Acidentes Envolvendo Mquinas com Dispositivos de Proteo: Erro do Usurio ou

Erro de Concepo?
1

Jrgen Meisenbach

Os planos originam-se do designer (responsvel pela concepo) - os erros s
so descobertos mais tarde!
Em sentido amplo, esta relao ainda parece se manifestar em muitos acidentes
envolvendo mquinas.
O cenrio do acidente abaixo sustenta essa idia.
O alimentador de material de uma mquina automtica de solda sofre um bloqueio.
O painel a ser soldado no transportado como deveria pelo cilindro elevador e fica fora
de posio. O operador do equipamento suspeita de uma falha de contato no interruptor de
fim de curso (non-contacting limit switch). Ele deixa seu console de controle e, sem
desligar o equipamento, entra na rea fechada da zona de perigo ignorando o dispositivo de
segurana, isto , contrariando as instrues. Na zona de perigo ele move o painel para a
posio correta. Esse movimento dispara a operao automtica do equipamento. A
aproximao do cilindro de elevao em relao ao painel prximo prende o operador,
que pressionado contra containers de armazenamento, sendo gravemente ferido.
H instrues de operaes disponveis para o equipamento. Essas instrues
abordam a correo de falhas, probem o acesso ao equipamento durante operao e
recomendam seu desligamento e reinicializao em caso de problemas. A zona de perigo
fechada e claramente sinalizada como rea de perigo por meio de cartazes. As pr-
condies objetivas esto em conformidade com os regulamentos. Considerando esses
antecedentes, para a preveno, no h necessidade de ao adicional. Acresce ainda o fato
de o trabalhador acidentado estar sob influncia de lcool. A concluso bvia foi, portanto,
considerar o acidente apenas como um caso trgico, porque ele foi causado pelo
comportamento indubitavelmente incorreto da pessoa afetada.

1
Meisenbach, J Accidents despite protective devices mistakes by the user or by the designer? In Defren,
W.; Kreutzkampf, F. (Org) Machine Safety in the European Community. Duisburg: Schmersal; 2003. (p.
193 a 199). Traduo livre de Ildeberto Muniz de Almeida. O tradutor agradece, em especial, as colaboraes
do Eng
o
Iderval Muniz de Almeida e da Eng
a
e auditora fiscal do trabalho (DRT-MG) Ivone Corgosinho
Baumecker na traduo de termos tcnicos.

Acidentes no tm apenas causas superficiais.
Embora o acidente citado possa ser atribudo a comportamento flagrantemente
incorreto, a sua anlise no foi concluda pela determinao dessa causa, mas abriu
possibilidades de explorar questes adicionais. Agora, o fato a ser estabelecido foi se,
naquelas circunstncias, condies operacionais poderiam ter promovido os erros que
foram cometidos: a falta observada j era conhecida. A causa no incio da falha era a
presena de rebarbas (burrs) no painel a ser soldado. O seu acmulo levou ao
posicionamento incorreto do painel, ensejando a parada recorrente do equipamento. O
sistema equipado com dispositivo de controle seqencial (sequence control system)
que, depois do desligamento, s pode ser reiniciado no incio do ciclo (grifo da
traduo). Cada nova reinicializao sempre associada com reajustes e, por isso mesmo,
consomem tempo. A mquina de solda automtica representa um gargalo na produo.
Alm disso, foi descoberto que a correo de falhas em condies similares j tinha sido
realizada anteriormente com sucesso e com freqncia.
Essa investigao suplementar resulta na apresentao do acidente de um modo
ligeiramente diferente, at mesmo do ponto de vista daqueles que anteriormente
declararam-se, eles mesmos, contras investigaes adicionais. Os erros previamente
estabelecidos, isto , ignorar a proibio de acesso ao equipamento e a influncia do lcool,
mantm, como antes, seu significado como causas. Logicamente, eles tambm resultam na
adoo de aes apropriadas. Mas novas condies vieram luz, as quais incentivaram e
contriburam para a situao desencadeada: isto , a presena de rebarba no painel e o
equipamento de controle no amigvel e inconveniente. O aspecto particular dessas
condies fronteirias que elas explicam parcialmente o comportamento incorreto e ainda
podem ser efetivamente influenciadas pelos meios tcnicos. Nesse caso, ambas, as
condies fronteirias e as razes para os comportamentos inadequados
2
poderiam ser
tecnicamente melhoradas e removidas.


2
No original, Meisenbach usou a expresso comportamento inseguro. Entre ns, me parece oportuno
interromper sua utilizao em funo do histrico de uso em estreita associao com prticas de atribuio de
culpa, desprezo pelas boas tcnicas de conduo de anlises e de defesa de interesses polticos de
amesquinhamento das prticas de Segurana no Trabalho tendendo a colocar servios e profissionais da rea
em posies subalternas e de submisso a interesses estranhos preveno de acidentes.
Hbitos inadequados podem estar sendo encobertos sem serem notados
A abordagem escolhida para investigao - isto , no apenas a busca de causas
bvias, mas tambm das condies que facilitam ou incentivam tais comportamentos -
baseada em observaes psicolgicas e experincias. Isso porque na psicologia da
aprendizagem, a formao de hbitos, - inclusive padres comportamentais inadequados -
usualmente segue a relao mostrada na fig 01.
Figura 1. Da ao consciente ao hbito inadequado.


















Nesse caso o ponto de partida costuma ser o comportamento seguro. A ocorrncia
de uma falha e os passos requeridos para sua correo implicam em aumento de esforos
3
,

3
Nota da traduo: A mesma situao apontada por outros autores. Em O que houve de Errado? (So
Paulo. Makron Books) Trevor Kletz a denomina de situao que cria custo adicional para o operador e
descreve acidente em situao que torna previsvel a utilizao de estratgia de cortar caminho, deixando de
cumprir determinao de norma de segurana. Uma recomendao til para a gesto de segurana a de
nunca aceitar que a segurana do sistema dependa apenas da adeso a esse tipo de norma em situao cujo
desfecho possa ser considerado como potencialmente grave para a sade de trabalhadores ou que ameace a
Comportamento seguro
Esforo extra
Desvantagem, falha.
Mudana de comportamento
Comportamento imprpio



Vantagem, sucesso.
Repetio
Comportamento inadequado
isto : parar a mquina e reinici-la numa srie de passos complicados e que consomem
tempo. O esforo extra vivenciado pela pessoa envolvida na falha. Falhas tm a tendncia
de mudar comportamentos no caso, a mquina no foi parada e a falha foi corrigida mais
rapidamente desconsiderando o dispositivo de segurana. O comportamento seguro anterior
agora mudado para comportamento imprprio. A correo da falha, que agora toma
menos esforo, incluindo o comportamento imprprio, tragicamente vivenciada como um
sucesso. O comportamento bem sucedido tem a tendncia a ser repetido. Atravs da
mltipla repetio, pouco a pouco, podem originar-se hbitos inadequados. Eles preparam o
terreno para todos tipos de acidentes, incluindo acidentes com mquinas: inicialmente
devido desobedincia (ato de ignorar) intencional ou desativao de dispositivos de
segurana, os empregados tornam-se expostos a perigos que eles acreditam poder controlar
tomando cuidados especiais. Com o passar do tempo, a conscincia do perigo torna-se
embotada (blunt). Ento, at mesmo mudanas muito leves das condies fronteirias
podem levar a acidentes graves. Suspeita-se que essa cadeia de causas e efeitos tem maior
influncia nos acidentes com mquinas que o pensado anteriormente. Para confirmar essa
suspeita, deveriam ser verificadas relaes de causas e efeito, tambm em outros acidentes
e com outros perigos assim como deveriam ser desenvolvidas abordagens para a adoo de
medidas efetivas.
Da experincia com acidente acima citado, os seguintes aspectos foram decisivos na
investigao:
Desligar, contornar, inibir ou bypassar dispositivo de segurana representa ao
intempestiva no permitida (impermissible tampering)
4
;
Essa ao no permitida , primariamente, devida a circunstncias relacionadas
operao e no a fatores da pessoa do operador.

prpria integridade do sistema. A noo de criao de custo adicional para os operadores tambm apontada
como critrio de avaliao de escolha de medidas de preveno (Almeida 2006). De acordo com Amalberti,
na situao de trabalho o ser humano estabelece compromisso baseado na necessidade objetiva de negociar
trs objetivos: a) alcanar os objetivos do sistema; b) manter sua segurana e a do sistema e; c) manter o
desempenho com o menor custo fsico, cognitivo e afetivo para si prprio. Por isso mesmo, passos percebidos
como desnecessrios tendem a ser substitudos por outros que se mostrem adequados e de menor custo.
4
Nota da Traduo: De acordo com Apfeld (2007)em norma recentemente lanada (DIN EN ISO 1088 A1:
2007) sobre o bypass ou manobra de contorno para no uso de medida de proteo existente em mquina, o
termo tampering definido como desativar ou tornar inoperante dispositivo de proteo tendo como
resultado o fato de que a mquina passa a ser usada de modo no pretendido pelo seu designer ou sem as
necessrias medidas de segurana.
Esses dois pressupostos tambm destacam de um modo fundamental o objetivo da
investigao: preciso identificar aes no permitidas em equipamentos e as razes
operacionais associadas s suas origens.
As investigaes que exploram esse tipo de questo no so, em princpio, isentas
de crticas. Elas devem ser conduzidas com o tato necessrio. Caso contrrio, aes no
permitidas sero, no apenas negadas, mas intencionalmente escondidas de modo a evitar
retaliaes. Em outras palavras, a cumplicidade (arrangement) com a falha e a ansiedade
relativa s conseqncias so mais fortes do que o desejo de melhorar a situao.
Por isso mesmo, os empregados daquelas reas que foram investigadas receberam
informaes especficas sobre as razes e intenes da investigao planejada. E eles foram
includos no desenvolvimento de um questionrio a ser usado como um instrumento para
investigao. Isso facilita que o problema anteriormente enfatizado seja evitado - como
mostraram o progresso adicional no inqurito e, acima de tudo, os seus resultados.
Produo integrada e linhas de montagem foram investigadas em uma fbrica de
peas terceirizada para indstria automobilstica. Nessas linhas, situaes perigosas tinham
sido observadas certo nmero de vezes e acidentes tinham ocorrido. Das observaes, dos
resultados de investigaes de acidentes e, acima de tudo, a partir de perguntas aos
empregados, emergiram os seguintes motivos para acessos no permitidos a equipamentos,
isto , sem primeiro deslig-los. (veja fig 02).
Motivos:
Monitoramento da produo, em particular para tomada de amostras aleatrias.
Ajustes de processos, por exemplo, por mudanas de programas ou otimizao de
parmetros do sistema.
Alimentao de material, em particular, alimentadores contnuos (feeding of single
parts)
Limpeza / Conservao / manuteno (servicing) de mquinas e partes de
sistemas.
Correo de falhas, em particular com a remoo de partes desalinhadas,
emperradas ou com defeito (misshapen or jammed parts).
Todos os acessos identificados a sistemas e mquinas poderiam ser atribudos a
esses motivos operacionais. Outros motivos, por exemplo, aqueles que poderiam ser
atribudos apenas prpria motivao dos empregados no foram encontrados. Era claro
para todos os empregados que aes no permitidas estavam ocorrendo. Em relao a isso,
as pressuposies feitas no inicio poderiam, em parte, ser confirmadas.

Motivos
5
para acessos no
permitidos para mquinas
integradas
Razes para acessos no permitidos a mquinas em linhas de produo
(chained machines)
Defeitos na
acurcia da
produo
Falta ou
dificuldade de
acesso e
interveno
Falta de parada
de emergncia
local
Posio de
elementos
(componentes)
no perigosos
Monitoramento de
produo
X (ver fig 3) X (ver fig 4)
Ajustes de processo X (ver fig 5)
Alimentao de material X (ver fig 7)
Conservao / manuteno
/ limpeza (servicing)
X (ver fig 8)
Correo de falhas X (ver fig 6) X (ver fig 9)
Figura 2: Motivos e razes para acessos no permitidos em mquinas integradas

Para prosseguir, havia ainda as razes a serem pesquisadas: O que levava os
empregados a no desligar os equipamentos como requerido, mas, ao invs, acessarem
reas no permitidas durante sua operao?
Comportamentos inadequados freqentemente tm razes operacionais.
De modo similar aos motivos, foram encontradas razes operacionais sem exceo e
elas podem ser descritas como se segue (ver fig 02).
Razes:

5
Nota da Traduo. Nesse quadro, o autor chama de motivos as tarefas, ou seja, o que o trabalhador fazia na
ocasio em que bypassou o dispositivo de proteo, por exemplo, adentrando a rea proibida e; de razes, o
evento ou perturbao especfico ocorrido no curso daquela tarefa; ou ainda a caracterstica especfica do
sistema que, na hora do acidente, atua como razo para o comportamento adotado para fazer frente a aquele
evento ou dificuldade.
1. Defeitos na calibragem (accuracy) da mquina ou partes levam a falhas e,
conseqentemente, ao acesso no permitido para impedir ou corrigir essas falhas;
2. A falta de mtodos de interveno e acesso torna impossvel, por exemplo, a tomada
de amostras aleatrias para o monitoramento da produo;
3. A falta de dispositivos locais de desligamento (paradas de emergncia) significa que
o equipamento no desligado quando se pretende acessar somente partes dele;
4. A posio de elementos no perigosos, por exemplo, containeres de estocagem ou
unidades de conservao/manuteno, dentro das zonas protegidas, leva a acessos
no permitidos.
Os resultados dessa investigao, juntamente com os achados previamente descritos,
fornecem confirmao suficiente de que o acesso no permitido feito, principalmente,
devido a razes operacionais. A partir de ento, h necessidade de clareza, para estabelecer
quais medidas podem ser tomadas com a esperana de sucesso.
Design amigvel evita comportamentos inadequados.
A seguir, so enfatizadas as combinaes de motivos e razes mais freqentemente
encontradas, assim como os objetivos de proteo a serem conseguidos com as medidas
tcnicas (veja a fig 02).
Nos dispositivos de transporte, em particular, nas estaes de trabalho (reas de
produo das mquinas)
6
as interfaces devem viabilizar a passagem de peas de trabalho de
modo seguro e preciso. Medidas de concepo aplicadas a equipamentos do tipo correias
transportadoras (conveying) podem ser consideradas aqui como solues, por exemplo,
dispositivos de alimentao (feed-in aids), equipamentos de posicionamento ou de
medies automticas e pontos de inspeo (veja a figura 3). (positioning equipment or
automatic measurement and inspection points ).
Para a tomada de amostragens aleatrias de modo a monitorar o processo de
produo, ainda no estgio de concepo, devem ser providenciados meios de acessos
protegidos, bloqueios de material ou de entrada (veja a fig. 04). (protected means of
access, material locks or entrances)

6
Nota da traduo: Esse cuidado tambm deve se aplicar, por exemplo, a pontos em que o sistema
transportador muda a direo das peas transportadas e, por exemplo, pode dar origem a desalinhamentos ou
outros problemas que, se no solucionados adequadamente, podem ensejar a necessidade de recuperao
manual feita pelo operador ou algum de seus ajudantes.
A otimizao de parmetros do sistema, que s pode ser realizada durante a
operao, requer meios de acesso protegidos (veja a fig 05).
Meios de desligar sees limitadas do sistema facilitam a continuidade do trabalho
sem perigo dentro de reas protegidas da seo desligada. Visando a continuidade das
operaes nas sees prximas, se as circunstncias os exigirem, devem ser providenciados
reas de estoques intermedirios (workpiece buffers) (veja fig 06).


Considere as tolerncias das peas de trabalho
Desenvolva dispositivos de ajuda na alimentao. (Design feeding aids)
Prover dispositivos de posicionamento
Prover pontos de medio e inspeo.
Figura 3: Interfaces no transporte de peas de trabalho

A localizao dos containeres de armazenamento (storage containers) para as
partes de alimentao e peas de trabalho deve ser providenciada fora das reas protegidas
se o sistema de alimentao em si no apresenta perigo (veja a fig 07).


Prover mtodos de acesso amigveis ao usurio. Fig 5. Otimizar parmetros da mquina.
Figura 4. Pegando amostras aleatrias Prover acessos seguros para otimizao

As unidades de limpeza/conservao/manuteno (service units) devem ser
posicionadas de tal modo que, sempre que possvel, as verificaes realizadas regularmente
e as tarefas de manuteno, por exemplo, o monitoramento do leo lubrificante de
refrigerao (cooling lubricant) e o nvel de leo, assim como o re-abastecimento
(refilling with) de leo, possam ser feitos de um ponto do lado de fora da guarda de
proteo (veja a fig 08).
Os acessos a equipamentos eltricos tambm com a preocupao da produo
enxuta (lean)
7
no devem ser domnio exclusivo de eletricistas treinados. Em uma
estrutura operacional enxuta (slimmed-down) os eletricistas no podem estar em todos os
locais. Por outro lado, apenas intervenes menores (minor intervention) podem ser
resolvidas sem perigo por operador de mquina experiente / conhecedor. Na prtica, vrias
solues tm sido bem avaliadas no curso da realizao de melhorias. Elas podem ser
usadas como base para a concepo de futuros sistemas. Por exemplo, dispositivos eltricos
atuadores (ou ativos?) (electrical actuation devices) podem ser colocados fora da rea de
perigo e acomodados em cabines de controle (control cabinets) com portas divididas,

7
A Produo enxuta ou Lean Manufacturing surgiu no Japo, na fbrica de automveis Toyota, logo
aps a segunda guerra mundial. Ela busca produzir mais usando menos de tudo. Em especial, menos recursos
e menos mo de obra. Para alcanar seus objetivos combina mquinas e tcnicas gerenciais. A tradicional
hierarquia gerencial substituda por equipes de trabalhadores com mltiplas habilidades atuando lado de
mquinas automatizadas em regime que estimularia a cooperao e o aproveitamento dos saberes daqueles
envolvidos na fabricao dos produtos. Os dois pilares do Sistema Toyota de Produo so o Just-in-time e a
Autonomao. Sua implementao no se d sem conseqncias sociais como relatam Helena Hirata e
Benjamim Coriat, entre outros.
acessveis separadamente para o operador da mquina e eletricista ou instaladas (housed)
desde o incio em cabines de controle separadas. Se esse tipo de soluo de segurana no
pode ser realizada, ento os componentes perigosos devem, pelo menos, ser enclausurados
(veja fig 09).
Uma checagem final de segurana complementa os requisitos de segurana
previamente descritos. Ela deve ser conduzida com a co-operao dos encarregados da
concepo, operadores especializados (authority operating) e especialistas em
segurana antes que o equipamento seja posto em operao. somente desse modo que
algum pode se assegurar que as medidas de proteo planejadas sejam instaladas e exibam
o efeito protetor requerido. Esse teste de comissionamento
8
no suficiente para detectar
aqueles defeitos que s se tornam aparentes depois de um longo perodo de uso.
Conseqentemente, checagens adicionais devem ser conduzidas a intervalos de tempo
razoveis, incluindo, primariamente, perigos / fatores de risco e medidas de proteo para
falhas e sua correo, a limpeza, conservao / manuteno (servicing) do equipamento,
assim como a alimentao de materiais. Com a realizao dessas atividades, sem as
avaliaes e atividades de preveno, os motivos para acessos no permitidos se acumulam
como j discutido. Eles no devem ser ignorados, mas ao contrrio, necessitam, em cada
caso, de cuidadosa investigao e da remoo de suas causas (veja fig 10).
Os requisitos de segurana descritos podem ser integrados em uma estratgia efetiva
para aumentar a segurana de mquinas e equipamentos. Entretanto, eles tambm permitem
uma resposta a ser dada questo colocada no ttulo deste artigo, de se, a despeito das
medidas de proteo, acidentes devem ser atribudos a erros do operador ou a erros dos
planejadores e responsveis pela concepo. A resposta : ambos. No apenas o erro ou
m prtica do operador, mas tambm falhas no lado da concepo, isto , a soma de ambos
que descreve a realidade completa. De modo similar, claro, entretanto, que os fatores

8
Nota da traduo: O teste de comissionamento de uma mquina um teste de funcionamento realizado com
a finalidade de formalizar sua entrega para uso ou incio das garantias dadas pelo fabricante. Inclui verificao
de todas as protees e modos de funcionamento da mquina visando certificar, por exemplo, se dispositivos
de parada de emergncia; sistemas de proteo contra fogo, baixa ou alta presso, ou alta temperatura de
componentes, etc esto realmente funcionando. Regra geral, os fabricantes elaboram manuais de
comissionamento dos equipamentos e sua garantia comea aps a assinatura do cliente comprovando a
realizao desses testes.
iniciadores
9
esto, principalmente, no operador de equipamento cuja falha ajudada,
incentivada, ou ainda possivelmente, provocada por erros de concepo.



Prover parada de emergncia local. Criar
estoques intermedirios (buffers) de peas de
trabalho
Posicione alimentadores de partes fora das
protees.
Figura 6 Mtodos para desligamento Figura 7 Posio dos containeres de
armazenamento


Figura 8. Localizao das unidades de limpeza / conservao / manuteno.


9
NT: Aqui o autor refere-se noo de gatilho ou fator, geralmente situado nas proximidades do desfecho do
acidente, que dispara esse acontecimento. Reason tambm os denomina de fatores ativos e afirma que eles so
mais conseqncias do que causas. Por isso mesmo, deveriam ser considerados como de importncia menor
para a preveno.
Em resumo, a seguinte estratgia para melhoria da segurana de mquinas e
equipamentos pode ser recomendada (veja a fig 11):

Prover mtodos de corrigir falhas eltricas
mnimas.

Faa testes de comissionamento e checagens peridicas
das mquinas. Investigue desvios das condies
operacionais.
Figura 9. Acessos a equipamentos eltricos. Figura 10. Checagem de segurana

1. Gerentes operacionais e operadores devem tornar-se mais conscientes de que no
devem satisfazer-se com o sucesso de curto prazo proveniente da correo de falhas.
Este tipo de atitude leva muito rapidamente a uma acomodao com as falhas, a
hbitos inadequados e, finalmente, a acidentes, mas no melhora a situao. Por isso
mesmo, o preenchimento consistente dos requisitos de segurana deve ser
demandado e obtido. Do ponto de vista operacional, a contribuio do pessoal de
operao da mquina com sua experincia no pode e nem deve ser negada.
Empregados que intencionalmente by-passam (contornam ou desativam)
dispositivos de segurana, no devem, no futuro, contar com a lenincia sem
conseqncias. Eles devem, acima de tudo, compreender as conseqncias que seus
comportamentos faltosos possam ter.
2. O equipamento tcnico, incluindo aquele relacionado segurana, deve ser
concebido para ser mais amigvel (user-friendly). Planejadores e designers devem
tornar-se mais sensveis s demandas justificveis dos usurios com relao a
dispositivos de segurana em mquinas, de modo a facilitar e promover seu uso e
comportamentos seguros, ao invs de torn-los mais difceis. A segurana funcional
deve ser melhorada naqueles locais suscetveis a falhas: muitas falhas indicam
pontos funcionalmente fracos em mquinas ou equipamentos. Elas prejudicam a
capacidade de desempenho o que, freqentemente, resulta no operador da mquina
sendo tentado a encontrar modos de mudar ou de parar a condio geradora da falha
ainda que com impacto negativo na segurana do sistema. Se o dispositivo de
proteo que for fornecido, representa uma dificuldade, estorvo, ou ento se revelar
impraticvel, ento os acidentes esto esperando para acontecer. Conseqentemente,
por outro lado, as causas tcnicas das falhas devem ser corrigidas ou no mnimo
reduzidas e, por outro lado, a aceitao de dispositivos de proteo deve ser
aumentada. A aceitao sendo maior, menor ser a freqncia de acessos
necessrios em pontos de correo de falhas.
3. A observao continuada de equipamentos de produo deve ser realizada mais
intensivamente, que anteriormente. somente fazendo isso que os defeitos de
concepo sero descobertos, corrigidos e, acima de tudo, evitados na futura
gerao de mquinas.


Figura 11. Estratgias para melhorar a segurana de mquinas
Se essas sugestes estratgicas bsicas forem mais bem consideradas durante o
estgio de concepo (design) e durante a operao de mquinas e equipamentos
complexos, ento no futuro uma contribuio significativa poder ser feita para a melhoria
da segurana de mquinas. Tambm aqueles envolvidos na pesquisa e no ensino so
chamados a dar sua contribuio.