Micro-Incidentes Na Industria Nuclear

Anlise de microincidentes na operao de
usinas nucleares: estudo de caso sobre o

uso de procedimentos em organizaes
que lidam com tecnologias perigosas
Paulo Victor Rodrigues de Carvalho
Comisso Nacional de Energia Nuclear, Instituto de Engenharia Nuclear,
Cidade Universitria, CEP 21945-970, Ilha do Fundo, Rio de Janeiro, RJ, Brasil,
e-mail: paulov@ien.gov.br
Mario Cesar Rodriguez Vidal
Grupo de Ergonomia e Novas Tecnologias GENTE, COPPE/UFRJ,
Cidade Universitria, Ilha do Fundo, Rio de Janeiro, RJ, Brasil
Eduardo Ferro de Carvalho
Departamento de Engenharia de Produo POLI/UFRJ,
Cidade Universitria, Ilha do Fundo, Rio de Janeiro, RJ, Brasil
Recebido em 03/5/2004
Aceito em 23/5/2005
v.12, n.2, p.219-237, mai.-ago. 2005
Resumo
As organizaes que lidam com tecnologias perigosas possuem sistemas de gesto de risco que visam controlar a
ocorrncia e a evoluo de acidentes e melhorar sua segurana. Estes sistemas tm sido baseados em aspectos fsicos,
como barreiras de proteo, equipamentos e sistemas, que visam impedir a ocorrncia e propagao dos acidentes,
e em aspectos humanos, como a utilizao de normas e procedimentos. Neste artigo, analisamos o uso de diversos
tipos de procedimentos por operadores de salas de controle de usinas nucleares. A metodologia utilizada foi a anlise
do trabalho dos operadores durante microincidentes ocorridos na operao normal, parada e partida de uma usina
nuclear, alm de treinamento em simulador. A pesquisa demonstra que a flexibilizao de procedimentos ocorre rotineiramente e que as estratgias cognitivas dos operadores podem ser explicadas a partir das restries tcnicas,
organizacionais e culturais do ambiente de trabalho. Nossos resultados indicam que os requisitos de competncia
necessrios para os operadores de usinas nucleares vo muito alm de uma adequada formao tcnica e da capacidade de seguir instrues escritas.
Palavras-chave: ergonomia, segurana industrial, procedimentos.
1. Introduo
Este trabalho se insere na linha de pesquisa de Ergonomia e Sistemas Complexos do GENTE/COPPE em
conjunto com o Instituto de Engenharia Nuclear na perspectiva ligada ergonomia e segurana industrial, que
vem desde os trabalhos de Vidal (1984), em que a evoluo do conceito da causalidade de acidentes discutida, passando por teses desenvolvidas em diversos setores industriais, como de petrleo (Duarte, 1994), e, mais
recentemente, na rea nuclear (Carvalho e Vidal, 2003,
Carvalho, 2003).
De acordo com Rasmussen (1998), acidentes so o resultado da perda de controle:
Uma anlise detalhada dos grandes acidentes indica que a coincidncia dos mltiplos erros observados
no pode ser explicada mediante uma coincidncia estatstica de eventos independentes. Acidentes so, com
maior probalidade, causados por uma sistemtica migrao na direo de acidentes por uma organizao
operando num ambiente agressivo e competitivo (...)
A segurana um problema de controle.
As investigaes sobre os acidentes das naves Challenger em 1986 (Vaughan, 1996 e 1997) e Columbia (CAIB,
2003) ilustram como esta migrao sistemtica na direo dos acidentes ocorreu na NASA. A causa fsica do
acidente da Challenger eroso nos anis de vedao,
causando vazamento de combustvel e exploso e a do
acidente da Columbia danos no sistema de proteo trmica da asa esquerda, causado pelo choque de pedaos
220
Carvalho et al. Anlise de Microincidentes na Operao de Usinas Nucleares: Estudo de Caso sobre o Uso...
de espuma que se desprenderam do tanque de combustvel durante a decolagem so eventos bastante diversos e no correlacionados entre si. Entretanto, conforme
anlise do comit de investigao da Columbia, havia
uma grande correlao nos ambientes e prticas organizacionais que engendraram estes dois acidentes (CAIB,
op. cit.). No caso da Challenger, o comit de investigao encontrou uma srie de evidncias (dados, relatrios,
investigaes) sobre os problemas de eroso nos anis
de vedao que foram sistematicamente desconsiderados
pela organizao, levando Vaughan (1997) a concluir que
a NASA criara uma cultura de desvios normalizados,
isto , o sistema operava na suposio de que desvios no
podem ser eliminados e que as prticas vigentes (procedimentos, relatrios, inspees) seriam suficientes para
control-los evitando acidentes.
O comit de investigao do acidente da Columbia
encontrou evidncias de danos de mais de 1 polegada,
provocados por pedaos de espuma em diversos vos de
nibus espaciais, inclusive no vo imediatamente anterior
ao acidente. Este ltimo evento pr-acidente provocou a
abertura de uma investigao sobre o problema dos danos
causados pela espuma, conforme os procedimentos de segurana. Entretanto, a Columbia foi lanada sem esperar
as concluses desta investigao, uma vez que o choque
de pedaos de espuma no foi considerado como um problema de segurana de vo que devesse impedir novos
lanamentos. O fato de que, nos 112 vos anteriores ao
da Columbia, no houvesse danos considerados significativos, devido a choques de pedaos de espuma, serviu
como justificativa para autorizar o lanamento (CAIB,
op. cit.), o que ilustra uma cultura de complacncia, em
que o sucesso passado foi considerado suficiente para
garantir o sucesso no futuro.
Ou seja, analogamente ao ocorrido no acidente da
Challenger, apesar de haver procedimentos de segurana
que permitissem lidar com eventos deste tipo relatrios,
dados, inspees, etc. estes procedimentos foram de
alguma forma flexibilizados sob influncia do contexto
scio-tcnico, levando o Comit a concluir:
Embora a NASA tenha sofrido muitas reformas
gerenciais aps o acidente da Challenger... a poderosa
cultura dos vos espaciais permaneceu intacta, assim
como muitas prticas organizacionais... A cultura
organizacional da NASA mostrou ser bastante elstica... As normas retornam sua forma original mesmo aps serem esticadas ou comprimidas. As crenas
comuns existentes na organizao resistem a alteraes. (CAIB, 2003).
Deste modo, consideramos que o objetivo principal
desta pesquisa analisar o modo como os diversos tipos de procedimentos (procedimentos operacionais, de
emergncia, de testes, planejamento de tarefas) so utilizados pelos operadores de sala de controle durante mi-
croincidentes fundamental para avaliar a segurana

de uma organizao que lida com tecnologias perigosas.
Esta anlise, baseada em aportes da ergonomia, permite
obter informaes sobre como as restries do ambiente
de trabalho (tcnicas, organizacionais e culturais) interferem nas estratgias dos operadores e na forma como os
procedimentos so utilizados. A partir da ser possvel
relacionar a segurana operacional e o modelo de desempenho humano baseado em seguir estritamente a regras,
como proposto em padres normativos de competncia
de trabalhadores das organizaes que lidam com tecnologias perigosas (Inpo, 1997; Opito, 1997).
2. Ergonomia, prescries e erro humano

Como j foi constatado por diversos pesquisadores,
a proceduralizao e normatizao do trabalho so uma
caracterstica essencial das organizaes que lidam com
tecnologias perigosas, e as usinas nucleares no so uma
exceo (La Porte e Thomas, 1995; De Terssac e Leplat,
1990; De Terssac, 1992; Hirshhorn, 1993; Vicente,
1999).
Este fato decorre da apropriao pela engenharia de
segurana de resultados de pesquisas sobre o erro humano, como por exemplo, a constatao de que, do ponto de
vista cognitivo, procedimentos reduzem o nvel de complexidade, diminuindo a probalidade de ocorrncia de erros (Rasmussen e Jensen, 1974), ou de que a obrigao de
seguir procedimentos risca, reduzindo a autonomia dos
trabalhadores, diminui a possibilidade de erros humanos,
especialmente as violaes de rotina (Reason, 1990).
Assim, a engenharia de segurana ao tratar aspectos
de fatores humanos da mesma forma como trata de sistemas fsicos, especialmente no setor nuclear (NEA, 2004),
elegeu como seu principal objetivo controlar (reduzir) a
variabilidade e autonomia dos agentes humanos por meio
de prescries: procedimentos rgidos a serem seguidos
como um roteiro, uma hierarquia rgida e diviso de trabalho, responsabilidades claramente definidas, etc. Conforme este ponto de vista, seguir prescries risca a
base para uma operao confivel no que concerne ao fator humano. Neste paradigma, o erro humano o problema a ser evitado usualmente definido como qualquer
desvio do desempenho em relao a uma seqncia de
aes prescrita ou especificada.
Entretanto, instrues e procedimentos escritos quase
nunca so seguidos risca, uma vez que os trabalhadores
se esforam para se tornar mais eficientes e produtivos
para lidar com as presses temporais e demais restries
ambientais de um contexto de trabalho cada vez mais
competitivo. De fato, as operaes padro, ou trabalho
conforme as regras, so exemplos de formas de presso
dos trabalhadores alternativas s greves. Os relativamente raros estudos de campo em organizaes que lidam
GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005
com tecnologias perigosas, como usinas nucleares, tm

mostrado que at mesmo nestes ambientes, a modificao de instrues observada e a violao de regras aparece de forma bastante racional (Vicente, 1995). Nestas
situaes, ocorre um conflito bsico entre o erro visto
como um desvio em relao a um procedimento escrito
e o erro visto como um desvio em relao a um procedimento racional e normalmente usado de modo efetivo
(Rasmussen et al., 1994).
Por estes motivos, nas anlises de acidentes, o erro humano se torna uma categoria fcil para ser preenchida
pelos investigadores. A partir de anlises retrospectivas
dos acidentes, diversas violaes de procedimentos so
encontradas. Estas violaes so associadas ao acidente
sem que se possa garantir um nexo causal devido complexidade inerente gerao do acidente (Holnagell 2002;
Woods e Cook, 2002). Por esta razo, diversos estudos
persistem em indicar erros humanos como responsveis
pela maior parte dos incidentes/acidentes operacionais.
Situaes como a realizao de testes fora das condies
operacionais especificadas (acidente de Chernobyl), incerteza a respeito do estado de equipamentos em manuteno (presente no acidente da plataforma Piper Alpha),
desligamento de sistemas automticos (TMI, Chernobyl), uso de boas regras em contextos no apropriados
(TMI, Chernobyl) podem ser muito mais comuns do que
o foco nas investigaes de causas de acidentes sugere.
Em resumo, criticar prticas e consider-las como violaes graves, trazendo como resultado a punio de algum
operador e o aumento das estatsticas de erros humanos
como causas de acidentes, no traz solues efetivas para
a segurana das organizaes que lidam com tecnologias
perigosas. Para Dekker (2003), as organizaes que lidam
com tecnologias perigosas deveriam se esforar um pouco mais para entender a distncia existente entre prticas
e procedimentos, considerando que erros no podem ser
sempre interpretados como incompetncia.
A ergonomia apresenta uma outra vertente do problema do erro humano. Ela tem procurado demonstrar que
os saberes locais e contingenciais desenvolvidos pelos
operadores evitam falhas: segundo a Teoria da Inerncia
(Faverge, 1970,1980), os operadores recuperam as falhas
do sistema; eles adaptam (Amalberti, 1992) e so capazes de interpretar. Os operadores ainda preenchem os
brancos e os aspectos implcitos dos procedimentos (De
Terssac, 1992); eles podem permitir que procedimentos
existam, como explica Hatchuel (1994): o redator do
procedimento pode se enganar a respeito da qualidade do procedimento redigido: o operador realiza o
trabalho em tempo real, o que para quem concebeu
o procedimento a prova de que o contedo e o tempo previsto para execuo das tarefas estaria correto;
entretanto, as dificuldades encontradas obrigam seus
221
executores a verdadeiros malabarismos para realizar

o trabalho nas condies prescritas consideradas.
O homem possui uma capacidade cognitiva que lhe
permite julgar aspectos qualitativos, uma capacidade de
sntese e de interpretao de representaes analgicas,
uma capacidade de racionar rapidamente em funo dos
casos mais provveis (Rasmussen e Jensen, 1974).
Segundo Woods (1995), os seres humanos usam propriedades cognitivas especiais, como a da pr-ateno,
quando monitoram sistemas. A pr-ateno no uma
deciso consciente ou um julgamento, mas sim um tipo
de processo de reconhecimento direcionado. Os observadores no esto sempre conscientes dos aspectos normais,
esperados, ou irrelevantes do seu fluxo de atividade, mas
eles so capazes de reconhecer o anmalo quando pertinente ao contexto maior e s suas metas, fazendo com
que desvios das caractersticas normais do sistema sejam
antecipadamente observados.
Para Amalberti (1996) e Poyet (1990), afastar o homem do controle direto da produo e reduzir sua capacidade de interveno seria prejudicial, principalmente em
situaes de perturbao do sistema, uma vez que o homem desenvolve atividades adaptativas para fazer frente
s situaes imprevistas: ... operadores so capazes de
resistir e atualizar as prescries em funo do contexto da atividade (Poyet, 1990). Amalberti (1996)
sustenta ainda que funes metacognitivas, como metaconhecimento, metaconfiana so fundamentais para que
o operador humano possa avaliar a relao entre custo
cognitivo e o risco de determinada ao. O custo cognitivo est relacionado possibilidade de perda de controle cognitivo que, por exemplo, a mudana do nvel de
abstrao (regras para conhecimento) acarretaria para os
operadores. Atividades no nvel do conhecimento exigem
muito mais das habilidades cognitivas, envolvendo raciocnio indutivo e dedutivo, interpretao e compreenso da
informao disponvel, identificao de meta, resoluo
de problema, identificao e seleo do curso da ao. Ao
envolverem um alto custo cognitivo, estas atividades so
evitadas pelos operadores, que se preocupam em otimizar
sua capacidade cognitiva, resguardando foras para lidar
com situaes mais complexas, e no as utilizando para a
resoluo de problemas por eles considerados menores.
Besnard e Greathead (2003) analisaram dois acidentes
em que ocorreram violaes de procedimentos. O acidente de Tokaimura exploso numa fbrica de combustvel
para reatores nucleares no Japo (Furuta et al., 2000) e
o pouso de emergncia do vo 232 da United Airlines
em 1989 no aeroporto de Sioux City. No primeiro caso, a
colocao de uma quantidade de urnio maior que a prescrita nos tanques de processamento consistiu na violao
de um procedimento que provocou a exploso e morte de
trabalhadores. No segundo caso, as manobras do piloto
222
e co-piloto para realizar o pouso de emergncia de um

avio com problemas mecnicos a falha concomitante dos trs sistemas hidrulicos de vo e a conseqente
perda do controle hidrulico (NTSB, 1990) consistiram de uma srie de violaes que permitiram ao avio
chegar ao aeroporto e realizar o pouso de emergncia.
Analisando as circunstncias destas violaes, Besnard
e Greathead observaram que, no primeiro caso, os trabalhadores no imaginavam as possveis conseqncias de
acelerar o processo produtivo e, no segundo, a equipe de
pilotagem sabia exatamente qual era o problema do avio
e criou alternativas para control-lo sem dispor dos sistemas hidrulicos. Eles ento concluem que um modelo
mental adequado o principal diferencial entre os dois
tipos de violao.
Estas so as razes que a ergonomia nos apresenta
para aceitar o prembulo do homem como agente recuperador: a possibilidade efetiva para exercer um controle e
uma interveno direta sobre os sistemas tcnicos, muitas vezes restringida pela obrigatoriedade da aplicao
estrita de procedimentos.
A aplicao dos modernos conceitos de sistemas complexos ao estudo das organizaes (Pavard e Dugdale,
1997) traz novos problemas para a aplicao estrita de
procedimentos como base da confiabilidade humana,
que resumimos da seguinte maneira: considerando o
princpio da racionalidade limitada e da limitao da informao da decorrente, todos os eventos passveis de
serem encontrados pelos atores em sistemas complexos
no podem ser inteiramente previstos. Uma parte da realidade com a qual eles se confrontam est alm do campo de aplicao da regra. Ou seja, todas as informaes
necessrias e suficientes para lidar com as situaes no
podem ser disponibilizadas por meio de regras formais
explcitas.
Assim sendo, considerando os aportes da ergonomia e
da teoria dos sistemas complexos, estatumos as seguintes limitaes como premissas inerentes aplicao estrita de prescries:
1. Prescries no levam em considerao a variabilidade
dos indivduos se eles dispem de mais ou menos
experincia, se esto mais ou menos em forma, se eles
possuem atitudes diferentes e/ou percebem igualmente
a atividade de risco de sua posio na organizao;
2. A empregabilidade no claramente definida: no
possvel garantir que o procedimento adequado ser
posto em prtica pelos operadores no momento oportuno, tanto pelo modelo particular de utilizao, quanto
pelos fatos implcitos que ele veicula;
3. As condies de aplicao no so sempre bem definidas: elas podem tornar o procedimento inadequado ou
incoerente em funo das condies da interveno, ou
do estado da planta;
4. Em muitos casos, procedimentos so elaborados pelos

projetistas do sistema num pas diferente de onde o
sistema ser instalado, sem considerar os aspectos antropotecnolgicos, isto , hbitos, cultura, aspectos da
sociologia do pas de aplicao; e
5. Procedimentos se referem basicamente a situaes ideais, previamente modeladas pelos projetistas do sistema, mesmo quando consideram acidentes postulados
(acidentes postulados so acidentes previstos pelo projeto da planta e para os quais existem procedimentos de
emergncia, para mitigao de suas conseqncias).
Considerando estas limitaes, observamos que a aplicao estrita de procedimentos no suficiente para garantir a confiabilidade humana numa organizao e pode,
at mesmo, no ser compatvel com seu funcionamento.
Paradoxalmente, os procedimentos criados para minimizar as possibilidades de interveno humana, a requerem; uma vez que s a interveno humana capaz de
criar as condies, mediante saberes locais, contingentes
e tcitos, que permitam superar as limitaes e adaptar
os procedimentos ao contexto da sua execuo para um
desempenho efetivo. Entretanto, este recurso interveno humana est ligado capacidade de interpretar e se
adaptar do homem (exatamente aquilo que prescries
procuram evitar), que pode ter tanto efeitos positivos para
uma melhoria do desempenho operacional resolvendo
problemas alm do escopo dos procedimentos quanto
negativos para a segurana da organizao (a flexibilizao de procedimentos est na raiz de acidentes como
Challenger, Chernobyl, Columbia). Os estudos destes
acidentes mostraram que os atores no decidem transgredir uma norma, simplesmente por escolha pessoal uma
violao, segundo Reason (1990) mas so induzidos
transgresso ou ao contorno de prescries em funo da
situao do processo produtivo, de uma avaliao inadequada do custo cognitivo/risco da ao, de um modelo
mental no condizente situao em curso, das condies fornecidas pela organizao ou, ainda, da cultura
organizacional.
Resumindo, o contorno das prescries ou flexibilizao de procedimentos duplamente especificado: ele
concernente a um problema de racionalidade, que tomamos como um fato, e concernente a um modo de diviso e organizao do trabalho, que preciso, mas no
um dado, e sim construdo como um modelo reduzido
de sistema complexo, o qual traz em si mesmo a dicotomia entre o universo (modelo) da concepo e o universo
(real) da execuo. Considerando que os sistemas sciotcnicos apresentam estabilidade (os acidentes so raros)
e que o contorno s prescries um fato, pressupomos
que nesta flexibilizao de normas e procedimentos e
nos ajustamentos dela decorrentes que esto as verdadeiras bases da confiabilidade humana e da segurana or-
ganizacional. Compreender como estes ajustamentos so

realizados, isto , de que tipo de estratgias os operadores
se utilizam, de modo a lidar com as restries do ambiente de trabalho, requer pesquisas como a proposta neste
trabalho.
A necessidade de analisarmos o comportamento dos
operadores em meio s restries tcnicas, organizacionais e culturais de seu ambiente de trabalho nos levou a
considerar restries em 3 nveis, conforme os 3 nveis
de cultura organizacional propostos por Schein (1999):
1)Artefatos: estruturas e processos organizacionais visveis - todo fenmeno que algum pode ver, ouvir e perceber; 2) Valores adotados e declarados pela organizao:
estratgias, planos, metas, filosofia - o que a organizao
diz (e pensa) sobre ela mesma; e 3) Valores subjacentes
ou assumidos: valores construdos pelos trabalhadores ao
longo de sua insero no tecido social da organizao,
construindo hbitos de ao, regras tcitas ou implcitas,
atitudes, credos, percepes a fonte primordial de valores para ao. Os valores assumidos representam a essncia da cultura de uma organizao e so difceis de distinguir, pois eles existem no nvel inconsciente. Segundo
Schein, a Cultura Organizacional pode ser definida como
as premissas tcitas assumidas sobre como o mundo e como ele deveria ser que um grupo de pessoas de
uma organizao compartilha e que determina suas
percepes, pensamentos, sentimentos, e seu comportamento (Schein, 1999).
Os aportes da psicologia ecolgica (Gibson, 1979) fornecem a ponte que nos permite relacionar aspectos da
cultura organizacional (valores assumidos) com as estratgias cognitivas dos operadores em seu trabalho dirio.
As estratgias cognitivas, que foram forjadas ao longo
dos milhares de anos de evoluo do nosso sistema nervoso, como percepo seletiva, educao da ateno, reconhecimento de padres, uso de regras simples, do tipo
condio-ao, analogias, teste de hipteses (tentativa e
erro), so inerentes ao contnuo processo de sintonia dos
seres humanos com seu ambiente.
A partir deste enquadramento terico, estabelecemos
algumas hipteses relativas ao uso de procedimentos pelos operadores de usinas nucleares e a metodologia da
pesquisa.
As hipteses so:
1. A concepo procedural do trabalho dos operadores,
baseada em instrues detalhadas que se supe sejam
seguidas risca, possui limitaes em funo da dificuldade dos projetistas dos sistemas de preverem as
aes que sero efetivamente necessrias em situaes
novas e devido s restries impostas pelo contexto de
trabalho;
2. A limitao acima faz com que os operadores das usinas nucleares tenham dificuldades para determinar
223
quando os procedimentos, que eles, supostamente, devem seguir risca, no so mais apropriados para lidar
com uma situao nova;
3. A no considerao do item 2 no projeto do trabalho
dos operadores faz com que a equipe de operao no
tenha a ajuda necessria para saber se (e quando) procedimentos poderiam ser modificados momentaneamente sem afetar a segurana, para lidar com microincidentes de modo eficiente e seguro; e
4. Em funo de 2 e 3, em situaes no familiares, nas
quais os operadores no podem contar com o suporte de procedimentos escritos, eles mudam o nvel de
controle cognitivo e passam a trabalhar no nvel de
conhecimento (Rasmussen, 1983; Vicente e Rasmussen, 1992). Como conseqncia, a ao dos operadores
passa a ser um aspecto fundamental para a segurana
- recuperando o sistema tcnico, ou agravando a situao da planta.
3. A metodologia da pesquisa
A metodologia da pesquisa baseada em estudos de
caso realizados na sala de controle de uma usina nuclear.
Dado que nosso quadro terico aporta um grande significado ao ambiente como fonte de estratgias cognitivas,
realizamos inicialmente um estudo piloto de forma a conhecer as principais restries que o contexto de trabalho
introduz na atividade dos operadores. Neste estudo piloto
procuramos indicaes de restries em trs nveis artefatos, valores adotados ou declarados e valores assumidos.
Os resultados do estudo piloto serviram de base para
a realizao do segundo estudo. Neste segundo estudo,
analisamos a atividade dos operadores durante a parada
(desligamento) e a partida da planta, e durante o treinamento em simulador. Na parada e partida da usina, um
nmero maior de atividades so realizadas em conjunto
com diversos tipos de procedimentos (de teste, de operao, plano de tarefas) e no treinamento em simulador
so utilizados procedimentos de emergncia. Na anlise da atividade dos operadores, de uma posio mais
restritiva que a ergonomia tradicional, que usualmente
coloca poucas restries sobre o que ir ser observado,
procuramos descobrir como os agentes regulam (adaptam) coletivamente seu trabalho, quando so confrontados com microincidentes. Esta abordagem possui a
vantagem de limitar o escopo e o tempo gasto na anlise
(Bressolle etal., 1996). Na aplicao da metodologia, e
para os efeitos desta pesquisa, consideramos microincidente qualquer evento que provoque uma ruptura com a
operao normal, que faa emergir uma nova apreenso
da realidade, remetendo emergncia de um novo tipo
de racionalidade prtica. Conforme a teoria dos sistemas
224
complexos, atribumos aos microincidentes as seguintes

caractersticas principais: singularidade, imprevisibilidade, importncia (seu valor discriminador pelo qual apenas alguns dos eventos observados sero analisados) e
sua imanncia situao.
A singularidade do microincidente advm da sua prpria natureza: ele surge como algo que no estava presente, como um acrscimo, um excesso situao presente.
A ele no se pode aplicar o enunciado: pertence situao. De fato, o microincidente, na medida em que ele
se produz, est dentro da situao, mas se situa fora da
norma que descreve, avalia e trata dessa situao.
O carter imprevisvel dos microincidentes coloca
em cheque a operao linear/seqencial, baseada em
procedimentos bem definidos e introduz aes cuja lgica intrinsecamente cognitiva e, portanto, mais adequada para a identificao das estratgias de tomada de
deciso.
A importncia do microincidente definida conforme
os objetivos dos agentes (observados e observadores).
Uma falha sem importncia se os agentes envolvidos
no lhe derem nenhuma importncia. Assim sendo, a importncia de um microincidente est embutida no paradoxo: o MI indeterminvel porque escapa s normas de
funcionamento existentes e, ao mesmo tempo, o microincidente s pode existir como tal, em relao a uma norma
que vai determinar se esse evento importante e se pode
ser visto como um microincidente. Em nosso estudo de
caso, duas normas se confrontaram a respeito da importncia dos eventos: nossa metodologia para a anlise da
atividade e as normas da organizao. O mais importante nesta passagem sublinhar que a natureza prpria da
classe de eventos que nos interessa os microincidentes
no capturada pela gerncia de riscos (uma vez que
as normas da organizao no consideram a maior parte dos eventos observados como incidentes passveis de
serem relatados), de modo que a informao se perde na
entropia do sistema cognitivo (no incorporada memria) e, portanto, no pode ser usada como reflexo ou
aprendizado.
A maneira mais simples de perceber a ltima caracterstica do microincidente sua imanncia situao
dizer que ele sempre interno situao: no necessrio recorrer a nenhum efeito transcendental externo para
explicar o microincidente, ele engendrado e pode ser
explicado no mbito geral da situao de trabalho.
4. O estudo piloto: entendendo o contexto de trabalho

Neste estudo piloto exploratrio, o objetivo foi compreender o contexto do trabalho dos operadores, identificando algumas restries aportadas atividade dos operadores pelo contexto de trabalho.
4.1 Participantes
Operadores de 5 equipes de operao. A equipe de
operao de sala de controle da usina nuclear composta
por 4 operadores licenciados Supervisor, Encarregado,
Operador do Reator, Operador do Circuito Secundrio,
alm de 1 operador no licenciado o Operador de Painel Auxiliar. Os Supervisores e Encarregados so Operadores de Reator Sniores (SRO) com idades que variam
de 30 a 55 anos com mais de 10 anos de experincia na
operao de NPPs. Alguns Operadores de Reator e de
Circuito Secundrio ROs (idades de 30 a 40 anos), tambm eram operadores experientes (5 a 10 anos operando
usinas nucleares), mas outros ROs foram recentemente
admitidos (1,5 ano) com idades de 20 a 25 anos, e sem
experincia prvia em operao. Durante seus 1,5 anos
de trabalho na empresa, estes operadores foram treinados
para operar a usina.
4.2 Procedimento
Dois ergonomistas, com conhecimento de operao de
usinas nucleares, realizaram observaes em sala de controle, entrevistaram os operadores e outros trabalhadores
envolvidos na operao. O estudo piloto durou cerca de
2 semanas (10 dias) com a participao de 5 equipes de
operao. Durante o estudo, os ergonomistas estiveram
dentro da sala de controle da usina durante 4 horas por
dia, observando o trabalho dos operadores e conduzindo
entrevistas no estruturadas durante intervalos. No restante do dia, eram realizadas entrevistas com operadores
de rea, pessoal de manuteno, engenharia, treinamento
e gerenciamento da usina. O material usado para a coleta
de dados neste estudo piloto foi lpis e papel.
A participao dos ergonomistas nas atividades dirias
dos operadores e a conseqente interao entre operadores e ergonomistas, permitiu que estes ltimos se familiarizassem com a linguagem dos operadores, ajudando na
compreenso dos estratagemas usados pelos operadores
para interpretar (e simplificar) sua realidade scio-tcnica, rotinas, hbitos, costumes, regras locais, maneirismos, jarges durante a operao da usina.
4.3 Resultados
4.3.1 A operao da usina
Com base neste estudo piloto, foi possvel esquematizar a operao da usina, conforme a Figura 1. O incio
de um turno de operao caracterizado pelo processo
de Passagem de Turno. Os operadores que saem do turno
passam informaes sobre o que foi feito na usina, qual o
estado do processo, quais operaes esto em andamento
e precisam continuar, etc. O fato dos operadores da equipe que entra no estarem presentes quando os eventos
ocorreram no turno anterior, implica que os significados
precisam ser compartilhados, o que caracteriza o incio
225
Turnos anteriores
Chefia
Inst.
Man.Eng.
Estado e
respostas
do sistema
CONTEXTO
da OPERAO
Planos, metas
OPERADORES
Prescries:
- Leis
- Poltica
- Procedimentos
- Val. expostos
Hbitos de ao:
- Atitudes
- Regras ad hoc
- Rotinas
- Val. Assumidos
Conhecimento, metas,
experincia, stress
metacognio,
DECISO
Aes
Interface H/M
Instrues
Estado e
respostas
do sistema
Ops. rea
Figura 1. Diagrama esquemtico da operao da usina.
do turno e o processo de passagem propriamente dito. O

Supervisor recebe ainda instrues e planos da chefia da
usina, dos grupos de engenharia e manuteno, em que as
tarefas do turno so descritas (testes que devem ser efetuados, estado de equipamentos, manuteno, permisses
de servio, instrues para mudana de estado parada,
partida, etc.).
Durante o turno, as informaes a respeito do estado
da planta so obtidas da interface H/M pelos operadores
do reator e circuito secundrio. Entretanto, para complementar essas informaes, existe um contato quase que
contnuo entre os membros da equipe de operao da sala
de controle e o pessoal espalhado pelo campo. Este contato se d por diversas vias telefone, sistema de comunicao interno e face-a-face (quando algum operador de
campo vem sala de controle). Estas comunicaes envolvem o Supervisor de turno, que procura informaes
sobre o andamento dos servios de manuteno, o pessoal de campo, que necessita informao sobre o estado da
planta, os operadores, no fornecimento de instrues e
informaes tcnicas ao pessoal de campo. Mudanas de
estado, testes, manuteno so regidos por procedimentos operacionais, enquanto que as situaes de acidente
so regidas pelos procedimentos de emergncia (EOPs).
Os procedimentos so escritos em papel, em ingls.
Procedimentos operacionais e de emergncia tm a mesma estrutura baseada em fluxogramas e listas de checagem. Nos procedimentos de emergncia, o fluxograma
inicial (Figura 2) indica as tarefas do operador aps identificado o evento que gerou a emergncia. Estas tarefas
so expandidas em novos fluxogramas, caso seja neces-
Check plant condition
Identify affected SG
Isolate affected SG
3
and limit MS pressure at 80 bar
Initiate 50 K/h cooldown
to approx. 60 bar MS pressure
ECC criteria met
Take these actions

simultaneously or
in short succession
yes
no
page 2
page 7
page 4
Figura 2. Parte do inicial do fluxograma para diagnstico do gerador de vapor danificado do procedimento de
emergncia do acidente de ruptura de tubo do gerador
de vapor.
srio, de um modo recursivo. Finalmente, as instrues

detalhadas necessrias execuo de cada tarefa so
apresentadas em listas de checagem (Figura 3). Os operadores so obrigados a preencher os espaos em branco nas listas de checagem, confirmando a execuo de
cada passo. No exemplo da Figura 2, os retngulos 1, 2,
226
Isolate affected SG
and limit MS pressure at 80 bar
Open warmup line at affected SG

If a):
(1a)
SG 10 affected:
+ SOV warm up main steam 10
+ TCV warm up main steam 10
open
open
LBA 13 AA 001
LBA 13 AA 002
open
open
LBA 23 AA 001
LBA 23 AA 002
open
open
LBA 33 AA 001
LBA 33 AA 002

open
open
LBA 43 AA 001
LBA 43 AA 002
+ Open s for atmosph relief shut-off valve

+ Partial cooldown signal
present
present
*JR 81*
*JR 86*
+ Enabling signal on RPS panel

Open s for atmosph relief shut-off valve
Partial cooldown signal
present
*JR 81*
*JR 86*
If b):
(1b)
SG 20 affected:
If c):
(1c)
SG 30 affected:
If d):
(1d)
SG 40 affected:
If:
Then:
(2)
+ 1 out of 4 of group XI memories

reset
Reset partial cooldown signal memory for affected SG
(OM 4-1.16)
End If:
Figura 3. Parte das aes manuais detalhadas para isolar o gerador de vapor com vazamento e limitar a presso em
80 bar item 3 da Figura 2.
etc. do fluxograma indicam as tarefas do operador. Na

Figura 3, as aes detalhadas necessrias para isolar o
gerador de vapor e limitar a presso em 80 bar (item 3)
so apresentadas na forma de listas de checagem e regras
SE-ENTO.
Conforme esta estrutura recursiva, os operadores tm
que folhear os procedimentos em papel continuamente,
indo desde o fluxograma de diagnstico at as aes manuais detalhadas e vice-versa. O Encarregado o responsvel por ler em voz alta (e folhear) o procedimento para
o Operador do Reator e o Operador do Circuito Secundrio. Os RO e SCO confirmam a instruo recebida e realizam as aes de controle. Finalmente eles informam ao
Encarregado a ao executada. Este processo configura o
modo nominal (e recomendado) de operao.
4.3.2 A sala de controle

Apesar de operar a partir de 2000, a maior parte dos
equipamentos de instrumentao e controle j tinha sido
adquirida h 15 anos, quando se esperava a concluso da
usina. Assim, a sala de controle e o sistema de instrumentao e controle usam a tecnologia de controle de
processos analgica, desenvolvida nos anos 70 na Alemanha. A Figura 4 mostra a sala de controle que consiste
de painis de controle (painis auxiliares e o painel de
controle principal), de um console de controle, no qual
so configurados dois postos de trabalho para os operadores, um para o Operador de Reator (RO) e um para o
Circuito Secundrio Operador (SCO), de mesas para o
Supervisor/Encarregado, de uma mesa de comunicao
com diversos telefones e de estantes, nas quais so guar-
Figura 4. A sala de controle da usina.
dados procedimentos e documentos. Durante a leitura

dos procedimentos, um plpito colocado em frente do
console de operao.
4.3.3 As restries
Em relao aos artefatos, observamos restries atividade dos operadores que so o resultado da obsolescncia do sistema de instrumentao e controle, que podem
ser resumidas como:
Interface de homem-mquina: visualizao problemtica (posio no posto de trabalho, tamanho de caracteres, qualidade dos displays), posio inadequada de
registradores grficos, opacidade da automatizao, sistema de alarme convencional; e
Sistema de comunicao: pontos cegos em alguns locais; nas reas as pessoas precisam interromper o trabalho para responder a chamadas de cabinas de comunicao; tempo morto elevado. O contato inicial feito a
partir da sala de controle por um sistema geral de altofalantes nas diversas reas da usina, e a sala de controle
espera at a resposta via telefone ou intercomunicador
(cabina de comunicao).
Com relao aos valores adotados ou declarados, observamos que a organizao procura enfatizar o cumprimento de procedimentos, desenvolve um programa de
avaliao e melhoria da cultura de segurana, coloca a
segurana na sua misso, enfim, procura mostrar a segurana como um valor intrnseco da organizao.
Os valores assumidos so forjados no mbito do contexto scio-econmico do setor nucleoeltrico brasileiro.
A indefinio a respeito do programa nuclear brasileiro
(construo ou no de novas usinas, protelao da manuteno de grandes equipamentos, sucateamento das
instituies de pesquisa do setor), a criao de uma nova
operadora, apenas para as usinas nucleares (visando
privatizao que afinal no houve da parte eltrica
da antiga operadora estatal), a modificao da forma de
comercializao da energia (ainda em discusso) so
fatores que vm criando um ambiente de restrio de
recursos, em que o aumento da eficincia operacional
condio necessria para a sobrevivncia desta nova
227
operadora de usinas nucleares. Situao que vem sendo

agravada pela necessidade de modernizao das usinas
e pela perda de mo de obra qualificada para concorrentes privados da rea de energia. Assim sendo, manter
a usina em operao, sem desligamentos no previstos
(gerando energia/recursos), se tornou um requisito muito
mais premente do que na arquitetura anterior do sistema
eltrico, em que o setor nuclear era uma pequena parte
de uma grande operadora estatal que controlava diversas
usinas hidroeltricas. Conjunturalmente, nossa pesquisa
foi realizada no auge dos problemas de racionamento de
energia eltrica no final de 2000, o que gerava uma carga
adicional de preocupao, pois o desligamento da usina
sua principal ao de segurana poderia trazer efeitos
catastrficos (apages) para a populao.
Em resumo, a meta de uma empresa fornecedora de
energia eltrica (de origem nuclear inclusive) nos mercados liberalizados ou desregulados de hoje prover energia de modo to confivel quanto possvel, a um custo
aceitvel e com segurana, gerando o mximo de lucro
para o capital investido. Consumidores querem energia ao
menor custo e maior confiabilidade possvel, e a meta tica da sociedade converter o combustvel em energia com
segurana e o menor dano possvel ao meio ambiente.
Os pargrafos anteriores esboam alguns dos aspectos
conflitantes em meio aos quais as organizaes geradoras de energia nuclear precisam lidar no atual mercado
de comercializao de energia. De um fornecedor estatal
preocupado com a segurana e no muito pressionado
pelos custos de produo, o atual fornecedor de energia
precisa se transformar (e vem se esforando para) num
fornecedor orientado para o mercado. Assim, a liberalizao do mercado de energia eltrica tem exigido um desenho organizacional diferente em termos de organizao
e gesto (incluindo o sistema de gesto de segurana), de
modo a construir uma organizao competitiva e segura.
Enfim, dentro deste complexo contexto de mudanas que os valores assumidos ou subjacentes vm sendo
forjados na organizao. importante ressaltar que foge
ao escopo deste trabalho identificar, de forma precisa,
valores que ocorrem em um nvel inconsciente de cada
trabalhador da organizao. O que procuramos salientar
que o contexto real de trabalho introduz aspectos que podem levar construo de valores assumidos, diferentes
daqueles que a organizao prioriza oficialmente. No segundo estudo de caso, procuramos compreender as estratgias cognitivas relacionadas ao uso de procedimentos
na operao das usinas e testar as hipteses da seo 2.
5. Segundo estudo: o uso de procedimentos na operao das usinas

Neste segundo estudo de caso, o objetivo foi observar
como os operadores lidam com situaes novas, ou pelo
228
menos no esperadas, de modo a avaliar como procedimentos so usados, conforme as hipteses da pesquisa.
As mesmas equipes de operao que participaram do
primeiro estudo, tambm participaram deste segundo
estudo. Foram colhidos dados de uma equipe, durante
o desligamento do reator por 12 horas, e de outras duas
equipes, durante a partida por 6 horas, totalizando 18 horas de observaes gravadas em udio e vdeo. No treinamento em simulador, analisamos duas equipes em dois
acidentes postulados, num total de 4 horas de observaes gravadas.
operadores (trocar as fitas do microcassete, tomar notas,

esclarecer dvidas quando possvel). De modo a observar a operao com maior probabilidade de aparecimento
de microincidentes, o perodo escolhido foi na parada e
partida programada da usina, uma vez que, durante estes perodos, so feitas dezenas de atividades paralelas,
conforme um caminho crtico que visa minimizar o tempo da usina fora de operao, alm de um perodo em
simulador, de modo a observar operadores lidando com
acidentes postulados. Os dados coletados foram as notas
de campo dos ergonomistas, fitas de udio dos dilogos
dos operadores e as fitas de vdeo, contendo a explorao
visual e deslocamento dos operadores.
5.2 Procedimento
5.2.2 Preparao dos dados
Diferentemente do estudo anterior, procuramos gravar

as interaes entre os operadores mediante o uso de equipamentos de udio e vdeo, de modo a possibilitar uma
reflexo posterior a partir dos dados de campo. Conforme
a abordagem de estudos em situao real de trabalho da
ergonomia, os operadores receberam s uma instruo:
se comportar de forma to normal quanto possvel apesar dos equipamentos de gravao e da presena dos analistas na sala de controle (isto ficou mais fcil porque os
operadores j conheciam os ergonomistas, em funo do
estudo piloto anterior). O procedimento consistiu de 3fases: Coleta de dados; Preparao dos dados; e Anlise.
O objetivo desta fase foi, a partir dos dados brutos colhidos acima, gerar conjuntos de dados mais elaborados,
de modo a permitir uma anlise. Dois conjuntos de dados
preparados foram gerados: os MIs identificados e os protocolos verbais correspondentes.
Identificao de MIs: A concatenao das notas do
campo dos ergonomistas (necessria, uma vez que cada
ergonomista acompanhou um operador diferente) resultou em tabelas com a descrio cronolgica de diversos
eventos, conforme exemplificado na Tabela 1. A identificao de MIs dentre os eventos observados foi baseada na importncia e relao do evento com objetivos de
pesquisa: testar as hipteses apresentadas na seo 2. Por
exemplo, do conjunto de eventos apresentado na Tabela1, relativa ao incio do processo de desligamento do
reator, o nico evento classificado como MI foi o problema da caldeira (na ltima linha da tabela).
Transcrio de protocolos verbais: os protocolos relativos aos MIs foram transcritos em ordem cronolgica,
identificando o(s) operador(es) e as outras pessoas envol-
5.1 Participantes
5.2.1 Coleta de dados

Usamos 3 cmeras dentro da sala de controle e microgravadores no bolso de cada um dos 4 operadores da
sala de controle. A partir da experincia obtida no primeiro estudo e devido s caractersticas compartilhadas
das atividades dos operadores, foi necessria a presena de 4 ergonomistas, cada um responsvel por um dos
Tabela 1. Exemplo da tabela de eventos: desligamento do reator.

Hora
Modo de
operao
21:01
Reduo de carga
(potncia)
22:25
Reator 410MW.
22:44
23:06
Desligamento da
turbina
23:34
Desligamento
0,54%
Incio resfriamento
23:40
Evento
Supervisor anuncia no sistema geral de comunicao que ser iniciado o processo de reduo da carga
para desligamento do reator.
Encarregado comanda checagem de variveis, conforme procedimento Shutdown to hot critical condition
(hot standby) procedimento em ingls. Operadores ficam de p para visualizar melhor as variveis.
Anncio supervisor no sistema geral de comunicao: interromper reduo da potncia por solicitao da
ONS.
Anncio supervisor no sistema geral de comunicao: potncia pode voltar a ser reduzida. Encarregado
reassume leitura do procedimento.
A turbina desligada, a usina sai da malha do sistema eltrico, o vapor gerado pelo reator desviado,
sem passar pela turbina. Desligamento do reator, por meio da reduo de potncia via insero de barras
de controle.
SCRAM manual. Operador do primrio aperta boto que libera as barras de seus atuadores, conforme
procedimento. A partir da, se inicia o processo de resfriamento do reator.
Operador do secundrio percebe que a Caldeira 2 est travada, no liga. Na passagem de turno havia
preocupao com o estado da Caldeira 1 que se encontrava em testes. MI
vidas, conforme o Quadro 1, que mostra os protocolos

relativos ao MI caldeira. interessante notar que buscamos todos os protocolos relacionados ao microincidente
e no apenas os relativos s interaes que ocorreram no
momento de sua emerso. Por exemplo, no Quadro 1,
existem discusses sobre o estado da Caldeira 1 desde a
passagem de turno.
5.2.3 Anlise dos dados

Teve como objetivo identificar as estratgias e o suporte usados pelos operadores na resoluo dos problemas
causados pelos MIs e foi feita com o auxlio de tabelas de
codificao. Estas tabelas (ver Tabela 2) permitem classificar as estratgias em categorias bsicas para a resoluo
de problemas. O resultado das entrevistas feitas durante
as observaes foi usado como um cheque da classificao final.
229
Foram preenchidas tabelas para todos os MIs identificados, usando os dois conjuntos de dados disponveis:
os MIs identificados e os respectivos protocolos verbais.
Na Tabela 3, apresentado o resultado para o evento Caldeira.
Resultados: o procedimento do estudo permitiu a anlise de 15 MIs, sendo 10 durante a parada de usina, 4 durante a partida e 1 durante o treinamento em simulador. A
Tabela 4 apresenta os MIs identificados e os documentos
(procedimentos, planos, especificaes, etc.) relacionados a cada MI. Conforme a Tabela 4, em praticamente
todos os MIs analisados, mais de um procedimento ou
documento formal servia de base para as aes, o que
mostra a importncia dos procedimentos para a operao da usina. Entretanto, em poucas oportunidades eles
puderam ser seguidos risca. Por exemplo, no MI1, a
liberao da formal da LT (Licena de Trabalho indican-
Quadro 1. Protocolos verbais do MI caldeira.
Conversa a respeito do estado da Caldeira 1 durante a passagem de turno.

Operador de painel: A Caldeira 1, foi encerrada a....
OBS.: a manuteno da Caldeira 1 teria sido encerrada e ela estaria pronta para partir, conforme o procedimento
de desligamento da usina.
Operador que entra: T.
Encarregado que entra: Ento, teoricamente, est disponvel.
Operador que entra: Mas est quente, ela?
Operador de painel: T. Eu vou aquecer.
Operador que entra: Porque, de repente, vai precisar hoje, hoje na madrugada.
Operador de painel: Vou partir a 2.
Uma nica opo de ao gerada: partir a Caldeira 2, que considerada uma soluo satisfatria, uma vez o
operador no sabia ao certo o estado Caldeira 1, isto , se a manuteno havia sido realmente finalizada, pois este
operador possua a informao de que havia um andaime colocado junto a esta caldeira (ao trmino da manuteno
os andaimes so retirados).
No trecho a seguir, j durante o procedimento de desligamento, o Supervisor pede que o Operador de Painel v ao
campo para verificar o estado da Caldeira 1.
Supervisor: V o estado dessa p... dessa caldeira, o que que t realmente acontecendo l.
Uma reavaliao da situao necessria, para estabelecer um novo curso de ao, pois a caldeira de reserva, a
Caldeira 2, no partiu.
O trecho a seguir ocorre quando o Operador de Painel retorna do campo.
Operador de Painel: Tem um andaime l que ele botou escorando l na tubulao l, mas... (Supervisor interrompe).
Supervisor: Por que que aquilo impede pra rodar a caldeira?
Operador de Painel: No, nada, nada.
Supervisor: Ento manda partir a caldeira!
O andaime ao lado da Caldeira 1 trouxe dvidas sobre o seu estado desde a passagem de turno. O operador de
painel tentou partir a Caldeira 2, que no funcionou. Aps a ida do operador de painel ao campo, as dvidas com
relao situao da Caldeira 1 foram esclarecidas (aparentemente, pois o operador de painel no era monitorado)
e ela pode partir. Este MI caracteriza um conjunto de decises e avaliao de opes em srie, baseado no conhecimento tcito e avaliao da situao pelos atores.
230
Tabela 2. Esquema de codificao.

Categoria
Ponto de ruptura
(Deciso)
Entrada
Instigado por
Envolvidos
Meta
Razo
Opes e
conseqncias
Tempo
Definio
Ponto de ruptura da operao normal motivando deciso que gera um curso de ao (CuA) diferente do previsto
no procedimento. Por exemplo, usar um atalho, parar um processo, esperar para ver como o microincidente evolui,
enviar um operador ao campo, etc.
Informao que conduz a uma avaliao alterada que requer uma deciso. Identificao de quando o tpico relativo deciso foi introduzido e que fatores novos causaram a mudana.
Quem identificou a necessidade de tentar resolver um problema.
Pessoal envolvido desde a identificao do problema/auxlio na resoluo at a tomada de deciso.
O objetivo da deciso. Verbalmente declarado ou deduzido pelo investigador. Metas incluem parar um processo,
partir um sistema, realizar testes, etc.
Baseada na meta. Por exemplo, a meta pode ser a parada de um processo, a razo era minimizar o dano potencial
da evoluo do microincidente. Pode ser declarado, mas freqentemente teve que ser deduzido.
Opes disponveis como meios alternativos de solucionar o problema identificado. Dentre essas opes, podem
estar no fazer nada ou esperar. As conseqncias se referem ao que aconteceria se estas opes fossem selecionadas em vez do CuA escolhido. Mais uma vez, opes e conseqncias podem ser declaradas, mas algumas vezes
precisam ser deduzidas.
O tempo decorrido desde quando o problema foi identificado at a tomada de deciso.
Tabela 3. Esquema de codificao preenchido para o MI caldeira.

Microincidente Caldeira: primeira deciso
Categoria
Definio
Deciso e
Operador
Entrada
Partir a Caldeira 2, em vez da Caldeira 1, que estava sendo preparada para partir desde o turno anterior.
Operador de Painel.
Necessidade de partir uma caldeira, conforme procedimento de partida usina.
Dvida sobre o estado da Caldeira 1: apesar de haver um documento escrito indicando o trmino do servio, havia um
andaime junto Caldeira 1.
Dificuldade de avaliao do estado da Caldeira 1.
Instigado por Operador do Circuito Secundrio, Encarregado.
Envolvidos
Operador do Circuito Secundrio, Encarregado, tcnicos de manuteno.
Meta
Garantir uma Caldeira disponvel e aquecida no momento necessrio, conforme indicado no procedimento de desligamento do reator.
Razo
Fornecer vapor a usurios (sistemas da planta) aps o desligamento (queda de barras) do reator. Durante a operao
normal o prprio reator fornece este vapor.
Opes e
Identificar o real estado da Caldeira 1 (formalmente liberada por um documento escrito) antes de tentar partir a 2. A
conseqncias presena do andaime trouxe dvidas aos operadores, indicando uma atitude reflexiva em relao s prescries.
Tempo
25 segundos.
Microincidente Caldeira: Segunda deciso

Categoria
Deciso e
Operador
Entrada
Definio
Partir a Caldeira 1.
Supervisor/Operador de Painel/ Operadores de rea.
Caldeira 2 no partiu.
Estado da Caldeira 1 reavaliado, por meio da ida ao campo do Operador de Painel. Caldeira 1 disponvel.
Instigado por Operador de Painel (que foi ao campo).
Envolvidos
Operador de Painel, Operador do Circuito Secundrio, Encarregado, Operadores de rea, tcnicos de manuteno (na
rea).
Meta
Ter pelo menos uma caldeira disponvel e aquecida no momento necessrio.
Razo
Fornecer vapor a usurios (sistemas da planta) aps o desligamento (queda de barras) do reator. Durante a operao
normal o prprio reator fornece este vapor.
Opes e
Suspender o resfriamento at que a Caldeira 1 estivesse disponvel.
conseqncias Atraso no cronograma previsto.
Tempo
30 minutos.
231
Tabela 4. MIs identificados e documentos relevantes.

Parada da Usina - Equipe 1
Documentao relevante
MI1
Partir Caldeira 2: Caldeira 1 com andaime.(21:00)
MI2
Partir Caldeira 1: Caldeira 2 com problemas.(23:40)
MI3
Liberao dos testes da Limitao (23:45)
MI4
Liberao dos testes dos transdutores (24:10)
MI5
MI6
MI7
MI8
MI9
MI10
Suspenso de todos os testes (01:42)

Nova liberao dos testes com reator em RHR (04:34)
Nova suspenso dos testes (05:53).
Bloquear alarme no armrio da automao.
Autorizao do bloqueio pedido pelo operador.
Bloqueio de um dos circuitos de remoo de calor residual aps
o desligamento da bomba de refrigerao do reator
MI11
Incompatibilidade entre requisitos de procedimentos.
MI12
Manter chave pressionada no console CWA durante todo o perodo de realizao do teste.
MI13
MI14
Subir 5% a potncia para terminar oscilao em parmetro do

sistema de limitao.
Vazamento de gua em tanque auxiliar.
MI15
Baixar a presso do primrio para 80 bar.
Procedimento de parada; plano de tarefas; licena de

trabalho (LT).
Procedimento de parada; plano de tarefas; licena de
trabalho (LT).
Procedimento de parada; plano de tarefas; procedimento
do teste.
Procedimento de parada; plano de tarefas; procedimento
do teste.
Plano de tarefas
Plano de tarefas
Plano de tarefas
----------Procedimento de parada; especificaes tcnicas da
planta.
Partida da Usina - Equipe 2 (testes preliminares)
Manual de operao, procedimento de testes, plano de
tarefas.
Procedimento de teste.
Partida da Usina Equipe 3 (subida de potncia)
Simulador Equipes 4 e 5
---------------
Procedimento de emergncia para acidente de ruptura de

tubo do gerador de vapor.
OBS. Identificamos MI apenas durante o treinamento de uma das equipes operao.
do que a Caldeira 1 estava disponvel) no foi suficiente

para que os operadores considerassem que o servio havia sido concludo, em funo da presena de um andaime, uma indicao informal de que o servio poderia no
estar terminado. Os MIs relacionados liberao/suspenso de testes emergem em funo do conflito entre os
procedimentos: o plano de tarefas programou testes num
momento em que a usina no possua as condies operacionais indicadas nos procedimentos de teste. Conflito
similar ocorre no MI 11, no qual os operadores decidem,
aps demoradas discusses, no cumprir um dos requisitos do procedimento do teste que estava em andamento.
E, mesmo quando seguiam risca um procedimento, no
caso do treinamento em simulador, ocorreu o MI15 (ver
descrio detalhada a seguir).
De modo a exemplificar a metodologia utilizada no
estudo, apresentaremos a seguir a anlise detalhada do
MI15, que compreende: 1) Contexto da operao; 2)Protocolo de comunicao; 3) Caracterizao do MI por meio
do esquema de codificao; 4) Discusso ps evento; e 5)
Documentao relevante.
1) O contexto da operao. Este MI ocorreu duran-
te o treinamento em simulador, quando os operadores

lidavam com o acidente postulado Ruptura de Tubo do
Gerador de Vapor (SGTR), usando o procedimento de
emergncia (EOP) correspondente. Este procedimento,
que se inicia pelo fluxograma da Figura 2, tem como uma
de suas principais metas a limitao da presso em 80bar
(ver tarefa 3 na Figura 2). Os EOPs so usados aps o
desligamento automtico do reator (queda das barras) e
aps identificado o tipo de evento que causou o desligamento. Assim, a primeira parte dos EOPs uma checagem das condies da planta que deve confirmar (ou
no) se o evento foi corretamente identificado (tarefa 1
na Figura 2). Esta checagem feita por meio de listas de
checagem de valores de variveis, como a da Figura 3.
Os operadores devem preencher os quadros ao lado de
cada ao realizada, de modo a garantir que a varivel foi
observada. Alm disso, as anlises de eventos, que sempre ocorrem aps os desligamentos no programados do
reator, aditam esta documentao. A continuao do EOP
destinada a minimizar as conseqncias do acidente.
No caso deste acidente, as metas principais so isolar o
gerador de vapor danificado (com vazamento) do resto
232
do circuito primrio e procurar manter as condies de

refrigerao do sistema, retirando o calor residual gerado
pelos produtos de fisso. A preocupao maior evitar a
saturao (fervura) do refrigerante dentro do ncleo do
reator, o que poderia danificar os elementos combustveis
e permitir a liberao de material fssil para o circuito
primrio.
A equipe de operao que participou deste treinamento era composta por um Supervisor com bastante
experincia, que, entretanto, atuava na funo de Encarregado na usina, um Encarregado novato, em treinamento e sem prvia experincia de operao, e dois
operadores com experincia que haviam participado dos
estudos anteriores.
2) Protocolo de comunicao: O dilogo abaixo se inicia com os operadores realizando manobras para reduzir
a presso at 80 bar, conforme o EOP. O Encarregado se
encontra no plpito de posse do EOP junto ao Supervisor,
enquanto os operadores executam as aes e respondem
ao Encarregado de seus postos de trabalho no console de
operao, conforme o modo nominal de operao. O Instrutor se encontra numa sala contgua ao simulador, de
onde acompanha as aes dos operadores.
10:56
RO: 90 bar presso.
Supervisor: Ento vai acabar formando bolha (saturao).
10:59
RO: Taxa de reduo 1,5 bar por minuto. Se o nvel
alcanar 8 metros...
Encarregado: ... Voc pra a reduo de presso.
Encarregado: Pode diminuir a taxa agora, seno voc
no vai conseguir freiar.
RO: pra reduzir at quando?
Encarregado: 83 bar voc fecha tudo.
Instrutor: Aqui no pode cair mais no. Se lembra o

que a gente discutiu ontem(reunio antes do treinamento)? Eu acho que est errado o procedimento. Olha s:
voc t com o primrio a 81 bar. Qual a temperatura
de saturao para 81,6 bar? Voc t subresfriado segundo a indicao.
Supervisor: Levemente subresfriado.
11:10
Instrutor: Agora, o que o procedimento fala sobre
o vapor do lado do primrio? A temperatura dos tubos deste GV (gerador de vapor) que est isolado
296graus. Qual a presso de saturao disso a!?
Ento, se voc baixar mais isso a... Por isso que eu
estou dizendo que alguma coisa t errada nesse procedimento. Sim ou no?
RO: A idia ento manter 2 ou 3 bar de diferena...
Instrutor: Nem isso bom manter...
Instrutor: Do jeito que est mostrando nosso modelo
(o modelo matemtico do reator executado no simulador), agora, a essa temperatura j tem uma presso de
saturao. Ento realmente, os valores no esto batendo muito bem, no.
11:12
Encarregado: No d pra baixar pra 80 bar. Se a gente tiver na saturao, a gente vai ter que parar, seno
vai saturar o primrio. Primeiro baixar a temperatura,
pra depois baixar a presso.
Supervisor: uma coisa, ou outra, outra... Do jeito
que est o (Nome do encarregado) t ferrado, o (Nome
do RO) t ferrado, eu t ferrado! Do modo que so as
coisas, se o procedimento manda abrir ns temos que
abrir! Seno estamos ferrados!
11:15
11:01
RO: Emenda reduo de presso.
11:04
Instrutor interrompe treinamento: Olha aqui oh; d
uma olhada l (apontando para o grfico Presso x
Temperatura no computador) ! Qual a temperatura que
sai? Olha essa temperatura aqui! 296,5!
Supervisor: (Nome do encarregado) a gente o RPE

(Relatrio Preliminar de Evento) l e o que acontece
com o RPE?
Instrutor: Olha o que ele (o grfico) est falando l.

Ele t dizendo que voc deve manter essa diferena
para no saturar o primrio, no isso? A presso de
saturao est em torno de 80, se voc baixar mais ainda essa presso, ento?
Instrutor: Mas olha s, independente do nome ou do

jeito de ser das pessoas que muito difcil de entender,
isso aqui que importante voc entender (apontando
para o simulador). Independente do que o procedimento t dizendo! O que eu quero que voc entenda a situao da planta! Seno eu no precisava estar aqui.
Supervisor: O procedimento manda baixar ali pra

80bar! Ns estamos em 81,6. Estou pedindo para ajustar conforme o procedimento.
Encarregado: No sei no...

Supervisor: Ai, ai, eu sei... especialmente se eu no
estiver documentado (listas de checagem preenchidas
conforme o procedimento)!
3) Caracterizao do problema: A Tabela 5 apresenta

o esquema de codificao do MI15.
233
Tabela 5. Esquema de codificao do MI15.

Categoria
Ponto de ruptura
(Deciso)
Operador
Entrada
Instigado por
Envolvidos
Meta
Razo
Opes e
Conseqncias
Tempo
Descrio
Reduo da presso do circuito primrio pela equipe de operao, conforme procedimento, mas com sistema
subresfriado.
Instrutor
Curva Presso x Temperatura do circuito primrio indicando subresfriamento.
Instrutor
Toda a equipe de operao e o Instrutor.
Evitar que o abaixamento da presso causasse a saturao do primrio.
Minimizar as conseqncias do acidente, evitando o descobrimento do ncleo do reator.
No intervir no treinamento, deixando que os operadores seguissem as instrues do EOP.
Agravamento do acidente.
19 minutos.
4) Discusso ps evento: Aspectos relacionados ao uso

de procedimentos foram discutidos aps o treinamento.
Algumas questes levantadas so apresentadas a seguir.
Instrutor: Foi fcil?
Supervisor: O procedimento abre muito leque, mas
deu pra seguir. Mas tem alguns problemas no procedimento.
SCO: No diz como... Se tiver que injetar mais gua,
como que vai ser? Isso tem que ser enxertado aqui...
Ir para o procedimento de parada no contempla (o
procedimento de parada possui instrues sobre como
adicionar gua, mas os operadores teriam que lidar
com dois procedimentos ao mesmo tempo).
Instrutor: A operao tem que mudar os procedimentos. De outro modo vocs vo ficar eternamente com
procedimentos errados!
SCO: Mas ns estamos sempre l dentro (da sala de
controle)! Fazer isso quando?
RO: Temos mesmo que seguir todos os passos?
Instrutor: Encarregado e Supervisor geral (fluxogramas); Encarregado e Operadores detalhado (listas de
checagem).
RO: preciso ver o detalhado? Ver o resultado do
processo, ou preciso ver todas as vlvulas, etc.?
RO: Operao padro cria outros problemas. Operador procura shortcuts, e cai em problemas legais se no
seguir procedimento? Cada bloco numa linha, temos que
ir pra frente e pra trs, do fluxograma pro escrito...
Instrutor: No preciso seguir estritamente a ordem.
Podem ser feitas aes simultneas. No pode haver
dvidas com relao estrutura do procedimento; seno cada um interpreta de um jeito.
RO: Na hora do problema a coisa pega: por que no
seguimos o que est escrito? A coisa pega pro nosso
lado.
5) Documentao relevante: Procedimento de emergncia do rompimento de tubo do gerador de vapor.

Resumimos a seguir os principais resultados do estudo:
Os operadores de sala de controle resolvem problemas
gerados por microincidentes, basicamente a partir de
reconhecimento de padres e de regras condio-ao
implcitas;
Os problemas so resolvidos em srie medida que
vo emergindo, quando h alguma mudana observvel
no estado do sistema. H pouca evidncia de gerao e
comparao de opes; e
As restries do ambiente (tcnicas, sociais, culturais)
limitam as opes disponveis.
6. Discusso
Os procedimentos, de diversos tipos, so a principal
fonte de auxlio com que contam os operadores das usinas para realizar as tarefas de operao. Entretanto, os
resultados do estudo apontam problemas em relao ao
modo de utilizao, elaborao e modificao dos procedimentos. Enquanto a estrutura legal adota como um
valor seguir procedimentos risca estabelecendo punies em caso de no cumprimento de procedimentos
as restries tcnicas, organizacionais e culturais vo
de encontro a este objetivo.
Em nossa primeira hiptese, havamos observado que
a concepo procedural do trabalho dos operadores, baseada em instrues detalhadas, que se supe sejam seguidas risca, possui limitaes em funo da dificuldade dos projetistas dos sistemas de preverem as aes
que sero efetivamente necessrias em situaes novas e
devido s restries impostas pelo contexto de trabalho.
Consideramos que esta questo foi demonstrada a partir
dos resultados obtidos. Por exemplo, o procedimento de
emergncia usado durante o treinamento em simulador
manda reduzir a presso at 80 bar e no considera intei-
234
ramente as variabilidades do processo (no caso, o modelo

matemtico do simulador, mas que poderia ser remetida
para variabilidades dos instrumentos de medida da planta), gerando dvidas, inclusive, quanto pertinncia da
instruo e forma de utilizao. Quando questionados
pelo instrutor sobre o motivo pelo qual estariam seguindo
uma instruo s cegas, que estava agravando o acidente,
os operadores alegaram questes estruturais/legais, como
a obrigatoriedade de seguir os procedimentos risca.
A segunda hiptese levantada de que os operadores
tm dificuldades para determinar quando os procedimentos que eles, supostamente, devem seguir risca, no so
mais apropriados para lidar com a situao. Diversos microincidentes analisados mostraram situaes em que os
operadores tm dvidas a respeito da empregabilidade de
alguns requisitos de procedimentos na situao real. No
MI relativo ao treinamento em simulador (descrito em
detalhes em 3), decidir se a instruo (abaixar presso
at 80 bar) elaborada em outro pas pelo fornecedor da
usina e dono da tecnologia est ou no correta e deve ou
no ser seguida tarefa que foge ao escopo da equipe de
operao, entretanto, caso um acidente deste tipo ocorra,
caber a ela decidir que ao tomar. Em vrios momentos, os operadores procuram descobrir se o procedimento de teste considera ou no a situao operacional da
planta, para decidir se eles devem ou no segui-lo. Nos
MIs relacionados liberao/suspenso de testes, o Supervisor se deparou com procedimentos de testes, cujos
requisitos (realizar testes com o reator subcrtico frio) so
incompatveis com outro procedimento (o planejamento
de parada). Por duas vezes ele toma a deciso de no seguir o requisito do procedimento de teste (reator subcrtico frio) e libera os testes conforme o plano de tarefas,
os quais tiveram que ser suspensos aps presses dos demais operadores em funo de problemas no processo de
resfriamento da planta. Ou seja, em funo da situao,
das metas, das presses, de seu estado fsico e emocional,
e,tambm, face a dificuldades inerentes s postulaes e
incongruncias contidas nos prprios procedimentos, os
operadores lanam mo de estratgias cognitivas baseadas em regras condio-ao implcitas, tentativa e erro,
analogias, etc. e flexibilizam procedimentos. Estas condies obrigam os operadores a realizar modificaes ad
hoc em procedimentos (no cumprimento de requisitos
escritos) durante a operao, (apesar da evidente ansiedade que este tipo deciso provoca), como no exemplo dos
microincidentes de liberao/suspenso de testes.
O uso de estratgias baseadas em analogias (subir
a potncia em 5% para ver se pra a oscilao), ou
tentativa e erro (evento operao chave), sem a ajuda necessria para saber se (e quando) os procedimentos poderiam ser modificados, momentaneamente e sem afetar a
segurana, para lidar com microincidentes de modo eficiente e seguro, comprovam a terceira hiptese. O maior
problema envolvido nesta questo que sucessos obtidos

nestas flexibilizaes trazem como conseqncia natural
um aumento da confiana neste tipo de estratgia, que
tende a ser cada mais utilizada. O aspecto legal que torna
a flexibilizao de procedimentos proibida, o aspecto estrutural envolvido na necessidade de flexibilizao destes
mesmos procedimentos, dificultam o compartilhamento
e a discusso sobre estas estratgias e afetam o desenvolvimento das caractersticas metacognitivas.
Finalmente, a ltima hiptese colocada, de que em situaes novas, nas quais os operadores no podem contar
com o suporte de procedimentos escritos, eles mudam o
nvel de controle cognitivo e passam a trabalhar no nvel
de conhecimento, no foi inteiramente corroborada em
nosso estudo. Apesar dos diversos microincidentes que,
embora no sendo situaes totalmente novas, emergiram
a partir de situaes que no eram previstas, em apenas
duas ocasies, decises no nvel de conhecimento, com
busca de diferentes opes e demorada reflexo foram
tomadas. O fato de que, mesmo em situaes de microincidentes (no familiares), a grande maioria das decises
continua sendo baseada em regras s que em regras ad
hoc criadas a partir do reconhecimento de um padro,
demonstrou que a inexistncia de procedimentos especficos para lidar com uma situao, no acarreta, necessariamente, uma mudana do nvel de controle cognitivo:
de regras para conhecimento, uma vez que os operadores
criam novas regras simples do tipo SE-ENTO, para lidar com estas situaes, a partir da compreenso sobre
a evoluo do processo que eles conseguiram construir.
Este resultado est relacionado ao fenmeno do custo/risco de perda de controle cognitivo em situaes de MIs.
7. Consideraes finais
A anlise realizada, a partir de estudos de caso baseados na anlise de microincidentes, permitiu descrever
como os operadores de usinas nucleares lidam com procedimentos durante a operao das usinas. Os resultados
obtidos corroboram os resultados empricos de outros estudos em ergonomia, no setor nuclear e em outros setores
industriais, especialmente no que se refere aos aspectos
ligados flexibilizao de procedimentos.
Essa necessidade de flexibilizao um fato concernente complexidade de um sistema scio-tcnico que
no pode funcionar baseado apenas em regras e normas
estticas. As estratgias cognitivas usadas para flexibilizar
as prescries so moduladas pelas restries do ambiente, sejam elas tcnicas, organizacionais ou culturais (artefatos, valores adotados e valores bsicos ou assumidos).
Nossos resultados demonstram que os requisitos de competncia necessrios para os operadores de usinas nucleares vo muito alm de uma adequada formao tcnica e
da capacidade de seguir instrues escritas. Dentre estes
requisitos ressaltamos aqueles relacionados colaborao com outros agentes alm do escopo das instrues
escritas, incluindo aspectos como o ajuste temporal entre
as tarefas prescritas para os diversos agentes em funo
da situao, e aspectos ligados comunicao verbal com
outros trabalhadores, como por exemplo, evitar interrupes desnecessrias no trabalho de outros agentes, lidar
com a necessidade de interromper algum, e lidar com
uma interrupo em seu prprio trabalho. Isto se torna
fundamental, uma vez que as instrues escritas por si s
no conseguem resolver a maior parte dos problemas. A
comunicao verbal e a interao contnua entre os agentes que permite a operao da usina.
Os estudos permitiram constatar que o erro humano,
mais especificamente aquele relacionado violao de
procedimentos, no pode ser tratado como uma categoria absoluta, abstraindo-se a racionalidade das aes
executadas dentro de um contexto especfico. A anlise
dos microincidentes mostrou que violaes de procedimentos ocorrem rotineiramente e, portanto, no podem
ser correlacionadas de uma forma direta ocorrncia
de acidentes elas esto sempre presentes, havendo ou
no acidentes. Neste momento, cabe ressaltar que so os
prprios agentes, baseados em suas capacidades metacognitivas (conhecimento sobre a extenso de seu prprio conhecimento, confiana sobre at que ponto podem
confiar em si, nos outros, e no sistema, etc.), que avaliam
o risco para a segurana de suas violaes, de modo que a
chave para a confiabilidade humana em organizaes que
lidam com tecnologias perigosas est na melhoria dessas
capacidades.
235
A pesquisa permitiu ainda identificar alguns fatores

que dificultam o uso de procedimentos na organizao
estudada. Como, por exemplo, a lngua ingls na qual
os documentos esto escritos; a qualidade e quantidade
das ramificaes existentes; a apresentao em papel aumenta as dificuldades de navegao entre fluxogramas,
no incio do caderno, e listas de checagem no final; a necessidade de estar documentado (preencher as longas
listas de checagem, ver MI15) toma um tempo que, em
alguns casos, prejudica as aes; o conflito entre as instrues contidas em diferentes documentos (procedimentos de teste, operacionais, plano de tarefas); e o conflito
entre instrues escritas e a situao da planta.
Pudemos ainda levantar algumas questes relativas
diviso do trabalho entre os operadores. Em especial com
relao ao Supervisor que precisa, por um lado, est a par
do estado da usina, seguindo e checando as aes executadas pelos RO e SCO, autorizando testes e intervenes
de manuteno e, por outro lado, precisa lidar com o gerente da usina, considerando a evoluo dos processos e
mantendo o plano de tarefas atualizado. Alm disso, o
Supervisor, como responsvel ltimo pela operao da
usina, precisa manter-se documentado, garantindo que
todos os operadores estejam preenchendo corretamente
as listas de checagem.
Em suma, pesquisas como esta realam uma vez mais
a importncia de uma dialtica de longo prazo entre a
pesquisa e a prtica da ergonomia: a primeira fazendo o
desenvolvimento da segunda, e a segunda fornecendo as
questes bsicas para anlise da primeira, sendo ambas realizadas em conjunto pelos pesquisadores e trabalhadores.
Referncias Bibliogrficas
AMALBERTI, R. La Conduite de Systmes Risques.
1ed. Paris: Presses Universitaires de France - puf ,1996.
242 p.
______. Safety in process control: an operator centered
point of view. Reliability Engineering and System Safety, Amsterdam, v. 38, n. 1-2, p. 1-3. 1992.
BESNARD, D.; GREATHEAD, D. A cognitive approach to
safe violations. Cognition, Technology and Work, London, n. 5, p. 272282. 2003.
BRESSOLLE, M. C.; et al. Traitement cognitif et organisationnel des micro-incidents dans le domaine du contrle arien: analyse des boucles de rgulation formelles et informelles. In: G. de Terssac, M. Friedberg (ed.),
Coopration et Conception. Toulouse: Octars, 1996,
p.274-298.
CARVALHO, P. V. R.; VIDAL, M. C. R. Ergonomics and
reliability of high risk organisations: the nuclear power
plant operation under the complexity theory paradigm.
In: TRIENNIAL CONGRESS OF THE INTERNATIONAL ERGONOMICS ASSOCIATION - IEA, 15, 2003,
Seul. Proceedings... Seul: International Ergonomics Association, 2003.
CARVALHO, P. V. R. A ergonomia e a gesto de risco em
organizaes que lidam com tecnologias perigosas:
tomada de deciso de operadores de usinas nucleares.
2003. Tese (Doutorado em Engenharia de Produo), Coordenao dos Programas de Ps-Graduao Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2003.
DE TERSSAC, G.; LEPLAT, J. La Fiabilit et L`ergonomie:
Spcificit et Complmentarit. Revue de Psychologie
Applique, Amsterdam, v. 40, n. 3, p. 377-386. 1990.
DE TERSSAC, G. Autonomie dans le travail. 1ed. Paris:
Presses Universitaires de France puf, 1992.
DEKKER, S. Failure to adapt or adaptations that fail: contrasting models on procedures and safety. Applied Ergonomics, Exeter, v. 34, n. 3, p. 233-238. 2003.
236
DUARTE, F. C. M. A anlise ergonmica do trabalho e

a determinao de efetivos: estudo da modernizao
tecnolgica de uma refinaria de petrleo no Brasil.
1994. Tese (Doutorado em Engenharia de Produo), Coordenao dos Programas de Ps-Graduao Universidade Federal do Rio de Janeiro, Rio de Janeiro, 1994.
COLUMBIA ACCIDENT INVESTIGATION BOARD
- CAIB. Relatrio volume I. Washington, 2003.
www.caib.us
FAVERGE, J. LHomme , agent de fiabilit et dinfiabilit.
Ergonomics, Surrey, n. 13, p. 301-327. 1970.
FAVERGE, J. Le travail en tant qu` activit de rcupration.
Bulletin de psychologie, Paris, n. 33, p. 203-206. 1980.
FURUTA K. et al. Analysis report. Cognition, Technology
and Work, London, n. 2, p. 182-203. 2000.
PAVARD B.; DUGDALE J. The contribution of complexity theory to the study of socio-technical cooperative
systems. GRIC-IRIT, Toulouse, 1997. Disponvel em:
<http://www.irit.fr/COSI/summerschool/>. Acesso em:
05 de 2002.
POYET, C. L`homme agent de fiabilit dans les systemes
informatiss. In: G. de Terssac, J. Leplat (ed.), Le fateurs humains de la fiabilit. Toulouse, Octares, 1990,
p.223240.
RASMUSSEN, J. Major accident prevention: What is the
basic research issue? In: OF THE EUROPEAN SAFETY AND RELIABILITY CONFERENCE - ESREL,
1998, Trondheim. Proceedings ... Trondheim, 1998, p.
739740.
GIBSON, J. The ecological approach to visual perception. 1 ed. Boston, Houghton-Mifflen, 1979. 319 p.
______. Skills, rules and knowledge: signals, signs and

symbols, and other distinctions in human performance
models. IEEE Transactions on Systems, Man and Cybernetics, New York, n. 13, p. 257-266. 1983.
HATCHUEL, A. Apprentissages collectifs et activits de

conception. Revue Franaise de Gestion, Cachan,
junago 1994, p. 109-120, 1994.
RASMUSSEN, J.; JENSEN, A. Mental procedures in reallife tasks: A case of electronic trouble shooting. Ergonomics, Surrey, n. 17, p. 293-307. 1974.
HIRSHHORN, L. Hierarchy versus bureaucracy: The case

of a nuclear reactor. In: K. Roberts (ed.), New Challenges to Understand Organizations. New York, Macmillan Publishing Co., 1993, p. 137-151.
RASMUSSEN, J.; GOODSTEIN, L. P.; PEJTERSEN, A.

M. Cognitive System Engineering. 1 ed. New York,
John Wiley & Sons, 1994. 365 p.
HOLLNAGEL, E. Understanding accidents: from root

causes to performance variability. In: IEEE Human Factors Meeting, 7, 2002, Scottsdale, 2002. Proceedings ...
Scottsdale, 2002.
INSTITUTE OF NUCLEAR POWER OPERATORS
INPO. Excelncia em Performance Humana. Rio de
Janeiro: Eletrobrs Termonuclear AS, 1997.
LA PORTE, T.; THOMAS, C. Regulatory Compliance and
the Ethos of Quality Enhancement: Surprises in Nuclear
Power Plant Operations. Journal of Public Administration Research and Theory, New York, n. 5, p. 109-137,
1995.
NATIONAL TRANSPORTATION SAFETY BOARD
NTSB. Aircraft accident report, United Airlines flight
232. McDonnell Douglas DC-10. Sioux Gateway airport.
Sioux City, Iowa, 19 July 1989. Washington, DC: NTSB,
1990.
NUCLEAR ENERGY AGENCY-NEA. Nuclear Regulatory Challenges Related to Human Performance. Paris: NEA, 2004. (report 5334).
OFFSHORE PETROLEUM INDUSTRY TRAINING
ORGANISATIONS-OPITO. Approved Standards for
Offshore Installation Managers. Montrose: OPITO,
1997.
REASON, J. Human error. 1.ed. Cambridge, Cambridge

University Press, 1990. 299 p.
SCHEIN, E. Corporate Culture Survival Guide. 1ed. San
Francisco, Jossey-Bass Inc, 1999. 199 p.
VAUGHAN, D. The Challenger Launch Decision. 1ed.
Chicago, The University of Chicago press, 1996, 560 p.
______. The Trickle-down Effect: Policy Decision, Risky
Work and the Challenger Tragedy. California Management Review, Berkeley, n. 39, p. 80-101. 1997.
VICENTE, K. A Field Study of Operator Cognitive Monitoring at Pickering Nuclear Generating Station.
Toronto: University of Toronto, Cognitive Engineering
Laboratory - CEL, 1995. (Technical Report CEL 9504).
______. Cognitive Work Analysis. 1 ed. London, Lawrence Erlbaum Associates, 1999. 392 p.
VICENTE K., RASMUSSEN J. Ecological Interface Design: Theoretical Framework. IEEE Transactions on
systems, Man, and Cybernetics, New York, n. 22,
p.589-606. 1992.
VIDAL, M. C. R. A Evoluo Conceitual da Noo de Causa de Acidentes do Trabalho. In: ENCONTRO NACIONAL DE ENGENHARIA DE PRODUO-ENEGEP, 4,
Piracicaba, 1984. Anais ... Piracicaba: ABEPRO, 1984.
WOODS, D. The Alarm Problem and Direct Attention in

Dynamic Fault Management. Ergonomics, Surrey, n. 38,
p. 2371-2393. 1995.
237
WOODS, D.; COOK, R. Nine Steps to Move Forward from

Error. Cognition, Technology and Work, London, n. 4,
p. 137-144. 2002.
Analysis of minor incidents in the operation of nuclear

power plants: a case study on the use of procedures in
organizations dealing with hazardous technologies
Abstract
Organizations that work with hazardous materials, such as nuclear power plants, offshore installations, and chemical and petrochemical plants, have risk management systems involving accident control and mitigation to ensure the
safety of their facilities. These systems are based on physical devices, such as protective barriers, equipment and systems aimed at preventing the occurrence and propagation of accidents, and on human aspects such as regulations and
procedures. This paper analyzes the use of a variety of procedures by nuclear power plant control room operators. The
methodology consisted of analyzing the work of control room operators during the normal operations, shutdown, and
startup of a nuclear power plant, and in full scale simulator training. This survey revealed that routine noncompliance
to procedures was considered normal according to the operating rationale, which is based on technical, organizational
and cultural factors. These findings indicate that the competencies nuclear power plant operators must possess far
exceed proper technical training and the ability to follow written instructions.
Keywords: ergonomics, industrial safety, procedures.

Micro-Incidentes Na Industria Nuclear

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Micro-Incidentes Na Industria Nuclear

Enviado por

Direitos autorais:

Formatos disponíveis

Anlise de microincidentes na operao de

usinas nucleares: estudo de caso sobre o

v.12, n.2, p.219-237, mai.-ago. 2005

croincidentes fundamental para avaliar a segurana

2. Ergonomia, prescries e erro humano

GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005

com tecnologias perigosas, como usinas nucleares, tm

executores a verdadeiros malabarismos para realizar

e co-piloto para realizar o pouso de emergncia de um

4. Em muitos casos, procedimentos so elaborados pelos

GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005

ganizacional. Compreender como estes ajustamentos so

complexos, atribumos aos microincidentes as seguintes

4. O estudo piloto: entendendo o contexto de trabalho

GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005

Figura 1. Diagrama esquemtico da operao da usina.

do turno e o processo de passagem propriamente dito. O

Check plant condition

ECC criteria met

Take these actions

srio, de um modo recursivo. Finalmente, as instrues

Open warmup line at affected SG

+ SOV warm up main steam 40

+ Open s for atmosph relief shut-off valve

+ Enabling signal on RPS panel

+ 1 out of 4 of group XI memories

etc. do fluxograma indicam as tarefas do operador. Na

4.3.2 A sala de controle

GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005

Figura 4. A sala de controle da usina.

dados procedimentos e documentos. Durante a leitura

operadora de usinas nucleares. Situao que vem sendo

5. Segundo estudo: o uso de procedimentos na operao das usinas

operadores (trocar as fitas do microcassete, tomar notas,

5.2.2 Preparao dos dados

Diferentemente do estudo anterior, procuramos gravar

5.2.1 Coleta de dados

Tabela 1. Exemplo da tabela de eventos: desligamento do reator.

GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005

vidas, conforme o Quadro 1, que mostra os protocolos

5.2.3 Anlise dos dados

Quadro 1. Protocolos verbais do MI caldeira.

Conversa a respeito do estado da Caldeira 1 durante a passagem de turno.

Tabela 2. Esquema de codificao.

Tabela 3. Esquema de codificao preenchido para o MI caldeira.

Microincidente Caldeira: Segunda deciso

GESTO & PRODUO, v.12, n.2, p.219-237, mai.-ago. 2005

Tabela 4. MIs identificados e documentos relevantes.

Partir Caldeira 2: Caldeira 1 com andaime.(21:00)

Partir Caldeira 1: Caldeira 2 com problemas.(23:40)

Liberao dos testes da Limitao (23:45)

Liberao dos testes dos transdutores (24:10)

Suspenso de todos os testes (01:42)

Incompatibilidade entre requisitos de procedimentos.

Subir 5% a potncia para terminar oscilao em parmetro do

Baixar a presso do primrio para 80 bar.

Procedimento de parada; plano de tarefas; licena de

Partida da Usina - Equipe 2 (testes preliminares)

Partida da Usina Equipe 3 (subida de potncia)

Procedimento de emergncia para acidente de ruptura de

do que a Caldeira 1 estava disponvel) no foi suficiente

te o treinamento em simulador, quando os operadores

do circuito primrio e procurar manter as condies de

Instrutor: Aqui no pode cair mais no. Se lembra o