Investigation Board.


Investigation Report: Vinyl Chloride Monomer Explosion. Report No. 2004-10-I-
IL, 2007.

FEEMA: Instrução Técnica para elaboração de Estudo de Análise de Risco para


Instalações Convencionais.

HOLLNAGEL, E. Cognitive Reliability and Error Analysis Method. England,


Elsevier Science, 1998.

KIM, I. S. Human reliability analysis in the man-machine interface design


review. Annals of Nuclear Energy.v. 28, p. 1069-1081, 2001.

KONTOGIANNIS, T.; LUCAS, D. Operator Performance Under High Stress: An


Evaluation of Cognitive Modes, Case Studies and Countermeasures. Report No.
R90/03 prepared for the Nuclear Power Engineering Test Center, Tokyo, Human
Reliability Associates, Dalton, Wigan, Lancashire, UK, 1990.

IMA: Norma Técnica NT – 01/2009 – Gerenciamento de Risco no Estado da


Bahia. 2009.

KIRWAN, B.; AINSWORTH, L. A Guide to Task Analysis. Taylor & Francis, 1992.

LEES, FRANK P. Loss prevention in the process industries, 2nd Ed., Vol. 1.
Butterworths, London, 1996.

MCSWEEN, T. E. Improve Your Safety Program with a Behavioural Approach.


Hydrocarbon Processing, August, 1993.

MURGATROYD, R. A.; TAIT, J. F. A Case Study of the Application of the


SHERPA Technique to the Dinorwig Spiral Casing Ultrasonic Testing System.
Human Reliability Associates, 1 School House Higher Lane, Dalton, Wigan,
Lancs.,UK, 1987.
87

PENNYCOOK, W. A.; EMBREY, D. E. An Operating Approach to Error Analysis.


In Proceedings of the First Biennial Canadian Conference on Process Safety and
Loss Management, Edmonton, 24th Apri, Waterloo, Ontario, Canada, Institute for Risk
Research, University of Waterloo, 1993.

PEW, R. W.; MILLER, D. C.; FEEHER, C. E. Evaluation of Proposed Control


Room Improvements Through Analysis of Critical Operator Decisions.
EPRI/NP-192, Cambridge MA, Bolt Beranek & Newman, Inc., 1981.

PHILLIPS, L., D.; HUMPHREYS, P. C.; EMBREY, D. E. A socio-technical


approach to assessing human reliability (83-4). OAK Ridge, TN: OAK Ridge
National Laboratory, 1983.

POTASH, L., M.; DIETZ, P. E.; LEWIS, C. M.; DOUGHERTY, E. M. Jr. Experience
in integrating the operator contributions in the PRA of actual operating plants.
(AND/ENS Topical Meeting on Probabilistic Risk Assessment, Port Chester,NY)
LaGrange, IL; American Nuclear Society, 1981.

RASMUSSEN, J. Information Processing and Human-Machine Interaction.


Amsterdam, North Holland, 1986.

RASMUSSEN, J. Models of Mental Strategies in Process Control. In J.


Rasmussen, W. Rouse (Eds.), Human Detection and Diagnosis of System Failures,
New York, Plenum Press, 1981.

REASON, J. T. Human Error. Cambridge, Cambridge University Press, 1990.

SALVENDY, G. Handbook of Human Factors. Wiley, 1987.

SHAW, L. S.; SICHEL, H. S. Accident Proneness, Oxford, Pergamon, 1971.

SHEPHERD, A. Hierarchical Task Analysis and Training Decisions. Programmed


Learning and Educational Technology 22, 1985. p. 162-176.
88

SWAIN, A. D. Accident Sequence Evaluation Program Human Reliability


Analysis Procedure. NUREG/CR-4772, Washington, DC, US Nuclear Regulatory
Commission, 1987.

SWAIN, A. D.; GUTTMANN, H. E. Handbook of Human Reliability Analysis with


Emphasis on Nuclear Power Plant Applications. NUREG/CR-1278, Washington,
DC, US Nuclear Regulatory Commission, 1983.

WARM, J. S. Sustained Attention in Human Performance. New York, Wiley, 1984.

WICKENS, C. D. Engineering Psychology and Human Performance. Columbus,


Ohio, Charles Merril, 1984.

WILLIAMS. J. C. HEART – A proposed method for assessing and reducing


human error. Proc 9th Advances in Reliability Technology Symposium, University of
Bradford, 1986.

WILSON, J. R., & CORLETT, E. N. Evaluation of Human Work. A Practical


Ergonomics Methodology, Taylor and Francis, Washington, 1990.

WOODS, D. D.; ROTH, E. M.; POPLE, H. JR. Modeling human intention


formation for human reliability assessment. In G. E. APOSTOLAKI, P. K.;
MANCINI, G. (Eds). Accident sequence modlling Human actions, system response,
intelligent decision support. London: Elsevier Applied Science, 1988.
89

8 GLOSSÁRIO

A Technique for Human Error Analysis: Técnica para Análise de Eventos


Causados pelo Homem
Checklist: Lista de verificação
Critical Action and Decision Evaluation Technique: Técnica de Avaliação da
Ação/Decisão Crítica
Cognitive Environment Simulation: Simulador de Ambiente Cognitivo
Confusion Matrices: Matrizes de Confusão
Cognitive Event Tree System: Sistema de Árvore de Eventos Cognitivos
Cognitive Reliability and Error Analysis Method: Método de Análise de Erros e
Confiabilidade Cognitiva
Error Producing Conditions: Condição para Erro de Produção
Generic Error-Modelling System: Sistema do Modelo do Erro Genérico
Human Error Analysis Technique: Tecnicas para analises de erros humanos
Human Error Assessment and Reduction Technique: Técnica de Redução e
Avaliação do Erro Humano
Human Error Probability: Probabilidade do Erro Humano
Human Factor Analysis Methodology: Metodologia de Análise de Fatores
Humanos
Human Interaction Timeline: Linha do Tempo da Interação Humana
Hierarchical Task Analysis: Análise Hierárquica das Tarefas
Influence Diagram Analysis: Diagrama de Influências
Influence Modelling and Assessment Systems: Sistema de Avaliação e Modelo
de Influência
Independent Protection Layer: Camada de Proteção Independente
Layer of Protection Analysis: Analise da Camada de Proteção
Operator Action Event Trees: Árvore de Eventos da Ação do Operador
Process Hazard Analysis: Análise de Perigos de Processo
Predictive Human Error Analysis: Análise Preditiva de Erros Humanos
Performace Influencing Factors: Fatores Influenciadores de Desempenho
Systems for Predicting Human Error and Recovery: Sistema para Previsão de
Análise e Redução de Erros
Skill-, Rule- and Knowledge-based Behaviour: Habilidade, Regra e Conhecimento
90

Socio-Technical Assessment of Human Reliability: Avaliação sócio-técnica da


confiabilidade humana
Technique for Human Reliability Analysis: Técnica para Previsão de Taxas de
Erros Humanos
91

APÊNDICE A - INTERFACE HOMEM-MÁQUINA (ADAPTADO DE


WICKENS, 1984)

A interface homem-máquina, geralmente abreviada para interface, é um


importante foco de interesse dentre os fatores humanos na redução do erro humano.
A interface é a fronteira em que a informação do processo é transmitida por
sensores e convertidas para a interpretação dos controladores humanos do
processo. Permitem que ações de controle sejam tomadas para mudança de estado
do sistema.
O primeiro estágio, senso e percepção, correspondem a forma em que a
informação é capturada pelo canal sensitivo, por exemplo, visão, posteriormente
será armazenada numa capacidade limitada denominada memória ativa. A forma em
que a informação é adquirida será influenciada pelo conhecimento e experiência do
mundo, que é parte da memória de longo prazo. Por exemplo, um operador
analisando um painel de controle para indicações de problemas tenderá a focar em
fontes de informações (ex: alarmes) que eram consideradas importantes no
passado.
A interpretação da informação na memória ativa está relacionada com o uso de
conhecimento e experiências da memória de longo prazo. Por exemplo: baseado na
experiência, o operador de painel pode interpretar um rápido aumento da
temperatura como um indicativo de situação perigosa. O processo para diagnosticar
e então decidir e selecionar a resposta apropriada ocorre após a interpretação da
informação. Finalmente inicia-se uma resposta apropriada (por exemplo: fechar a
válvula), que irá alterar o estado do sistema. Esta mudança irá ser demonstrada pela
interface completando o loop do processo.
O modelo de Wickens se baseia em processamento de informações ou
recursos disponíveis finitos. Estes recursos podem ser distribuídos de diferentes
maneiras mas não podem aumentar. A interpretação de informações complexas ou
pouco comuns demonstradas na interface deixará poucos recursos disponíveis para
análise da seleção da resposta e demandas de tomadas de decisão.
Nas indústrias químicas de processo, a interface mais estudada é a sala de
controle em plantas automatizadas onde as informações do processo são mostradas
na unidade de display visual (VDU) e as ações de controle requeridas são
92

executadas pelos operadores. Nos casos de plantas altamente automatizadas, os


operadores respondem a contingências inesperadas que não foram antecipadas
pelo projetista do controle automático e sistema de proteção. Mesmo em plantas
consideradas de automatização elevada, a intervenção humana através da sala de
controle é comum.
Embora as grandes maiorias das pesquisas dos fatores humanos para o
controle de processo estão direcionadas para a sala de controle, é muito importante
que o conceito de interface homem-máquina seja considerado para todas as
situações em que o operador tem que tomar uma ação relacionada ao estado do
processo baseado numa informação adquirida diretamente ou indiretamente.
Negligências de considerações de operabilidade pelos projetistas frequentemente
levam os erros no design da planta como, por exemplo, posicionamento de
indicadores em pontos inacessíveis da planta.
Resumidamente a interface possui as seguintes funções: apresentar
informações do processo consistentes com as necessidades e expectativas dos
operadores, prover feedback imediato para as ações de controle, dar suporte para
os diagnósticos, tomadas de decisão e planejamento, facilitar a seleção das ações
de controle corretas e minimizar a ativação acidental de controles.
93

Displays
- Alarmes Senso e Percepção Diagnóstico,
- Dials - Visão Ações de
- Gravadores Tomada de Decisão
- Cheiro Controle
- VDU (Visual Display Unit) - Audição e Seleção da
Estado da Planta
SENSORES - Visores de vidro - etc Resposta
- Temperatura - etc
- Pressão
ATUADORES
- Vazão Controles
- etc - Botões
- Knobs Memória “Ativa”
- Mouses
- Teclados
- Chaves de funções Shared Attentional Resources
- etc

Memória de
“Longo Prazo”

PROCESSO INTERFACE OPERADOR


HUMANO
Figura A 1 - Interface Homem-Máquina
Fonte: (Wickens, 1984) adaptado
94

APÊNDICE B – SUMÁRIO DO ACIDENTE DA FORMOSA PLASTICS


CORP. PLANTA DE PVC – ILLIOPOLIS, ILLINOIS

Em 23 de abril de 2004, uma explosão e incêndio na Formosa Plastics


Corporation, Illiopolis, Illinois, (Formosa-IL), planta de produção de policloreto de
vinila (PVC) ocasionou cinco fatalidades e lesões sérias em três trabalhadores. A
explosão e o incêndio destruíram a maior parte das instalações dos reatores e
armazéns vizinhos e houve a ignição de resinas de PVC em um dos armazéns. A
fumaça atingiu a comunidade local e as autoridades locais ordenaram a evacuação
da comunidade por dois dias. A planta foi desativada e não há previsão de re-
ativação.
Monocloreto de vinila (MVC) é altamente inflamável e carcinogênico e utilizado
como matéria-prima para produção de PVC. A planta de Illiopolis foi adquirida da
Borden Chemical pela Formosa Plastics Corporation, USA (FPC USA) e foi operada
por aproximadamente dois anos antes do incidente.
A US Chemical Safety and Hazard Investigation Board (CSB) determinou que
este incidente ocorreu quando um operador drenou um reator de PVC cheio,
aquecido, em operação. A CSB acredita que o operador realizando a limpeza de um
reator, abriu a válvula de fundo de um reator que estava próximo e em operação,
liberando o conteúdo altamente inflamável.
A abertura da válvula de fundo de um reator em operação requisita o by-pass
do intertravamento de pressão. As salvaguardas para prevenir o by-pass do
intertravamento não foram suficientes para o alto risco associado a esta atividade.
Dois incidentes similares de outras plantas da FPC USA PVC já haviam revelados
problemas com as salvaguardas projetadas para prevenir descarga inadvertida do
reator em operação.
Dois operadores trabalhando com o supervisor de turno tentaram lidar com a
liberação, não evacuaram e morreram. O CSB determinou que os procedimentos de
emergência da instalação para evacuação eram ambíguos e a equipe não
participava de simulados de emergências relacionados a grandes liberações de MVC
havia mais de 10 anos.
A investigação identificou as seguintes causas básicas (raízes) do acidente:
1. A Borden Chemical não tratou adequadamente os potenciais para erros
humanos:
95

a. Não implementou as recomendações da análise de perigos do


processo (PHA) de 1992 para mudança no by-bass do intertravamento
da válvula de fundo do reator reduzindo o potencial de uso
inadequado.
b. No PHA de 1999, a Borden Chemical identificou potenciais
conseqüências críticas na abertura da válvula do fundo de um reator
em operação, mas considerou que o intertravamento, controlado por
procedimentos e treinamentos era salvaguarda eficiente.
2. A Formosa-IL não tratou adequadamente os potenciais para erros humanos:
a. Após um incidente em 2003 na instalação da FPC USA’s Baton Rouge,
Formosa-IL não reconheceu que um incidente similar poderia ocorrer
na instalação de Illiopolis e não tomou nenhuma ação de prevenção.
b. A gerência da planta de Formosa-IL não implementou as ações
corretivas identificadas na investigação de um incidente similar em
fevereiro de 2004 na Formosa-IL.
3. A Formosa-IL confiou em um procedimento escrito para controlar um perigo
com potencial conseqüência catastrófica.
A investigação identificou as seguintes causas que contribuíram para o
acidente:
1. A FPC USA não tinha procedimentos escritos para direcionar salvaguardas
com risco.
2. A FPC USA não tinha padrões detalhados e bem definidos para o
gerenciamento dos intertravamentos das instalações de PVC.
3. A FPC USA não reconheceu e não direcionou elementos comuns entre os
sérios incidentes nas suas instalações de PVC.
4. Os empregados da Formosa-IL na estavam preparados para lidar com
grandes liberações de MVC.

1 DESCRIÇÃO DA PLANTA

A planta de PVC da Formosa-IL foi comprada da Borden Chemical, incluindo o


commodity do processo da resina de PVC (PVC1) e um processo especial da resina
de PVC (chamado Paste). Estes dois processos utilizavam 24 reatores para produzir
até 180 mil toneladas de resina de PVC por ano. No prédio dos reatores estavam
localizadas as duas áreas de produção de PVC – PVC1 e Paste.
96

O lay-out da instalação da Formosa-IL pode ser observada na .Figura B 1.

Figura B 1 – Lay-out da planta de Formosa-IL


(fonte: “Investigation Report – Vinyl Chloride Monomer Explosion” – CSB)

2 DESCRIÇÃO DO PROCESSO

A área da PVC1 da planta de Formosa-IL produz PVC através da


polimerização de monocloreto de vinila (MVC). MVC líquido, água, agentes
suspensos, e iniciadores da reação reagem num reator sob pressão e calor. Após o
término da reação, o PVC é transferido para outros equipamentos para remover
MVC residual, para secagem, peneiração e transporte do PVC para silos.
O esquemático do processo de produção do PVC pode ser observado na
Figura B 2.
97

Figura B 2 – Esquemático do processo


(fonte: “Investigation Report – Vinyl Chloride Monomer Explosion” – CSB)

3 DESCRIÇÃO DA OPERAÇÃO DA PVC1

Na área de PVC1, local do acidente, seis operadores trabalhavam por turno.


Dois operadores, um operador da poli, e um operador da blaster foram responsáveis
pelo incidente que ocorreu no reator. O operador da poli trabalhava exclusivamente
no nível superior do prédio onde se localizavam os controladores e indicadores,
enquanto que o operador da blaster trabalhava em todos os níveis.
A Figura B 3 mostra a vista da elevação do prédio dos reatores.
98

Figura B 3 – Vista da elevalção do prédio dos reatores


(fonte: “Investigation Report – Vinyl Chloride Monomer Explosion” – CSB)

Na fabricação da batelada de PVC, o operador da poli é responsável na


preparação do reator, adicionando a matéria-prima e o aquecimento do reator. A
temperatura é automaticamente controlada através da injeção de vapor ou água de
resfriamento na jaqueta do reator. O operador da poli monitora a temperatura e
pressão do reator que a batelada esteja completa, e despressuriza o reator e
comunica o operador da blaster para transferir a batelada para a retificadora.
A transferência da batelada para a retificadora é realizada pelo operador da
blaster no nível inferior através da abertura das válvulas de fundo do reator. Quando
a transferência é completada, o operador da blaster fecha a válvula de transferência
e o operador da poli purga os gases perigosos do reator e prepara o reator para a
limpeza. O operador da blaster limpa o reator seguindo os seguintes passos:
1. Abre a boca de visita do reator;
2. Limpa o resíduo de PVC das paredes do reator com lavagem de alta pressão
e;
3. Abre a válvula de fundo do reator (se não deixada aberta após processo de
transferência) e válvula dreno para esvaziar o reator liberando o efluente para
drenos no chão.
Uma vez terminada a limpeza do reator pelo operador do blaster, ele fecha a
válvula de fundo do reator e a válvula do dreno e fornece ao operador da poli um
99

completo checklist indicando que o reator está pronto para a próxima batelada de
PVC.

4 PROCEDIMENTO DE EMERGÊNCIA DO REATOR

A transformação de MVC em PVC gera calor que se não for removido ocasiona
uma reação descontrolada podendo levar ao aumento da pressão do reator a
valores acima do valor de setpoint do sistema de alívio de pressão provocando a
liberação do conteúdo do reator através da válvula de alívio de pressão (PSV),
incluindo MVC para a atmosfera.
O procedimento para controle da sobrepressão do reator e reduzir a
possibilidade de liberação para atmosfera requere que no caso de pressão ou
temperatura anormal, o operador da poli deveria:
1. Ajustar manualmente o controle da temperatura do reator para resfriar o
reator;
2. Adicionar um inibidor de reação para reduzir ou parar a reação de PVC;
3. Despressurizar manualmente o reator através do vent.
Se a pressão não for controlada, os operadores deveriam seguir um
procedimento de transferência que requereria que eles abrissem as válvulas de
fundo e de transferência do reator, conectando o reator a um reator vazio. Este
procedimento foi desenvolvido pela Borden Chemical que concluiu que conectando
dois reatores promoveria a mistura do inibidor da reação, aumentando o
resfriamento e provendo maior volume, reduzindo a pressão do reator.

5 INTERTRAVAMENTO DA VÁLVULA DE FUNDO DO REATOR

A abertura da válvula de fundo do reator durante a operação pode resultar em


liberações catastróficas de MVC dentro do prédio dos reatores e para prevenir este
cenário, a válvula de fundo do reator possui um intertravamento de segurança que
impede sua abertura através da chave de controle quando a pressão do reator
exceder 10 psi.
O procedimento de emergência de transferência, desenvolvido pela Borden,
requere que o operador abra as válvulas de fundo e de transferência do reator para
conectar o reator em carga a outro reator vazio. Entretanto, durante uma
transferência de emergência a pressão do reator está acima de 10 psi e o
intertravamento de segurança não permite a abertura da válvula de fundo do reator.
100

A fim de atender a transferência de emergência e permitir que os operadores


pudessem reduzir a pressão, a Borden adicionou um by-pass manual do
intertravamento. O by-pass incorporou acessórios de engate rápido as mangueiras
de ar para que os operadores pudessem desconectar o atuador da válvula do seu
controlador e abrir a válvula através da conexão com a mangueira de ar de
emergência diretamente no atuador.
Este procedimento de transferência de emergência requeria autorização do
supervisor, mas não necessariamente testemunhas durante o by-pass do
intertravamento.

6 SISTEMA DE ALARME DE MVC

A planta possui um sistema de monitoramento de concentrações de MVC no ar


e de alerta de níveis perigosos. Uma vez atingida a concentração máxima ou acima
permissível, o sistema aciona alertas visuais e sonoros em todas as entradas das
áreas. O procedimento requisita que se o alarme for acionado, o pessoal de área
deveria utilizar os equipamentos de proteção respiratória ou evacuar.

7 SISTEMA DE DILÚVIO

Formosa-IL e outros fabricantes de PVC geralmente utilizam sistema de dilúvio,


ou spray de água para proteção contra incêndio e controle de perdas. Estes
sistemas utilizam sprinklers e tubulações conectadas a sistema pressurizados de
água para cobrir uma determinada área. O sistema de dilúvio da Formosa-IL era
ativado por:
1. Sensores de alta temperatura (para detecção de incêndio);
2. Monitores de vapor de MVC configurados na metade do limite inferior de
flamabilidade para o MVC;
3. Perda de pressão de ar de instrumento;
4. Estações de acionamento manual localizadas nas instalações.

8 DESCRIÇÃO DO INCIDENTE

A planta estava em estado normal antes do incidente e aproximadamente às


10: 30 pm o reator D-306 estava em processo de limpeza. Alguns minutos após às
10: 30pm, alguns trabalhadores dizem ter ouvido um barulho de um jato e odor de
MVC. O supervisor de turno e operadores da unidade Paste (parte sul do prédio dos
101

reatores) ouviram que o alarme do sistema de dilúvio da seção da Paste estava


ativado.
O supervisor de turno da sala de controle da Paste deixou a sala de controle
para checar as leituras do sistema de detecção de MVC. Ele notou que duas áreas
estavam com níveis acima do limite do instrumento, o que sugeria uma grande
liberação. No seu caminho para investigar a liberação, ele atravessou uma porta na
área da PVC1 próximo do reator D-310 e viu material sendo liberado do fundo do D-
310 e formando uma mistura espumosa no chão de aproximadamente 45 cm de
altura. Ele imediatamente foi para o nível superior.
De acordo com o supervisor de turno, operadores do nível superior da PVC1
relataram que a pressão no reator D-310 estava baixando. Ele informou a dois
operadores que viu material sendo liberado do fundo do D-310 e eles imediatamente
começaram a checar as válvulas e controles do D-310. O supervisor e um operador
tentaram ir ao nível abaixo através da escada interior, mas encontram fortes
concentrações de MVC no ar e foram obrigados a voltar. O supervisor de turno
instruiu os operadores a abrirem as válvulas de vent do reator D-310 para aliviar a
pressão e diminuir a liberação. Neste momento ele observou que a pressão do
reator já estava abaixo de 10 psi, indicando uma grande liberação.
Na tentativa de ir de novo para o nível inferior, o supervisor utilizou a escada
exterior quando uma série de explosões ocorreu. As explosões derrubaram dois
tanques de recuperação de MVC de 3 mil galões, levantou alguns secadores de
algumas toneladas de seu suporte e destruiu o laboratório, escritórios de segurança
e engenharia. O incêndio se espalhou para o armazém de PVC a oeste do prédio
dos reatores, queimou por horas e emitiu uma pluma de fumaça sobre a comunidade
(vide Figura B 4). Quatro operadores foram mortos pela explosão: dois que
trabalhavam próximos ao topo de reator e dois no nível inferior. Um quinto operador
faleceu no hospital duas semanas depois. O supervisor de turno e dois
trabalhadores ficaram hospitalizados e quatro trabalhadores foram tratados no local.
102

Figura B 4 – Pluma de fumaça sobre a planta da Formosa-IL um dia após a explosão


(fonte: “Investigation Report – Vinyl Chloride Monomer Explosion” – CSB)

Os danos após o término da emergência produziram impactos na comunidade,


onde uma fumaça atingiu a áreas da comunidade sendo necessário a evacuação de
aproximadamente 150 residentes que moravam a 1,6 km da planta e as rodovias
nas proximidades da planta foram isoladas. A explosão destruiu boa parte da planta,
derrubando o teto do prédio dos reatores e rompeu os isolamentos das tubulações.
Houve danos também a escritórios e a instalação está fechada. Não houve danos
ambientais severos.

9 CENÁRIO MAIS PROVÁVEL

O reator D-310 foi encontrado vazio com as válvulas de fundo e de dreno


abertas e seus respectivos swithces no painel de controle estavam na posição
abertas. A condição do D-306 indicou que estava em processo de limpeza: boca de
visita aberta, o lavador de pressão estava inserido no reator, válvula de fundo aberta
e válvulas de dreno e de transferência estavam fechadas. O próximo passo que o
operador de blaster deveria fazer era abrir a válvula do dreno e esvaziar o reator.
Essas condições dos reatores D-306 e D-310 levaram a CSB a concluir que o
operador de blaster estava limpando o D-306 e foi indevidamente ao D-310 e tentou
abrir a válvula de fundo para esvaziar o reator. A válvula de fundo do D-310 não
abriria, pois o reator estava com o intertravamento acionado. Como o operador
acreditou que estava no reator correto (D-306) ele acreditou que a válvula de fundo
103

do D-310 estava com mal funcionamento. O CSB concluiu que por causa do atuador
da válvula de fundo foi encontrada desconectada e a mangueira do ar de
emergência utilizada para o by-pass do intertravamento foi encontrada conectada, o
operador do blaster, que acreditou que o reator continha apenas água de limpeza,
utilizou a mangueira de ar de emergência para o by-pass do intertravamento de
pressão da válvula de fundo e abriu a válvula de fundo do reator enquanto o reator
estava operando, liberando seu conteúdo.
O supervisor de turno afirmou que o operador do blaster não requisitou
permissão para o by-pass do intertravamento (exigido por procedimento) ou
informou alguém que ele tinha feito o by-pass. Consequentemente, os operadores
tentando controlar a liberação acreditavam que havia uma falha ou mal
funcionamento e tentaram aliviar a pressão dentro do reator para reduzir a liberação.
A nuvem de vapor inflamável de MVC ignitou e explodiu enquanto os operadores
estavam trabalhando no controle do reator.

10 ANÁLISE DO INCIDENTE

Neste acidente, muitos fatores combinados ocorreram para fazer com que o
erro humano fosse a mais provável causa. Deve-se avaliar os fatores que
isoladamente não criam condições de alto-risco, mas combinados, tornam o erro
humano mais provável.
Layout dos Reatores: grupos de quatro com um painel de controle a cada dois
reatores. Ambos os reatores D-306 e D-310 estavam na mesma posição relativa no
grupo de quatro reatores. O controle das válvulas de fundo e de dreno são
realizados no painel de controle do nível inferior. Os painéis de controle possuem
indicação do número do reator correspondente e possuem indicadores luminosos
mostrando a posição das válvulas de fundo e de dreno. A Figura B 5 mostra a
disposição dos reatores.
104

Figura B 5 – Disposição dos grupos de reatores e painel de controle


(fonte: “Investigation Report – Vinyl Chloride Monomer Explosion” – CSB)

10.1 COMUNICAÇÃO

Não havia meio de comunicação entre os diferentes níveis (superior e inferior).


O operador no nível inferior após constatar algum desvio, deveria ir ao nível superior
para verificar o status do reator. O CSB obteve a informação que os operadores das
outras plantas ou carregavam rádios ou tinham acesso ao sistema de interfones no
nível inferior.

10.2 MUDANÇAS NA EQUIPE

Na aquisição da instalação em 2002 pela FPC USA, houve redução da equipe.


O CSB investigou e comparou a filosofia operacional das plantas da Formosa. A
Borden Chemical possuía operadores e um líder de grupo (supervisor de operação)
para cada área. O líder do grupo dava suporte aos seus operadores da área. Os
empregados entrevistados indicaram que o líder do grupo possuía uma posição
respeitada na instalação de Illiopolis e tinham grandes responsabilidades. Quando
um operador tinha algum problema, o líder do grupo da área tinha habilidade e
estava disponível. O gerenciamento da FPC USA eliminou os líderes de grupo na
aquisição da planta dois anos antes. Consequentemente, cada área não tinha mais
um líder de grupo, somente um supervisor de turno que era responsável pela planta
toda e este não estava sempre disponível quando algum operador necessitasse de
assistência.
Como o supervisor não estava disponível para responder rapidamente, a
Formosa-IL requisitou que o supervisor apenas autorizasse, mas não testemunhasse
105

os controles e by-pass dos intertravamentos dos reatores. Esta falta de


disponibilidade, combinado com dificuldades de comunicação e a utilização do by-
pass do intertravamento não monitorado e o aumento da ação independente do
operador contribuíram para o by-pass não autorizado de um intertravamento de
segurança.

10.3 SIMILARIDADES COM INCIDENTES ANTERIORES

Houve incidentes anteriores de aberturas indevidas da válvula de fundo do


reator em outra planta (FPC USA Baton Rouge) e também na mesma planta da
Formosa-IL e mesmo assim o grupo de HSE nunca reconheceu semelhanças entre
os incidentes. Além destes incidentes, observa-se na Tabela B 1 que outros
acidentes semelhantes já haviam ocorrido.

Tabela B 1 – Acidentes em Plantas de PVC envolvendo descarga inadvertida do reator


Ano Local Causa Resultado
Quatro fatalidades, oito lesões
Conteúdo do restor errado foi na planta e duas fora da planta.
1961 Japão
descarregado Danos estruturais severos na
planta.
Operador abriu válvula de fundo
Uma fatalidade. Planta
1966 Nova Jersey de reator errado, descarregando
destruída.
o conteúdo
Operador abriu válvula de fundo Duas pessoas lesionadas,
1980 Massachusetts de reator errado, descarregando danos acima de 1 milhão de
matéria-prima dólares.
Design inapropriado de válvula
1980 Califórnia permitiu eu a mesma ficasse Danos severos na planta.
parcialmente aberta

10.4 ANÁLISES DE RISCO ANTERIORES:

Em 1992 foi realizada uma análise de risco (PHA) que recomendava


modificações na filosofia operacional da planta impedindo que qualquer
intertravamento fosse desativado sem aprovação direta do supervisor e com
testemunhas. Outra recomendação seria de substituição do sistema de ar de
emergência por uma que requisitasse a chave do supervisor para destravamento.
Essas recomendações nunca foram implementadas. Em 1999 foi parcialmente
revalidado o PHA onde a equipe julgou que o intertravamento de segurança da
válvula de fundo, os procedimentos e treinamento eram salvaguardas eficientes para
controle de um cenário de risco alto. Essas proteções administrativas são
inapropriadas para cenários de alto risco. É importante mencionar que o PHA
desenvolvido não cobria o procedimento de limpeza do reator.
106

10.5 ANÁLISES SEMI-QUANTITATIVAS DE RISCO

Nem sempre uma PHA qualitativa que é baseada na experiência e


conhecimento da equipe pode indicar a recomendação mais adequada para
determinado cenário de alto-risco. A validação do PHA de 1999 concluiu que as
salvaguardas existentes eram suficientes, o que não foi verdade. Recomenda-se
que a eficiência das salvaguardas seja avaliada através de novas metodologias, por
exemplo, LOPA (Layer of Protection Analysis). LOPA basicamente é um método que
classifica as conseqüências, possui um critério para determinar a tolerância ao risco,
é sistemático possuindo um procedimento para desenvolvimento do cenário, possui
regras para garantir independência das salvaguardas, tem procedimentos para
cálculo do risco e procedimentos para determinar se o risco está salvaguardado. A
metodologia poderia ter sido utilizada para determinar se o intertravamento da
válvula do fundo do reator é uma camada de proteção independente (IPL), e se é
uma salvaguarda cuja efetividade pudesse ser medida e auditada. Poderia ser
utilizado também na verificação da adequação da efetividade de todas as IPLs
combinadas para controlar o risco.

10.6 CONTROLE DO BY-PASS

A equipe gerencial da Formosa-IL acreditava que o intertravamento da válvula


de fundo do reator era uma salvaguarda eficiente na proteção contra transferência
acidental ou liberação indevida do conteúdo do reator, mesmo que o intertravamento
pudesse ser by-passado facilmente. O CSB identificou outros sistemas de segurança
que poderiam ser by-passados: sistema de dilúvio era desativado com bloqueios de
madeira durante a manutenção para se evitar acionamentos indevidos. Esses
bloqueios, a principio eram para ser utilizados apenas por pessoal autorizado,
entretanto não havia controle do uso dos bloqueios de madeira. O sistema de
detecção de MVC era desativado através de uma chave durante a manutenção e
não havia nenhuma outra indicação que o sistema estava desativado além da
posição da chave.
107

10.7 DESIGN DO BY-PASS

O projeto do by-pass deve ser de alta confiabilidade, efetivo e seguro. A falha


na sinalização da utilização do by-pass pode comprometer a efetivadade do
equipamento de segurança.

10.8 POLÍTICA ORGANIZACIONAL DE USO DO BY-PASS

A recomendação do PHA de 1992 sobre o controle dos intertravamentos não


foi implementada. A CCPS oferece um guia de melhores práticas para by-pass de
intertravamentos que contêm: política formal de by-pass de intertravamentos e um
procedimento escrito e implementado que exige monitoramento do processo
enquanto o intertravamento é by-passado, análise do método de by-pass mais
apropriado, um limite de tempo para o by-pass e documentação e comunicação para
todo pessoal envolvido.

10.9 PLANO DE AÇÃO DE EMERGÊNCIAS

As ações dos trabalhadores demonstraram que eles não estavam preparados


para uma liberação catastrófica de MVC. O supervisor foi ao local onde os dois
operadores estavam tentando controlar a liberação ao invés de solicitar evacuação.
A estimativa da CSB é que os operadores tentaram por 5 minutos controlar a
liberação até a ocorrência da explosão. Os operadores não colocaram a proteção
respiratória, não ativaram os alarmes de emergência e não evacuaram do local. A
planta da Formosa-IL possuía seis diferentes procedimentos relacionados a
liberações emergenciais de MVC.

10.10 SISTEMA DE DILÚVIO PARA PREVENIR INCÊNDIOS E


EXPLOSÕES

O sistema de dilúvio pode prevenir incêndios e explosões em nuvem da


seguinte forma: dispersando o vapor e induzindo o fluxo de ar para o vazamento,
reduzindo a concentração de vapor para valores abaixo do LFL, absorvendo a
substância liberada (depende da solubilidade da substância na água), resfriando e
condensando vapores do material com alto ponto de ebulição, prevenindo a ignição
através da redução de potencial eletricidade estática e resfriando superfícies
quentes. O sistema de dilúvio da Formosa-IL não foi ativado durante o incidente,
108

porém mesmo assim, o CSB concluiu que o sistema não evitaria a explosão do
prédio dos reatores, pois o prédio era fechado evitando a dispersão dos vapores de
MVC, o MVC é pouco solúvel na água e seus vapores não podem ser condensados
por neblinas de água devido ao baixo ponto de ebulição do MVC na atmosfera.
109

APÊNDICE C – CÁLCULO DA PROBABILIDADE DOS EVENTOS


BÁSICOS ATRAVÉS DA METODOLOGIA HEART

RECOMENDAÇÃO A - AUMENTAR A DISPONIBILIDADE DO


SUPERVISOR

Tabela C 1 – Probabilidade do E2 considerando a Recomendação A


Evento Básico E2
Operador se direciona indevidamente a reator em operação e acredita
Tarefa Genérica estar no reator em processo de limpeza
E - Rotina, muita prática, tarefa rápida que envolve baixo nível de
habilidade
o o
5 percentil Central 95 percentil
Não confiabilidade proposta
0,007 0,02 0,045
Quantidade nominal prevista
Condição para Erro de Produção máxima na qual a não confiabilidade
pode mudar indo da condição “boa” Proporção Cálculo
(EPC)
para a “ruim”
EPC 8 - Sobrecarga da capacidade da via
particularmente causada pela presença
6 0,2 2,0
simultânea de informação não redundante (x
6)
EPC 14 - Sem confirmação clara direta e
4 0 1,0
programada de uma ação intencional (x 4)
PROBABILIDADE FALHA 4,00E-02
RECOMENDAÇÕES Influencia no Evento Basico ? EPC ? Grau de eficiência
Aumentar a disponibilidade do supervisor SIM EPC 14 100%

Tabela C 2 - Probabilidade do E3 considerando a Recomendação A


Evento Básico E3
Operador utiliza o by-pass para abrir a válvula de fundo do reator em
Tarefa Genérica
B - Restaurar o sistema para um novo ou estado original em uma única
tentativa sem supervisão ou procedimentos
o o
5 percentil Central 95 percentil
Não confiabilidade proposta
0,14 0,26 0,42
Quantidade nominal prevista
Condição para Erro de Produção máxima na qual a não confiabilidade
pode mudar indo da condição “boa” Proporção Cálculo
(EPC)
para a “ruim”
EPC 14 - Sem confirmação clara direta e
4 0,08 1,2
programada de uma ação intencional (x 4)
EPC 17 - Pouca ou não independente
3 0,2 1,4
checagem ou teste da saída
PROBABILIDADE FALHA 4,5E-01
RECOMENDAÇÕES Influencia no Evento Basico ? EPC ? Grau de eficiência
Aumentar a disponibilidade do supervisor SIM EPC 14 25%
110

RECOMENDAÇÃO B - IMPLEMENTAÇÃO DE ESTUDOS DE LOPA

Tabela C 3 - Probabilidade do E3 considerando a Recomendação B


Evento Básico E3
Operador utiliza o by-pass para abrir a válvula de fundo do reator em
Tarefa Genérica
B - Restaurar o sistema para um novo ou estado original em uma única
tentativa sem supervisão ou procedimentos
o o
Não confiabilidade proposta 5 percentil Central 95 percentil
0,14 0,26 0,42
Quantidade nominal prevista
Condição para Erro de Produção máxima na qual a não confiabilidade
pode mudar indo da condição “boa” Proporção Cálculo
(EPC)
para a “ruim”
EPC 14 - Sem confirmação clara direta e
4 0,1 1,3
programada de uma ação intencional (x 4)
EPC 17 - Pouca ou não independente
3 0 1,0
checagem ou teste da saída
PROBABILIDADE FALHA 3,4E-01
RECOMENDAÇÕES Influencia no Evento Basico ? EPC ? Grau de eficiência
Implementação de Estudos de LOPA SIM EPC 17 100%

Tabela C 4 - Probabilidade do E4 considerando a Recomendação B


Evento Básico E4
Tarefa Genérica Empregados falham na evacuação da área
I - Tarefas diversas para as quais nenhuma descrição pode ser
o o
Não confiabilidade proposta 5 percentil Central 95 percentil
0,008 0,03 0,11
Quantidade nominal prevista
Condição para Erro de Produção máxima na qual a não confiabilidade
pode mudar indo da condição “boa” Proporção Cálculo
(EPC)
para a “ruim”
EPC 1 - Falta de familiaridade com a
situação que é potencialmente importante,
17 0 1,0
mas que ocorre com pouca freqüência ou
que é inédita
PROBABILIDADE FALHA
3,00E-02
AVALIADA
RECOMENDAÇÕES Influencia no Evento Basico ? EPC ? Grau de eficiência
Implementação de Estudos de LOPA SIM EPC 1 100%
111

RECOMENDAÇÃO C - IMPLEMENTAÇÃO RECOMENDAÇÕES DA


PHA1992

Tabela C 5 - Probabilidade do E3 considerando a Recomendação C


Evento Básico E3
Operador utiliza o by-pass para abrir a válvula de fundo do reator em
Tarefa Genérica operação
B - Restaurar o sistema para um novo ou estado original em uma
única tentativa sem supervisão ou procedimentos
o o
5 percentil Central 95 percentil
Não confiabilidade proposta
0,14 0,26 0,42
Quantidade nominal prevista
Condição para Erro de Produção máxima na qual a não confiabilidade
pode mudar indo da condição “boa” Proporção Cáclulo
(EPC)
para a “ruim”
EPC 14 - Sem confirmação clara direta e
4 0,10 1,3
programada de uma ação intencional (x 4)
EPC 17 - Pouca ou não independente
3 0,02 1,0
checagem ou teste da saída
PROBABILIDADE FALHA AVALIADA 3,5E-01
Grau de eficiência
RECOMENDAÇÕES Influencia no Evento Basico ? EPC ?
?
Implementação Recomendações da PHA1992 SIM EPC 17 90%

RECOMENDAÇÃO D - PROCEDIMENTOS PARA UTILIZAÇÃO DE


BY-PASS EM OPERAÇÃO NORMAL

Tabela C 6 - Probabilidade do E3 considerando a Recomendação D


Evento Básico E3
Operador utiliza o by-pass para abrir a válvula de fundo do reator em
Tarefa Genérica operação
B - Restaurar o sistema para um novo ou estado original em uma
única tentativa sem supervisão ou procedimentos
o o
Não confiabilidade proposta 5 percentil Central 95 percentil
0,14 0,26 0,42
Quantidade nominal prevista
Condição para Erro de Produção máxima na qual a não confiabilidade
pode mudar indo da condição “boa” Proporção Cáclulo
(EPC)
para a “ruim”
EPC 14 - Sem confirmação clara direta e
4 0,03 1,1
programada de uma ação intencional (x 4)
EPC 17 - Pouca ou não independente
3 0,05 1,1
checagem ou teste da saída
PROBABILIDADE FALHA AVALIADA 3,1E-01
RECOMENDAÇÕES Influencia no Evento Basico ? EPC ? Grau de eficiência
Procedimentos para utilização de by-pass em
SIM EPC 14 e 17 75%
operação normal